Cách cập nhật Bộ mật mã Windows Server của bạn để bảo mật tốt hơn
Bạn điều hành một trang web đáng kính mà người dùng của bạn có thể tin tưởng. Đúng? Bạn có thể muốn kiểm tra lại. Nếu trang web của bạn đang chạy trên Microsoft Internet Information Services (IIS), bạn có thể gặp bất ngờ. Khi người dùng của bạn cố gắng kết nối với máy chủ của bạn qua kết nối an toàn (SSL / TLS), bạn có thể không cung cấp cho họ tùy chọn an toàn.
Cung cấp một bộ mật mã tốt hơn là miễn phí và khá dễ cài đặt. Chỉ cần làm theo hướng dẫn từng bước này để bảo vệ người dùng và máy chủ của bạn. Bạn cũng sẽ tìm hiểu cách kiểm tra các dịch vụ bạn sử dụng để xem mức độ an toàn của chúng.
Tại sao bộ mật mã của bạn lại quan trọng
IIS của Microsoft khá tuyệt. Nó vừa dễ cài đặt vừa bảo trì. Nó có một giao diện đồ họa thân thiện với người dùng giúp cho việc cấu hình trở nên dễ dàng. Nó chạy trên Windows. IIS thực sự có rất nhiều thứ cho nó, nhưng thực sự thất bại khi nói về mặc định bảo mật.
Đây là cách kết nối an toàn hoạt động. Trình duyệt của bạn bắt đầu một kết nối an toàn đến một trang web. Điều này được xác định dễ dàng nhất bởi một URL bắt đầu bằng HTTPS: //. Firefox cung cấp một biểu tượng khóa nhỏ để minh họa điểm hơn nữa. Chrome, Internet Explorer và Safari đều có các phương thức tương tự để cho bạn biết kết nối của mình được mã hóa. Máy chủ bạn đang kết nối để trả lời trình duyệt của bạn với một danh sách các tùy chọn mã hóa để chọn theo thứ tự ưu tiên nhất đến ít nhất. Trình duyệt của bạn đi xuống danh sách cho đến khi tìm thấy tùy chọn mã hóa mà nó thích và chúng tôi tắt và chạy. Phần còn lại, như họ nói, là toán học. (Không ai nói vậy.)
Lỗ hổng nghiêm trọng ở đây là không phải tất cả các tùy chọn mã hóa đều được tạo ra như nhau. Một số sử dụng các thuật toán mã hóa thực sự tuyệt vời (ECDH), một số khác thì kém hơn (RSA) và một số chỉ được khuyên dùng (DES). Trình duyệt có thể kết nối với máy chủ bằng bất kỳ tùy chọn nào mà máy chủ cung cấp. Nếu trang web của bạn cung cấp một số tùy chọn ECDH nhưng cũng có một số tùy chọn DES, máy chủ của bạn sẽ kết nối trên một trong hai. Hành động đơn giản cung cấp các tùy chọn mã hóa xấu này làm cho trang web, máy chủ của bạn và người dùng của bạn có khả năng bị tổn thương. Thật không may, theo mặc định, IIS cung cấp một số tùy chọn khá kém. Không thảm khốc, nhưng chắc chắn không tốt.
Làm thế nào để xem bạn đang đứng ở đâu
Trước khi chúng tôi bắt đầu, bạn có thể muốn biết trang web của mình đứng ở đâu. Rất may, những người tốt ở Qualys đang cung cấp miễn phí SSL Labs cho tất cả chúng ta. Nếu bạn truy cập https://www.ssllabs.com/ssltest/, bạn có thể thấy chính xác cách máy chủ của bạn phản hồi các yêu cầu HTTPS. Bạn cũng có thể thấy cách các dịch vụ bạn sử dụng thường xuyên xếp chồng lên nhau.
Một lưu ý thận trọng ở đây. Chỉ vì một trang web không nhận được xếp hạng A không có nghĩa là những người điều hành họ đang làm một công việc tồi tệ. SSL Labs đánh bại RC4 như một thuật toán mã hóa yếu mặc dù không có cuộc tấn công nào được biết đến chống lại nó. Thật vậy, nó có khả năng chống lại các nỗ lực vũ phu ít hơn so với những thứ như RSA hoặc ECDH, nhưng nó không hẳn là xấu. Một trang web có thể cung cấp tùy chọn kết nối RC4 không cần thiết để tương thích với một số trình duyệt nhất định, vì vậy hãy sử dụng bảng xếp hạng trang web làm hướng dẫn, không phải là tuyên bố bảo mật hoặc thiếu bảo mật..
Cập nhật bộ mật mã của bạn
Chúng tôi đã che nền, bây giờ hãy để bàn tay của chúng tôi bẩn. Cập nhật bộ tùy chọn mà máy chủ Windows của bạn cung cấp không nhất thiết phải đơn giản, nhưng chắc chắn nó cũng không khó.
Để bắt đầu, nhấn Windows Key + R để hiển thị hộp thoại Trò chơi Run Run. Nhập loại gpedit.msc nghiêm trọng và bấm vào nút OK OK để khởi chạy Trình chỉnh sửa chính sách nhóm. Đây là nơi chúng tôi sẽ thực hiện các thay đổi của mình.
Ở phía bên trái, mở rộng Cấu hình máy tính, Mẫu quản trị, Mạng, sau đó bấm vào Cài đặt cấu hình SSL.
Ở phía bên phải, nhấp đúp chuột vào Thứ tự bộ mật mã SSL.
Theo mặc định, nút 'Không cấu hình' được chọn. Nhấp vào nút Kích hoạt tính năng của Wikipedia để chỉnh sửa Crypt Suites của máy chủ của bạn.
Trường Mật mã SSL sẽ điền vào văn bản sau khi bạn nhấp vào nút. Nếu bạn muốn xem Crypt Suites mà máy chủ của bạn hiện đang cung cấp, hãy sao chép văn bản từ trường SSL Codes Suites và dán nó vào Notepad. Văn bản sẽ ở trong một chuỗi dài, không bị gián đoạn. Mỗi tùy chọn mã hóa được phân tách bằng dấu phẩy. Đặt mỗi tùy chọn trên dòng riêng sẽ giúp danh sách dễ đọc hơn.
Bạn có thể đi qua danh sách và thêm hoặc xóa nội dung trái tim của bạn với một hạn chế; danh sách không thể nhiều hơn 1.023 ký tự. Điều này đặc biệt khó chịu vì các bộ mật mã có tên dài như TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384, vì vậy hãy chọn cẩn thận. Tôi khuyên bạn nên sử dụng danh sách do Steve Gibson tổng hợp tại GRC.com: https://www.grc.com/miscfiles/SChannel_Codes_Suites.txt.
Khi bạn đã sắp xếp danh sách của mình, bạn phải định dạng nó để sử dụng. Giống như danh sách ban đầu, danh sách mới của bạn cần phải là một chuỗi ký tự không bị ngắt quãng với mỗi mật mã được phân tách bằng dấu phẩy. Sao chép văn bản được định dạng của bạn và dán nó vào trường SSL Coding Suites và nhấp vào OK. Cuối cùng, để thực hiện thanh thay đổi, bạn phải khởi động lại.
Với máy chủ của bạn sao lưu và chạy, hãy đến SSL Labs và kiểm tra nó. Nếu mọi thứ đều ổn, kết quả sẽ cho bạn điểm A.
Nếu bạn muốn một cái gì đó trực quan hơn một chút, bạn có thể cài đặt IIS Crypto bằng Nartac (https://www.nartac.com/ Products / IISCrypto / Default.aspx). Ứng dụng này sẽ cho phép bạn thực hiện các thay đổi tương tự như các bước trên. Nó cũng cho phép bạn kích hoạt hoặc vô hiệu hóa mật mã dựa trên nhiều tiêu chí khác nhau để bạn không phải thực hiện chúng theo cách thủ công.
Bất kể bạn làm như thế nào, cập nhật Coder Suites là một cách dễ dàng để cải thiện bảo mật cho bạn và người dùng cuối của bạn.
