Megbízható webhelyet futtat, amelyet a felhasználók megbízhatnak. Jobb? Talán ellenőrizni szeretné. Ha webhelye a Microsoft Internet Information Services (IIS) szolgáltatáson fut, akkor meglepő lehet. Amikor a felhasználók biztonságos kapcsolaton (SSL / TLS) keresztül próbálnak kapcsolódni a kiszolgálóhoz, előfordulhat, hogy nem biztos, hogy biztos lehet benne.
A jobb titkosítási csomag használata ingyenes és nagyon könnyű beállítani. Csak kövesse ezt a lépésenkénti útmutatót a felhasználók és a kiszolgáló védelme érdekében. Azt is megtudhatja, hogyan tesztelheti az általam használt szolgáltatásokat, hogy mennyire biztonságosak a valóságban.
Miért fontos a cipher lakosztály?
A Microsoft IIS-je nagyon jó. Mindkettő könnyű beállítani és karbantartani. A felhasználóbarát grafikus felület megkönnyíti a konfigurációt. Windows alatt fut. Az IIS valóban sok mindent megtesz, de valójában a biztonsági alapértelmezésekre esik.
Így működik a biztonságos kapcsolat. A böngésző biztonságos kapcsolatot kezdeményez egy webhelyen. Ezt leginkább egy "HTTPS: //" kezdődő URL-címmel lehet azonosítani. A Firefox egy kis zároló ikont kínál a pont tovább illusztrálására. A Chrome, az Internet Explorer és a Safari hasonló módszerekkel rendelkezik arra, hogy tudassa velünk, hogy a kapcsolat titkosítva van. A kiszolgáló, amelyhez csatlakozik, válaszol a böngészőre, és a titkosítási lehetőségek listája a leginkább előnyben részesített sorrend közül választhat. A böngészője lefelé halad a listán, amíg megtalálja a titkosítási opciót, és nem működik. A többiek, mint mondják, a matek. (Ezt senki sem mondja.)
A halálos hiba ebben az, hogy nem minden titkosítási opciót hoznak létre egyenlően. Néhány nagyon nagy titkosítási algoritmust (ECDH) használ, mások kevésbé jó (RSA), és néhányan csak rosszul tanácsták (DES). A böngészõ a kiszolgálón keresztül bármely szerverhez csatlakozhat. Ha a webhely felajánlja néhány ECDH opciót, de néhány DES opciót is, a kiszolgáló csatlakozik bármelyikhez. A rossz titkosítási lehetőségeket kínáló egyszerű cselekedet miatt a webhely, a kiszolgáló és a felhasználók potenciálisan sebezhetőek lehetnek. Sajnos alapértelmezés szerint az IIS eléggé rossz lehetőségeket kínál. Nem katasztrofális, de biztosan nem jó.
Hogyan lehet megnézni, hol állsz?
Mielőtt elkezdenénk, érdemes tudni, hogy hol áll a webhely. Szerencsére a jó emberek a Qualysnál az SSL Labs-t mindannyiunk számára ingyen biztosítják. Ha meglátogatja a https://www.ssllabs.com/ssltest/ címet, akkor láthatja pontosan, hogy a szerver hogyan reagál a HTTPS kérésekre. Láthatja, hogy a rendszeresen felhasznált szolgáltatások mennyire össze vannak kötve.
Egy figyelmeztetés itt. Csak azért, mert egy webhely nem kap A minősítést, nem jelenti azt, hogy a futó emberek rossz munkát végeznek. Az SSL Labs az RC4 gyenge titkosítási algoritmust sújtja, annak ellenére, hogy nincsenek ismert támadások. Igaz, kevésbé ellenáll a brute force kísérletek, mint valami RSA vagy ECDH, de ez nem feltétlenül rossz. Egy webhely RC4 kapcsolódási lehetőséget kínálhat az egyes böngészőkkel való összeegyeztethetőség érdekében, ezért útmutatásként használja a webhelyekre vonatkozó rangsorokat, nem pedig vasalatokkal ellátott biztonsági nyilatkozatot vagy annak hiányát.
A Cipher Suite frissítése
Átfedtük a hátteret, most piszkosak a kezünk. A Windows szerver által nyújtott opciókészlet frissítése nem feltétlenül egyértelmű, de ez sem feltétlenül nehéz.
A kezdéshez nyomja meg a Windows billentyűt + R a "Futtatás" párbeszédablak megjelenítéséhez. Írja be a "gpedit.msc" parancsot, és kattintson az "OK" gombra a Csoportházirend-szerkesztő elindításához. Itt változtathatunk meg.Bal oldali területen bontsa ki a Számítógép konfiguráció, a Felügyeleti sablonok, a Hálózat elemet, majd kattintson az SSL konfigurációs beállítások elemre.A jobb oldalon kattintson duplán az SSL Cipher Suite Orderre.Alapértelmezés szerint a "Nem konfigurált" gomb van kiválasztva. Kattintson a "Engedélyezve" gombra a kiszolgáló Cipher Suites szerkesztéséhez.Az SSL Cipher Suites mező kitöltése szöveggel történik, miután rákattintasz a gombra. Ha szeretné megtudni, hogy a Cipher Suites melyik szervere kínál jelenleg, másolja a szöveget az SSL Cipher Suites mezőjéből, és illessze be a Notepadba. A szöveg egy hosszú, töredezett szövegben lesz. A titkosítási lehetőségek mindegyikét vessző választja el. Az egyes opciók saját vonalán történő elhelyezése megkönnyíti a listát.
A listán keresztül megy keresztül, és hozzáadhatja vagy eltávolíthatja a szív tartalmát egy korlátozással; a lista legfeljebb 1023 karakter lehet. Ez különösen bosszantó, mivel a titkos lakosztályok olyan hosszú nevekkel rendelkeznek, mint a "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", ezért óvatosan válasszon. Javaslom használni a listát, amelyet Steve Gibson készít a GRC.com-on: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Miután szerkesztette listáját, meg kell formáznia a felhasználást. Az eredeti listához hasonlóan az újnak egy karaktert kell tartalmaznia, amelynek minden egyes kódja vesszővel van elválasztva. Másolja a formázott szöveget és illessze be az SSL Cipher Suites mezőbe, majd kattintson az OK gombra. Végül a változtatáshoz újra be kell indítania.
A kiszolgáló biztonsági mentése és futása után vezesse az SSL Labs-ot, és tesztelje ki. Ha minden jól megy, akkor az eredménynek egy A minősítést kell adnia.
Ha valami vizuálisan szeretne valamit, akkor a Nartac segítségével telepítheti az IIS Crypto-t (https://www.nartac.com/Products/IISCrypto/Default.aspx). Ez az alkalmazás lehetővé teszi ugyanazokat a módosításokat, mint a fenti lépések. Ezenkívül lehetővé teszi a titkosítások engedélyezését vagy letiltását számos kritérium alapján, így nem kell manuálisan átmennie.
Nem számít, hogyan csinálja, a Cipher Suites frissítése egyszerű módja annak, hogy javítsa biztonságát az Ön és a végfelhasználók számára.
Tudta, hogy a Windows legfeljebb 127 karakteres jelszavakat támogat? Már nem használok jelszavakat, és évek óta nem. Már helyettesítem a jelszó-kifejezéseket.
Egy másik fontos lépés a számítógép vagy eszköz biztonságossá tételében automatizált frissítések beállítása. Eszköze biztonsága az operációs rendszertől, az alkalmazásoktól, a bővítményektől és a programoktól mindig naprakész. Például az elavult internetes böngészők és plug-inek, például az Adobe Flash, a Java vagy a Silverlight nagy biztonsági problémát jelentenek. Számos internetes webhely található, amelyek kihasználják a biztonsági hibákat a böngészőbe
Az új Windows 7 gép biztonságossá tételéhez érdemes megnézni a Vendégfiók nevének megváltoztatását. Ma megnézzük, hogyan lehet átnevezni a Vendég fiókot, amely segít meggátolni a gép illetéktelen hozzáférését.
A Digital Citizenship in Action részeként a Microsoft dokumentumokat, brosúrák tip kártyákat adott ki a diákok, szülők, oktatók, döntéshozók és nem kormányzati szervezetek számára.
