de.phhsnews.com


de.phhsnews.com / So aktualisieren Sie Ihre Windows Server Cipher Suite für eine bessere Sicherheit

So aktualisieren Sie Ihre Windows Server Cipher Suite für eine bessere Sicherheit


Sie führen eine seriöse Website, der Ihre Benutzer vertrauen können. Recht? Vielleicht möchten Sie das überprüfen. Wenn Ihre Site unter Microsoft Internetinformationsdienste (IIS) ausgeführt wird, sind Sie möglicherweise überrascht. Wenn Ihre Benutzer versuchen, sich über eine sichere Verbindung (SSL / TLS) mit Ihrem Server zu verbinden, stellen Sie ihnen möglicherweise keine sichere Option zur Verfügung.

Die Bereitstellung einer besseren Verschlüsselungssuite ist kostenlos und ziemlich einfach einzurichten. Befolgen Sie diese Schritt-für-Schritt-Anleitung, um Ihre Benutzer und Ihren Server zu schützen. Außerdem erfahren Sie, wie Sie Dienste testen, die Sie verwenden, um zu sehen, wie sicher sie wirklich sind.

Warum Ihre Cipher-Suites wichtig sind

Microsoft IIS ist ziemlich gut. Es ist sowohl einfach einzurichten als auch zu warten. Es hat eine benutzerfreundliche grafische Oberfläche, die die Konfiguration zu einem Kinderspiel macht. Es läuft unter Windows. IIS hat wirklich viel zu bieten, fällt aber in Bezug auf die Sicherheitsvorgaben wirklich aus.

So funktioniert eine sichere Verbindung. Ihr Browser initiiert eine sichere Verbindung zu einer Site. Dies wird am einfachsten durch eine URL identifiziert, die mit " //" beginnt. Firefox bietet ein kleines Schloss-Icon, um den Punkt weiter zu verdeutlichen. Chrome, Internet Explorer und Safari verfügen über ähnliche Methoden, mit denen Sie wissen, dass Ihre Verbindung verschlüsselt ist. Der Server, mit dem Sie eine Verbindung herstellen, antwortet Ihrem Browser mit einer Liste von Verschlüsselungsoptionen, aus denen Sie in der Reihenfolge der am meisten bevorzugten zu den wenigsten auswählen können. Ihr Browser geht in der Liste nach unten, bis er eine Verschlüsselungsoption gefunden hat, die ihm gefällt, und wir gehen los. Der Rest, wie sie sagen, ist Mathe. (Niemand sagt das.)

Der fatale Fehler dabei ist, dass nicht alle Verschlüsselungsoptionen gleich erstellt werden. Einige verwenden wirklich große Verschlüsselungsalgorithmen (ECDH), andere sind weniger gut (RSA) und einige sind nur schlecht beraten (DES). Ein Browser kann mit einer der Optionen, die der Server bietet, eine Verbindung zu einem Server herstellen. Wenn Ihre Website einige ECDH-Optionen, aber auch einige DES-Optionen anbietet, stellt Ihr Server eine Verbindung her. Der einfache Akt des Anbietens dieser schlechten Verschlüsselungsoptionen macht Ihre Site, Ihren Server und Ihre Benutzer potenziell anfällig. Leider bietet IIS standardmäßig einige ziemlich schlechte Optionen. Nicht katastrophal, aber definitiv nicht gut.

So sehen Sie, wo Sie stehen

Bevor Sie beginnen, möchten Sie vielleicht wissen, wo Ihre Website steht. Zum Glück stellen die guten Leute von Qualys allen kostenlos SSL Labs zur Verfügung. Wenn Sie //www.ssllabs.com/ssltest/ aufrufen, können Sie genau sehen, wie Ihr Server auf HTTPS-Anfragen reagiert. Sie können auch sehen, wie sich die von Ihnen verwendeten Dienste regelmäßig stapeln.

Hier ist Vorsicht geboten. Nur weil eine Website keine A-Bewertung erhält, bedeutet das nicht, dass die Leute, die sie betreiben, einen schlechten Job machen. SSL Labs schlägt RC4 als schwachen Verschlüsselungsalgorithmus, obwohl keine bekannten Angriffe dagegen existieren. Es ist zwar weniger widerstandsfähig gegenüber Brute-Force-Versuchen als etwas wie RSA oder ECDH, aber es ist nicht unbedingt schlecht. Eine Site kann eine RC4-Verbindungsoption aus Gründen der Kompatibilität mit bestimmten Browsern anbieten. Verwenden Sie daher die Site-Rankings als Richtlinie, nicht als eiserne Erklärung der Sicherheit oder deren Fehlen.

Aktualisieren Ihrer Cipher Suite

Wir haben behandelt der Hintergrund, lass uns jetzt unsere Hände schmutzig machen. Das Aktualisieren der Optionen, die Ihr Windows-Server bietet, ist nicht unbedingt einfach, aber auch nicht schwer.

Drücken Sie zum Starten die Windows-Taste + R, um das Dialogfeld "Ausführen" zu öffnen. Geben Sie "gpedit.msc" ein und klicken Sie auf "OK", um den Gruppenrichtlinien-Editor zu starten. Hier werden wir unsere Änderungen vornehmen.

Erweitern Sie auf der linken Seite Computerkonfiguration, Administrative Vorlagen, Netzwerk und klicken Sie dann auf SSL-Konfigurationseinstellungen.

Doppelklicken Sie auf der rechten Seite auf SSL-Verschlüsselung Suite Order.

Standardmäßig ist die Schaltfläche "Nicht konfiguriert" ausgewählt. Klicken Sie auf die Schaltfläche "Enabled", um die Cipher Suites Ihres Servers zu bearbeiten.

Das Feld SSL Cipher Suites wird mit Text gefüllt, sobald Sie auf die Schaltfläche klicken. Wenn Sie sehen möchten, welche Cipher Suites derzeit von Ihrem Server angeboten werden, kopieren Sie den Text aus dem Feld "SSL Cipher Suites" und fügen Sie ihn in den Editor ein. Der Text wird in einer langen, ununterbrochenen Zeichenfolge sein. Jede der Verschlüsselungsoptionen ist durch ein Komma getrennt. Wenn Sie jede Option auf eine eigene Zeile setzen, wird die Liste leichter lesbar.

Sie können die Liste durchgehen und nach Herzenslust mit einer Einschränkung hinzufügen oder entfernen. Die Liste darf nicht länger als 1.023 Zeichen sein. Dies ist besonders ärgerlich, weil die Chiffre-Suiten lange Namen wie "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384" haben, also wähle sorgfältig. Ich empfehle, die von Steve Gibson zusammengestellte Liste bei GRC.com zu verwenden: //www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

Wenn Sie Ihre Liste zusammengestellt haben, müssen Sie sie formatieren . Wie die ursprüngliche Liste muss Ihre neue eine ununterbrochene Zeichenfolge sein, wobei jede Verschlüsselung durch ein Komma getrennt ist. Kopieren Sie den formatierten Text und fügen Sie ihn in das Feld SSL Cipher Suites ein und klicken Sie auf OK. Um die Änderung zu bestätigen, müssen Sie den Computer neu starten.

Wenn der Server wieder betriebsbereit ist, gehen Sie zu SSL Labs und testen Sie ihn. Wenn alles gut gegangen ist, sollten Ihnen die Ergebnisse eine A-Bewertung geben.

Wenn Sie etwas visueller möchten, können Sie IIS Crypto von Nartac installieren (//www.nartac.com/Products/IISCrypto/Default) .aspx). Diese Anwendung ermöglicht es Ihnen, die gleichen Änderungen wie die obigen Schritte vorzunehmen. Darüber hinaus können Sie Verschlüsselungen anhand verschiedener Kriterien aktivieren oder deaktivieren, so dass Sie sie nicht manuell durchgehen müssen.

Unabhängig davon, wie Sie es tun, ist die Aktualisierung Ihrer Cipher Suites eine einfache Möglichkeit, die Sicherheit für Sie zu verbessern Ihre Endbenutzer.


Das Deinstallieren von Fonts wird wahrscheinlich Ihren PC oder Mac nicht beschleunigen.

Das Deinstallieren von Fonts wird wahrscheinlich Ihren PC oder Mac nicht beschleunigen.

Sie haben es auf vielen PC-Hilfeseiten gesehen. "Deinstallieren Sie Schriftarten, um Ihren Computer zu beschleunigen!" Folgen Sie diesem Rat nicht - es ist ein Mythos. Das Deinstallieren von Zeichensätzen ist ein Fehlerbehebungstipp zur Behebung eines bestimmten Problems und kein allgemeiner Leistungshinweis zur Beschleunigung Ihres Computers.

(how-to)

Was hält mobiles Breitband von

Was hält mobiles Breitband von "Interferenz" -Problemen ab?

Was hilft, wenn mobiles Breitband immer besser funktioniert? Der heutige SuperUser Q & A Post hat die Antwort auf die Frage eines neugierigen Lesers. Die heutige Question & Answer Session kommt uns dank SuperUser - einer Unterteilung von Stack Exchange, einer Community-gesteuerten Gruppierung von Q & A-Websites - zu Gute rust.

(how-to)