it.phhsnews.com


it.phhsnews.com / Come aggiornare il Cipher Suite di Windows Server per una maggiore sicurezza

Come aggiornare il Cipher Suite di Windows Server per una maggiore sicurezza


Si esegue un sito web di tutto rispetto di cui i vostri utenti possono fidarsi. Destra? Potresti voler ricontrollare questo. Se il tuo sito è in esecuzione su Microsoft Internet Information Services (IIS), potresti essere sorpreso. Quando i tuoi utenti tentano di connettersi al tuo server tramite una connessione protetta (SSL / TLS) potresti non fornire loro un'opzione sicura.

Fornire una suite di crittografia migliore è gratuita e abbastanza facile da configurare. Segui questa guida passo passo per proteggere i tuoi utenti e il tuo server. Imparerai anche come testare i servizi che utilizzi per vedere quanto sono sicuri.

Perché le tue suite di crittografia sono importanti

IIS di Microsoft è piuttosto grande. È facile da configurare e gestire. Ha un'interfaccia grafica user friendly che semplifica la configurazione. Funziona su Windows. IIS ha davvero molto da fare, ma in realtà crolla quando si tratta di impostazioni di sicurezza predefinite.

Ecco come funziona una connessione sicura. Il tuo browser avvia una connessione sicura a un sito. Questo è più facilmente identificato da un URL che inizia con " //". Firefox offre una piccola icona di blocco per illustrare ulteriormente il punto. Chrome, Internet Explorer e Safari hanno tutti metodi simili per farti sapere che la tua connessione è crittografata. Il server al quale ti stai connettendo per rispondere al tuo browser con un elenco di opzioni di crittografia tra cui scegliere in ordine di preferenza o meno. Il tuo browser scende nell'elenco finché non trova un'opzione di crittografia che gli piace e siamo fuori servizio. Il resto, come si suol dire, è matematica. (Nessuno lo dice).

Il difetto fatale in questo è che non tutte le opzioni di crittografia vengono create ugualmente. Alcuni usano algoritmi di crittografia davvero eccellenti (ECDH), altri sono meno grandi (RSA), e alcuni sono poco raccomandati (DES). Un browser può connettersi a un server utilizzando una delle opzioni fornite dal server. Se il tuo sito offre alcune opzioni ECDH ma anche alcune opzioni DES, il tuo server si collegherà. Il semplice atto di offrire queste cattive opzioni di crittografia rende potenzialmente vulnerabili il tuo sito, il tuo server e i tuoi utenti. Sfortunatamente, per impostazione predefinita, IIS offre alcune opzioni piuttosto scadenti. Non catastrofico, ma sicuramente non buono.

Come vedere dove ti trovi

Prima di iniziare, potresti voler sapere dove si trova il tuo sito. Per fortuna i bravi ragazzi di Qualys stanno fornendo SSL Labs a tutti noi gratuitamente. Se vai su //www.ssllabs.com/ssltest/, puoi vedere esattamente come il tuo server risponde alle richieste HTTPS. Puoi anche vedere come si accumulano regolarmente i servizi che usi.

Una nota di cautela qui. Solo perché un sito non riceve una valutazione A non significa che le persone che le gestiscono stiano facendo un brutto lavoro. Labs SSL sbatte RC4 come un algoritmo di crittografia debole anche se non ci sono attacchi noti contro di esso. È vero, è meno resistente ai tentativi di forza bruta rispetto a qualcosa come RSA o ECDH, ma non è necessariamente negativo. Un sito può offrire un'opzione di connessione RC4 per necessità di compatibilità con determinati browser, quindi utilizzare le classifiche dei siti come linee guida, non una dichiarazione di sicurezza o mancanza di sicurezza.

Aggiornamento della Cipher Suite

Abbiamo coperto lo sfondo, ora mettiamoci le mani sporche. Aggiornare la suite di opzioni fornite dal server Windows non è necessariamente semplice, ma non è nemmeno difficile.

Per iniziare, premi il tasto Windows + R per visualizzare la finestra di dialogo "Esegui". Digitare "gpedit.msc" e fare clic su "OK" per avviare l'Editor criteri di gruppo. Qui è dove apporteremo le nostre modifiche.

Sul lato sinistro, espandi Configurazione computer, Modelli amministrativi, Rete, quindi fai clic su Impostazioni di configurazione SSL.

Sul lato destro, fai doppio clic su SSL Cipher Suite Order.

Per impostazione predefinita, il pulsante "Not Configured" è selezionato. Fai clic sul pulsante "Abilitato" per modificare le Cipher Suites del tuo server.

Il campo Suite SSL Cipher si riempirà di testo quando fai clic sul pulsante. Se vuoi vedere che Cipher Suites sta offrendo il tuo server, copia il testo dal campo SSL Cipher Suite e incollalo nel Blocco note. Il testo sarà in una stringa lunga e ininterrotta. Ciascuna delle opzioni di crittografia è separata da una virgola. Mettere ogni opzione sulla propria linea renderà la lista più facile da leggere.

Puoi scorrere l'elenco e aggiungere o rimuovere il contenuto del tuo cuore con una restrizione; l'elenco non può contenere più di 1.023 caratteri. Questo è particolarmente fastidioso perché le suite di crittografia hanno nomi lunghi come "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", quindi scegli attentamente. Raccomando di utilizzare l'elenco creato da Steve Gibson su GRC.com: //www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

Una volta verificato il tuo elenco, devi formattarlo per l'uso . Come l'elenco originale, il tuo nuovo deve essere una stringa di caratteri ininterrotta con ogni cifra separata da una virgola. Copia il testo formattato e incollalo nel campo SSL Cipher Suites e fai clic su OK. Infine, per cambiare la chiavetta, è necessario riavviare.

Con il server di nuovo attivo e funzionante, andare su Labs SSL e testarlo. Se tutto è andato bene, i risultati dovrebbero darti una valutazione A.

Se desideri qualcosa di un po 'più visivo, puoi installare IIS Crypto di Nartac (//www.nartac.com/Products/IISCrypto/Default aspx). Questa applicazione ti consentirà di apportare le stesse modifiche dei passaggi precedenti. Permette anche di abilitare o disabilitare i cipher in base a una serie di criteri in modo da non doverli passare manualmente.

Indipendentemente da come lo si fa, l'aggiornamento delle suite Cipher è un modo semplice per migliorare la sicurezza per te e i tuoi utenti finali.


Come convertire un PC fisico Windows o Linux in una macchina virtuale

Come convertire un PC fisico Windows o Linux in una macchina virtuale

Vuoi mantenere una vecchia installazione Windows o Linux senza tenere l'hardware in giro? Converti quella partizione fisica di Windows in un disco rigido virtuale, permettendoti di avviarlo in un programma di macchina virtuale come VMware, Hyper-V, Parallels o VirtualBox. Windows si lega all'hardware del tuo computer.

(how-to)

Come controllare Netflix in Windows con il telecomando TV

Come controllare Netflix in Windows con il telecomando TV

L'intero punto di un PC home theater è quello di poter guardare indietro e guardare qualsiasi cosa dal tuo divano, ma Netflix non ha mai funzionato veramente bene sui PC home theater. Questa applicazione cambia. Ci sono stati innumerevoli tentativi per far funzionare Netflix su PC home theater, ma molti falliscono.

(how-to)