Connect with us

Wie man

So aktualisieren Sie Ihre Windows Server Cipher Suite für bessere Sicherheit

So aktualisieren Sie Ihre Windows Server Cipher Suite für bessere Sicherheit

Sie betreiben eine seriöse Website, der Ihre Nutzer vertrauen können. Richtig? Das solltest du vielleicht noch einmal überprüfen. Wenn Ihre Site unter Microsoft Internet Information Services (IIS) ausgeführt wird, werden Sie möglicherweise überrascht sein. Wenn Ihre Benutzer versuchen, sich über eine sichere Verbindung (SSL/TLS) mit Ihrem Server zu verbinden, bieten Sie ihnen möglicherweise keine sichere Option.

Die Bereitstellung einer besseren Verschlüsselungssammlung ist kostenlos und ziemlich einfach einzurichten. Folgen Sie einfach dieser Schritt-für-Schritt-Anleitung, um Ihre Benutzer und Ihren Server zu schützen. Außerdem erfahren Sie, wie Sie die von Ihnen verwendeten Dienste testen, um zu sehen, wie sicher sie wirklich sind.

Warum Ihre Verschlüsselungssammlungen wichtig sind

Microsofts IIS ist ziemlich großartig. Es ist sowohl einfach einzurichten als auch zu warten. Es verfügt über eine benutzerfreundliche grafische Oberfläche, die die Konfiguration zum Kinderspiel macht. Es läuft unter Windows. IIS hat wirklich viel zu bieten, fällt aber in Bezug auf Sicherheitsstandards wirklich flach.

So funktioniert eine sichere Verbindung. Ihr Browser initiiert eine sichere Verbindung zu einer Site. Dies ist am einfachsten an einer URL zu erkennen, die mit „HTTPS://“ beginnt. Firefox bietet ein kleines Schlosssymbol, um den Punkt weiter zu veranschaulichen. Chrome, Internet Explorer und Safari haben alle ähnliche Methoden, um Sie darüber zu informieren, dass Ihre Verbindung verschlüsselt ist. Der Server, mit dem Sie eine Verbindung herstellen, antwortet Ihrem Browser mit einer Liste von Verschlüsselungsoptionen, aus der Sie in der Reihenfolge der am meisten bevorzugten und der am wenigsten bevorzugten auswählen können. Ihr Browser geht die Liste durch, bis er eine Verschlüsselungsoption findet, die ihm gefällt, und wir können loslegen. Der Rest ist, wie man sagt, Mathematik. (Niemand sagt das.)

Der fatale Fehler dabei ist, dass nicht alle Verschlüsselungsoptionen gleich geschaffen sind. Einige verwenden wirklich großartige Verschlüsselungsalgorithmen (ECDH), andere sind weniger großartig (RSA) und einige sind einfach schlecht beraten (DES). Ein Browser kann mit einer der vom Server bereitgestellten Optionen eine Verbindung zu einem Server herstellen. Wenn Ihre Site einige ECDH-Optionen, aber auch einige DES-Optionen anbietet, verbindet sich Ihr Server mit beiden. Das einfache Anbieten dieser schlechten Verschlüsselungsoptionen macht Ihre Site, Ihren Server und Ihre Benutzer potenziell angreifbar. Leider bietet IIS standardmäßig einige ziemlich schlechte Optionen. Nicht katastrophal, aber definitiv nicht gut.

So sehen Sie, wo Sie stehen

Bevor wir beginnen, möchten Sie vielleicht wissen, wo Ihre Website steht. Zum Glück stellen uns die guten Leute von Qualys SSL Labs kostenlos zur Verfügung. Wenn du nach … gehst https://www.ssllabs.com/ssltest/, können Sie genau sehen, wie Ihr Server auf HTTPS-Anfragen reagiert. Sie können auch sehen, wie sich die von Ihnen regelmäßig genutzten Dienste stapeln.

Qualys SSL Labs-Testseite

Ein Hinweis zur Vorsicht hier. Nur weil eine Site keine A-Bewertung erhält, heißt das nicht, dass die Leute, die sie betreiben, einen schlechten Job machen. SSL Labs kritisiert RC4 als schwachen Verschlüsselungsalgorithmus, obwohl keine Angriffe dagegen bekannt sind. Es ist zwar weniger resistent gegen Brute-Force-Versuche als etwas wie RSA oder ECDH, aber es ist nicht unbedingt schlecht. Eine Site kann aus Gründen der Kompatibilität mit bestimmten Browsern aus Gründen der Notwendigkeit eine RC4-Verbindungsoption anbieten. Verwenden Sie daher die Rankings der Sites als Richtlinie und nicht als eiserne Erklärung der Sicherheit oder des Fehlens einer solchen.

Aktualisieren Ihrer Cipher Suite

Wir haben den Hintergrund abgedeckt, jetzt machen wir uns die Hände schmutzig. Das Aktualisieren der Suite von Optionen, die Ihr Windows-Server bietet, ist nicht unbedingt einfach, aber es ist definitiv auch nicht schwer.

Drücken Sie zum Starten die Windows-Taste + R, um das Dialogfeld „Ausführen“ aufzurufen. Geben Sie „gpedit.msc“ ein und klicken Sie auf „OK“, um den Gruppenrichtlinien-Editor zu starten. Hier werden wir unsere Änderungen vornehmen.

Erweitern Sie auf der linken Seite Computerkonfiguration, Administrative Vorlagen, Netzwerk und klicken Sie dann auf SSL-Konfigurationseinstellungen.

Doppelklicken Sie auf der rechten Seite auf SSL Cipher Suite Order.

Standardmäßig ist die Schaltfläche „Nicht konfiguriert“ ausgewählt. Klicken Sie auf die Schaltfläche „Aktiviert“, um die Cipher Suites Ihres Servers zu bearbeiten.

Das Feld SSL Cipher Suites wird mit Text gefüllt, sobald Sie auf die Schaltfläche klicken. Wenn Sie sehen möchten, welche Cipher Suites Ihr Server derzeit anbietet, kopieren Sie den Text aus dem Feld SSL Cipher Suites und fügen Sie ihn in Notepad ein. Der Text befindet sich in einer langen, ununterbrochenen Zeichenfolge. Jede der Verschlüsselungsoptionen wird durch ein Komma getrennt. Wenn Sie jede Option in eine eigene Zeile setzen, wird die Liste leichter lesbar.

Sie können die Liste durchgehen und nach Herzenslust mit einer Einschränkung hinzufügen oder entfernen; die Liste darf nicht mehr als 1.023 Zeichen umfassen. Dies ist besonders ärgerlich, da die Verschlüsselungssammlungen lange Namen wie „TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384“ haben, wählen Sie also sorgfältig aus. Ich empfehle, die von Steve Gibson auf GRC.com zusammengestellte Liste zu verwenden: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

Nachdem Sie Ihre Liste kuratiert haben, müssen Sie sie für die Verwendung formatieren. Wie die ursprüngliche Liste muss Ihre neue eine ununterbrochene Zeichenfolge sein, wobei jede Ziffer durch ein Komma getrennt ist. Kopieren Sie Ihren formatierten Text, fügen Sie ihn in das Feld SSL Cipher Suites ein und klicken Sie auf OK. Schließlich müssen Sie neu starten, um die Änderung zu aktivieren.

Wenn Ihr Server wieder betriebsbereit ist, gehen Sie zu SSL Labs und testen Sie ihn. Wenn alles gut gelaufen ist, sollten Ihnen die Ergebnisse eine A-Bewertung geben.

Wenn Sie es etwas visueller mögen, können Sie IIS Crypto von Nartac installieren (https://www.nartac.com/Products/IISCrypto/Default.aspx). Mit dieser Anwendung können Sie die gleichen Änderungen wie in den obigen Schritten vornehmen. Außerdem können Sie Verschlüsselungen basierend auf einer Vielzahl von Kriterien aktivieren oder deaktivieren, sodass Sie sie nicht manuell durchgehen müssen.

Unabhängig davon, wie Sie es tun, ist die Aktualisierung Ihrer Cipher Suites eine einfache Möglichkeit, die Sicherheit für Sie und Ihre Endbenutzer zu verbessern.

Continue Reading
Click to comment

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Tendencia