如何更新windows server密碼套件以提高安全性
你執行一個值得尊敬的網站,你的使用者可以信任。正確的?你應該再檢查一遍。如果您的站點執行的是Microsoft Internet Information Services(IIS),您可能會大吃一驚。當您的使用者試圖透過安全連線(SSL/TLS)連線到您的伺服器時,您可能沒有為他們提供安全選項。
提供更好的密碼套件是免費的,而且很容易設定。只需按照這個分步指南來保護您的使用者和伺服器。您還將學習如何測試您使用的服務,以瞭解它們到底有多安全。
為什麼密碼套件很重要
微軟的IIS非常棒。安裝和維護都很容易。它有一個使用者友好的圖形介面,使配置輕而易舉。它在Windows上執行。IIS真的有很多東西要做,但當涉及到安全預設值時,它真的是一敗塗地。
以下是安全連線的工作原理。您的瀏覽器啟動到站點的安全連線。最容易透過以“HTTPS://”開頭的URL識別。Firefox提供了一個小鎖圖示來進一步說明這一點。Chrome、internetexplorer和Safari都有類似的方法讓你知道你的連線是加密的。您要連線的伺服器會向您的瀏覽器回覆一個加密選項列表,這些選項按從最優先到最不優先的順序進行選擇。你的瀏覽器會一直往下看,直到找到一個它喜歡的加密選項,然後我們就關閉並運行了。其餘的,就像他們說的,是數學。(沒人這麼說。)
其中的致命缺陷是,並非所有加密選項都是平等建立的。有些使用真正優秀的加密演算法(ECDH),有些則不那麼優秀(RSA),有些則是不明智的(DES)。瀏覽器可以使用伺服器提供的任何選項連線到伺服器。如果您的站點提供了一些ECDH選項,但也提供了一些DES選項,那麼您的伺服器將連線到這兩個選項中的任何一個。提供這些糟糕的加密選項的簡單行為會使您的站點、伺服器和使用者可能受到攻擊。不幸的是,預設情況下,IIS提供了一些非常糟糕的選項。不是災難性的,但絕對不好。
如何看你的立場
在我們開始之前,您可能想知道您的站點位於何處。謝天謝地,Qualys的好心人正在為我們所有人免費提供SSL實驗室。如果你去https://www.ssllabs.com/ssltest/,您可以確切地看到伺服器如何響應HTTPS請求。您還可以看到您經常使用的服務是如何累積的。
這裡需要注意一點。僅僅因為一個網站沒有獲得a級評級並不意味著執行它的人做得不好。SSL實驗室抨擊RC4是一種弱加密演算法,即使沒有針對它的已知攻擊。誠然,與RSA或ECDH相比,它對暴力攻擊的抵抗力較弱,但也不一定很差。出於與某些瀏覽器相容的需要,網站可能會提供RC4連線選項,因此使用網站排名作為指導,而不是鐵證安全性或缺乏安全性。
更新密碼套件
我們已經講完背景了,現在讓我們把手弄髒。更新Windows伺服器提供的選項套件並不一定很簡單,但也絕對不難。
要啟動,請按Windows鍵+R以開啟“執行”對話方塊。“型別”gpedit.msc軟體,然後單擊“確定”啟動組策略編輯器。這是我們要改變的地方。
在左側,展開“計算機配置”、“管理模板”、“網路”,然後單擊“SSL配置設定”。
在右側,雙擊SSL Cipher Suite Order。
預設情況下,選擇“未配置”按鈕。單擊“Enabled”按鈕編輯伺服器的密碼套件。
單擊按鈕後,SSL Cipher Suites欄位將填充文字。如果要檢視伺服器當前提供的密碼套件,請複製SSL Cipher Suites欄位中的文字並將其貼上到記事本中。文字將在一個長的,不間斷的字串。每個加密選項都用逗號分隔。把每個選項都放在自己的行上會使列表更容易閱讀。
您可以瀏覽該列表,並新增或刪除到您的心的內容有一個限制;該列表不能超過1023個字元。這是特別惱人的,因為密碼套件有像“TLS\u ECDHE\u ECDSA\u WITH\u AES\u 256\u GCM\u SHA384\u P384”這樣的長名稱,所以請仔細選擇。我建議使用史蒂夫·吉布森在GRC.com網站: https://www.grc.com/miscfiles/SChannel\u Cipher\u Suites.txt。
一旦你整理好了你的清單,你就必須格式化它以供使用。與原始列表一樣,新列表需要是一個完整的字串,每個密碼之間用逗號分隔。複製格式化文字並將其貼上到SSL Cipher Suites欄位中,然後單擊OK。最後,要使更改保持不變,必須重新啟動。
在伺服器備份並執行後,請前往SSL實驗室進行測試。如果一切順利,結果應該會給你一個A分。
如果你想更直觀一點,你可以安裝iiscrypto的Nartac(https://www.nartac.com/Products/IISCrypto/Default.aspx). 此應用程式將允許您進行與上述步驟相同的更改。它還允許您根據各種條件啟用或禁用密碼,這樣您就不必手動檢查密碼。
無論您如何做,更新密碼套件都是提高您和終端使用者安全性的簡單方法。
- 發表於 2021-04-10 09:48
- 閱讀 ( 47 )
- 分類:網際網路
你可能感興趣的文章
如何使用windows10:您迫切需要解答的問題
... 如何啟動到安全模式? 如何在Windows10中還原系統? 如何在Windows 10中重置出廠設定? 如何更改Windows 10密碼? 如...
完整的指南,以提高您的線上安全和保護您的隱私
...建立防禦系統並保護自己,讓我們來指導你如何提高你的安全性和保護你的隱私。 ...
creators中的5個最佳生產力特性更新了
... 有時很難在生產力和安全性之間找到平衡。例如,你是否願意讓Cortana瞭解你生活的方方面面,這樣你就可以在網上搜索幾秒鐘? ...
如何用ssh遠端管理linux伺服器
...您選擇的埠。此外,您可以透過輸入最大登入號碼來提高安全性。在Port下,找到maxauthries行。你可以在這裡輸入任何數字。因此,要使登入嘗試次數最多為4次,請輸入: ...
如何在不放棄密碼的情況下共享線上帳戶
想讓一個朋友訪問你的帳戶,但不想給他們真正的密碼。也許你犯了一個錯誤,使用相同的密碼為你所有的帳戶,讓他們登入到你的Netflix帳戶,讓他們進入你的整個生活。或者你只是想讓他們有臨時訪問許可權,而不必更改你...
開始使用kali linux和raspberry pi進行道德駭客攻擊
...是一個功能強大的工具。但對於(幾乎)任何想更多瞭解安全性的人來說,它也是一個有用的工具。 ...
用這些決議在2019年鎖定你的技術
...送的,但是SMS並不適合這種身份驗證,因為它沒有考慮到安全性。我們建議改用Authy這樣的應用程式。它不會花很長時間來設定,一旦你這樣做了,你就不必擔心SIM卡被劫持。 這聽起來可能很煩人。不管怎樣都要做。 很多網站...
如何鎖定teamviewer以實現更安全的遠端訪問
...式關閉時,我們要透過公司的網頁更新您TeamViewer帳戶的安全性。(下一節將對此進行詳細介紹。) 作為將來的一般考慮,只在需要時執行TeamViewer應用程式。這樣,即使程式中存在漏洞(比如剛剛發現並修補的漏洞),您也不會...
如何在linux的windows子系統中安裝可移動驅動器和網路位置
...使用Linux mount命令手動裝載外部驅動器和網路資料夾。 如何安裝外部裝置 相關:Windows10新BashShell的所有功能 Linux的Windows子系統仍然自動裝載固定的NTFS驅動器。因此,如果您有一個內部C:drive和D:drive,那麼在Linux環境中,您將在...
如何從windows、macos或linux連線到ssh伺服器
...項。有關更多資訊,請參閱PuTTY手冊。 macos和linux 相關:如何在windows10上安裝和使用Linux Bash Shell 基於UNIX的作業系統(如macOS和Linux)包括一個內建的SSH命令,它在任何地方的工作方式都幾乎相同。您甚至可以透過Bash-on-Windows環境...
