你运行一个值得尊敬的网站,你的用户可以信任。正确的?你应该再检查一遍。如果您的站点运行的是Microsoft Internet Information Services(IIS),您可能会大吃一惊。当您的用户试图通过安全连接(SSL/TLS)连接到您的服务器时,您可能没有为他们提供安全选项。
提供更好的密码套件是免费的,而且很容易设置。只需按照这个分步指南来保护您的用户和服务器。您还将学习如何测试您使用的服务,以了解它们到底有多安全。
微软的IIS非常棒。安装和维护都很容易。它有一个用户友好的图形界面,使配置轻而易举。它在Windows上运行。IIS真的有很多东西要做,但当涉及到安全默认值时,它真的是一败涂地。
以下是安全连接的工作原理。您的浏览器启动到站点的安全连接。最容易通过以“HTTPS://”开头的URL识别。Firefox提供了一个小锁图标来进一步说明这一点。Chrome、internetexplorer和Safari都有类似的方法让你知道你的连接是加密的。您要连接的服务器会向您的浏览器回复一个加密选项列表,这些选项按从最优先到最不优先的顺序进行选择。你的浏览器会一直往下看,直到找到一个它喜欢的加密选项,然后我们就关闭并运行了。其余的,就像他们说的,是数学。(没人这么说。)
其中的致命缺陷是,并非所有加密选项都是平等创建的。有些使用真正优秀的加密算法(ECDH),有些则不那么优秀(RSA),有些则是不明智的(DES)。浏览器可以使用服务器提供的任何选项连接到服务器。如果您的站点提供了一些ECDH选项,但也提供了一些DES选项,那么您的服务器将连接到这两个选项中的任何一个。提供这些糟糕的加密选项的简单行为会使您的站点、服务器和用户可能受到攻击。不幸的是,默认情况下,IIS提供了一些非常糟糕的选项。不是灾难性的,但绝对不好。
在我们开始之前,您可能想知道您的站点位于何处。谢天谢地,Qualys的好心人正在为我们所有人免费提供SSL实验室。如果你去https://www.ssllabs.com/ssltest/,您可以确切地看到服务器如何响应HTTPS请求。您还可以看到您经常使用的服务是如何累积的。
这里需要注意一点。仅仅因为一个网站没有获得a级评级并不意味着运行它的人做得不好。SSL实验室抨击RC4是一种弱加密算法,即使没有针对它的已知攻击。诚然,与RSA或ECDH相比,它对暴力攻击的抵抗力较弱,但也不一定很差。出于与某些浏览器兼容的需要,网站可能会提供RC4连接选项,因此使用网站排名作为指导,而不是铁证安全性或缺乏安全性。
我们已经讲完背景了,现在让我们把手弄脏。更新Windows服务器提供的选项套件并不一定很简单,但也绝对不难。
要启动,请按Windows键+R以打开“运行”对话框。“类型”gpedit.msc软件,然后单击“确定”启动组策略编辑器。这是我们要改变的地方。
在左侧,展开“计算机配置”、“管理模板”、“网络”,然后单击“SSL配置设置”。
在右侧,双击SSL Cipher Suite Order。
默认情况下,选择“未配置”按钮。单击“Enabled”按钮编辑服务器的密码套件。
单击按钮后,SSL Cipher Suites字段将填充文本。如果要查看服务器当前提供的密码套件,请复制SSL Cipher Suites字段中的文本并将其粘贴到记事本中。文本将在一个长的,不间断的字符串。每个加密选项都用逗号分隔。把每个选项都放在自己的行上会使列表更容易阅读。
您可以浏览该列表,并添加或删除到您的心的内容有一个限制;该列表不能超过1023个字符。这是特别恼人的,因为密码套件有像“TLS\u ECDHE\u ECDSA\u WITH\u AES\u 256\u GCM\u SHA384\u P384”这样的长名称,所以请仔细选择。我建议使用史蒂夫·吉布森在GRC.com网站: https://www.grc.com/miscfiles/SChannel\u Cipher\u Suites.txt。
一旦你整理好了你的清单,你就必须格式化它以供使用。与原始列表一样,新列表需要是一个完整的字符串,每个密码之间用逗号分隔。复制格式化文本并将其粘贴到SSL Cipher Suites字段中,然后单击OK。最后,要使更改保持不变,必须重新启动。
在服务器备份并运行后,请前往SSL实验室进行测试。如果一切顺利,结果应该会给你一个A分。
如果你想更直观一点,你可以安装iiscrypto的Nartac(https://www.nartac.com/Products/IISCrypto/Default.aspx). 此应用程序将允许您进行与上述步骤相同的更改。它还允许您根据各种条件启用或禁用密码,这样您就不必手动检查密码。
无论您如何做,更新密码套件都是提高您和最终用户安全性的简单方法。
... 如何启动到安全模式? 如何在Windows10中还原系统? 如何在Windows 10中重置出厂设置? 如何更改Windows 10密码? 如...
... Webroot防病毒安全性的另一个优点是它可以很好地与资源有限的旧系统配合使用。如果您正在运行一台较旧的计算机,但仍然需要全面的保护,请尝试使用Webroot。 ...
...Windows 10,按Windows键+I打开“设置”,然后单击“更新和安全性”>“检查更新”。 ...
...使用Linux mount命令手动装载外部驱动器和网络文件夹。 如何安装外部设备 相关:Windows10新BashShell的所有功能 Linux的Windows子系统仍然自动装载固定的NTFS驱动器。因此,如果您有一个内部C:drive和D:drive,那么在Linux环境中,您将在...
...实用程序,您可以让Windows防火墙阻止传出连接。 相关:如何扩展Windows防火墙并轻松阻止传出连接 网络安全 无论您使用的是Internet Explorer、Chrome、Firefox还是Opera,您的浏览器都具有内置的网络钓鱼和恶意软件保护。如果你访问...
忘记你的密码总是一件痛苦的事,但幸运的是有一个简单的方法来重置你的域管理员密码。您只需要一份WindowsServer2008R2安装盘和一个简单的命令行技巧。 更换utilman.exe 启动Windows磁盘并从左下角选择“修复您的计算机”选项。...
...挤出越多的时间,它们就越有用。 这里我们将向您展示如何将WindowsServer2008R2评估版的使用时间延长到最大值。 工作原理 一旦激活,Windows Server 2008 R2评估(或试用)将持续180天,在此之后,您必须输入有效的许可证密钥,否...
...的备份和还原功能有了很大的改进。以下文章向您展示了如何在Windows7中使用备份和还原功能,以及如何使用Windows7本机工具创建系统映像。您还可以学习如何镜像驱动器以创建即时备份、备份正在使用或锁定的文件、创建系统...
...以提高数据库的性能和可靠性。我们之前已经向您展示了如何使用简单的命令行脚本备份SQL Server数据库,因此我们将以同样的方式提供一个脚本,它将允许您轻松地执行常见的维护任务。 压缩/收缩数据库[/Compact] 有几个因素会...
必须定期备份SQL数据库。我们已经介绍了可以轻松地将所有SQL server数据库备份到本地硬盘驱动器的方法,但这并不能防止驱动器和/或系统故障。作为针对此类灾难的额外保护层,您可以在网络共享上复制或直接创建备份。 本...