ホームページ » の仕方 » セキュリティを強化するためにWindows Server暗号スイートを更新する方法

    セキュリティを強化するためにWindows Server暗号スイートを更新する方法

    あなたはあなたのユーザーが信頼できる立派なウェブサイトを運営しています。右?あなたはそれを再確認することをお勧めします。あなたのサイトがMicrosoftインターネットインフォメーションサービス(IIS)上で動いているなら、あなたは驚きのために中にいるかもしれません。ユーザーが安全な接続(SSL / TLS)を介してサーバーに接続しようとすると、安全なオプションが提供されない場合があります。.

    より優れた暗号スイートを提供するのは無料で、セットアップはかなり簡単です。ユーザーとサーバーを保護するために、ステップバイステップガイドでこのステップに従ってください。また、実際にどの程度安全であるかを確認するために使用するサービスをテストする方法も学びます。.

    暗号スイートが重要な理由

    MicrosoftのIISはかなり素晴らしいです。セットアップも保守も簡単です。それは設定を楽にするユーザーフレンドリーなグラフィカルインターフェースを持っています。 Windows上で動作します。 IISは本当にうまくいっていますが、セキュリティのデフォルトに関しては横ばいです.

    これが安全な接続の仕組みです。ブラウザがサイトへの安全な接続を開始します。これは、「HTTPS://」で始まるURLによって最も簡単に識別されます。その点をさらに詳しく説明するために、Firefoxには小さな鍵のアイコンが用意されています。 Chrome、Internet Explorer、およびSafariのすべてに、接続が暗号化されていることを知らせるための同様の方法があります。接続しているサーバーは、最も優先度の高いものから最小のものへの順に選択するための暗号化オプションのリストを使用してブラウザに応答します。あなたのブラウザは、それが好きな暗号化オプションを見つけるまでリストの下に行き、私たちはオフになって実行されています。彼らが言うように、残りは数学です。 (誰もそれを言っていません。)

    これに致命的な欠陥は、暗号化オプションのすべてが等しく作成されていないということです。あるものは本当にすばらしい暗号化アルゴリズム(ECDH)を使い、他のものはそれほど大きくない(RSA)、そしてあるものはただ悪い(DES)です。ブラウザは、サーバーが提供するオプションを使用してサーバーに接続できます。あなたのサイトがいくつかのECDHオプションだけでなくいくつかのDESオプションも提供しているならば、あなたのサーバーはどちらかに接続するでしょう。これらの悪い暗号化オプションを提供するという単純な行為は、あなたのサイト、あなたのサーバー、そしてあなたのユーザーを潜在的に脆弱にします。残念ながら、デフォルトでは、IISにはかなり貧弱なオプションがいくつかあります。壊滅的ではないが、間違いなく良くない.

    あなたが立っている場所を見る方法

    始める前に、あなたはあなたのサイトがどこにあるのか知りたいと思うかもしれません。ありがたいことに、Qualysの優秀な人々は私たち全員に無料でSSL Labsを提供しています。 https://www.ssllabs.com/ssltest/にアクセスすると、サーバーがHTTPS要求にどのように応答しているかが正確にわかります。また、定期的に使用しているサービスがどのように積み重なっているかを確認できます.

    ここで注意することが1つあります。サイトがAの評価を受けていないからといって、それらを運営している人々が悪い仕事をしているという意味ではありません。 SSL Labsは、既知の攻撃はありませんが、RC4を弱い暗号化アルゴリズムとして使用しています。確かに、それはRSAやECDHのようなものよりもブルートフォースの試みに対して耐性がありませんが、必ずしも悪いわけではありません。サイトは特定のブラウザとの互換性のためにRC4接続オプションを提供することがあるので、ガイドラインとしてサイトのランキングを使用してください。.

    暗号スイートを更新する

    背景について説明しましたので、今度は手を汚しましょう。 Windowsサーバーが提供する一連のオプションを更新することは必ずしも簡単ではありませんが、絶対に難しいことではありません。.

    開始するには、Windowsキー+ Rを押して「ファイル名を指定して実行」ダイアログボックスを表示します。 「gpedit.msc」と入力し、[OK]をクリックしてグループポリシーエディタを起動します。これが私たちが変更を加えるところです.

    左側で、[コンピュータの構成]、[管理用テンプレート]、[ネットワーク]の順に展開し、[SSL構成設定]をクリックします。.

    右側にあるSSL Cipher Suite Orderをダブルクリックします。.

    デフォルトでは、「未構成」ボタンが選択されています。 「有効」ボタンをクリックして、サーバーの暗号スイートを編集します。.

    ボタンをクリックすると、SSL暗号スイートフィールドにテキストが入力されます。サーバーが現在提供している暗号スイートを確認したい場合は、[SSL暗号スイート]フィールドからテキストをコピーしてメモ帳に貼り付けます。テキストは1つの長い切れ目のない文字列になります。各暗号化オプションはコンマで区切ります。各オプションをそれぞれの行に入れると、リストが読みやすくなります。.

    あなたはリストをたどり、1つの制限であなたの心の内容に追加したり削除したりすることができます。リストは1,023文字を超えることはできません。暗号スイートには「TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384」のよ​​うな長い名前があるため、これは特に厄介です。慎重に選択してください。私はGRC.comでSteve Gibsonによってまとめられたリストを使うことをお勧めします:https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

    リストを作成したら、それをフォーマットして使用する必要があります。元のリストと同様に、新しいリストは、各暗号をコンマで区切った、切れ目のない1つの文字列である必要があります。フォーマットしたテキストをコピーして[SSL Cipher Suites]フィールドに貼り付け、[OK]をクリックします。最後に、変更を確定するには再起動する必要があります.

    サーバーをバックアップして実行した状態で、SSL Labsにアクセスしてテストします。すべてがうまくいった場合、結果はあなたにA評価を与えるはずです。.

    もう少し視覚的にしたい場合は、NartacによるIIS Crypto(https://www.nartac.com/Products/IISCrypto/Default.aspx)をインストールできます。このアプリケーションでは、上記の手順と同じ変更を加えることができます。また、さまざまな基準に基づいて暗号化を有効または無効にすることができるため、手動で暗号化する必要はありません。.

    どのようにしても、あなたの暗号スイートを更新することはあなたとあなたのエンドユーザーのためにセキュリティを向上させる簡単な方法です。.