Comment mettre à jour votre suite de chiffrement Windows Server pour une meilleure sécurité

Table des matières:

Comment mettre à jour votre suite de chiffrement Windows Server pour une meilleure sécurité
Comment mettre à jour votre suite de chiffrement Windows Server pour une meilleure sécurité

Vidéo: Comment mettre à jour votre suite de chiffrement Windows Server pour une meilleure sécurité

Vidéo: Comment mettre à jour votre suite de chiffrement Windows Server pour une meilleure sécurité
Vidéo: Comment définir votre police par défaut pour tous vos nouveaux documents avec Word 2010 2013 2016 - YouTube 2024, Avril
Anonim
Vous gérez un site Web respectable auquel vos utilisateurs peuvent faire confiance. Droite? Vous voudrez peut-être vérifier cela. Si votre site fonctionne sous Microsoft Internet Information Services (IIS), vous pourriez être surpris. Lorsque vos utilisateurs tentent de se connecter à votre serveur via une connexion sécurisée (SSL / TLS), vous ne leur fournissez peut-être pas une option sûre.
Vous gérez un site Web respectable auquel vos utilisateurs peuvent faire confiance. Droite? Vous voudrez peut-être vérifier cela. Si votre site fonctionne sous Microsoft Internet Information Services (IIS), vous pourriez être surpris. Lorsque vos utilisateurs tentent de se connecter à votre serveur via une connexion sécurisée (SSL / TLS), vous ne leur fournissez peut-être pas une option sûre.

Fournir une meilleure suite de chiffrement est gratuit et assez facile à installer. Suivez simplement ce guide étape par étape pour protéger vos utilisateurs et votre serveur. Vous apprendrez également à tester les services que vous utilisez pour vérifier leur sécurité.

Pourquoi vos suites de chiffrement sont-elles importantes?

Microsoft IIS est vraiment génial. C’est facile à installer et à entretenir. Son interface graphique conviviale facilite grandement la configuration. Il fonctionne sous Windows. IIS a vraiment beaucoup à faire, mais tombe vraiment à plat quand il s'agit de défauts de sécurité.

Voici comment fonctionne une connexion sécurisée. Votre navigateur initie une connexion sécurisée à un site. Ceci est plus facilement identifié par une URL commençant par «HTTPS: //». Firefox propose une petite icône de cadenas pour illustrer davantage ce point. Chrome, Internet Explorer et Safari utilisent tous des méthodes similaires pour vous informer que votre connexion est cryptée. Le serveur auquel vous vous connectez répond à votre navigateur avec une liste d’options de cryptage parmi lesquelles vous avez le choix. Votre navigateur descend la liste jusqu'à ce qu'il trouve une option de cryptage qu'il aime et que nous fonctionnons. Le reste, comme on dit, c'est des maths. (Personne ne dit ça.)
Voici comment fonctionne une connexion sécurisée. Votre navigateur initie une connexion sécurisée à un site. Ceci est plus facilement identifié par une URL commençant par «HTTPS: //». Firefox propose une petite icône de cadenas pour illustrer davantage ce point. Chrome, Internet Explorer et Safari utilisent tous des méthodes similaires pour vous informer que votre connexion est cryptée. Le serveur auquel vous vous connectez répond à votre navigateur avec une liste d’options de cryptage parmi lesquelles vous avez le choix. Votre navigateur descend la liste jusqu'à ce qu'il trouve une option de cryptage qu'il aime et que nous fonctionnons. Le reste, comme on dit, c'est des maths. (Personne ne dit ça.)

L’inconvénient majeur est que toutes les options de chiffrement ne sont pas créées de la même manière. Certains utilisent de très bons algorithmes de cryptage (ECDH), d'autres sont moins géniaux (RSA) et d'autres sont tout simplement mal avisés (DES). Un navigateur peut se connecter à un serveur en utilisant l’une des options fournies par le serveur. Si votre site propose des options ECDH, mais également des options DES, votre serveur se connectera sur l'une ou l'autre. Le simple fait de proposer ces mauvaises options de cryptage rend votre site, votre serveur et vos utilisateurs potentiellement vulnérables. Malheureusement, par défaut, IIS fournit de très mauvaises options. Pas catastrophique, mais certainement pas bon.

Comment voir où vous en êtes

Avant de commencer, vous voudrez peut-être savoir où se trouve votre site. Heureusement, les gens de Qualys nous fournissent gratuitement des laboratoires SSL. Si vous allez sur https://www.ssllabs.com/ssltest/, vous pouvez voir exactement comment votre serveur répond aux demandes HTTPS. Vous pouvez également voir comment les services que vous utilisez régulièrement s'empilent.

Une note de prudence ici. Le fait qu’un site ne reçoive pas la note A ne signifie pas que les personnes qui l’exécutent font un mauvais travail. SSL Labs qualifie RC4 d’algorithme de chiffrement faible, même s’il n’ya pas d’attaque connue. Certes, il est moins résistant aux tentatives de force brutale que quelque chose comme RSA ou ECDH, mais ce n’est pas nécessairement mauvais. Un site peut offrir une option de connexion RC4 par nécessité, pour des raisons de compatibilité avec certains navigateurs. Par conséquent, utilisez les classements des sites comme référence, et non comme une déclaration de sécurité irréprochable.
Une note de prudence ici. Le fait qu’un site ne reçoive pas la note A ne signifie pas que les personnes qui l’exécutent font un mauvais travail. SSL Labs qualifie RC4 d’algorithme de chiffrement faible, même s’il n’ya pas d’attaque connue. Certes, il est moins résistant aux tentatives de force brutale que quelque chose comme RSA ou ECDH, mais ce n’est pas nécessairement mauvais. Un site peut offrir une option de connexion RC4 par nécessité, pour des raisons de compatibilité avec certains navigateurs. Par conséquent, utilisez les classements des sites comme référence, et non comme une déclaration de sécurité irréprochable.

Mise à jour de votre suite de chiffrement

Nous avons couvert l’arrière-plan, maintenant nous nous salissons les mains. La mise à jour de la suite d’options fournie par votre serveur Windows n’est pas nécessairement simple, mais elle n’est pas compliquée non plus.

Pour commencer, appuyez sur Windows Key + R pour faire apparaître la boîte de dialogue "Exécuter". Tapez "gpedit.msc" et cliquez sur "OK" pour lancer l'éditeur de stratégie de groupe. C’est là que nous allons faire nos changements.
Pour commencer, appuyez sur Windows Key + R pour faire apparaître la boîte de dialogue "Exécuter". Tapez "gpedit.msc" et cliquez sur "OK" pour lancer l'éditeur de stratégie de groupe. C’est là que nous allons faire nos changements.
Sur le côté gauche, développez Configuration ordinateur, Modèles d'administration, Réseau, puis cliquez sur Paramètres de configuration SSL.
Sur le côté gauche, développez Configuration ordinateur, Modèles d'administration, Réseau, puis cliquez sur Paramètres de configuration SSL.
Sur le côté droit, double-cliquez sur SSL Cipher Suite Order.
Sur le côté droit, double-cliquez sur SSL Cipher Suite Order.
Par défaut, le bouton «Non configuré» est sélectionné. Cliquez sur le bouton «Activé» pour modifier les suites de chiffrement de votre serveur.
Par défaut, le bouton «Non configuré» est sélectionné. Cliquez sur le bouton «Activé» pour modifier les suites de chiffrement de votre serveur.
Le champ des suites de chiffrement SSL se remplira de texte une fois que vous aurez cliqué sur le bouton. Si vous voulez voir quelles suites de chiffrement votre serveur propose actuellement, copiez le texte du champ Suites de chiffrement SSL et collez-le dans le Bloc-notes. Le texte sera dans une longue chaîne ininterrompue. Chacune des options de cryptage est séparée par une virgule. Mettre chaque option sur sa propre ligne facilitera la lecture de la liste.
Le champ des suites de chiffrement SSL se remplira de texte une fois que vous aurez cliqué sur le bouton. Si vous voulez voir quelles suites de chiffrement votre serveur propose actuellement, copiez le texte du champ Suites de chiffrement SSL et collez-le dans le Bloc-notes. Le texte sera dans une longue chaîne ininterrompue. Chacune des options de cryptage est séparée par une virgule. Mettre chaque option sur sa propre ligne facilitera la lecture de la liste.

Vous pouvez parcourir la liste et ajouter ou supprimer du contenu de votre coeur avec une seule restriction; la liste ne peut pas contenir plus de 1 023 caractères. Cela est particulièrement gênant parce que les suites de chiffrement ont des noms longs, tels que «TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384», choisissez donc avec soin. Je recommande d'utiliser la liste établie par Steve Gibson sur GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

Une fois que vous avez sélectionné votre liste, vous devez la formater pour l’utiliser. Comme la liste d'origine, votre nouveau nom doit être constitué d'une chaîne de caractères ininterrompue, chaque chiffre étant séparé par une virgule. Copiez votre texte formaté et collez-le dans le champ Suites de chiffrement SSL, puis cliquez sur OK. Enfin, pour que le changement colle, vous devez redémarrer.

Une fois votre serveur opérationnel, passez à SSL Labs et testez-le. Si tout se passe bien, les résultats devraient vous donner la note A.

Si vous souhaitez quelque chose de plus visuel, vous pouvez installer IIS Crypto de Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Cette application vous permettra d’apporter les mêmes modifications que les étapes ci-dessus. Il vous permet également d’activer ou de désactiver les chiffrements en fonction de divers critères afin que vous n’ayez pas à les parcourir manuellement.
Si vous souhaitez quelque chose de plus visuel, vous pouvez installer IIS Crypto de Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Cette application vous permettra d’apporter les mêmes modifications que les étapes ci-dessus. Il vous permet également d’activer ou de désactiver les chiffrements en fonction de divers critères afin que vous n’ayez pas à les parcourir manuellement.

Quelle que soit la méthode utilisée, la mise à jour de vos suites de chiffrement constitue un moyen simple d'améliorer la sécurité pour vous et vos utilisateurs finaux.

Conseillé:

Utiliser des phrases de passe pour une meilleure sécurité

Utiliser des phrases de passe pour une meilleure sécurité

Saviez-vous que Windows prend en charge l'utilisation de mots de passe comportant jusqu'à 127 caractères? Je n’utilise plus les mots de passe et je ne le fais pas depuis des années. Je suis passé à l’utilisation de mots de passe.

Comment modifier votre station d'accueil Nintendo Switch pour une meilleure portabilité

Comment modifier votre station d'accueil Nintendo Switch pour une meilleure portabilité

Le switch est génial! Le design du dock de Nintendo est… moins génial. L’achat d’un quai tiers peut être risqué, mais il existe une alternative: remplacer la coque en plastique de l’original pour en faire une machine maigre, moyenne et rapide.

Restez à l'écart des techniques homebrew pour mettre à jour votre Windows Phone - Obtenez la mise à jour officielle

Restez à l'écart des techniques homebrew pour mettre à jour votre Windows Phone - Obtenez la mise à jour officielle

Aujourd'hui, Microsoft a mis en garde les utilisateurs de Windows Phone 7 et leur a recommandé d'éviter de recourir aux techniques homebrew pour mettre à jour leurs téléphones Windows.

Comment mettre à jour la clé de sécurité pour le réseau WiFi sous Windows 8/10

Comment mettre à jour la clé de sécurité pour le réseau WiFi sous Windows 8/10

Cet article explique comment mettre à jour ou modifier le mot de passe du réseau WiFi ou la clé de sécurité d'un réseau WiFi spécifique sous Windows 10 / 8.1 manuellement ou à l'aide de CMD.

Outpost Security Suite, une suite complète de sécurité Internet gratuite pour Windows

Outpost Security Suite, une suite complète de sécurité Internet gratuite pour Windows

Agnitum a publié Outpost Security Suite FREE v 7.1. Cela rend vraiment Outpost Security Suite FREE une suite de sécurité Internet complète.