كيفية تحديث ويندوز سيرفر الخاص بك جناح التشفير لأمن أفضل
يمكنك تشغيل موقع ويب محترم يمكن للمستخدمين الوثوق به. حق؟ قد ترغب في مضاعفة التحقق من ذلك. إذا كان موقعك يعمل على خدمات معلومات الإنترنت من Microsoft (IIS) ، فقد تكون مفاجأة. عندما يحاول المستخدمون الاتصال بخادمك عبر اتصال آمن (SSL / TLS) ، قد لا تقدم لهم خيارًا آمنًا.
توفير مجموعة تشفير أفضل هو إعداد مجاني وسهل. ما عليك سوى اتباع هذا الدليل خطوة بخطوة لحماية المستخدمين والخادم الخاص بك. ستتعرف أيضًا على كيفية اختبار الخدمات التي تستخدمها لمعرفة مدى أمانها.
لماذا لديك أجنحة التشفير مهمة
مايكروسوفت IIS هو رائع جدا. إنه سهل الإعداد والصيانة. لديه واجهة رسومية سهلة الاستخدام تجعل التكوين نسيمًا. يعمل على ويندوز. لدى معهد الدراسات الإسماعيلية (IT) الكثير بالفعل ، لكنه يسقط بالفعل عندما يتعلق الأمر بالتخلف عن الأمان.
فيما يلي كيفية عمل اتصال آمن. يبدأ المستعرض الخاص بك اتصالاً آمنًا بالموقع. يتم تحديد ذلك بسهولة بواسطة عنوان URL يبدأ بـ "HTTPS: //". يقدم Firefox رمز قفل صغير لتوضيح النقطة أكثر. تحتوي كل من Chrome و Internet Explorer و Safari على طرق مشابهة لإعلامك بتشفير اتصالك. الخادم الذي تتصل به للرد على المتصفح الذي تستخدمه مع قائمة خيارات التشفير للاختيار من بينها حسب ترتيبها الأكثر تفضيلاً إلى الأقل. ينخفض المستعرض الخاص بك إلى أسفل القائمة حتى يعثر على خيار التشفير الذي يعجبه ونعمل جاهزًا للتشغيل. الباقي ، كما يقولون ، هو الرياضيات. (لا أحد يقول ذلك.)
العيب القاتل في هذا هو أنه لا يتم إنشاء جميع خيارات التشفير بشكل متساوٍ. بعض استخدام خوارزميات التشفير كبيرة حقا (ECDH) ، والبعض الآخر أقل من ذلك بكثير (RSA) ، وبعضها لا ينصح (DES). يمكن للمستعرض الاتصال بخادم باستخدام أي من الخيارات التي يوفرها الخادم. إذا كان موقعك يعرض بعض خيارات ECDH ولكن أيضًا بعض خيارات DES ، فسيربط الخادم الخاص بك أيضًا. إن مجرد تقديم خيارات التشفير السيئة هذه يجعل موقعك ، وخادمك ، ومستخدميك عرضة للهجوم. لسوء الحظ ، بشكل افتراضي ، يوفر IIS بعض خيارات رديئة جدًا. لا كارثية ، ولكن بالتأكيد ليست جيدة.
كيف ترى أين تقف
قبل البدء ، قد ترغب في معرفة مكان موقعك. الحمد لله أن الأشخاص الجيدين في Qualys يقدمون مختبرات SSL لنا جميعًا مجانًا. إذا انتقلت إلى https://www.ssllabs.com/ssltest/ ، فيمكنك أن ترى بالضبط كيف يستجيب الخادم لطلبات HTTPS. يمكنك أيضًا معرفة كيفية تكديس الخدمات التي تستخدمها بانتظام.
ملاحظة واحدة من الحذر هنا. فقط لأن الموقع لا يحصل على تصنيف A لا يعني أن الأشخاص الذين يقومون بتشغيلهم يقومون بعمل سيء. مختبرات SSL تنتقد RC4 كخوارزمية تشفير ضعيفة على الرغم من عدم وجود هجمات معروفة ضدها. صحيح أنها أقل مقاومة لمحاولات القوة الوحشية من شيء مثل RSA أو ECDH ، ولكنها ليست بالضرورة سيئة. قد يقدم الموقع خيار اتصال RC4 بدافع الضرورة للتوافق مع متصفحات معينة ، لذلك استخدم تصنيفات المواقع كمبدأ توجيهي ، وليس تصريحًا للحماية من الأمان أو عدمه.
تحديث جناح التشفير الخاص بك
لقد غطينا الخلفية ، والآن دعونا نضع أيدينا قذرة. لا يعد تحديث مجموعة الخيارات التي يوفرها خادم Windows الخاص بك أمرًا بسيطًا بالضرورة ، ولكنه بالتأكيد ليس صعبًا.
للبدء ، اضغط على Windows Key + R لإظهار مربع الحوار "تشغيل". اكتب "gpedit.msc" وانقر على "موافق" لبدء تشغيل محرر سياسة المجموعة. هذا هو المكان الذي سنجري فيه تغييراتنا.
على الجانب الأيسر ، قم بتوسيع تكوين الكمبيوتر والقوالب الإدارية والشبكة ، ثم انقر فوق إعدادات تكوين SSL.
على الجانب الأيمن ، انقر نقرًا مزدوجًا فوق SSL Cipher Suite Order.
بشكل افتراضي ، يتم تحديد الزر "غير مكوّن". انقر على الزر "ممكّن" لتعديل Cipher Suites لخادمك.
سيملأ حقل SSL Cipher Suites بالنص بمجرد النقر على الزر. إذا كنت ترغب في معرفة ما تقدمه Cipher Suites حالياً من ملقم ، فقم بنسخ النص من مجال SSL Cipher Suites وقم بلصقه في برنامج Notepad. سيكون النص في سلسلة طويلة وغير منقطعة. يتم فصل كل من خيارات التشفير بفاصلة. سيؤدي وضع كل خيار على سطره الخاص إلى تسهيل قراءة القائمة.
يمكنك الذهاب من خلال القائمة وإضافة أو إزالة إلى محتوى قلبك مع قيود واحدة. لا يمكن أن تكون القائمة أكثر من 1،023 حرفًا. هذا أمر مزعج بشكل خاص لأن مجموعات التشفير تحتوي على أسماء طويلة مثل "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384" ، لذلك اختر بعناية. أوصي باستخدام القائمة التي وضعها ستيف غيبسون في GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
بمجرد تنظيم قائمتك ، يجب عليك تنسيقها للاستخدام. مثل القائمة الأصلية ، يجب أن تكون واحدة جديدة لديك سلسلة من الحروف غير المكسورة مع كل من الشفرات مفصولة بفاصلة. قم بنسخ النص المنسق الخاص بك وقم بلصقه في الحقل SSL Cipher Suites وانقر فوق OK. أخيرا ، لجعل التغيير عصا ، عليك إعادة تشغيل الكمبيوتر.
مع عمل الخادم للخدمة والتشغيل ، توجه إلى مختبرات SSL واختبرها. إذا سار كل شيء على ما يرام ، يجب أن تعطيك النتائج تصنيف A.
إذا كنت ترغب في شيء أكثر مرئية ، يمكنك تثبيت IIS Crypto بواسطة Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). سيسمح لك هذا التطبيق بإجراء نفس التغييرات كخطوات أعلاه. كما يتيح لك تمكين أو تعطيل الأصفار استنادًا إلى مجموعة متنوعة من المعايير حتى لا تضطر إلى المرور بها يدويًا.
بغض النظر عن كيفية القيام بذلك ، يعد تحديث Cipher Suites طريقة سهلة لتحسين الأمان لك ولمستخدميك النهائيين.