phhsnews.com


phhsnews.com / Mise à jour de votre suite de chiffrement Windows Server pour une meilleure sécurité

Mise à jour de votre suite de chiffrement Windows Server pour une meilleure sécurité


Vous utilisez un site Web respectable auquel vos utilisateurs peuvent faire confiance. Droite? Vous pourriez vouloir vérifier cela. Si votre site fonctionne sur Microsoft Internet Information Services (IIS), vous pourriez être surpris. Lorsque vos utilisateurs essaient de se connecter à votre serveur via une connexion sécurisée (SSL / TLS), vous pouvez ne pas leur fournir une option sûre.

Fournir une meilleure suite de chiffrement est gratuit et facile à installer. Suivez simplement ce guide étape par étape pour protéger vos utilisateurs et votre serveur. Vous apprendrez également comment tester les services que vous utilisez pour voir à quel point ils sont vraiment sécurisés.

Pourquoi vos suites de chiffrement sont-elles importantes

L'IIS de Microsoft est plutôt génial. C'est facile à installer et à entretenir. Il dispose d'une interface graphique conviviale qui facilite la configuration. Il fonctionne sur Windows. IIS a vraiment beaucoup de choses à faire pour cela, mais tombe vraiment à plat quand il s'agit de valeurs par défaut.

Voici comment fonctionne une connexion sécurisée. Votre navigateur initie une connexion sécurisée à un site. Ceci est plus facilement identifié par une URL commençant par " //". Firefox propose une petite icône de cadenas pour illustrer le point plus loin. Chrome, Internet Explorer et Safari ont tous des méthodes similaires pour vous informer que votre connexion est cryptée. Le serveur auquel vous vous connectez répond à votre navigateur avec une liste d'options de chiffrement à choisir dans l'ordre du plus préféré au moins. Votre navigateur descend dans la liste jusqu'à ce qu'il trouve une option de cryptage qu'il aime et nous sommes en marche. Le reste, comme on dit, c'est les mathématiques. (Personne ne le dit.)

La faille fatale de ceci est que toutes les options de cryptage ne sont pas créées de manière égale. Certains utilisent des algorithmes de cryptage vraiment géniaux (ECDH), d'autres sont moins performants (RSA) et d'autres ne sont que mal conseillés (DES). Un navigateur peut se connecter à un serveur en utilisant l'une des options fournies par le serveur. Si votre site propose des options ECDH mais aussi des options DES, votre serveur se connecte sur l'un ou l'autre. Le simple fait d'offrir ces mauvaises options de chiffrement rend votre site, votre serveur et vos utilisateurs potentiellement vulnérables. Malheureusement, par défaut, IIS fournit des options assez médiocres. Pas catastrophique, mais certainement pas bon.

Comment voir où vous en êtes

Avant de commencer, vous voudrez peut-être savoir où se trouve votre site. Heureusement, les bonnes personnes de Qualys fournissent gratuitement des SSL Labs à tous. Si vous allez sur //www.ssllabs.com/ssltest/, vous pouvez voir exactement comment votre serveur répond aux requêtes HTTPS. Vous pouvez également voir comment les services que vous utilisez s'empilent régulièrement.

Une note de prudence ici. Le fait qu'un site ne reçoive pas une note A ne signifie pas que les gens qui les utilisent font un mauvais travail. SSL Labs critique RC4 en tant qu'algorithme de chiffrement faible, même s'il n'existe aucune attaque connue contre ce dernier. Certes, il est moins résistant aux tentatives de force brute que quelque chose comme RSA ou ECDH, mais ce n'est pas nécessairement mauvais. Un site peut offrir une option de connexion RC4 par nécessité pour la compatibilité avec certains navigateurs, donc utilisez les classements des sites comme une ligne directrice, pas une déclaration de sécurité blindée ou son absence.

Mise à jour de votre suite de chiffrement

Nous avons couvert l'arrière-plan, maintenant nous allons nous salir les mains. La mise à jour de la suite d'options fournie par votre serveur Windows n'est pas forcément simple, mais elle n'est certainement pas difficile non plus.

Pour commencer, appuyez sur Windows + R pour ouvrir la boîte de dialogue "Exécuter". Tapez "gpedit.msc" et cliquez sur "OK" pour lancer l'éditeur de stratégie de groupe.

Dans la partie gauche, développez Configuration de l'ordinateur, Modèles d'administration, Réseau, puis cliquez sur Paramètres de configuration SSL.

Sur le côté droit, double-cliquez sur Chiffrement SSL Suite Order.

Par défaut, le bouton "Non configuré" est sélectionné. Cliquez sur le bouton "Enabled" pour modifier les suites de chiffrement de votre serveur.

Le champ SSL Cipher Suites se remplira de texte une fois que vous aurez cliqué sur le bouton. Si vous souhaitez voir les suites de chiffrement proposées par votre serveur, copiez le texte à partir du champ Suites de chiffrement SSL et collez-le dans le bloc-notes. Le texte sera en une longue chaîne ininterrompue. Chacune des options de chiffrement est séparée par une virgule. Mettre chaque option sur sa propre ligne rendra la liste plus facile à lire.

Vous pouvez parcourir la liste et ajouter ou supprimer le contenu de votre coeur avec une restriction; la liste ne peut pas contenir plus de 1 023 caractères. Ceci est particulièrement gênant parce que les suites de chiffrement ont des noms longs comme "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", alors choisissez avec soin. Je recommande d'utiliser la liste mise en place par Steve Gibson sur GRC.com: //www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

Une fois que vous avez organisé votre liste, vous devez le formater pour l'utiliser . Comme la liste originale, votre nouvelle doit être une chaîne de caractères ininterrompue avec chaque chiffre séparé par une virgule. Copiez le texte mis en forme et collez-le dans le champ SSL Cipher Suites, puis cliquez sur OK. Enfin, pour que la modification soit respectée, vous devez redémarrer.

Une fois votre serveur opérationnel, rendez-vous sur SSL Labs et testez-le. Si tout s'est bien passé, les résultats devraient vous donner une note de A.

Si vous voulez quelque chose d'un peu plus visuel, vous pouvez installer IIS Crypto par Nartac (//www.nartac.com/Products/IISCrypto/Default .aspx). Cette application vous permettra de faire les mêmes changements que les étapes ci-dessus. Il vous permet également d'activer ou de désactiver les chiffrements en fonction d'une variété de critères afin que vous n'ayez pas à les parcourir manuellement.

Peu importe comment vous procédez, la mise à jour de vos suites de chiffrement est un moyen facile d'améliorer la sécurité. vos utilisateurs finaux.


Pourquoi ne puis-je pas me connecter à des jeux LAN sur mon réseau domestique? Les jeux LAN

Pourquoi ne puis-je pas me connecter à des jeux LAN sur mon réseau domestique? Les jeux LAN

Cher How-To Geek, J'ai suivi votre guide de la série Minecraft avec beaucoup de succès, mais j'ai un peu d'un hoquet. Mon fils et moi l'avons traversé ensemble mais quand nous sommes arrivés aux leçons 14 et 15 (celles axées sur le multijoueur local et le multijoueur sur Internet), j'ai découvert que je ne pouvais pas me connecter à l'ordinateur de mon fils via le LAN.

(how-to)

HTG évalue le Netgear EX6100: un couteau suisse extensible Wi-Fi

HTG évalue le Netgear EX6100: un couteau suisse extensible Wi-Fi

Que vous souhaitiez simplement étendre votre réseau Wi-Fi, reliez votre réseau Wi-Fi existant à un réseau local, ou créer un point d'accès complètement nouveau, le Netgear EX6100 peut tout faire. Continuez à lire le petit prolongateur à plusieurs facettes. Qu'est-ce que l'EX6100? Le Netgear EX6100 (ci-après l'EX6100 par souci de brièveté) est un extendeur sans fil à facteur de forme.

(how-to)