Cómo actualizar su conjunto de cifrado de Windows Server para una mejor seguridad

Diagrama de la lógica de la máquina Enigma



Ejecuta un sitio web respetable en el que sus usuarios pueden confiar. ¿Correcto? Es posible que desee volver a verificar eso. Si su sitio se ejecuta en Microsoft Internet Information Services (IIS), es posible que se lleve una sorpresa. Cuando sus usuarios intentan conectarse a su servidor a través de una conexión segura (SSL / TLS), es posible que no les esté proporcionando una opción segura.

Proporcionar un conjunto de cifrado mejor es gratuito y bastante fácil de configurar. Simplemente siga esta guía paso a paso para proteger a sus usuarios y su servidor. También aprenderá a probar los servicios que usa para ver qué tan seguros son en realidad.





Por qué sus conjuntos de cifrado son importantes

IIS de Microsoft es bastante bueno. Es fácil de configurar y mantener. Tiene una interfaz gráfica fácil de usar que hace que la configuración sea muy sencilla. Funciona en Windows. IIS realmente tiene mucho a su favor, pero realmente fracasa cuando se trata de valores predeterminados de seguridad.



Así es como funciona una conexión segura. Su navegador inicia una conexión segura a un sitio. Esto se identifica más fácilmente mediante una URL que comience con HTTPS: //. Firefox ofrece un pequeño icono de candado para ilustrar más el punto. Chrome, Internet Explorer y Safari tienen métodos similares para hacerle saber que su conexión está encriptada. El servidor al que te estás conectando responde a tu navegador con una lista de opciones de encriptación para elegir en orden de mayor preferencia a menor. Su navegador recorre la lista hasta que encuentra una opción de cifrado que le gusta y estamos listos para usar. El resto, como dicen, son matemáticas. (Nadie dice eso).

La falla fatal en esto es que no todas las opciones de cifrado se crean por igual. Algunos usan algoritmos de encriptación realmente buenos (ECDH), otros son menos buenos (RSA) y algunos simplemente están mal aconsejados (DES). Un navegador puede conectarse a un servidor utilizando cualquiera de las opciones que ofrece el servidor. Si su sitio ofrece algunas opciones de ECDH pero también algunas opciones de DES, su servidor se conectará en cualquiera de ellas. El simple hecho de ofrecer estas malas opciones de cifrado hace que su sitio, su servidor y sus usuarios sean potencialmente vulnerables. Desafortunadamente, de forma predeterminada, IIS ofrece algunas opciones bastante pobres. No catastrófico, pero definitivamente no es bueno.

Cómo ver dónde se encuentra

Antes de comenzar, es posible que desee saber dónde se encuentra su sitio. Afortunadamente, la buena gente de Qualys nos está proporcionando SSL Labs a todos de forma gratuita. Si vas a https://www.ssllabs.com/ssltest/ , puede ver exactamente cómo responde su servidor a las solicitudes HTTPS. También puede ver cómo se acumulan los servicios que utiliza habitualmente.



Página de prueba de Qualys SSL Labs

Anuncio publicitario

Una nota de precaución aquí. El hecho de que un sitio no reciba una calificación A no significa que la gente que lo dirige esté haciendo un mal trabajo. SSL Labs critica a RC4 como un algoritmo de cifrado débil a pesar de que no se conocen ataques contra él. Es cierto que es menos resistente a los intentos de fuerza bruta que algo como RSA o ECDH, pero no es necesariamente malo. Un sitio puede ofrecer una opción de conexión RC4 por necesidad de compatibilidad con ciertos navegadores, así que use las clasificaciones de los sitios como una guía, no como una declaración de seguridad o falta de ella.

Actualización de su conjunto de cifrado

Hemos cubierto el fondo, ahora ensuciemos nuestras manos. Actualizar el conjunto de opciones que ofrece su servidor Windows no es necesariamente sencillo, pero definitivamente tampoco es difícil.

Para comenzar, presione la tecla de Windows + R para que aparezca el cuadro de diálogo Ejecutar. Escriba gpedit.msc y haga clic en Aceptar para iniciar el Editor de políticas de grupo. Aquí es donde haremos nuestros cambios.

En el lado izquierdo, expanda Configuración del equipo, Plantillas administrativas, Red y luego haga clic en Configuración de SSL.

En el lado derecho, haga doble clic en SSL Cipher Suite Order.

Anuncio publicitario

De forma predeterminada, el botón No configurado está seleccionado. Haga clic en el botón Habilitado para editar las suites de cifrado de su servidor.

El campo Conjuntos de cifrado SSL se llenará de texto una vez que haga clic en el botón. Si desea ver qué Cipher Suites ofrece actualmente su servidor, copie el texto del campo SSL Cipher Suites y péguelo en el Bloc de notas. El texto estará en una cadena larga e ininterrumpida. Cada una de las opciones de cifrado está separada por una coma. Poner cada opción en su propia línea hará que la lista sea más fácil de leer.

Puede revisar la lista y agregar o eliminar el contenido de su corazón con una restricción; la lista no puede tener más de 1.023 caracteres. Esto es especialmente molesto porque los conjuntos de cifrado tienen nombres largos como TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384, así que elija con cuidado. Recomiendo usar la lista elaborada por Steve Gibson en GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt .

Una vez que haya seleccionado su lista, debe formatearla para su uso. Al igual que la lista original, la nueva debe ser una cadena ininterrumpida de caracteres con cada cifra separada por una coma. Copie el texto formateado y péguelo en el campo Conjuntos de cifrado SSL y haga clic en Aceptar. Finalmente, para que el cambio se mantenga, debes reiniciar.

Con su servidor en funcionamiento, diríjase a SSL Labs y pruébelo. Si todo salió bien, los resultados deberían darle una calificación de A.

Si desea algo un poco más visual, puede instalar IIS Crypto de Nartac ( https://www.nartac.com/Products/IISCrypto/Default.aspx ). Esta aplicación le permitirá realizar los mismos cambios que los pasos anteriores. También le permite habilitar o deshabilitar cifrados según una variedad de criterios para que no tenga que revisarlos manualmente.

Anuncio publicitario

No importa cómo lo haga, actualizar sus conjuntos de cifrado es una manera fácil de mejorar la seguridad para usted y sus usuarios finales.

LEER SIGUIENTE
  • & rsaquo; Funciones frente a fórmulas en Microsoft Excel: ¿Cuál es la diferencia?
  • & rsaquo; The Computer Folder Is 40: Cómo Xerox Star creó el escritorio
  • & rsaquo; 5 sitios web que todo usuario de Linux debería marcar
  • & rsaquo; ¿Qué es la protección contra caídas MIL-SPEC?
  • & rsaquo; Cyber ​​Monday 2021: las mejores ofertas tecnológicas
  • & rsaquo; Cómo encontrar su Spotify Wrapped 2021

Artículos De Interés

Todas las características inútiles de Windows 10 que Microsoft debería eliminar
Ventanas

Todas las características inútiles de Windows 10 que Microsoft debería eliminar

Cómo arreglar Apple Watch que no vibra para alarmas y notificaciones
Manzana

Cómo arreglar Apple Watch que no vibra para alarmas y notificaciones

Cómo controlar qué aplicaciones pueden acceder a los datos de salud de su iPhone
Manzana

Cómo controlar qué aplicaciones pueden acceder a los datos de salud de su iPhone

Entradas Populares

Cómo ordenar y filtrar datos en Excel
Microsoft Office

Cómo ordenar y filtrar datos en Excel

Haga que Windows coloque correctamente sus monitores duales
Blog

Haga que Windows coloque correctamente sus monitores duales

Cómo los escritores pueden usar GitHub para almacenar su trabajo
Nube E Internet

Cómo los escritores pueden usar GitHub para almacenar su trabajo

Cómo realizar acciones tocando la parte posterior de su teléfono Android
Android

Cómo realizar acciones tocando la parte posterior de su teléfono Android

Cómo cambiar el tiempo que sudo espera antes de volver a avisarle
Blog

Cómo cambiar el tiempo que sudo espera antes de volver a avisarle

Las mejores formas de enviar dinero con su teléfono
Android

Las mejores formas de enviar dinero con su teléfono

Cómo usar Google Maps Street View en pantalla dividida en Android
Google

Cómo usar Google Maps Street View en pantalla dividida en Android

¿Qué son los productos ZigBee y Z-Wave Smarthome?
Blog

¿Qué son los productos ZigBee y Z-Wave Smarthome?

Cómo combinar presentaciones de PowerPoint
Microsoft Office

Cómo combinar presentaciones de PowerPoint

Cómo deshabilitar el daño de jugador contra jugador (PVP) en Minecraft
Videojuegos

Cómo deshabilitar el daño de jugador contra jugador (PVP) en Minecraft