Du kör en respektabel webbplats som dina användare kan lita på. Höger? Du kanske vill dubbelkontrollera det. Om din webbplats körs på Microsoft Internet Information Services (IIS) kan du vara överraskad. När dina användare försöker ansluta till din server via en säker anslutning (SSL / TLS) kan du inte ge dem ett säkert alternativ.
Det är gratis och ganska enkelt att konfigurera en bättre chiffer-svit. Följ bara denna stegvisa guide för att skydda dina användare och din server. Du lär dig också att testa tjänster du använder för att se hur säker de verkligen är.
Microsofts IIS är ganska bra. Det är både enkelt att installera och underhålla. Den har ett användarvänligt grafiskt gränssnitt som gör konfigurationen en vind. Den körs på Windows. IIS har verkligen mycket för det, men faller verkligen platt när det gäller säkerhetsinställningar.
Så här fungerar en säker anslutning. Din webbläsare initierar en säker anslutning till en webbplats. Detta är lättast identifierat av en URL som börjar med " //". Firefox erbjuder en liten låsikon för att illustrera punkten ytterligare. Chrome, Internet Explorer och Safari har alla liknande metoder för att låta dig veta att din anslutning är krypterad. Servern som du ansluter till svar på din webbläsare med en lista över krypteringsalternativ att välja mellan i önskad ordning med minst minst. Din webbläsare går ner i listan tills den hittar ett krypteringsalternativ som den tycker om och vi är igång. Resten, som de säger är matte. (Ingen säger det.)
Den dödliga felet i detta är att inte alla krypteringsalternativ skapas lika. Vissa använder riktigt bra krypteringsalgoritmer (ECDH), andra är mindre stora (RSA), och vissa är bara dåligt rekommenderade (DES). En webbläsare kan ansluta till en server med något av de alternativ som servern tillhandahåller. Om din webbplats erbjuder några ECDH-alternativ men även några DES-alternativ, kommer din server att ansluta till antingen. Den enkla handlingen att erbjuda dessa dåliga krypteringsalternativ gör att din webbplats, din server och dina användare potentiellt utsatta. Tyvärr har IIS som standard vissa ganska dåliga alternativ. Inte katastrofal, men definitivt inte bra.
Innan vi börjar kanske du vill veta var din webbplats står. Tack och lov, de goda på Qualys tillhandahåller SSL Labs till oss alla utan kostnad. Om du går till //www.ssllabs.com/ssltest/ kan du se exakt hur din server svarar på HTTPS-förfrågningar. Du kan också se hur tjänster som du använder regelbundet staplar upp.
En försiktighetsåtgärd här. Bara för att en webbplats inte får en A-rating betyder inte att de som kör dem gör ett dåligt jobb. SSL Labs slår RC4 som en svag krypteringsalgoritm trots att det inte finns några kända attacker mot det. Det är sant att det är mindre motståndskraftigt mot brutala kraftförsök än något som RSA eller ECDH, men det är inte nödvändigtvis dåligt. En webbplats kan erbjuda ett RC4-anslutningsalternativ utan nödvändighet för kompatibilitet med vissa webbläsare, så använd webbplatsens rankning som en riktlinje, inte en järnklädd säkerhetsdeklaration eller brist på det.
Vi har täckt bakgrunden, låt oss nu få våra händer smutsiga. Uppdatering av paketalternativen som din Windows-server tillhandahåller är inte nödvändigtvis enkel, men det är inte heller svårt.
För att starta, tryck på Windows Key + R för att öppna dialogrutan "Kör". Skriv "gpedit.msc" och klicka "OK" för att starta Group Policy Editor. Det här är där vi gör våra ändringar.
På vänster sida, expandera Datorkonfiguration, Administrativa mallar, Nätverk och klicka sedan på SSL-konfigurationsinställningar.
Dubbelklicka på SSL Cipher på höger sida. Suite Order.
Som standard väljs "Ej konfigurerad" -knappen. Klicka på knappen "Enabled" för att redigera din server Cipher Suites.
Fältet SSL Cipher Suites fyller med text när du klickar på knappen. Om du vill se vad Cipher Suites din server för närvarande erbjuder, kopiera texten från fältet SSL Cipher Suites och klistra in den i Anteckningsblock. Texten kommer att vara i en lång, obruten sträng. Vart och ett av krypteringsalternativen är åtskilda av ett kommatecken. Om du väljer varje alternativ på egen rad, blir listan lättare att läsa.
Du kan gå igenom listan och lägga till eller ta bort ditt hjärtans innehåll med en begränsning. listan kan inte vara mer än 1 023 tecken. Detta är speciellt irriterande eftersom chiffer-sviterna har långa namn som "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", så välj noggrant. Jag rekommenderar att du använder listan över Steve Gibson över på GRC.com: //www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
När du har curated din lista måste du formatera den för användning . Som den ursprungliga listan måste din nya vara en obruten sträng av tecken med varje ciffer separerad av ett kommatecken. Kopiera din formaterade text och klistra in den i fältet SSL Cipher Suites och klicka på OK. För att göra omslaget måste du sluta omstart.
Med din server igen, kör du över till SSL Labs och testa den. Om allt gick bra borde resultaten ge dig en A-rating.
Om du vill ha något lite mer visuellt kan du installera IIS Crypto av Nartac (//www.nartac.com/Products/IISCrypto/Default .aspx). Med den här applikationen kan du göra samma ändringar som ovanstående steg. Det låter dig också aktivera eller inaktivera cifrar baserat på en mängd olika kriterier, så att du inte behöver gå igenom dem manuellt.
Oavsett hur du gör det, uppdaterar du Cipher Suites är ett enkelt sätt att förbättra säkerheten för dig och dina slutanvändare.
Förhindra att människor skickar eller svarar alla i Outlook
Om du ofta skickar ut massmeddelanden och håller på att få användare att svara på alla mottagare eller behöva inaktivera möjligheten att vidarebefordra ett e-postmeddelande, Microsoft Exchange och Outlook har du täckt. Exchange och Outlook gör det möjligt för egna flaggor som kan inaktivera denna funktion och det kan vara mycket användbart om du behöver mer kontroll över dina skickade e-postmeddelanden.
Privat webbsökning, och varför den inte erbjuder fullständig sekretess
Privat webbsökning, InPrivate Browsing, Incognito Mode - det har många namn, men det är samma grundläggande funktion i varje webbläsare. Privat surfning ger en viss förbättrad integritet, men det är inte en silverkula som gör dig helt anonym online. Privatlägesläge ändrar hur webbläsaren fungerar, oavsett om du använder Mozilla Firefox, Google Chrome, Internet Explorer, Apple Safari, Opera eller någon annan webbläsare - men det förändrar inte hur något annat beter sig.