बेहतर सुरक्षा के लिए अपने विंडोज सर्वर सिफर सूट को कैसे अपडेट करें

2024 लेखक: Geoffrey Carr | [email protected]. अंतिम बार संशोधित: 2023-12-17 11:00

आप एक सम्मानजनक वेबसाइट चलाते हैं जो आपके उपयोगकर्ता भरोसा कर सकते हैं। सही? आप इसे दोबारा जांचना चाहेंगे। यदि आपकी साइट माइक्रोसॉफ्ट इंटरनेट इनफॉर्मेशन सर्विसेज (आईआईएस) पर चल रही है, तो आप आश्चर्यचकित हो सकते हैं। जब आपके उपयोगकर्ता सुरक्षित सर्वर (एसएसएल / टीएलएस) पर अपने सर्वर से कनेक्ट करने का प्रयास करते हैं तो आप उन्हें एक सुरक्षित विकल्प नहीं दे सकते हैं।

बेहतर सिफर सुइट प्रदान करना निःशुल्क और सेटअप करने में बहुत आसान है। अपने उपयोगकर्ताओं और अपने सर्वर की सुरक्षा के लिए बस चरण-दर-चरण मार्गदर्शिका का पालन करें। आप यह भी सीखेंगे कि आप कितनी सुरक्षित हैं यह देखने के लिए उपयोग की जाने वाली सेवाओं का परीक्षण कैसे करें।

आपके सिफर सूट क्यों महत्वपूर्ण हैं

माइक्रोसॉफ्ट का आईआईएस बहुत बढ़िया है। यह सेटअप और रखरखाव दोनों आसान है। इसमें एक उपयोगकर्ता के अनुकूल ग्राफिकल इंटरफ़ेस है जो कॉन्फ़िगरेशन को हवा बनाता है। यह विंडोज पर चलता है। आईआईएस वास्तव में इसके लिए बहुत कुछ चल रहा है, लेकिन जब सुरक्षा डिफ़ॉल्ट की बात आती है तो वास्तव में फ्लैट गिरती है।

यहां बताया गया है कि एक सुरक्षित कनेक्शन कैसे काम करता है। आपका ब्राउज़र किसी साइट पर एक सुरक्षित कनेक्शन शुरू करता है। यह "HTTPS: //" से शुरू होने वाले यूआरएल द्वारा आसानी से पहचाना जाता है। फ़ायरफ़ॉक्स आगे बिंदु को चित्रित करने के लिए एक छोटा लॉक आइकन प्रदान करता है। क्रोम, इंटरनेट एक्सप्लोरर, और सफारी में आपके पास यह जानने के समान तरीके हैं कि आपका कनेक्शन एन्क्रिप्ट किया गया है। जिस सर्वर से आप अपने ब्राउजर को जवाब देने के लिए कनेक्ट कर रहे हैं, एन्क्रिप्शन विकल्पों की सूची के साथ सबसे अधिक पसंद किए जाने के लिए चुनने के लिए। आपका ब्राउज़र तब तक सूची में जाता है जब तक कि उसे एन्क्रिप्शन विकल्प पसंद न हो और हम बंद हो जाएं और चल रहे हों। बाकी, जैसा कि वे कहते हैं, गणित है। (कोई भी ऐसा नहीं कहता है।)

इसमें घातक दोष यह है कि सभी एन्क्रिप्शन विकल्पों को समान रूप से नहीं बनाया जाता है। कुछ वास्तव में महान एन्क्रिप्शन एल्गोरिदम (ईसीडीएच) का उपयोग करते हैं, अन्य कम महान (आरएसए) हैं, और कुछ केवल बीमार सलाह (डीईएस) हैं। ब्राउज़र प्रदान करता है किसी भी विकल्प का उपयोग कर एक ब्राउज़र एक सर्वर से कनेक्ट कर सकते हैं। यदि आपकी साइट कुछ ईसीडीएच विकल्पों की पेशकश कर रही है लेकिन कुछ डीईएस विकल्प भी हैं, तो आपका सर्वर या तो कनेक्ट होगा। इन खराब एन्क्रिप्शन विकल्पों की पेशकश करने का सरल कार्य आपकी साइट, आपके सर्वर और आपके उपयोगकर्ताओं को संभावित रूप से कमजोर बनाता है। दुर्भाग्यवश, डिफ़ॉल्ट रूप से, आईआईएस कुछ बहुत खराब विकल्प प्रदान करता है। विनाशकारी नहीं है, लेकिन निश्चित रूप से अच्छा नहीं है।

आप कहां खड़े हैं यह देखने के लिए

शुरू करने से पहले, आप जानना चाहेंगे कि आपकी साइट कहां खड़ी है। शुक्र है कि क्वालिज़ के अच्छे लोग हम सभी को एसएसएल लैब्स मुहैया करा रहे हैं। यदि आप https://www.ssllabs.com/ssltest/ पर जाते हैं, तो आप देख सकते हैं कि आपका सर्वर HTTPS अनुरोधों का जवाब कैसे दे रहा है। आप यह भी देख सकते हैं कि आप नियमित रूप से सेवाओं का उपयोग कैसे करते हैं।

यहां सावधानी बरतने का एक नोट। सिर्फ इसलिए कि किसी साइट को ए रेटिंग प्राप्त नहीं होती है, इसका मतलब यह नहीं है कि चल रहे लोग बुरी नौकरी कर रहे हैं। एसएसएल लैब्स आरसी 4 को एक कमजोर एन्क्रिप्शन एल्गोरिदम के रूप में स्लैम करता है, भले ही इसके खिलाफ कोई ज्ञात हमला न हो। सच है, यह आरएसए या ईसीडीएच जैसे कुछ की तुलना में ब्रूट फोर्स प्रयासों के लिए कम प्रतिरोधी है, लेकिन यह आवश्यक नहीं है। एक साइट कुछ ब्राउज़रों के साथ संगतता के लिए आरसी 4 कनेक्शन विकल्प की पेशकश कर सकती है, इसलिए साइटों की रैंकिंग को दिशानिर्देश के रूप में उपयोग करें, न कि लोहे की सुरक्षा की कमी या इसकी कमी।

अपने सिफर सुइट को अपडेट कर रहा है

हमने पृष्ठभूमि को कवर किया है, अब चलो अपने हाथ गंदे हो जाओ। आपके विंडोज सर्वर द्वारा प्रदान किए जाने वाले विकल्पों के सूट को अपडेट करना जरूरी नहीं है, लेकिन यह निश्चित रूप से कठिन नहीं है।

प्रारंभ करने के लिए, "रन" संवाद बॉक्स लाने के लिए विंडोज कुंजी + आर दबाएं। "Gpedit.msc" टाइप करें और समूह नीति संपादक लॉन्च करने के लिए "ठीक" पर क्लिक करें। यह वह जगह है जहां हम अपने बदलाव करेंगे।

बाईं तरफ, कंप्यूटर कॉन्फ़िगरेशन, व्यवस्थापकीय टेम्पलेट्स, नेटवर्क का विस्तार करें, और उसके बाद SSL कॉन्फ़िगरेशन सेटिंग्स पर क्लिक करें।

दाईं तरफ, एसएसएल सिफर सूट ऑर्डर पर डबल क्लिक करें।

डिफ़ॉल्ट रूप से, "कॉन्फ़िगर नहीं किया गया" बटन चुना जाता है। अपने सर्वर के सिफर सूट को संपादित करने के लिए "सक्षम" बटन पर क्लिक करें।

एक बार बटन क्लिक करने के बाद एसएसएल सिफर सूट फ़ील्ड टेक्स्ट भर जाएगा। यदि आप देखना चाहते हैं कि आपका सर्वर वर्तमान में कौन सी सिफर सूट पेश कर रहा है, तो एसएसएल सिफर सूट फ़ील्ड से टेक्स्ट कॉपी करें और इसे नोटपैड में पेस्ट करें। पाठ एक लंबे, अखंड स्ट्रिंग में होगा। प्रत्येक एन्क्रिप्शन विकल्प को अल्पविराम से अलग किया जाता है। प्रत्येक विकल्प को अपनी लाइन पर रखकर सूची को पढ़ने में आसान बना दिया जाएगा।

आप सूची के माध्यम से जा सकते हैं और एक प्रतिबंध के साथ अपने दिल की सामग्री को जोड़ या निकाल सकते हैं; सूची 1,023 से अधिक वर्ण नहीं हो सकती है। यह विशेष रूप से परेशान है क्योंकि सिफर स्वीट्स में लंबे नाम हैं जैसे "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", इसलिए ध्यान से चुनें। मैं स्टीव गिब्सन द्वारा GRC.com पर एक साथ रखी गई सूची का उपयोग करने की सलाह देता हूं: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt।

एक बार जब आप अपनी सूची को क्यूरेट कर लेंगे, तो आपको इसे उपयोग के लिए प्रारूपित करना होगा। मूल सूची की तरह, आपके नए को कोमा द्वारा अलग किए गए प्रत्येक सिफर के साथ वर्णों की एक अखंड स्ट्रिंग की आवश्यकता होती है। अपने स्वरूपित टेक्स्ट को कॉपी करें और इसे एसएसएल सिफर सूट फ़ील्ड में पेस्ट करें और ठीक क्लिक करें। अंत में, परिवर्तन छड़ी बनाने के लिए, आपको रीबूट करना होगा।

अपने सर्वर का बैक अप और रनिंग के साथ, एसएसएल लैब्स पर जाएं और इसका परीक्षण करें। अगर सब कुछ ठीक हो गया, तो परिणाम आपको एक रेटिंग देनी चाहिए।

यदि आप कुछ और दृश्य देखना चाहते हैं, तो आप आईआईएस क्रिप्टो को नार्टैक (https://www.nartac.com/Products/IISCrypto/Default.aspx) द्वारा इंस्टॉल कर सकते हैं। यह एप्लिकेशन आपको ऊपर दिए गए चरणों के समान परिवर्तन करने की अनुमति देगा। यह आपको विभिन्न मानदंडों के आधार पर सिफर को सक्षम या अक्षम करने देता है ताकि आपको मैन्युअल रूप से उनके माध्यम से नहीं जाना पड़े।

इससे कोई फर्क नहीं पड़ता कि आप इसे कैसे करते हैं, आपके सिफर सूट को अपडेट करना आपके और आपके अंतिम उपयोगकर्ताओं के लिए सुरक्षा में सुधार का एक आसान तरीका है।