IIS Crypto
Introduktion
Windows TLS indstillinger bliver ikke automatisk opdateret, bl.a. fordi det kan bryde en nødvendig kompatibilitet med ældre klienter, og er derfor ofte forældet og usikre.
Når man installerer en ny Windows server vil den få standard indstillingerne fra dengang operativ systemet blev lavet for første gang.
Vi anbefaler derfor at indstillingerne bliver opdateret hver gang et certifikat bliver installeret på serveren.
IIS Crypto er et program udviklet af Nartac Software til simpelt at ændre i SSL/TLS-indstillingerne som konfigureres i registreringsdatabasen i Windows .
Indstillingerne anvendes af alle Windows services og inkluderer bl.a. IIS, Exchange, Lync og RDP.
IIS Crypto har flere indbyggede templates, bl.a. PCI 3.1 og FIPS 140-2 som sætter serveren til at følge de krav der er til sikkerheden under de respektive standarder.
Vi anbefaler generelt at anvende Best Practices knappen som opsætter Windows til en fornuftig balance imellem sikkerhed og kompatibilitet.
Der er services som f.eks. SMTP hvor Best Practices ikke er kompatibel nok til de ældre email systemer der forsat anvendes i produktion.
Vi anbefaler at du altid tager en backup af de aktive indstillinger inden du begynder at ændre noget, så du altid kan komme tilbage til den opsætning der virker.
Se Backup af aktive indstillinger for information om hvordan du laver en backup.
Nartac Software opdaterer løbende indstillingerne, så husk at holde klienten opdateret til nyeste version.
IIS Crypto han hentes gratis her.
Denne guide er lavet med ISS Crypto 3.2.
Backup af aktive indstillinger
En backup kan laves på 2 måder, du kan enten lave en backup af de entries i registreringsdatabasen der har med TLS opsætningen at gøre, eller du kan lave en template uden at ændre nogen indstillinger efter du åbner ISS Crypto.
For at lave en backup af registreringsdatabasen:
Åben Advanced.
Klik på Backup Registry.
Giv nu din backup et navn og gem den et sted hvor du kan finde den, f.eks. c:\CryptoTemplates\fairssl.dk-backup.reg
Vær opmærksom på at du kan ikke importere denne backup ind i IIS Crypto, hvis du har brug for at gendanne indstillingerne fra denne backup skal du importere den direkte i registreringsdatabasen.
For at lave en template:
Hvis du har haft ændret nogen indstillinger, luk IIS Crypto og åben den igen.
Åben Templates.
Giv din Template et navn, en forfatter og en beskrivelse.
Tryk på diskette ikonet Save the selected template.
Giv din template et navn og gem den et sted hvor du kan finde den, f.eks. c:\CryptoTemplates\fairssl.dk-backup.ictpl
Best Practices
Ved at klikke på Best Practices knappen får du de indstillinger der generelt bliver set som den bedste kombination af høj sikkerhed og høj kompatibilitet.
Vær opmærksom på at ændringer i indstillingerne, inkl. Best Practices kan skabe kompatibilitets problemer, så vi anbefaler at lave en backup af de aktuelle indstillinger så det er let at komme tilbage hvis noget går galt.
Se Backup/Udrulning på flere servere for vejledning til at gemme indstillingerne.
I Schannel fjerner den de mest usikre protokoller og ciphers.
Server Protocols er til når serveren agerer server.
Client Protocols er til når serveren agerer klient.
I Cipher Suites vælger den de mindst sikre fra, og ændre rækkefølgen til at give en god kombination af høj sikkerhed og høj kompatibilitet.
Rækkefølgen her er vigtig, da serveren starter fra toppen af listen når den forhandler med klienten, så hvis der er en usikker Cipher Suite øverst vil det være den der oftest bliver brugt.
Det er muligt at manuelt ændre i alle indstillingerne hvis man har specielle behov.
Når du er tilfreds med indstillingerne skal du huske at trykke Apply for at ændringerne bliver gemt på serveren, samt genstarte Windows for at aktivere de nye indstillinger.
Ved at sætte flueben i Reboot starter IIS Crypto en genstart, ellers skal det gøres manuelt efterfølgende.
Udrulning på flere servere
Hvis du har flere servere der skal have samme sikkerhedsstandard, eller du bare vil have en backup af indstillingerne kan du lave din egen template.
Hvis der allerede har været valgt en Template i listen, f.eks. hvis du har trykket på Best Practices knappen, så kan du ikke få en tom template.
Vælg derfor en af de indbyggede, f.eks. Best Practices, og tryk på diskette ikonet Save the selected template.
Du vil nu få en advarsel om at du ikke kan gemme oveni eksisterende templates, men at du kan lave en ny.
Klik OK.
Giv nu din template et navn og gem den et sted hvor du kan finde den, f.eks. c:\CryptoTemplates\fairssl.dk.ictpl
Nu kan du give din template et navn, en beskrivelse og en forfatter.
Husk at trykke på disketteikonet igen for at gemme beskrivelsen.
Nu kan du anvende IIS Crypto til at importere de samme indstillinger via templatefilen på andre servere.
Gå ind under Templates og tryk på mappeikonet Open a template from file for at importere templaten.
Vælg templatefilen du flyttede fra den anden server.
Husk at trykke Apply for at gemme de nye indstillinger, og genstarte serveren for at aktivere dem.
Default indstillinger
Når en server bliver installeret vil den have default indstilinger for dens operativsystem.
Disse indstillinger er lavet da operativsystemet første gang blev rullet ud, og vil derfor ofte være forældet.
Man kan se om en indstilling er en default indstilling ved at den er lysegrå, disse kan alle ændres.
Vær opmærksom på at dette ikke er de indstillinger der er aktive på serveren, men operativsystemets defaults, så hvis du trykker Apply her fjerner du de indstillinger der er nu og erstatter dem med default.
Det samme gør sig gældende under Cipher Suites.
Du kan altid komme tilbage til dette punkt ved at vælge Server Defaults i Templates.
Site Scanner
Du kan bruge Site Scanner til at scanne dit website.
Tast det DNS-navn du vil scanne og tryk på Scan så åbner programmet en browser og starter en scanning hos SSLLabs.
Dette vil give dig et overblik over hvilke protokoller, ciphers, osv. der er aktiveret på din side, og om der er kendte sikkerhedshuller i dit setup osv.
Du bør ikke udelukkende kigge på overall rating, da du risikerer at miste kunder der ikke kan komme ind på din side hvis du har sat sikkerheden så højt at den ikke er kompatibel med ældre browsere.
