Come applicare TLS su Windows [duplicato]

0

In Windows 2008 R2 e 2012, come si applica solo TLS e come si dimostra la postura?

Sono in conformità IP e ho un strong background nell'amministrazione e supporto pratico del sistema. Sono comunque stato troppo lontano dall'amministrazione e dal supporto di Windows per un tempo abbastanza lungo da non conoscere più la risposta a questa domanda e non conoscerei comunque l'analogico del 2012, e non ho a disposizione sistemi di test per me intorno a.

Quindi, per la conformità PCI, tutte le versioni di SSL sono state deprecate e ritirate dal NIST come crittografia avanzata, che rende TLS la sostituzione di fatto per SSL. La maggior parte delle implementazioni di SSL predefinite in TLS comunque quando possibile, ma ho bisogno di sapere come applicare TLS-only.

Ho cercato su google, ma non importa quanto io sembri esprimere la domanda, ottengo una nuvola di materiale di tipo "come abilitare" di cui non sono affatto interessato. Nei nostri ambienti unix è una questione semplice (Sono comunque un capo Unix), ma come si fa a rafforzare TLS solo su sistemi Windows. Per esempio, sfortunatamente sono il principale esperto tecnico della mia azienda, pur non essendo in un ruolo tecnico, e dovrò dimostrare questo alla nostra Directory delle Infrastrutture che questo deve accadere (se è così), ma in aggiunta devo essere in grado per dimostrare che i nostri sistemi sono conformi e richiedono un dump o output di configurazione da un comando che mostri quali cifrature e metodi sono disponibili per i tentativi di connessione.

Quindi, in Windows 2008 R2 e 2012, come si applica solo TLS e come si dimostra la postura?

    
posta Escoce 10.03.2015 - 21:48
fonte

1 risposta

2

Per i sistemi operativi Windows, Microsoft ha più articoli KB e altri riferimenti per indirizzare la configurazione SSL / TLS.

Articolo KB Microsoft 245030 , Come limitare l'uso di determinati algoritmi e protocolli crittografici in Schannel.dll ha praticamente tutto ciò che devi sapere. Attualmente, l'articolo KB copre i sistemi operativi che vanno da NT 4 fino a Server 2012. I sistemi operativi specifici e le edizioni coperte all'interno di tale intervallo appaiono insolitamente incoerenti, ma probabilmente dovrebbe essere efficace per tutti i sistemi operativi Microsoft all'interno di tale timeline.

Esiste anche un articolo di TechNet, Impostazioni TLS / SSL che è attualmente definito a livello generale applicare per tutte le edizioni di Windows da Vista a 8.1 e da Server 2008 a Server 2012. Questo in gran parte duplica i dettagli dall'articolo KB, ma include anche alcune informazioni sui Criteri di gruppo e altri dettagli utili.

La cosa principale da tenere presente, dai riferimenti precedenti, è che ci sono un certo numero di chiavi e valori del Registro di sistema in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL che regolano quali suite e protocolli di crittografia SSL / TLS saranno consentiti. L'utilizzo e gli effetti di ciascuno sono in genere abbastanza evidenti, assumendo che le chiavi e i valori esistano effettivamente (le installazioni predefinite potrebbero omettere alcuni). Fare riferimento agli articoli KB e TechNet per maggiori dettagli o a Google per informazioni sulle voci del registro "SCHANNEL".

Tuttavia, quanto sopra è efficace solo per applicazioni e servizi che si basano su SCHANNEL per la sicurezza SSL / TLS. Molto spesso i programmi non Microsoft hanno una propria implementazione SSL / TLS che deve essere configurata separatamente. Ciò è particolarmente vero per tutte le applicazioni che forniscono un'interfaccia web non servita tramite IIS. In alcuni casi, non sarai in grado di configurare queste opzioni da te, o potresti doverle "hackerare" senza il supporto del fornitore, per un programma non Microsoft. Dovrai esaminare le opzioni di supporto per ogni applicazione, caso per caso.

Tieni presente che SSL / TLS non è utilizzato solo per i siti web. E-mail, protocolli di accesso remoto, servizi di directory e molte altre applicazioni e servizi si affidano anche a SSL / TLS per la sicurezza delle connessioni.

Per testare la configurazione, avrai bisogno di strumenti come Wireshark o Fiddler per ispezionare l'handshake SSL / TLS. L'handshake conterrà informazioni su quali suite di crittografia e protocolli sono supportati dal server e dal client. Strumenti automatizzati di scansione delle vulnerabilità come Nessus e toolkit di test di penetrazione come Kali Linux , anche comunemente hanno utility per testare questo. Tuttavia, potrebbero non essere configurati immediatamente per il targeting di tutte le applicazioni o servizi specifici SSL / TLS dipendenti. Google per le guide all'utilizzo o pubblica domande separate su un sito StackExchange appropriato, se necessario.

    
risposta data 11.03.2015 - 00:26
fonte

Leggi altre domande sui tag