Cómo hacer cumplir TLS en Windows [duplicado]

Navega tus respuestas
0

En Windows 2008 R2 y 2012, ¿cómo hace cumplir TLS solo y cómo demuestra esa postura?

Estoy en conformidad con IP y tengo una sólida formación en administración y soporte de sistemas prácticos. Sin embargo, he estado demasiado lejos de la administración y el soporte de Windows durante tanto tiempo que ya no sé la respuesta a esta pregunta y no sabría el análogo de 2012 de todos modos, y no tengo sistemas de prueba disponibles para empujar alrededor de.

Entonces, para el cumplimiento de PCI, todas las versiones de SSL han sido desaprobadas y retiradas por el NIST como cifrado fuerte, lo que hace que TLS sea el reemplazo de facto para SSL. La mayoría de las implementaciones de SSL están predeterminadas en TLS de todos modos cuando es posible, pero necesito saber cómo aplicar TLS solo.

He estado buscando en Google, pero no importa cómo parezco formular la pregunta, obtengo una nube de material de tipo "cómo habilitar" que no me interesa en absoluto. En nuestros entornos Unix es muy sencillo. (De todos modos, soy un jefe de Unix) pero, ¿cómo se hace cumplir TLS solo en sistemas Windows? Por un lado, desafortunadamente soy el experto técnico líder en mi empresa aunque no tengo un rol técnico, y tendré que demostrar esto en nuestro Directorio de Infraestructura que esto debe suceder (si es así), pero además debo poder para probar que nuestros sistemas son compatibles y necesitan un volcado de configuración o salida de un comando que muestre qué sistemas de cifrado están disponibles para los intentos de conexión.

Por lo tanto, en Windows 2008 R2 y 2012, ¿cómo hace cumplir TLS solo y cómo demuestra esa postura?

    
pregunta Escoce 10.03.2015 - 21:48
fuente

1 respuesta

2

Para los sistemas operativos Windows, Microsoft tiene varios artículos de KB y otras referencias para abordar la configuración de SSL / TLS.

Artículo de Microsoft KB 245030 , Cómo restringir el uso de ciertos algoritmos y protocolos criptográficos en Schannel.dll tiene prácticamente todo lo que necesitas saber. Actualmente, el artículo de KB cubre sistemas operativos que van desde NT 4 hasta Server 2012. Los sistemas operativos específicos y las ediciones cubiertas dentro de ese rango parecen inusualmente inconsistentes, pero esto probablemente debería ser efectivo para todos los sistemas operativos de Microsoft dentro de esa línea de tiempo.

También hay un artículo de TechNet, Configuración de TLS / SSL que actualmente tiene un alcance amplio solicite todas las ediciones de Windows desde Vista a 8.1, y desde Server 2008 a Server 2012. Esto duplica en gran medida los detalles del artículo de KB, pero también incluye información sobre la Política de grupo y otros detalles útiles.

Lo principal a tener en cuenta, a partir de las referencias anteriores, es que hay una serie de claves y valores de registro dentro de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL que rigen qué conjuntos de cifrado y protocolos SSL / TLS se permitirán. El uso y los efectos de cada uno son generalmente bastante obvios, asumiendo que las claves y los valores realmente existen (las instalaciones predeterminadas pueden omitir algunas). Consulte los artículos de KB y TechNet para obtener más detalles, o Google para obtener información sobre las entradas del Registro "SCHANNEL".

Sin embargo, lo anterior solo es efectivo para aplicaciones y servicios que dependen de SCHANNEL para la seguridad SSL / TLS. Los programas que no son de Microsoft a menudo vienen con su propia implementación SSL / TLS que se debe configurar por separado. Esto es especialmente cierto para cualquier aplicación que proporcione una interfaz web que no se sirva a través de IIS. En algunos casos, no podrá configurar estas opciones usted mismo, o tendrá que "piratearlas" sin el soporte del proveedor, para un programa que no sea de Microsoft. Tendrá que investigar las opciones de asistencia para cada aplicación caso por caso.

También tenga en cuenta que SSL / TLS no solo se utiliza para sitios web. El correo electrónico, los protocolos de acceso remoto, los servicios de directorio y muchas otras aplicaciones y servicios también dependen de SSL / TLS para la seguridad de la conexión.

Para probar la configuración, necesitará herramientas como Wireshark o Fiddler para inspeccionar el protocolo de enlace SSL / TLS. El protocolo de enlace contendrá información sobre qué conjuntos de cifrado y protocolos son compatibles con el servidor y el cliente. Herramientas de análisis de vulnerabilidades automatizadas como Nessus , y kits de herramientas de pruebas de penetración como Kali Linux , también comúnmente tienen utilidades para probar esto. Sin embargo, es posible que no se configuren de manera inmediata para orientarse a todas las aplicaciones o servicios específicos dependientes de SSL / TLS. Google para guías de uso, o publique preguntas separadas en un sitio de StackExchange apropiado, según sea necesario.

    
respondido por el Iszi 11.03.2015 - 00:26
fuente

Lea otras preguntas en las etiquetas

dm-crypt sobre iSCSI cargando fotos a la nube desde un dispositivo infectado [cerrado]