web-dev-qa-db-ja.com

Win2003サーバーのRPCポート443を保護する(およびSSLを追加する)必要がある

そのため、ポート443(Windows RPC over HTTPS)に脆弱性があると思われる、自分が所有するサーバーを保護することを希望するシステム管理者からのメールを受け取りました。無効にするとWindowsのUIに問題が発生することがわかっているので、これをいじりたくありません。彼らはそれがSSL対応ではないので安全でないと言っています。

彼らは私がサービスのためにSSL証明書を確立することを提案しました。これをどこから始めればいいのかわからず、この件に関する記事も見つかりませんでした。

ここで何ができるかについてのアイデアはありますか?

編集:申し訳ありませんが、それはWin2003 R2サーバーです。 IIS HTTPSサービスです。SSLが機能するように修正する方法がわからないので、以前のユーザーが証明書をインストールし、有効期限が切れています。何をすべきかわからない。

EDIT2:以前の管理者は、7か月前にすぐに期限切れになる証明書をインストールしました。私のサイトはテストサイトのIPアドレスであるため、自分のサイトに証明書が必要だとは思いません。また、お金や個人情報が関係しない限り、SSLを使用してIPアドレスを保護するためにお金を費やす人は誰もいません。私の質問は、それは必要ですか?そして、私のもう1つの質問は、システム管理者がこれを「修正が必要なサーバーの脆弱性」としてフラグを立てる理由です。サーバーマシンへのアクセスとは関係のない、単にWebサイトアクセスの脆弱性です。

tlswindowsiis
3
Dexter

はい。SSLを使用してサーバーを設定するには、デジタル証明書が必要です。 ITが「SSLをセットアップする」とだけ言っており、証明書の生成についての指示を与えていない場合は、現時点で必要なのは自己署名証明書だけです。

これについてはたくさんの記事があるはずです-サーバーで証明書とSSLを設定する必要があるのはかなり一般的なタスクです。私はWindows 2003オタクでは不十分で何が良いのかを説明するのに十分ではありませんが、これは少なくとも合理的に見えました。

http://www.xenocafe.com/tutorials/self_signed_cert_IIS/self_signed_cert_IIS-part1.php

私はMSのものがこれを掘り下げるのに苦痛であることに同意します!

一般的には、次のことを行う必要があります。-鍵ペアを作成する-自己署名証明書を生成する

(通常、これら2つは、サーバーによって提供されるか、無料でダウンロードできるツール(Open SSLなど)で実行できます)

  • sSL/TLSを使用してポートを構成し、新しく作成したキーペアと証明書をポイントし、資格情報に関してクライアントから受け入れるポートを構成します。 ITがあなたを悩ませておらず、これがネットワーク内にあり、したがってある程度保護されている場合は、これらの設定を「すべて受け入れる」種類のモードのままにしておくことができます。

マイクロソフトは非常に... PKIのすべてのことについて特別(別名、迷惑)です。他の企業と同じように標準を実装することはありません。その結果、可能であれば、Microsoftに焦点を当てたツールを使用することで、生活がはるかに簡単になります。

また、確認する価値があります。IT部門に、ローカルのMicrosoft CAがいるかどうかを確認してください。サーバーにローカルドメインを登録させ、正当に署名された証明書を取得する方が簡単な場合があります。 IISサーバーには、これを自動的に実行できる構成があります。

4
bethlakshmi

そのサーバーを指すWebアドレスに移動します。 443であるため、httpsである必要があります。アドレスにアクセスすると、Webブラウザは大きな警告メッセージでこれは安全でないと言ってください。 「証明書の表示」オプションがあるはずです。証明書を発行した会社を確認してください。その会社を見てください。それらを呼び出して、それを更新したいことを言ってください。幸運を。

::編集::

これが外向きのサイトである場合は、自己署名証明書を使用しないでください。訪れると怖いメッセージが届きます。

1
k to the z

2番目の質問への回答:証明書を追加しても、サービスの安全性は向上しません。ただし、使用方法によって異なります。

  • 古い証明書を使用すると、ブラウザは常にユーザーに警告を表示し、通常は無視してはならないダイアログで[無視]をクリックするようにトレーニングします。

  • 一度承認して通常どおり使用できる有効な自己署名証明書。したがって、MITMの危険性は最初の接続時にのみ存在します。対照的に、無効な証明書は通常常にエラーを生成し、ユーザーがそれ以上検証しないため、MITM攻撃を簡単にマウントできます。

  • 他のマシンがサービスに接続しているがユーザーは接続していない場合は、構成の証明書のフィンガープリントをホワイトリストに登録でき、適切に作成/署名された証明書と同じレベルのセキュリティを(おそらく)持つことになります。失敗する可能性のあるCAは多数ありますが、同じフィンガープリントを持つ証明書は1つしかないため、おそらくさらに高くなります。ただし、検証がどのようにプログラムされているかはわかりません。誤った日付に気づくと、チェックが正しく実行されない可能性があります。

したがって、有効な自己署名証明書を実際に使用する必要があります。そのためのチュートリアルを見つけるのは非常に簡単で、1〜2年の有効期間を与えることができます。

1
pepe