Drei Windows Server SSL / TLS-Sicherheitslücken und deren Behebung


Es war noch nicht lange her, als die einfache Verwendung von SSL oder seines Nachfolger-TLS auf Windows-Servern ausreichte, um die Sicherheit zu gewährleisten …

Kommunikation. Die Zeiten haben sich sicherlich geändert. SSL und TLS haben in letzter Zeit einen schlechten Ruf bekommen – und das zu Recht. Allein im vergangenen Jahr wurden einige schwerwiegende Sicherheitslücken aufgedeckt, die Sie beachten müssen. Einige davon betreffen Windows-Server, andere nicht. Hier ist eine Übersicht über das, was Sie wissen müssen:
Herzblut, Ein Fehler in OpenSSL, der häufig auf Windows-Servern ausgeführt wird, nutzt Schwachstellen in der TLS-Heartbeat-Erweiterung aus und kann den Remotezugriff auf den Speicher von Servern und den mit ihnen verbundenen Clients ermöglichen.
PUDEL (Padding Oracle On Downgraded Legacy Encryption) ist eine Man-in-the-Middle-Sicherheitsanfälligkeit, die SSL-Versionen 3.0 und TLS-Versionen 1.0 bis 1.2 betrifft.
FREAK (Factoring Attack auf RSA-EXPORT Keys) ist eine neue Sicherheitslücke Dadurch kann ein Angreifer ein Downgrade der Verschlüsselungsstärke erzwingen, wenn sowohl der Browser als auch der Server anfällig sind.
Es gibt auch verschiedene SSL- und TLS-Fehler, die viele Jahre zurückliegen und die Sicherheit eines Windows-Servers beeinträchtigen können, darunter einige, die sich auf SSL Version 2 und schwache Verschlüsselungs-Chiffren auswirken. Das Interessante ist, dass die meisten Windows-Server aufgrund meiner Erfahrung mit Sicherheitsbewertungen für mindestens einen dieser Fehler und häufig für mehrere anfällig sind. Sie sitzen oft im Internet und warten darauf, ausgenutzt zu werden.
Wie können Sie herausfinden, ob diese Sicherheitsanfälligkeiten auf Ihren Windows-Servern vorhanden sind? Es ist ziemlich einfach – es geht nur darum, Folgendes zu tun:

  • Mit WSUS nach fehlenden Patches suchen, MBSAoder ein Patch-Manager eines Drittanbieters (Hinweis: Patches allein beheben nicht alle bekannten Fehler mit SSL / TLS, dh Heartbleed);
  • Ausführen von Schwachstellenscans mit einem Netzwerk-Schwachstellenscanner wie z Nexpose oder GFI LanGuard oder ein Web-Schwachstellenscanner wie Netsparker oder Acunetix Web Vulnerability Scanner;; und
  • Verwendung einer Website wie SSL LABS SSL Server Test und freakattack.com um Ihre vorhandenen Konfigurationen und Schwächen zu ermitteln.

Nach alledem über die Gefahren von SSL und TLS bin ich nicht davon überzeugt, dass “Daten im Transit” die wirklichen Risiken darstellen. Wenn auf Ihren Windows-Servern Versionen von SSL und TLS ausgeführt werden, von denen bekannt ist, dass sie anfällig für Angriffe sind, fragen Sie nach Problemen. Überlegen Sie, was passieren kann. Im besten Fall werden Sie in eine Schwachstellenbewertung oder -prüfung verwickelt und müssen die Probleme beheben. Im schlimmsten Fall nutzt jemand den Heartbleed-Fehler oder einen ähnlichen Fehler aus und es kommt zu einem Verstoß. Sie wollen wirklich nicht in eine der beiden Kategorien fallen.
Der beste Ort, um mit Windows Server zusammen zu sein, besteht darin, diese lästigen Sicherheitsprobleme zu beheben und damit fertig zu werden. Aber hör hier nicht auf. Du musst wachsam sein; Dies bedeutet, dass Sie Ihr Spiel auf Sicherheitstests und die erforderliche Wartung verbessern müssen, um Ihre Systeme vor Angriffen zu schützen – unabhängig von der wahrgenommen Risiken – vorwärts.

Nächste Schritte

Informieren Sie sich über versteckte Sicherheitsanfälligkeiten in Windows Server IIS.

Erfahren Sie mehr über den Heartbleed-Fehler.

Ihre Exchange Server SSL-Konfigurationsoptionen.

Dig Deeper unter Windows Server Fehlerbehebung

Similar Posts

Leave a Reply