Harden IIS SSL para cumplimiento y seguridad

IIS SSL por defecto deja habilitadas las versiones anteriores de SSL2, SSL3 y TLS para compatibilidad. MyWorkDrive se ha diseñado para admitir TLS 1.2. Es necesario deshabilitar los cifrados inseguros y débiles para cumplir con las mejores prácticas de seguridad, incluidas PCI, HIPAA, FINRA y GDPR.

 

Si bien las entradas del registro se pueden configurar manualmente, existe una gran herramienta gratuita para esto llamada IIS Crypto de Nartac Software.

 

Para bloquear los cifrados IIS SSL de su servidor, descargue la herramienta y aplique una de las plantillas; como mínimo, sugerimos la "Plantilla de mejores prácticas".

SSL de IIS

 

La plantilla PCI 3.1 brinda la protección más completa; sin embargo, es posible que algunos programas aún requieran comunicación TLS 1.0 (MyWorkDrive no). Una opción es aplicar la configuración de la plantilla al servidor solo desmarcando "Establecer protocolos del lado del cliente". Esto garantiza que solo las partes del "Servidor" estén bloqueadas y que cualquier software de cliente (por ejemplo, software de copia de seguridad) continúe ejecutándose.

Una vez que haya ejecutado la herramienta IIS Crypto y aplicado un mínimo de la plantilla de mejores prácticas y reiniciado su servidor, es posible que desee verificar que su servidor responda solo en los cifrados IIS SSL más seguros.

 

Hay una gran herramienta gratuita de escaneo SSL en https://www.ssllabs.com/ssltest/ eso también está integrado en el software Nartac IIS Cryptol que le da una calificación sobre qué tan seguras son sus conexiones SSL. Simplemente ingrese su dirección web https y ejecute la prueba.

Debería obtener un resumen como este:

Escáner SSL

Daniel, fundador de MyWorkDrive.com, ha trabajado en varios roles de gestión de tecnología al servicio de empresas, gobierno y educación en el área de la bahía de San Francisco desde 1992. Daniel está certificado en tecnologías de Microsoft y escribe sobre tecnología de la información, seguridad y estrategia y ha sido galardonado con el premio US Patente #9985930 en Redes de Acceso Remoto