Harden IIS SSL para cumplimiento y seguridad

IIS SSL por defecto deja habilitadas las versiones anteriores de SSL2, SSL3 y TLS para compatibilidad. MyWorkDrive se ha diseñado para admitir TLS 1.2. Es necesario deshabilitar los cifrados inseguros y débiles para cumplir con las mejores prácticas de seguridad, incluidas PCI, HIPAA, FINRA y GDPR.

 

Si bien las entradas del registro se pueden configurar manualmente, existe una gran herramienta gratuita para esto llamada IIS Crypto de Nartac Software.

 

Para bloquear los cifrados IIS SSL de su servidor, descargue la herramienta y aplique una de las plantillas; como mínimo, sugerimos la "Plantilla de mejores prácticas".

 

La plantilla PCI 3.1 brinda la protección más completa; sin embargo, es posible que algunos programas aún requieran comunicación TLS 1.0 (MyWorkDrive no). Una opción es aplicar la configuración de la plantilla al servidor solo desmarcando "Establecer protocolos del lado del cliente". Esto garantiza que solo las partes del "Servidor" estén bloqueadas y que cualquier software de cliente (por ejemplo, software de copia de seguridad) continúe ejecutándose.

Una vez que haya ejecutado la herramienta IIS Crypto y aplicado un mínimo de la plantilla de mejores prácticas y reiniciado su servidor, es posible que desee verificar que su servidor responda solo en los cifrados IIS SSL más seguros.

 

Hay una gran herramienta gratuita de escaneo SSL en https://www.ssllabs.com/ssltest/ eso también está integrado en el software Nartac IIS Cryptol que le da una calificación sobre qué tan seguras son sus conexiones SSL. Simplemente ingrese su dirección web https y ejecute la prueba.

Debería obtener un resumen como este: