Tag: windows server 2003 R2

  • วิธีการปิดช่องโหว่ Logjam,Freak,Poodle,Beast สำหรับ Windows Server 2003 R2

    “จะทำอย่างไรทีดีกับช่องโหว่ SSL เยอะซะเหลือเกิน ปิดใช้แต่ TLS ก็ได้นิ นั่นสินะ”

    • อย่างที่ข้างบนกล่าวไว้ครับวิธีการปิดช่องโหว่นี้ทำง่าย ๆ แค่ปิด SSLv2 SSLv3 และปิด Cipher Suite ที่ไม่ปลอดภัยเพิ่มเติม
    • แต่สำหรับ Windows Server 2003 เนื่องจากไม่รองรับ Cipher Suite ที่ปลอดภัยบางตัว จึงต้องทำการรัน hotfix ก่อน โดยสามารถโหลดได้ที่นี่ (อย่าลืมเลือกให้ตรง platform x86 x64 นะครับ)
      https://support.microsoft.com/en-us/kb/948963
    • ก่อนจะรัน hotfix ลองทดสอบ test ความปลอดภัย ที่ website https://ssltest.psu.ac.th/server ก็จะได้ดังรูปตัวอย่างนี้ (จะเห็นได้ว่า Grade ร้ายแรงมาก)

    2015-11-11_053418

    • เมื่อโหลดไฟล์เรียบร้อยแล้วทำการแตก zip และ run ด้วยสิทธิ์ administrator ดังรูป

    2015-11-11_0537382015-11-11_053830

    • หลังจากนั้นเลือก Finish และทำการ Restart เครื่อง
    • จากนั้นทำการโหลดโปรแกรมจาก web https://www.nartac.com ดังนี้
      https://www.nartac.com/Downloads/IISCrypto/IISCrypto.exe
    • จากนั้นรันโปรแกรมดังรูป

    2015-11-11_054809 2015-11-11_054929

    • จากนั้นทำการ Reboot อีกครั้ง
    • ทำการทดสอบ test ความปลอดภัย ที่ website https://ssltest.psu.ac.th/server อีกครั้งก็ได้ดังรูป

    2015-11-11_055801

    • จะเห็นได้ว่ายังได้ Grade F (จริง ๆ ถ้าเป็น Windows 2008 R2 ขึ้นไปจะได้ A เนื่องจากรองรับ TLS 1.2) เนื่องจากช่องโหว่ POODLE(TLS) ไม่สามารถแก้ได้ เพราะจะแก้ได้ต้องปิด TLS 1.0 ใช้ TLS 1.2 ขึ้นไป ซึ่งจะ Windows 2003 และ Windows 2008 (ไม่มี R2) รองรับได้แค่ TLS 1.0 จึงแนะนำให้รีบเปลี่ยน Windows Server OS เป็น Windows 2008 R2 ขึ้นไปเพื่อความปลอดภัย

    2015-11-11_065251

    • จากรูปข้างบนซึ่งเป็น Windows 2003 เช่นกัน “สันนิษฐานว่า” อาจเพราะว่า เครื่องนี้ได้ Windows Update จึงทำให้ไม่มีช่องโหว่ ถ้า Update ถึงระดับนึง ทาง Microsoft น่าจะปิดช่องโหว่ POODLE (TLS) เรียบร้อยแล้ว
    • ต้องแยกกันนะครับระหว่างเปิด TLS 1.0 กับ มีช่องโหว่ เพราะมีอีกหลายปัจจัย เพราะ TLS เป็นแค่ Protocol แต่กระบวนการที่เหลือทั้งวิธีการเข้ารหัส วิธีการแลกเปลี่ยน Key เป็นปัจจัยหนี่งของช่องโหว่ รวมถึงช่องโหว่จากบริการในเครื่องที่ใช้ TLS 1.0 ในการรับส่งข้อมูล แต่ถ้าปิด Protocol ตั้งแต่ต้นก็จะมั่นใจได้มากกว่า เพราะไม่แน่ว่าอนาคตอาจมีช่องโหว่เกี่ยวกับ TLS 1.0 ออกมาอีก
    • แต่การปิด TLS 1.0 จะกระทบกับ Browser ค่อนข้างมาก โดยเฉพาะ window xp,vista
    • อ่านเพิ่มเติมได้ที่นี่ครับ
      https://www.blognone.com/node/63653
      https://en.wikipedia.org/wiki/Template:TLS/SSL_support_history_of_web_browsers
    • สามารถอ่านวิธีแก้ไขช่องโหว่เพิ่มเติมได้ที่นี่ครับ
      http://sysadmin.psu.ac.th/2015/11/10/serversecuritypatch
  • การแก้ไข Certificate สำหรับ Windows Server 2003 R2

    “อยากแก้ Certificate บน Windows Server 2003 R2 ทำอย่างไร”

    • วิธีการเปลี่ยนให้เข้าไปยัง IIS ในเครื่อง Windows Server 2003 R2

    2015-11-10_171414

    • จากนั้นเลือกเครื่องกด + เข้าไปเรื่อย ๆ ในหัวข้อ Web Sites และเลือก Web Site ที่ใช้งาน คลิกขวาเลือก Properties

    2015-11-10_171812

    • เข้าไปยังหน้าจัดการ Certificate ดังรูป

    2015-11-10_172407

    • จากนั้นกด Next เพื่อทำการ Import Certificate เข้าสู่ IIS

    2015-11-10_172431

    • ในกรณีที่เคยมี Certificate เก่าอยู่แล้วจะต้องทำการ Remove Certificate เก่าออกก่อนดังนี้ (ถ้ายังไม่เคยมีให้ข้ามขั้นตอนนี้ไป)

    2015-11-10_172833 2015-11-10_172918 2015-11-10_172938

    • ในกรณีที่ยังไม่เคยมี Certificate ให้ดำเนินการ Import Certificate จากไฟล์ .pfx ดังนี้

    2015-11-10_172508 2015-11-10_172558 2015-11-10_172619 2015-11-10_172648 2015-11-10_172709 2015-11-10_172730 2015-11-10_172748เป็นอันเสร็จสิ้นวิธีเปลี่ยน Certificate สำหรับ Windows Server 2003 R2 ครับ