Microsoft’ un en önem verdiği konuları başında uyumluluk gelmektedir. Aslında güvenlik anlamında başına ne geliyor ise kurumsal yapıların bu ihtiyacından geliyor olsa bile yinede her çıkardığı ürün için bir veya iki eski sürüm ile hatta bazen üç eski sürüm ile uyumlu çalışabildiğini görüyoruz.
Eski uygulamalarla geriye dönük uyumluluk için Windows Server 2016/2019’da “Statik Anahtar Şifreleri” kullanılır. Ancak bu şifreler zaman içerisinde “zayıf şifre” yani etkisi, özelliği veya şifreleme gücü güncel teknoloji ve atakların gerisinde kalabilir. Eğer işletim sisteminin güvenlik trafik için bu tür zayıf şifreler kullanıyorsa kötü niyetli kişiler network trafiğinin şifresini çözebilirler. Özetle bazı eski ve zayıf olan cipher suites ismini verdiğimiz şifreleme anahtarlarını devre dışı bırakmanız önerilmektedir.
Peki nedir bu cipher suite?
Türkçe karşılığı şifreleme paketi olan cipher suite tamda adına yakışır bir iş yapmaktadır. tls vea ssl kullanan bir ağ bağlantısının güvenliğini sağlamaya yardımcı olan algoritmalar kümesidir. Yani bir nevi iki taraf için güvenli iletişimde kullanılacak şifreleme teknolojilerini belirler. Misal iki taraf arasında aynı algoritmalar desteklenmiyor ise güvenli görüşme olamaz. Bu nedenle özellikle güvenlik sıkılaştırılmalarında güvensiz olarak ifade edilen eski cipher suite yani şifreleme paketlerinin kaldırılması bazen eski işletim sistemleri ile görüşmelerde sorunlara neden olabilir.
Her işletim sistemi için desteklenen cipher suite içeriği farklıdır. liste aşağıdaki gibidir;
https://docs.microsoft.com/en-us/windows/win32/secauthn/cipher-suites-in-schannel
Peki iki işletim sistemi için desteklenen ve önerilen cipher suite sürümleri hangileridir?
Sizde işletim sisteminizin desteklediği sürümleri görmek için aşağıdaki PS komutunu kullanabilirsiniz.
(Get-TlsCipherSuite).Name
Peki eski bir uygulamanın kullandığı bir cipher suite sürümünü disable yaparsanız ne olur? Tabi iletişim kesilir ancak bunu kaynağını loglarda görebilirsiniz.
Sistem loglarında kaynak: Schannel, ID 36871 ve 36874 olarak listelenir.
Peki nasıl disable yapıyoruz? Çok basit, aşağıdaki tek satır PS kullanarak istediğiniz cipher suite sürümünü disable yapabilirsiniz.
Disable-TlsCipherSuite -Name isim