Exchange 2016-2019. Disable TLS 1.0, TLS 1.1

Exchange2019 Microsoft

Exchange 2016: блокировка устаревших протоколов с помощью IISCrypto 2.0

https://www.nartac.com/Products/IISCrypto/Download

Эта статья посвящена экспериментам с блокировкой и закрытием дыр в Cipher Suite в SSL.

Вот список пунктов, которые мы прошли:

  • IIS Crypto проверить и настроить.
  • Проверка сайта SSL Labs.
  • Проверка и валидация SSL-сертификата.
  • Строгая транспортная безопасность — IIS

Во-первых, я скачал IIS Crypto 2.0 с программного обеспечения Nartac и обновил на Schannel следующее:

Exchange 2016-2019. Disable TLS 1.0, TLS 1.1

Протоколы: у меня включен только TLS 1.2.

Шифры: последние 3 были выбраны.

Хеши: я достал MD5 из-за атаки на него.

Обмен ключами: Диффи-Хеллман получает множество плохих отзывов при проверке SSL, поэтому он не отмечен.

Я применил конфигурацию и перешел к опции Cipher Suites, как показано ниже:

Exchange 2016-2019. Disable TLS 1.0, TLS 1.1

Как вы можете видеть выше, был выбран только TLS_ECDHE.

После внесения изменений сервер Exchange был перезагружен. Нет ошибок при входе.

Следующие тесты были выполнены на Exchange и клиенте:

  • Протестировано существующее клиентское соединение, нет ошибок при подключении к Exchange 2016.
  • Создан новый профиль, без ошибок.
  • Мигрировал почтовый ящик, а затем вошел в профиль, без ошибок.
  • Протестированный почтовый поток, как внутри, так и снаружи.
  • Проверено автообнаружение, ошибок не получено.
  • Запускал тесты на сайте Microsoft Test Connectivity, ошибок тоже нет.

Следующая часть упражнения заключалась в проверке лабораторий SSL на наличие ошибок. Вы можете зайти на сайт  и проверить свой URL и посмотреть, что он сообщает. После того, как вы введете URL-адрес, он выполнит проверку и выставит вам оценки по вашим шифрам, ssl-сертификату и т. Д. Ниже приведен пример, на который вы можете указать любые ошибки:

Exchange 2016-2019. Disable TLS 1.0, TLS 1.1

оследнее, на что мы пойдем, — это строгая транспортная безопасность в IIS.

Эти заголовки ответа HTTP позволяют хосту указывать агенту пользователя принудительно использовать SSL на своем сайте, не завися от таких вещей, как перенаправления 301.

Вот шаги, чтобы включить это:

Exchange 2016-2019. Disable TLS 1.0, TLS 1.1

Запустите IIS, а затем щелкните веб-сайт по умолчанию, в котором отображаются все параметры, затем дважды щелкните заголовки ответа HTTP, как показано выше.

Exchange 2016-2019. Disable TLS 1.0, TLS 1.1

Откроется окно выше, как только вы дважды щелкнули значок на предыдущем шаге, нажмите кнопку добавления

Exchange 2016-2019. Disable TLS 1.0, TLS 1.1

Name: strict-transport-security

Value: max-age=31536000; includeSubdomains

После ввода нажмите ОК.

Exchange 2016-2019. Disable TLS 1.0, TLS 1.1

Как показано выше, теперь добавлен заголовок ответа.

Ранее в этой статье вы обратили внимание на то, что мы получили A для URL-адреса. Теперь с указанным выше мы достигли A +, как показано ниже, с зеленой полосой, указывающей, что он включен.

Exchange 2016-2019. Disable TLS 1.0, TLS 1.1
Оцените статью
Добавить комментарий