Exchange 2016: блокировка устаревших протоколов с помощью IISCrypto 2.0
https://www.nartac.com/Products/IISCrypto/Download
Эта статья посвящена экспериментам с блокировкой и закрытием дыр в Cipher Suite в SSL.
Вот список пунктов, которые мы прошли:
- IIS Crypto проверить и настроить.
- Проверка сайта SSL Labs.
- Проверка и валидация SSL-сертификата.
- Строгая транспортная безопасность — IIS
Во-первых, я скачал IIS Crypto 2.0 с программного обеспечения Nartac и обновил на Schannel следующее:
Протоколы: у меня включен только TLS 1.2.
Шифры: последние 3 были выбраны.
Хеши: я достал MD5 из-за атаки на него.
Обмен ключами: Диффи-Хеллман получает множество плохих отзывов при проверке SSL, поэтому он не отмечен.
Я применил конфигурацию и перешел к опции Cipher Suites, как показано ниже:
Как вы можете видеть выше, был выбран только TLS_ECDHE.
После внесения изменений сервер Exchange был перезагружен. Нет ошибок при входе.
Следующие тесты были выполнены на Exchange и клиенте:
- Протестировано существующее клиентское соединение, нет ошибок при подключении к Exchange 2016.
- Создан новый профиль, без ошибок.
- Мигрировал почтовый ящик, а затем вошел в профиль, без ошибок.
- Протестированный почтовый поток, как внутри, так и снаружи.
- Проверено автообнаружение, ошибок не получено.
- Запускал тесты на сайте Microsoft Test Connectivity, ошибок тоже нет.
Следующая часть упражнения заключалась в проверке лабораторий SSL на наличие ошибок. Вы можете зайти на сайт и проверить свой URL и посмотреть, что он сообщает. После того, как вы введете URL-адрес, он выполнит проверку и выставит вам оценки по вашим шифрам, ssl-сертификату и т. Д. Ниже приведен пример, на который вы можете указать любые ошибки:
оследнее, на что мы пойдем, — это строгая транспортная безопасность в IIS.
Эти заголовки ответа HTTP позволяют хосту указывать агенту пользователя принудительно использовать SSL на своем сайте, не завися от таких вещей, как перенаправления 301.
Вот шаги, чтобы включить это:
Запустите IIS, а затем щелкните веб-сайт по умолчанию, в котором отображаются все параметры, затем дважды щелкните заголовки ответа HTTP, как показано выше.
Откроется окно выше, как только вы дважды щелкнули значок на предыдущем шаге, нажмите кнопку добавления
Name: strict-transport-security
Value: max-age=31536000; includeSubdomains
После ввода нажмите ОК.
Как показано выше, теперь добавлен заголовок ответа.
Ранее в этой статье вы обратили внимание на то, что мы получили A для URL-адреса. Теперь с указанным выше мы достигли A +, как показано ниже, с зеленой полосой, указывающей, что он включен.
