Exchange Server TLS hướng dẫn phần 2: cho phép TLS 1,2 và xác định khách hàng không sử dụng nó-phần 2

Tổng quan về

Trong phần 2 của chúng tôi Exchange Server TLS hướng dẫn loạt chúng tôi tập trung vào việc kích hoạt và xác nhận TLS 1,2 có thể được sử dụng máy chủ Exchange của bạn cho các kết nối đến và đi, cũng như xác định bất kỳ kết nối đến mà không dùng TLS 1,2. Khả năng xác định các kết nối đến sẽ thay đổi tùy theo phiên bản hệ điều hành Windows Server và các yếu tố khác. Phần 2 sẽ không bao gồm vô hiệu hoá TLS 1,0 hoặc TLS 1,1, cũng không vô hiệu hoá bộ mã cũ không được sử dụng. Phần 3 của loạt hướng dẫn TLS sẽ đi vào chi tiết về các chủ đề.

Assumption

Đối với phần 2 của loạt hướng dẫn TLS chúng tôi giả sử bạn đã kiểm tra máy chủ Exchange tại chỗ của bạn và áp dụng tất cả các bản Cập Nhật được gọi trong phần 1: sẵn sàng cho TLS 1,2. Vui lòng thực hiện các hoạt động được gọi ra trong phần 1 nếu bạn không trước khi di chuyển về phía trước với bất kỳ cấu hình nào được nêu trong phần 2.

Cho phép TLS 1,2

Phương pháp được sử dụng để cho phép TLS 1,2 thay đổi theo phiên bản hệ điều hành Windows Server. Một số phiên bản của Windows Server có TLS 1,2 được kích hoạt theo mặc định trong khi những người khác không. Các bước của chúng tôi sẽ, bất kể trạng thái mặc định của hệ điều hành, cấu hình TLS 1,2 vì vậy nó được kích hoạt và sẵn có cho các kết nối đến (máy chủ) và kết nối đi (khách hàng). Từ phần 1, bạn nên làm quen với các thành phần khác nhau Exchange Server dựa vào như SCHANNEL, WinHTTP và .NET. Trừ khi có quy định khác cùng một đường dẫn đăng ký được sử dụng trên tất cả các hỗ trợ hệ điều hành Windows Server.

Bật TLS 1,2 cho SCHANNEL

Tất cả các phiên bản Windows Server

Giao thức TLS được kích hoạt hoặc vô hiệu hoá trong Windows SCHANNEL bằng việc chỉnh sửa Windows Registry. Mỗi phiên bản giao thức có thể được kích hoạt hoặc vô hiệu hoá một cách độc lập. Bạn không cần phải kích hoạt hoặc vô hiệu hóa một phiên bản giao thức để kích hoạt hoặc vô hiệu hóa một phiên bản giao thức khác. Giá trị đăng ký cho phép DWORD xác định xem phiên bản giao thức có thể được sử dụng. Nếu giá trị được đặt thành 0, phiên bản giao thức không thể sử dụng, ngay cả khi nó được kích hoạt theo mặc định hoặc ứng dụng rõ ràng yêu cầu phiên bản giao thức. Nếu giá trị được đặt thành 1, phiên bản giao thức có thể được sử dụng nếu bật theo mặc định hoặc nếu ứng dụng rõ ràng yêu cầu phiên bản giao thức. Nếu giá trị không được xác định, giá trị mặc định của hệ điều hành sẽ được sử dụng. Chúng tôi khuyên bạn nên cấu hình giá trị để có trạng thái nhất quán trên máy chủ của bạn. Giá trị đăng ký DisabledByDefault DWORD xác định xem phiên bản giao thức được sử dụng theo mặc định. Thiết đặt này chỉ áp dụng khi ứng dụng không rõ ràng yêu cầu các phiên bản giao thức được sử dụng. Nếu giá trị được đặt thành 0, phiên bản giao thức sẽ có sẵn để sử dụng theo mặc định. Nếu giá trị được đặt thành 1, phiên bản giao thức sẽ không có sẵn để sử dụng theo mặc định. Nếu giá trị không được xác định, giá trị mặc định của hệ điều hành sẽ được sử dụng. Chúng tôi khuyên bạn nên cấu hình giá trị để có trạng thái nhất quán trên máy chủ của bạn. Ví dụ; xem xét điều gì xảy ra nếu TLS 1.2 giá trị được đặt thành một sự kết hợp của kích hoạt và DisabledByDefault cả đặt giá trị 1. Trong ví dụ này, một ứng dụng chỉ có thể sử dụng TLS 1,2 Nếu ứng dụng cụ thể được gọi là TLS 1,2. Nếu ứng dụng không cụ thể gọi TLS 1,2, sau đó nó sẽ không thể sử dụng TLS 1,2 như ngay cả khi giao thức được kích hoạt, nó không có trong danh sách mặc định của giao thức có sẵn. Để cho phép TLS 1,2 cho cả máy chủ (đến) và khách hàng (đi) kết nối trên một máy chủ Exchange, hãy thực hiện như sau.

1. Từ Notepad. exe, tạo một tệp văn bản có tên TLS12-Enable. reg.
2. Sao chép và dán văn bản sau vào tệp.

Phiên bản Windows Registry Editor 5.00 “D
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Client]
isabledByDefault” = DWORD: 00000000 “kí
ch hoạt” = DWORD: 00000001
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Server]
“DisabledByDefault” = DWORD: 00000000 “
kích hoạt” = DWORD: 00000001

1. Lưu TLS12-Enable. reg.
2. Bấm đúp vào tệp TLS12-Enable. reg.
3. Bấm có để cập nhật Windows Registry của bạn với những thay đổi này.
4. Khởi động lại máy để các thay đổi có hiệu lực.

Bật TLS 1,2 cho .NET 3,5

Bước này chỉ cần thiết cho cài đặt Exchange Server 2010 khi .NET 3,5 được dựa trên. Exchange Server 2013 hoặc cài đặt sau này có thể bỏ qua bước này trừ khi bạn có các ứng dụng trên máy chủ sử dụng .NET 3,5 mà phải có thể dùng TLS 1,2. Giá trị đăng ký SystemDefaultTlsVersions xác định các phiên bản giao thức bảo mật sẽ được sử dụng .NET Framework 3,5. Nếu giá trị được đặt thành 0, thì .NET Framework 3,5 sẽ mặc định sử dụng SSL 3,0 hoặc TLS 1,0. Nếu giá trị được đặt thành 1, sau đó .NET Framework 3,5 sẽ kế thừa của nó mặc định từ giá trị đăng ký Windows SCHANNEL DisabledByDefault. Nếu giá trị là undefined, nó sẽ hoạt động như nếu giá trị được đặt thành 0. Bằng cách cấu hình .NET Framework 3,5 kế thừa giá trị từ SCHANNEL chúng tôi có khả năng sử dụng TLS 1,2.

1. Từ Notepad. exe, tạo một tệp văn bản có tên NET35-UseSchannelDefaults. reg.
2. Sao chép, và sau đó dán văn bản sau.

Phiên bản Windows Registry Editor 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoft.NETFrameworkv2.0.50727]
“SystemDefaultTlsVersions” = DWORD: 00000001
[HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoft.NETFrameworkv2.0.50727]
“SystemDefaultTlsVersions” = DWORD: 00000001

1. Lưu tệp NET35-UseSchannelDefaults. reg.
2. Bấm đúp vào tệp NET35-UseSchannelDefaults. reg.
3. Bấm có để cập nhật Windows Registry của bạn với những thay đổi này.
4. Khởi động lại máy tính của bạn để thay đổi có hiệu lực.

Bật TLS 1,2 cho .NET 4. x

Bước này chỉ cần thiết cho Exchange Server 2013 hoặc cài đặt sau khi .NET 4. x dựa trên. Giá trị đăng ký SystemDefaultTlsVersions xác định các phiên bản giao thức bảo mật sẽ được sử dụng .NET Framework 4. x. Nếu giá trị được đặt thành 1, thì .NET Framework 4. x sẽ kế thừa của nó mặc định từ giá trị đăng ký Windows SCHANNEL DisabledByDefault. Nếu giá trị là undefined, nó sẽ hoạt động như nếu giá trị được đặt thành 0. Cấu hình .NET Framework 4. x kế thừa giá trị từ SCHANNEL chúng tôi có khả năng sử dụng phiên bản mới nhất của TLS hỗ trợ hệ điều hành, bao gồm TLS 1,2.

1. Từ Notepad. exe, tạo một tệp văn bản có tên NET4X-UseSchannelDefaults. reg.
2. Sao chép, và sau đó dán văn bản sau.

Phiên bản Windows Registry Editor 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoft.NETFrameworkv4.0.30319]
“SystemDefaultTlsVersions” = DWORD: 00000001
[HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoft.NETFrameworkv4.0.30319]
“SystemDefaultTlsVersions” = DWORD: 00000001

1. Lưu tệp NET4X-UseSchannelDefaults. reg.
2. Bấm đúp vào tệp NET4X-UseSchannelDefaults. reg.
3. Bấm có để cập nhật Windows Registry của bạn với những thay đổi này.
4. Khởi động lại máy tính của bạn để thay đổi có hiệu lực.

Lưu ý: khi cấu hình hệ thống TLS 1,2, bạn có thể làm cho các khoá đăng ký SCHANNEL và .NET cùng một lúc và khởi động lại máy chủ một lần.

Phê chuẩn TLS 1,2 sử dụng và xác định các kết nối đến cũ.

Sau khi TLS 1,2 đã được kích hoạt có thể hữu ích để xác nhận công việc của bạn đã thành công và hệ thống có thể thương lượng TLS 1,2 kết nối đến (máy chủ) và đi (khách hàng) kết nối. Chúng tôi sẽ cung cấp một vài phương pháp để xác nhận điều này.

Giao thức dựa trên HTTP

Nhiều giao thức được sử dụng trong Exchange Server là dựa trên HTTP, và do đó đi qua các quy trình IIS trên máy chủ Exchange. MAPI/HTTP, Outlook Anywhere, Dịch vụ Web Exchange, Exchange ActiveSync, phần còn lại, OWA & EAC, tải xuống sổ địa chỉ gián tuyến và tự động phát hiện là ví dụ về các giao thức dựa trên HTTP được sử dụng bởi Exchange Server.

Windows Server 2016 và Windows Server 2012 R2

Nhóm IIS có thêm khả năng cho Windows Server 2016 và Windows Server 2012 R2 để đăng nhập trường tuỳ chỉnh liên quan đến phiên bản giao thức mã hóa và ciphers. Chúng tôi khuyên bạn nên xem lại blog sau đây để có tài liệu về cách kích hoạt các trường tùy chỉnh và bắt đầu phân tích cú pháp Nhật ký để biết thông tin về các kết nối đến trong môi trường của bạn liên quan đến giao thức dựa trên HTTP. https://cloudblogs.microsoft.com/microsoftsecure/2017/09/07/new-iis-functionality-to-help-identify-w…

Windows Server 2008 đến 2012

Thật không may, các trường tuỳ chỉnh IIS đã đề cập ở trên không tồn tại cho Windows Server 2008 SP2 thông qua Windows Server 2012. Bạn có thể phải dựa vào phương pháp thay thế để xác nhận TLS 1,2 đang sử dụng trên các phiên bản của Windows Server cho giao thức dựa trên HTTP. Các Nhật ký tường lửa hoặc cân bằng tải của bạn có thể cung cấp thông tin này. Vui lòng yêu cầu hướng dẫn từ nhà cung cấp của bạn để xác định liệu Nhật ký của họ có thể cung cấp thông tin này.

Tiêu đề thư (Exchange Server 2016 chỉ)

Dữ liệu tiêu đề thư trong Exchange Server 2016 cung cấp giao thức thương lượng và sử dụng khi gửi và nhận máy chủ trao đổi một phần của thư. Trong khi đây là một phương pháp thủ công hơn kiểm tra như thế nào thư đến nó có thể được sử dụng để thử nghiệm giữa các hệ thống cụ thể trong một pinch. Ví dụ khi xem dữ liệu tiêu đề thư thông qua phân tích tiêu đề thư tại https://testconnectivity.microsoft.com

Lưu ý: có một ngoại lệ được biết đến tiêu đề thư ví dụ. Khi khách hàng gửi thư bằng cách kết nối với máy chủ sử dụng xác thực SMTP (còn được gọi là giao thức gửi khách SMTP), phiên bản TLS trong tiêu đề thư không hiển thị phiên bản TLS chính xác được sử dụng bởi khách hàng hoặc thiết bị. Microsoft đang điều tra khả năng thêm thông tin này trong bản Cập Nhật trong tương lai.

Luồng thư qua ghi nhật ký SMTP

Nhật ký SMTP trong Exchange 2010 thông qua Exchange 2016 sẽ chứa các giao thức mã hóa và mã hóa liên quan đến thông tin được sử dụng trong quá trình trao đổi email giữa hai hệ thống. Khi máy chủ SMTP nhận hệ thống, Chuỗi sau tồn tại trong Nhật ký tùy thuộc vào phiên bản TLS được sử dụng.

• Giao thức TLS SP_PROT_TLS1_0_SERVER
• Giao thức TLS SP_PROT_TLS1_1_SERVER
• Giao thức TLS SP_PROT_TLS1_2_SERVER

Khi máy chủ SMTP gửi hệ thống, Chuỗi sau tồn tại trong Nhật ký tùy thuộc vào phiên bản TLS được sử dụng.

• Giao thức TLS SP_PROT-TLS1_0_CLIENT
• Giao thức TLS SP_PROT-TLS1_1_CLIENT
• Giao thức TLS SP_PROT-TLS1_2_CLIENT

Ví dụ mục từ Exchange Server 2010

Máy chủ gửi thư đến một hệ thống bằng cách sử dụng TLS 1,2:

2018-02-22T13:53:10.494 Z,<CONNECTORNAME>, 08D578eb9c3f6c39, 28, 10.0.0.240:15443, 192.168.1.42:25, *,, “giao thức TLS SP_PROT_TLS1_2_CLIENT đàm phán thành công sử dụng thuật toán mã hóa số lượng lớn CALG_AES_256 với sức mạnh 256 bit, thuật toán BĂM MAC CALG_SHA_384 với sức mạnh 384 Bits và khóa trao đổi thuật toán CALG_ECDHE với sức mạnh 384 bit 1,2</CONNECTORNAME>

2018-02-22T13:50:37.681 Z, SERVERNAMECONNECTORNAME Internet, 07C578BB0E912319, 22, 10.0.0.241:25, 192.168.1.102:63767, *,, “giao thức TLS SP_PROT_TLS1_2_SERVER đàm phán thành công sử dụng thuật toán mã hóa số lượng lớn CALG_AES_256 với sức mạnh 256 bit, thuật toán băm MAC CALG_SHA_384 với sức mạnh 384 bit và thuật toán trao đổi khóa CALG_ECDHE với sức mạnh 256 bit “

POP/IMAP

Đăng nhập không tồn tại mà sẽ lộ Phiên bản giao thức mã hóa được sử dụng cho khách hàng POP & IMAP. Để nắm bắt thông tin này, bạn có thể cần phải chụp Nhật ký Netmon từ máy chủ của bạn hoặc kiểm tra lưu lượng truy cập khi nó chảy qua cân bằng tải hoặc tường lửa của bạn, nơi chuyển nối HTTPS đang diễn ra.

Nguồn IP obfuscation và xác định khách hàng sử dụng phiên bản cũ TLS giao thức.

Trong nhiều triển khai kết nối khách hàng thời gian đến máy chủ Exchange, nguồn IP của kết nối khách hàng đã được thay thế bằng địa chỉ IP của cân bằng tải hoặc tường lửa của bạn. Trong khi bạn vẫn có thể xác định nếu TLS 1,2 đang được sử dụng kết nối và xác nhận máy chủ của bạn hoạt động đúng cách, bạn có thể xác định chính xác những gì máy chịu trách nhiệm kết nối khách hàng nếu nó vẫn đang sử dụng TLS cũ Phiên bản giao thức. Trong trường hợp này, bạn có thể cần phải yêu cầu hướng dẫn từ nhà cung cấp của bạn cân bằng tải tường lửa để có thể phân tích các bản ghi của các thiết bị để tìm IP thực sự của kết nối đến, vì vậy bạn có thể đảm bảo rằng các máy cũng được Cập Nhật và cấu hình đúng.

Xem xét bổ sung

Có nhiều cân nhắc ngoài Exchange Server khi thực hiện bất kỳ thay đổi thiết đặt mật mã trong một môi trường. Những cân nhắc như (nhưng không giới hạn):

• Bộ điều khiển miền và máy chủ danh mục chung hỗ trợ TLS 1,2?
• Làm các ứng dụng đối tác (chẳng hạn như, nhưng không giới hạn, SharePoint, Lync, Skype, vv…) hỗ trợ TLS 1,2?
• Bạn đã cập nhật cũ hơn Windows 7 máy tính để bàn sử dụng Outlook để hỗ trợ TLS 1,2 qua WinHTTP?
• Cân bằng tải của bạn có hỗ trợ TLS 1,2 được sử dụng không?
• Làm máy tính để bàn, điện thoại di động và các ứng dụng trình duyệt của bạn hỗ trợ TLS 1,2?
• Các thiết bị như máy in đa chức năng hỗ trợ TLS 1,2?
• Làm của bạn bên thứ ba hoặc tuỳ chỉnh trong nhà ứng dụng tích hợp với Exchange Server hoặc Office 356 hỗ trợ TLS 1,2?

Điểm để mang về nhà ở đây là trong khi chúng tôi có thể cung cấp hướng dẫn để tương tác với Office 365, Exchange Server và các sản phẩm khác của Microsoft-chúng tôi không thể đảm bảo mọi thứ trong môi trường của bạn sẽ không bị ảnh hưởng. Như vậy, chúng tôi đề nghị bất kỳ bước nào bạn thực hiện để chuyển đổi sang TLS 1,2 và tránh xa các giao thức bảo mật cũ hơn lần đầu tiên được biểu diễn trong các phòng thí nghiệm mô phỏng môi trường sản xuất của bạn trước khi bạn bắt đầu lăn chúng ra trong sản xuất.

Hành động Items

Cấu hình máy chủ Exchange của bạn để họ có thể sử dụng TLS 1,2 cho kết nối đến và đi bằng cách sử dụng các bước được cung cấp và xác nhận giao thức chủ động đang được sử dụng. Bắt đầu xác định kết nối đến sử dụng các phiên bản cũ của TLS sau TLS 1,2 đã được kích hoạt và lập kế hoạch cho các khách hàng nếu bạn muốn vô hiệu hoá cũ TLS giao thức phiên bản. Hãy nhớ rằng, một “khách hàng” trong các điều khoản này có thể là một thiết bị máy chủ khác nhưng khi chúng ta thấy nó như một kết nối đến với một máy chủ Exchange, chúng tôi xem xét các máy chủ bắt đầu kết nối được hoạt động trong vai trò của một khách hàng. Triển khai phiên bản mới nhất cho Exchange 2010, Exchange 2013 và Exchange 2016 phát hành vào tháng 3 2018. Các bản phát hành là người đầu tiên hỗ trợ tắt TLS 1,0 và TLS 1,1. Hướng dẫn về cách làm điều này sẽ được làm sẵn có trong phần 3 của loạt bài đăng blog.

Xem xét

Với thực hiện đúng, bạn sẽ có thể kích hoạt giao thức TLS 1,2 trên bất kỳ máy chủ Exchange chạy một Exchange Server tích lũy hoặc Cập Nhật phát hành sau ngày 1, 2017 cài đặt trên OS’es như xa trở lại như Windows Server 2008 SP2. Với tất cả các máy chủ Exchange của bạn có thể sử dụng TLS 1,2 cho các kết nối đến và đi bạn nên chuẩn bị tốt cho các thiết lập sunsetting của giao thức TLS cũ. Quan trọng không kém là sự hiểu biết những gì các kết nối đến trong môi trường của bạn không sử dụng TLS 1,2 bây giờ mà nó có sẵn và xây dựng một kế hoạch cho mỗi người trong số các hệ thống nếu bạn có ý định vô hiệu hóa các giao thức TLS cũ hơn. Brian ngày cao cấp chương trình quản lý văn phòng 365 khách hàng kinh nghiệm