Exchange Server TLS hướng dẫn phần 3: tắt TLS 1.0/1.1
Contents
Tổng quan về
Trong phần 3 của chúng tôi Exchange Server TLS hướng dẫn dòng, chúng tôi giới thiệu làm thế nào để tắt TLS 1,0 và 1,1 trong triển khai Exchange Server của bạn. Tắt TLS 1,0 và 1,1 có thể là một sự kiện rất gây rối nếu không được lên kế hoạch và thực hiện đúng cách. Nhóm Exchange tin rằng đó là thời gian cho hệ sinh thái để ôm trọn hoàn toàn TLS 1,2, nhưng thúc giục bạn tiến hành thận trọng khi vô hiệu hóa TLS 1,0 và 1,1. Điều này bao gồm sự hiểu biết và chuẩn bị để đảo ngược các bước cấu hình nếu cần thiết.
Assumption
Trước khi vô hiệu hoá TLS 1,0 và 1,1, điều quan trọng là bạn đã hoàn tất các bước được nêu trong phần 1: sẵn sàng cho TLS 1,2 và phần 2: cho phép TLS 1,2 và xác định khách hàng không sử dụng nó. Không tiến hành cho đến khi bạn đã hoàn tất các bước trên tất cả các máy chủ Exchange, đã đọc tất cả phần 3 (bài đăng này) và hiểu các tác động của việc vô hiệu hoá TLS 1,0 và 1,1.
Vô hiệu hoá TLS 1,0 và 1,1
Chúng tôi đã cố gắng đơn giản hóa việc áp dụng các phiên bản mới hơn của TLS bởi sắp xếp Exchange cấu hình khả năng hệ điều hành. Trong Exchange Server 2016 và sau đó, Exchange hoàn toàn kế thừa khả năng của hệ điều hành trên nền tảng nơi Exchange được cài đặt. Exchange Server 2013 hoạt động giống như Exchange 2016 ngoại trừ POP và IMAP. Exchange 2010 có một hạn chế tương tự cho POP và IMAP nhưng hoạt động khác với Exchange 2013 (xem phần về POP và IMAP bên dưới). Các bước được sử dụng để vô hiệu hoá TLS 1,0 và 1,1 nêu dưới đây sẽ áp dụng cho các chức năng Exchange sau:
- Giao thức truyền tải thư đơn giản
- Kết nối máy khách Outlook
- Đồng bộ hoá hoạt động Exchange
- Outlook trên web (và Outlook Web App/Outlook Web Access trong các phiên bản trước của Exchange)
- Trung tâm quản trị Exchange và Pa-nen điều khiển Exchange
- Autodiscover
- Dịch vụ Web Exchange (và đặc trưng nhà nước chuyển “phần còn lại” nơi thực hiện)
- Sử dụng PowerShell bằng Exchange qua HTTPS
- POP và IMAP (Exchange Server 2013 và chỉ sau)
Vô hiệu hoá TLS 1,0 và 1,1 trong SChannel
Tất cả các phiên bản Windows Server
Trong phần 2, chúng tôi giới thiệu cách bật TLS 1,2 trong Windows SChannel bằng cách sử dụng Windows Registry. Để vô hiệu hoá TLS 1,0 và 1,1 bạn sử dụng cùng một mục DWORD cho phép và DisabledByDefault, nhưng với các giá trị khác nhau. Quản trị viên phải sửa đổi phần TLS 1,0 và TLS 1,1 của phần đăng ký SChannel và tắt giao thức thay vì bật chúng. Để vô hiệu hoá TLS 1,0 cho cả máy chủ (đến) và kết nối khách hàng (bên ngoài) trên một máy chủ Exchange thực hiện như sau: 1. Từ Notepad. exe, tạo một tệp văn bản có tên TLS10-Disable. reg. 2. Sao chép và dán văn bản sau vào tệp.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
“DisabledByDefault”=dword:00000001
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
“DisabledByDefault”=dword:00000001
“Enabled”=dword:000000003. Lưu TLS10-Disable. reg. 4. Bấm đúp vào tệp TLS10-Disable. reg. 5. Bấm có để cập nhật Windows Registry của bạn với những thay đổi này. 6. Khởi động lại máy để các thay đổi có hiệu lực. Để vô hiệu hoá TLS 1,1 cho cả máy chủ (đến) và kết nối khách (bên ngoài) trên máy chủ Exchange, hãy thực hiện như sau: 1. Từ Notepad. exe, tạo một tệp văn bản có tên TLS11-Disable. reg. 2. Sao chép và dán văn bản sau vào tệp.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
“DisabledByDefault”=dword:00000001
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
“DisabledByDefault”=dword:00000001
“Enabled”=dword:000000003. Lưu TLS11-Disable. reg. 4. Bấm đúp vào tệp TLS11-Disable. reg. 5. Bấm có để cập nhật Windows Registry của bạn với những thay đổi này. 6. Khởi động lại máy để các thay đổi có hiệu lực.
Về POP/IMAP
Máy chủ Exchange 2010
Bản cập nhật sản phẩm Exchange cho phép POP/IMAP tự động tiêu thụ hệ điều hành SChannel cấu hình cài đặt cho các kết nối POP/IMAP không có sẵn trong Exchange Server 2010. POP/IMAP vẫn phụ thuộc vào cấu hình SChannel, nhưng được mã hoá cứng để cho phép TLS 1,0 hoặc SSL 3,0 thương lượng chỉ trong Exchange Server 2010. Ngày đăng cho mục này, nếu TLS 1,0 bị vô hiệu hoá SChannel, khách hàng sẽ dự và cố gắng thương lượng SSL 3,0. Nếu SSL 3,0 bị vô hiệu hoá, khách hàng đàm phán sẽ thất bại. Không có kế hoạch hiện tại để thay đổi hành vi của sản phẩm này. Microsoft thực hiện TLS 1,0 không có lỗ hổng đã biết nhưng sử dụng SSL 3,0 được khuyến khích mạnh mẽ. Khách hàng cần đảm bảo rằng TLS 1,2 được sử dụng cho lưu lượng SMTP/HTTPS có thể cần phải thêm máy chủ đặc biệt cấu hình để hỗ trợ TLS 1,0 chỉ cho POP/IMAP nếu cần thiết trong môi trường của họ.
Lưu ý: chúng tôi giả định rằng hầu hết khách hàng đã vô hiệu hoá SSL 3,0. Nếu không, quá trình sử dụng để vô hiệu hóa SSL 3,0 có thể được tìm thấy tại support.microsoft.com.
Máy chủ Exchange 2013
Tương tự như Exchange Server 2010, POP/IMAP trên Exchange Server 2013 không tự động kế thừa cài đặt SChannel hệ điều hành. Giao thức POP/IMAP được mã hoá cứng để thương lượng TLS 1,2 trong Exchange Server 2013. Điều này có nghĩa là khách hàng có thể tiến hành vô hiệu hoá TLS 1,0 và 1,1 trên Exchange Server 2013. Nó không chắc, nhưng nếu TLS 1,3 (hoặc mới hơn) hỗ trợ được thêm vào hệ điều hành được hỗ trợ bởi Exchange Server 2013, khách hàng sẽ cần phải xác định làm thế nào để tiến hành xuất bản điểm cuối đáp ứng yêu cầu của họ.
Xem xét .NET và các ứng dụng khác trên một máy chủ Exchange
Các bước nêu trong loạt bài này địa chỉ Mã sản phẩm Exchange chạy trên máy chủ Exchange. Hướng dẫn được cung cấp đại diện cho các hành động và các bước để cho phép Exchange thành công thương lượng TLS 1,2. Các bài viết cụ thể cho .NET có thể tham khảo các hành động bổ sung, ví dụ: việc sử dụng SchUseStrongCrypto. Trao đổi chỉ yêu cầu sử dụng SystemDefaultTlsVersions giới thiệu trong phần 2 của loạt bài này. Chúng tôi đã làm việc với nhóm .NET để đảm bảo rằng việc sử dụng các thiết đặt .NET không xung đột với cách Exchange đã được phát triển và cách tiếp cận của chúng tôi để tự động kế thừa các khả năng hệ điều hành. Nó là hoàn toàn có thể các ứng dụng khác được phát triển trên .NET Framework được triển khai trên một máy chủ Exchange có thể yêu cầu cấu hình bổ sung. Khách hàng nên làm việc với ISV cho bất kỳ ứng dụng cài đặt trên máy chủ Exchange để hiểu yêu cầu cụ thể của ứng dụng.
Tóm tắt
Điều này kết thúc loạt bài về cách bật TLS 1,2 trên Exchange Server và vô hiệu hoá các phiên bản cũ hơn TLS. Với quy hoạch và thực hiện thích hợp, khách hàng sẽ có thể chuyển đổi thành công sang TLS 1,2. Chúng tôi khuyến khích bạn hoàn thành điều này trên tất cả các máy chủ Exchange của bạn càng sớm càng tốt. Chúng tôi giới thiệu chủ đề mật mã như là một phần của cuộc thảo luận về mã hóa TLS khi chúng tôi bắt đầu loạt bài này. Đó là ý định của chúng tôi trong tương lai gần để cung cấp hướng dẫn bổ sung cho khách hàng về mã hóa và băm thuật toán mà chúng tôi khuyên bạn nên được sử dụng để giao tiếp tốt nhất an toàn Exchange Server. Để bây giờ, hãy tận hưởng những cải tiến mà TLS 1,2 có thể cung cấp và kiểm tra điều này khỏi danh sách các việc cần làm với máy chủ Exchange của bạn. Một món nợ rất lớn của lòng biết ơn đi đến Scott Landry, Brent Alinger, Chris Schrimsher, Arindam Thokder và những người khác để kết hợp nhiều nỗ lực của công việc vào loạt bài đăng này. Nhóm Exchange.