addy0604 11 Geschrieben 28. März 2019 Melden Teilen Geschrieben 28. März 2019 Hallo zusammen, ich bin momentan etwas ratlos und weiß nicht so richtig wo das Problem sein soll. Wir haben von einem Dienstleister einen externen Penetrationstest durchführen lassen. Der hat angemosert, das auf dem Mail-Server noch TLS 1.0 aktiv ist. Also hab ich es einfach mal über die Registry deaktiviert. HKLM\System\CurrentControleSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server - DisabledByDefault 1 - Enabled 0 Nach einem Neustart war keine Verbindung mehr vom Outlook 2016 Client mehr zum Server möglich. Auch das Löschen des Profils und neu Hinzufügen klappt nicht: Es steht keine verschlüsselte Verbindung mit Ihrem E-Mail-Server zur Verfügung. Mit einem Klick auf weiter kommt die Meldung: Probleme beim Herstellen einer Verbindung mit ihrem Konto.... Wenn ich die Änderungen in der Registry rückgängig mache läuft alles wieder reibungslos wie bisher. Hier mal meine Umgebung: Ganz normale Windows-Domäne. Seit letzten Sommer haben wir einen Exchange 2016 mit CU10 auf Windows Server 2012 R2 (Migration von Exchange 2010) Alle Clients laufen auf Windows 7 mit Office 2016 HB bzw. Standard. Autodiscover läuft normal, Verbindungsstatus zeigt keine Auffälligkeiten, Protokoll http, Verschlüsseln ssl etc. Ich habe gerade gesehen, das auf den Clients noch TLS 1.0 aktiv ist. Kann das damit zusammen hängen? Ich hatte es vor einigen Monaten mal per GPO ausgeschaltet. Da es einige Zugriffsprobleme zu internen und externen Seiten gab hatte ich es wieder aktiviert... Grüße Matthias Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 28. März 2019 Melden Teilen Geschrieben 28. März 2019 Warum CU10? Mittlerweile ist das CU12 schon längere Zeit draußen... Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 28. März 2019 Melden Teilen Geschrieben 28. März 2019 vor 8 Minuten schrieb addy0604: Alle Clients laufen auf Windows 7 mit Office 2016 HB bzw. Standard. Dann hätte der Dienstleister ja such mitteilen können, dass Windows 7 per default nur tls 1.0 spricht. :| https://support.microsoft.com/en-us/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-default-secure-protocols-in-wi vor 2 Minuten schrieb Nobbyaushb: Warum CU10? Mittlerweile ist das CU12 schon längere Zeit draußen... Weil der Dienstleister bestimmt sagte: warten Sie mal aufs nächste Servicepack ;) man man man... 1 Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 28. März 2019 Melden Teilen Geschrieben 28. März 2019 Die Penetrationstester reiten bei interner Kommunikation zu sehr auf SSL rum. In Systeme eindringen geht echt einfacher. Da muss man keine Switche hacken, um an den "schwachen" SSL-Datenstrom zu kommen. Lustigerweise sind HTTP-Server ohne "s" im lokalen Netz ok. Aber wenn man SSL3.0 oder TLS1.0 benutzt... Zitieren Link zu diesem Kommentar
addy0604 11 Geschrieben 28. März 2019 Autor Melden Teilen Geschrieben 28. März 2019 Hmmm, ich bin mal blauäugig davon ausgegangen, das Win7 auch TLS 1.1 und TLS 1.2 verwendet, wenn man schon in den Internetoptionen einen Haken bei "TLS 1.1 verwenden" und "TLS 1.2 verwenden" setzen kann. Dem scheint ja nicht so zu sein... ich schau mir den Artikel von Microsoft mal genauer an... vielen Dank schon mal für den Tipp Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 28. März 2019 Melden Teilen Geschrieben 28. März 2019 vor 35 Minuten schrieb addy0604: Hmmm, ich bin mal blauäugig davon ausgegangen, das Win7 auch TLS 1.1 und TLS 1.2 verwendet, wenn man schon in den Internetoptionen einen Haken bei "TLS 1.1 verwenden" und "TLS 1.2 verwenden" Tja so ist das mit den blauen Augen ;) Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 28. März 2019 Melden Teilen Geschrieben 28. März 2019 vor einer Stunde schrieb NorbertFe: Tja so ist das mit den blauen Augen ;) Die sind doch super schön anzusehen :P Zitieren Link zu diesem Kommentar
gelöscht 0 Geschrieben 28. März 2019 Melden Teilen Geschrieben 28. März 2019 Man hätte ja auch nach dem serverseitigen Aktivieren von 1.1/1.2 und vor dem Deaktivieren von 1.0 sehen können, dass diverse Clients diverse Clients noch immer mit 1.0 verbinden. ASR Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 28. März 2019 Melden Teilen Geschrieben 28. März 2019 ;) hätte... Zitieren Link zu diesem Kommentar
gelöscht 0 Geschrieben 28. März 2019 Melden Teilen Geschrieben 28. März 2019 vor 1 Minute schrieb NorbertFe: ;) hätte... genau :) Oder jemanden fragen der sich mit sowas auskennt... Diese "Penetrationstest" Typen die von sonst nichts eine Ahnung haben, werden gefühlt zu einer kleinen Pest. ASR Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 28. März 2019 Melden Teilen Geschrieben 28. März 2019 Oder in der Testumgebung testen (wenn es keine Testumgebung gibt, dann war es eben der Test in der Testumgebung und es gibt keine Prod. Umgebung). Zitieren Link zu diesem Kommentar
NilsK 2.936 Geschrieben 28. März 2019 Melden Teilen Geschrieben 28. März 2019 Moin, naja ... alles, was wir darüber wissen, ist: Zitat Der hat angemosert, das auf dem Mail-Server noch TLS 1.0 aktiv ist. Der TO hat nicht behauptet, dass der Tester eingefordert habe, das mal eben so abzuschalten. Und mal ehrlich: Wenn ein externer Pentester auf so einen Befund nicht hinweisen würde, wäre es nicht okay. Er ist schließlich Pentester und nicht Exchange-Dienstleister. Also, wo liegt jetzt das Problem? Und woher nehmen wir hier die Gewissheit, dass der Tester nicht gut arbeite? Gruß, Nils Zitieren Link zu diesem Kommentar
addy0604 11 Geschrieben 28. März 2019 Autor Melden Teilen Geschrieben 28. März 2019 Wie Nils schon richtig vermutet hat, hat der Pentester uns einfach nur darauf hingewiesen, das TLS 1.0 noch aktiv ist. Also hab ich es mal abgeschaltet, ist schließlich auch Teil von diversen Anleitungen für das "Härten" von Exchange, und bin daraufhin auf das oben genannte Problem gestoßen. Klar könnte ich es bei TLS 1.0 belassen, funktioniert ja, aber es würde mir bei jedem Test wieder vor die Füße fallen, und so ein klein bissl Ehrgeiz hat man ja auch noch... Ich hab mir mal die Registry-Key von der Microsoft-Seite herausgeschrieben und eine Reg-Datei gebaut. Ich teste das heute Abend mal und gebe euch morgen Bescheid... Grüße Matthias Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 28. März 2019 Melden Teilen Geschrieben 28. März 2019 Du brauchst aber zwingend auch das Update und nicht nur die registry Einträge. Zitieren Link zu diesem Kommentar
addy0604 11 Geschrieben 28. März 2019 Autor Melden Teilen Geschrieben 28. März 2019 Welches Update meinst du? Auf der Microsoft-Seite sehe ich nur: To apply this update, the DefaultSecureProtocols registry subkey must be added.Note To do this, you can add the registry subkey manually or install the "Easy fix" to populate the registry subkey. Das liest sich für mich so, als wenn ich entweder die Einträge manuell vornehme oder automatisch von einem "Easy fix" eintragen lasse. Es ist zwar noch von einem hotfix-installer die Rede... Note The hotfix installer doesn't add the DefaultSecureProtocols value. The administrator must manually add the entry after determining the override protocols. Or, you can install the "Easy fix" to add the entry automatically. ... aber einen Download-Button oder eine KB-Nummer hab ich nicht gefunden... oder bin ich blind? Ich habe jedenfalls mal diese Einträge für das Reg-File zusammengestellt: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings] "SecureProtocols"=dword:00000a80 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "SecureProtocols"=dword:00000a80 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp] "DefaultSecureProtocols"=dword:00000a00 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp] "DefaultSecureProtocols"=dword:00000a00 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.