none
Exchange 2010 TLS / PFS unterstuetzung RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    leider faellt es mir schwer herauszufinden welche Verschluesselung mit Exchange 2010 genutzt werden kann.
    Ab 2k7 wird ja wohl nicht mehr die OS Komponente genutzt die z.B. unter Server 2008 R2 auch TLS 1.2 koennte.

    Informationen welche Version von TLS (1.0, 1.1, 1.2) und welche Ciphers nutzbar sind finde ich leider nicht.

    Speziell auch bei welchem Patchlevel (SP, UR) von 2010 evtl. erweitert wurde.

    Daher die Frage ob wer dazu gesicherte Informationen hat die er hier teilen kann ?

    Dienstag, 30. September 2014 09:51
    |

Antworten

  • Question
    Anmelden
    2
    Anmelden

    Das Thema hatten wir doch erst vor 2 Tagen, sucht hier niemand im Forum...

    http://social.technet.microsoft.com/Forums/de-DE/e7483118-5ec9-4d92-8011-2770f2387c8e/ex2010-pfs-verstndnisfrage?forum=exchange_serverde

    Kurze Zusammenfassung:

    Es geht bei 2010 und 2013 mit TLS 1.0 und den Ciphern die Windows so mitbringt. Konfigurieren kann man es entweder per Hand (http://support2.microsoft.com/default.aspx?scid=kb;EN-US;245030) oder man nutzt das Tool IISCrypto (https://www.nartac.com/Products/IISCrypto)

    Grüße

    Jörg


    Dienstag, 30. September 2014 10:01
    |

Alle Antworten

  • Question
    Anmelden
    2
    Anmelden

    Das Thema hatten wir doch erst vor 2 Tagen, sucht hier niemand im Forum...

    http://social.technet.microsoft.com/Forums/de-DE/e7483118-5ec9-4d92-8011-2770f2387c8e/ex2010-pfs-verstndnisfrage?forum=exchange_serverde

    Kurze Zusammenfassung:

    Es geht bei 2010 und 2013 mit TLS 1.0 und den Ciphern die Windows so mitbringt. Konfigurieren kann man es entweder per Hand (http://support2.microsoft.com/default.aspx?scid=kb;EN-US;245030) oder man nutzt das Tool IISCrypto (https://www.nartac.com/Products/IISCrypto)

    Grüße

    Jörg


    Dienstag, 30. September 2014 10:01
    |
  • Question
    Anmelden
    1
    Anmelden

    Erst mal danke fuer die Antwort/Zusammenfassung.

    Schade das es keine wirklichen / Offiziellen Aussagen zum Thema gibt.

    --------------

    Zitat

    DHE deutet eigentlich auf PFS hin (http://en.opensuse.org/openSUSE:Security_Perfect_Forward_Secrecy)

    Und hier auch die Bestätigung, dass es theoretisch mit TLS 1.0 schon geht:

    https://www.openssl.org/docs/apps/ciphers.html#TLS_v1_0_cipher_suites_

    Aber ich hatte ja oben schon gesagt, dass ich mir bei TLS sicher bin, bei PFS nicht.

    -----------

    Bleibt wohl nichts anderes uebrig als Linux davor zu setzen ...

    Dienstag, 30. September 2014 10:57
    |
  • Question
    Anmelden
    1
    Anmelden

    Ich würde immer ein irgendwie geartetes Gateway davor setzten. Seih es ein Exchange Edge, eine Appliance oder eine Linux Box mit Postfix..

    Und das ist PFS, ein anderes Ergebnis bekommst du auch mit einer Linux Box nicht...

    New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA
    Server public key is 2048 bit
    Secure Renegotiation IS supported
    Compression: NONE
    Expansion: NONE
    SSL-Session:
        Protocol  : TLSv1
        Cipher    : ECDHE-RSA-AES256-SHA

    Das gilt natürlich nur für SMTP. Für OWA etc. geht natürlich auch TLS 1.2 da der IIS benutzt wird und der kann das eben seit Windows 2008(R2). 

    Hier findest du alle unterstützen Ciphers der "schannel.dll"

    http://msdn.microsoft.com/en-us/library/windows/desktop/aa374757(v=vs.85).aspx



    Dienstag, 30. September 2014 11:12
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    woher kommt eigentlich dieser blinde Aktionismus gegenüber PFS plötzlich? Hauptsache "grün" in irgendwelchen Listen, egal, ob es war bringt, oder nicht?

    Gab es da irgendwelche Nachrichten oder Angriffe in den letzten Tage? Ich frage aus Interesse, eventuell habe ich was verpasst.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Dienstag, 30. September 2014 12:55
    |
  • Question
    Anmelden
    0
    Anmelden
    Naja war halt in den "Medien" ...
    Dienstag, 30. September 2014 16:08
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    wollte keinen neuen Thread eröffnen, aber bräuchte mal dringend Hilfe.

    Muss unbedingt PFS auf meinem Exchange 2010 aktivieren, aber bekomme es irgendwie nicht hin.

    Habe bereits mit IISCrypto jede erdenkliche Form der Ciphers ausprobiert aber jedes Mal bekomme ich über openssl nur AES256-SHA... :((((

    Sind die Ciphers noch irgendwo anders hinterlegt oder gibt es eine Art Cipher-Cache.

    Hoffe irgendjemand kann mir bald helfen, denn dass Landesamt für Datenschutz sitzt uns im Nacken und droht mit einem Ordnungswidrigkeitsverfahren, wenn wir nicht bald auf PFS umstellen.

    Hiiiilfe

    Donnerstag, 11. Juni 2015 20:09
    |
  • Question
    Anmelden
    0
    Anmelden

    Nööö egentlich nicht, IISCrypto auf Best Practice stellen und den Server neu starten.

    Grüße

    Jörg

    Freitag, 12. Juni 2015 06:20
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Jörg,

    sei versichert, wie gesagt, dass ich alle möglichen Varianten, und das schließt natürlich die Best Practice ein, nicht nur über IISCrypto, sondern auch direkt über die Registry ausprobiert habe.

    Zudem habe ich auch in der Registry und in den Gruppenrichtlinien die Einstellungen von IISCrypto jedes Mal überprüft.

    Ergebnis: Einstellungen richtig - trotzdem falsche Ciphersuite

    Nun habe ich gestern den Exchange nochmal auf den allerneuesten Stand gebracht, also update rollup  9, aber leider nur eine kleine Veränderung erreicht. Nun steht nicht mehr nur AES256-SHA als Ergebnis, jetzt steht AES256-GCM-SHA384 da. Dies ist aber immer noch kein PFS.

    Interessanterweise habe ich auch festgestellt, wenn ich komplett auf ECDHE und DHE Ciphers umstelle, bekomme ich gar keine Verbindung mehr und der OWA hängt sich ebenfalls auf.

    VG, Thomas

    Freitag, 12. Juni 2015 06:56
    |
  • Question
    Anmelden
    0
    Anmelden

    Noch eine Frage...

    Nutzt Exchange für eingehende und ausgehende Mails unterschiedliche cipher Resourcen? Komischerweise ist bei ausgehenden Mails ein TLS1.2 mit ECDHE Cipher hinterlegt und bei eingehenden der AES...

    Oder hab ich da gerade nen Verständnisknoten im Kopf?

    Freitag, 12. Juni 2015 09:20
    |