電子郵件服務器中存在多個漏洞,在本文中,我們將討論如何保護Exchange OWA免受暴力***。
我們知道Exchange OWA的身份驗證是通過Active Directory。通過Active Directory,我們可以保護身份驗證。即使用戶在Active Directory中鎖定,他們仍然可以訪問他們的電子郵件。即用戶是OWA上的身份驗證。這向我們展示了針對Exchange OWA登錄的Brute-Force***的漏洞。任何人都可以同時輸入隨機密碼而無需鎖定。因此出現了問題,我們如何保護我們的OWA。
解決方案:
步驟1:從Active Directory域控制器維護密碼策略
爲了保護OWA免受暴力***,我們需要在Active Directory上管理密碼策略。
PS C:\> Get-ADDefaultDomainPasswordPolicy
ComplexityEnabled : True
DistinguishedName : DC=test,DC=local
LockoutDuration : 00:30:00
LockoutObservationWindow : 00:30:00
LockoutThreshold : 0
MaxPasswordAge : 42.00:00:00
MinPasswordAge : 1.00:00:00
MinPasswordLength : 7
objectClass : {domainDNS}
objectGuid : b373b1c1-28c2-497b-b388-654a408a69b3
PasswordHistoryCount : 24
ReversibleEncryptionEnabled : False要管理此策略,我們只需從組策略中進行配置即可。
步驟2:爲IIS身份驗證配置緩存
配置密碼策略後,下一步是爲IIS身份驗證配置緩存。正如之前提到的,即使用戶被鎖定在Active Directory上,他們仍然可以訪問OWA Portal。所以要阻止它,我們需要減少IIS網站的緩存。要減少緩存,我們需要執行以下操作。
在Exchange CAS服務器上打開Regedit。
轉到HKLM \ SYSTEM \ CurrentControlSET \ Services \ InetInfo \ Parameters
創建一個名爲UserTokenTTL 的REG_DWORD 並設定值爲30(這意味着僅將Cache保持30秒)。
現在,如果用戶輸入了錯誤的密碼。在管理員解鎖帳戶之前,用戶將無法登錄其OWA或進行身份驗證。
希望這能幫助你免受暴力***。