码迷,mamicode.com
首页 > 其他好文 > 详细

保护Exchange OWA免受暴力***

时间:2018-10-09 14:24:05      阅读:197      评论:0      收藏:0      [点我收藏+]

标签:ORC   dns   缓存   ble   邮件服务器   lock   保护   min   led   

电子邮件服务器中存在多个漏洞,在本文中,我们将讨论如何保护Exchange OWA免受暴力***。

我们知道Exchange OWA的身份验证是通过Active Directory。通过Active Directory,我们可以保护身份验证。即使用户在Active Directory中锁定,他们仍然可以访问他们的电子邮件。即用户是OWA上的身份验证。这向我们展示了针对Exchange OWA登录的Brute-Force***的漏洞。任何人都可以同时输入随机密码而无需锁定。因此出现了问题,我们如何保护我们的OWA。

解决方案:
步骤1:从Active Directory域控制器维护密码策略
为了保护OWA免受暴力***,我们需要在Active Directory上管理密码策略。

PS C:\> Get-ADDefaultDomainPasswordPolicy

ComplexityEnabled           : True
DistinguishedName           : DC=test,DC=local
LockoutDuration             : 00:30:00
LockoutObservationWindow    : 00:30:00
LockoutThreshold            : 0
MaxPasswordAge              : 42.00:00:00
MinPasswordAge              : 1.00:00:00
MinPasswordLength           : 7
objectClass                 : {domainDNS}
objectGuid                  : b373b1c1-28c2-497b-b388-654a408a69b3
PasswordHistoryCount        : 24
ReversibleEncryptionEnabled : False

要管理此策略,我们只需从组策略中进行配置即可。

步骤2:为IIS身份验证配置缓存
配置密码策略后,下一步是为IIS身份验证配置缓存。正如之前提到的,即使用户被锁定在Active Directory上,他们仍然可以访问OWA Portal。所以要阻止它,我们需要减少IIS网站的缓存。要减少缓存,我们需要执行以下操作。

在Exchange CAS服务器上打开Regedit。
转到HKLM \ SYSTEM \ CurrentControlSET \ Services \ InetInfo \ Parameters
创建一个名为UserTokenTTL 的REG_DWORD 并设定值为30(这意味着仅将Cache保持30秒)。

现在,如果用户输入了错误的密码。在管理员解锁帐户之前,用户将无法登录其OWA或进行身份验证。

希望这能帮助你免受暴力***。

保护Exchange OWA免受暴力***

标签:ORC   dns   缓存   ble   邮件服务器   lock   保护   min   led   

原文地址:http://blog.51cto.com/3032439/2296217

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!