保护Exchange OWA免受暴力***

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了保护Exchange OWA免受暴力***相关的知识,希望对你有一定的参考价值。

电子邮件服务器中存在多个漏洞,在本文中,我们将讨论如何保护Exchange OWA免受暴力***。

我们知道Exchange OWA的身份验证是通过Active Directory。通过Active Directory,我们可以保护身份验证。即使用户在Active Directory中锁定,他们仍然可以访问他们的电子邮件。即用户是OWA上的身份验证。这向我们展示了针对Exchange OWA登录的Brute-Force***的漏洞。任何人都可以同时输入随机密码而无需锁定。因此出现了问题,我们如何保护我们的OWA。

解决方案:
步骤1:从Active Directory域控制器维护密码策略
为了保护OWA免受暴力***,我们需要在Active Directory上管理密码策略。

PS C:> Get-ADDefaultDomainPasswordPolicy

ComplexityEnabled           : True
DistinguishedName           : DC=test,DC=local
LockoutDuration             : 00:30:00
LockoutObservationWindow    : 00:30:00
LockoutThreshold            : 0
MaxPasswordAge              : 42.00:00:00
MinPasswordAge              : 1.00:00:00
MinPasswordLength           : 7
objectClass                 : {domainDNS}
objectGuid                  : b373b1c1-28c2-497b-b388-654a408a69b3
PasswordHistoryCount        : 24
ReversibleEncryptionEnabled : False

要管理此策略,我们只需从组策略中进行配置即可。

步骤2:为IIS身份验证配置缓存
配置密码策略后,下一步是为IIS身份验证配置缓存。正如之前提到的,即使用户被锁定在Active Directory上,他们仍然可以访问OWA Portal。所以要阻止它,我们需要减少IIS网站的缓存。要减少缓存,我们需要执行以下操作。

在Exchange CAS服务器上打开Regedit。
转到HKLM SYSTEM CurrentControlSET Services InetInfo Parameters
创建一个名为UserTokenTTL 的REG_DWORD 并设定值为30(这意味着仅将Cache保持30秒)。

现在,如果用户输入了错误的密码。在管理员解锁帐户之前,用户将无法登录其OWA或进行身份验证。

希望这能帮助你免受暴力***。

以上是关于保护Exchange OWA免受暴力***的主要内容,如果未能解决你的问题,请参考以下文章

MFA(Multi-FactorAuthentication)应用之Exchange ECP/OWA

Exchange 2016 OWA登陆异常

exchange2010 修改OWA主界面之 二 更改文本颜色

EXCHANGE2010修改owa上传附件大小限制后报错

如何在exchange 2013 的OWA界面进行公共或私有计算机设置

Exchange 2013系列之九:OWA重定向