电子邮件服务器中存在多个漏洞,在本文中,我们将讨论如何保护Exchange OWA免受暴力***。
我们知道Exchange OWA的身份验证是通过Active Directory。通过Active Directory,我们可以保护身份验证。即使用户在Active Directory中锁定,他们仍然可以访问他们的电子邮件。即用户是OWA上的身份验证。这向我们展示了针对Exchange OWA登录的Brute-Force***的漏洞。任何人都可以同时输入随机密码而无需锁定。因此出现了问题,我们如何保护我们的OWA。
解决方案:
步骤1:从Active Directory域控制器维护密码策略
为了保护OWA免受暴力***,我们需要在Active Directory上管理密码策略。
PS C:\> Get-ADDefaultDomainPasswordPolicy
ComplexityEnabled : True
DistinguishedName : DC=test,DC=local
LockoutDuration : 00:30:00
LockoutObservationWindow : 00:30:00
LockoutThreshold : 0
MaxPasswordAge : 42.00:00:00
MinPasswordAge : 1.00:00:00
MinPasswordLength : 7
objectClass : {domainDNS}
objectGuid : b373b1c1-28c2-497b-b388-654a408a69b3
PasswordHistoryCount : 24
ReversibleEncryptionEnabled : False要管理此策略,我们只需从组策略中进行配置即可。
步骤2:为IIS身份验证配置缓存
配置密码策略后,下一步是为IIS身份验证配置缓存。正如之前提到的,即使用户被锁定在Active Directory上,他们仍然可以访问OWA Portal。所以要阻止它,我们需要减少IIS网站的缓存。要减少缓存,我们需要执行以下操作。
在Exchange CAS服务器上打开Regedit。
转到HKLM \ SYSTEM \ CurrentControlSET \ Services \ InetInfo \ Parameters
创建一个名为UserTokenTTL 的REG_DWORD 并设定值为30(这意味着仅将Cache保持30秒)。
现在,如果用户输入了错误的密码。在管理员解锁帐户之前,用户将无法登录其OWA或进行身份验证。
希望这能帮助你免受暴力***。