Hallo,
ich habe drei Fragen zur Verwendung von IIS Cryto auf einem Exchange 2019 Server.
Kann IIS Crypto problemlos auf einem Exchange 2019 Server verwendet werden oder hattet ihr damit schon Probleme, das hinterher manches nicht mehr funktioniert hat?
Ich würde zum Beispiel das Tool starten und dann „Best Practices“ anklicken und vielleicht dann noch TLS 1.0 und MD5 entfernen. Ist das problemlos möglich? Auch auf einem produktiv System?
Um die originalen Exchange 2019 Einstellungen wiederherstellen zu können, sollte ich vorher ein eigenes Template erstellen oder kann ich einfach das „Server Defaults“ Template verwenden?
Doch wenn ich das wähle ist alles grau hinterlegt und angehakt, auch SSL 2.0, DES usw., nur bei SSL 3.0 ist kein Haken drin. Ist das richtig so?
Gibt es aus IT Sicherheit bei „Best Practices“ von IIS Crypto irgendwelche großen Bedenken beim Exchange 2019? Sicher die Verschlüsselung wird heruntergesetzt und ist somit schlechter. Aber wenn ich eine WAF und ein Mailgateway verwende, wird ja zum Internet ja nach deren Standards verschlüsselt. Öffnet man dadurch irgendwelche Sicherheitslücken?
Vielen Dank.
Kann IIS Crypto problemlos auf einem Exchange 2019 Server verwendet werden oder hattet ihr damit schon Probleme, das hinterher manches nicht mehr funktioniert hat?
Ich würde zum Beispiel das Tool starten und dann „Best Practices“ anklicken und vielleicht dann noch TLS 1.0 und MD5 entfernen. Ist das problemlos möglich? Auch auf einem produktiv System?
Geht problemlos, selber so im Einsatz.
Um die originalen Exchange 2019 Einstellungen wiederherstellen zu können, sollte ich vorher ein eigenes Template erstellen oder kann ich einfach das „Server Defaults“ Template verwenden?
Doch wenn ich das wähle ist alles grau hinterlegt und angehakt, auch SSL 2.0, DES usw., nur bei SSL 3.0 ist kein Haken drin. Ist das richtig so?
ich würde immer wenigstens Best Practices auswählen und dann nach eigenen Vorgaben anpassen, wenn nicht explizit in der Firma für Altsysteme besondere Anforderungen ( bspw bestimmte niedrigere Verbindungsstandars) bestehen.
Gibt es aus IT Sicherheit bei „Best Practices“ von IIS Crypto irgendwelche großen Bedenken beim Exchange 2019? Sicher die Verschlüsselung wird heruntergesetzt und ist somit schlechter. Aber wenn ich eine WAF und ein Mailgateway verwende, wird ja zum Internet ja nach deren Standards verschlüsselt. Öffnet man dadurch irgendwelche Sicherheitslücken?
wie gesagt, basierend auf den Best Practices kannst du für diene Umgebung auf maximale Sicherheit/Kompatibilität anpassen und dann die Connectivität testen. Alles, was du nicht wirklich brauchst ans Legacy Protokollen kannst du rausnehmen. Angriffe kommen ja nicht nur von extern...
Gruß,
Ralf
Vielen Dank für die Antworten.
Eine Frage habe ich noch.
Wenn ich „Best Practices“ vom IIS Cryto verwende, damit eine bestimmte Anwendung funktioniert. Und nach einem halben Jahr ist diese Anwendung auf TLS 1.2 umgestellt.
Wie komme ich am besten wieder zu den Original Einstellungen zurück von Exchange 2019? Denn beim Exchange 2019 ist ja im Standard sehr wenig aktiviert. Bei „Best Practices“ wird ja nicht nur TLS 1.1 etc. aktiviert sondern auch weitere Einstellungen, wie zum Beispiel weitere Cipher Suites usw.
Machst du das einfach manuell? Indem du beim ersten Start von IIS Cyrpto dir Notizen oder einen Screenshot gemacht hast? Oder wie machst du es?
Wenn ich „Best Practices“ vom IIS Cryto verwende, damit eine bestimmte Anwendung funktioniert. Und nach einem halben Jahr ist diese Anwendung auf TLS 1.2 umgestellt.
Dann merkt man sich, was man vorher "an- oder abgehakt" hat und macht das rückgängig. Windows 2019 hat per Default nur TLS 1.2 aktiv. Also wird man sich die Default Ciphers noch anschauen können:
https://www.nartac.com/Products/IISCrypto/FAQ/What-is-the-windows-default-cipher-suite-order