InternalNLBBypassUrl


В Exchange 2013 и Exchange 2016 есть такая проблема KB3128167

Суть в том, что при восстановлении сервера с ключом /Recovery для FrontEnd выставляется значение параметра InternalNLBBypassUrl, хотя оно должно быть только для BackEnd.

Проблема исправлена в CU2 ExchangeServer 2016. Для Exchange Server 2013 выпущена вышеприведённая статья, исправлений не будет: основная ветка теперь только 2016.

Полезные ссылки:

Setting Backend Exchange 2013 / 2016 Virtual Directory

Busting The Exchange InternalNLBBypassURL Myth

 

 

TMG 2010 и SSL 3.0


При публикации вэб-ресурсов TMG создаёт HTTPS подключения от своего имени. Таким образом TMG сервер может стать слабым звеном при атаке с использованием уязвимости SSL3.0, и требуется отключить SSL на TMG серверах.

Несмотрю на ожидания подвоха, TMG всё же использует системный Crypto-API (Crypto subsystem). Точнее даже SCHANNEL. Поэтому для выключения поддержки SSL 3.0 достаточно использовать стандартное решение с добавлением ключей реестра Enabled = 0

SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

Для настройки множества серверов используем Group Policy Preferences. (Серверы 2008 R2 требуют перезагрузки для применения параметров).

Для контроля используем сервис  Qualys SSL Labs

Полезные ссылки:

https://support.microsoft.com/en-au/kb/245030

Mitigating the POODLE SSL 3 Vulnerability on Forefront TMG 2010

 

Powershell и безопасность


Попалась маленькая статья Who’s afraid of PowerShell security? , которая обращает внимание на интересный факт.

Суть в том, что нередко безопасники требуют заблокировать удаленное управление с помощью Powershell, либо даже вообще Powershell, обосновывая это его слишком большими возможностями. Но при этом остаются доступными другие средства: RDP, WMI, утилиты командной строки, даже шары и т.п. — всё то, что хакеры традиционно используют для взлома систем. Читать далее

Поддержка .Net Framework 4.6.1 в Exchange Server


Не так давно вышли очередные обновления CU13 for Exchange Server 2013 и CU2 for Exchange Server 2016, для которых продуктовая группа наконец-то заявила поддержку .Net Framework 4.6.1

Как всегда, в таких случаях это требует пояснений: Читать далее

Анализ AD паролей


Для анализа безопасности паролей в Active Directory нужно выгрузить хэши паролей и потом прогонять их через специальные программы, которые делают проверки на «хорошо известные» пароли и пытаются взломать хэши. Здесь пойдет речь о простейшем способе выгрузки хэшей паролей. Читать далее