Bu yazımızda, Exchange Server için TLS 1.2 yapılandırması yapacağız. TLS 1.2′yi aktif hale getirirken 1.0 ve 1.1 kapatacağız. Bu işlemleri .NET Framework içinde gerçekleştireceğiz.
Microsoft TLS 1.0 uygulamasında bilinen bir güvenlik açığı bulunmamaktadır. Ancak, gelecekteki protokol düşürme saldırıları ve diğer TLS güvenlik açıkları potansiyeli nedeniyle, TLS 1.0 ve 1.1’i dikkatlice planlamanız ve devre dışı bırakmanız önerilmektedir.
Şu anda TLS 1.3 Exchange tarafından desteklenmemektedir ve etkinleştirildiğinde sorunlara neden olduğu bilinmektedir.
Ayrıca, Exchange Server için TLS yapılandırması sonrası .NET Framework içinde varsayılanları Windows Schannel ve DisabledByDefault değerlerini denetleyen SystemDefaultTlsVersions değerlerini düzenleyeceğiz.
Geçersiz bir TLS yapılandırması, Exchange Server’da iletişim problemleri ortaya çıkarmaktadır.
Exchange Server aşağıdaki kayıtları denetleyerek TLS denetlemesi yapmaktadır;
SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Server
Net Framework için TLS denetlemesini aşağıdaki kayıtlar ile gerçekleştirmektedir;
SOFTWARE\Wow6432Node\Microsoft.NETFramework\v4.0.30319 SOFTWARE\Microsoft.NETFramework\v4.0.30319 SOFTWARE\Wow6432Node\Microsoft.NETFramework\v2.0.50727 SOFTWARE\Microsoft.NETFramework\v2.0.50727
TLS 1.2 Açmak İçin
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] “DisabledByDefault”=dword:00000000 “Enabled”=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] “DisabledByDefault”=dword:00000000 “Enabled”=dword:00000001
.NET 4.x için TLS 1.2’yi etkinleştirme
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] “SystemDefaultTlsVersions”=dword:00000001 “SchUseStrongCrypto”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] “SystemDefaultTlsVersions”=dword:00000001 “SchUseStrongCrypto”=dword:00000001
.NET 3.5 için TLS 1.2’yi etkinleştirme
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v2.0.50727]
“SystemDefaultTlsVersions”=dword:00000001
“SchUseStrongCrypto”=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft.NETFramework\v2.0.50727]
“SystemDefaultTlsVersions”=dword:00000001
“SchUseStrongCrypto”=dword:00000001
TLS 1.0 ve 1.1’i yapılandırma veya devre dışı bırakma
Exchange Server’da hem Sunucu (gelen) hem de İstemci (giden) bağlantıları için TLS 1.0’ı devre dışı bırakmak üzere aşağıdakileri gerçekleştirin:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
“DisabledByDefault”=dword:00000001
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
“DisabledByDefault”=dword:00000001
“Enabled”=dword:00000000
Exchange Server’da hem Sunucu (gelen) hem de İstemci (giden) bağlantıları için TLS 1.1’i devre dışı bırakmak üzere aşağıdakileri gerçekleştirin:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
“DisabledByDefault”=dword:00000001
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
“DisabledByDefault”=dword:00000001
“Enabled”=dword:00000000
