Jump to content

keine Outlook-Verbindung nach Deaktivierung von TLS1.0


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich bin momentan etwas ratlos und weiß nicht so richtig wo das Problem sein soll.

Wir haben von einem Dienstleister einen externen Penetrationstest durchführen lassen. Der hat angemosert, das auf dem Mail-Server noch TLS 1.0 aktiv ist. Also hab ich es einfach mal über die Registry deaktiviert.

HKLM\System\CurrentControleSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server

- DisabledByDefault 1

- Enabled 0

 

Nach einem Neustart war keine Verbindung mehr vom Outlook 2016 Client mehr zum Server möglich.

Auch das Löschen des Profils und neu Hinzufügen klappt nicht: Es steht keine verschlüsselte Verbindung mit Ihrem E-Mail-Server zur Verfügung.

Mit einem Klick auf weiter kommt die Meldung: Probleme beim Herstellen einer Verbindung mit ihrem Konto....

 

Wenn ich die Änderungen in der Registry rückgängig mache läuft alles wieder reibungslos wie bisher.

 

Hier mal meine Umgebung:

Ganz normale Windows-Domäne.

Seit letzten Sommer haben wir einen Exchange 2016 mit CU10 auf Windows Server 2012 R2 (Migration von Exchange 2010)

Alle Clients laufen auf Windows 7 mit Office 2016 HB bzw. Standard.

Autodiscover läuft normal, Verbindungsstatus zeigt keine Auffälligkeiten, Protokoll http, Verschlüsseln ssl etc.

 

Ich habe gerade gesehen, das auf den Clients noch TLS 1.0 aktiv ist. Kann das damit zusammen hängen?

Ich hatte es vor einigen Monaten mal per GPO ausgeschaltet. Da es einige Zugriffsprobleme zu internen und externen Seiten gab hatte ich es wieder aktiviert...

 

Grüße

Matthias

Link zu diesem Kommentar
vor 8 Minuten schrieb addy0604:

Alle Clients laufen auf Windows 7 mit Office 2016 HB bzw. Standard.

Dann hätte der Dienstleister ja such mitteilen können, dass Windows 7 per default nur tls 1.0 spricht. :|

https://support.microsoft.com/en-us/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-default-secure-protocols-in-wi

vor 2 Minuten schrieb Nobbyaushb:

Warum CU10? Mittlerweile ist das CU12 schon längere Zeit draußen...

Weil der Dienstleister bestimmt sagte: warten Sie mal aufs nächste Servicepack ;) man man man... 

Link zu diesem Kommentar

Moin,

 

naja ... alles, was wir darüber wissen, ist:

 

Zitat

Der hat angemosert, das auf dem Mail-Server noch TLS 1.0 aktiv ist. 

 

Der TO hat nicht behauptet, dass der Tester eingefordert habe, das mal eben so abzuschalten. Und mal ehrlich: Wenn ein externer Pentester auf so einen Befund nicht hinweisen würde, wäre es nicht okay. Er ist schließlich Pentester und nicht Exchange-Dienstleister.

 

Also, wo liegt jetzt das Problem? Und woher nehmen wir hier die Gewissheit, dass der Tester nicht gut arbeite?

 

Gruß, Nils

 

Link zu diesem Kommentar

Wie Nils schon richtig vermutet hat, hat der Pentester uns einfach nur darauf hingewiesen, das TLS 1.0 noch aktiv ist.

Also hab ich es mal abgeschaltet, ist schließlich auch Teil von diversen Anleitungen für das "Härten" von Exchange, und bin daraufhin auf das oben genannte Problem gestoßen.

Klar könnte ich es bei TLS 1.0 belassen, funktioniert ja, aber es würde mir bei jedem Test wieder vor die Füße fallen, und so ein klein bissl Ehrgeiz hat man ja auch noch... ;-)

 

Ich hab mir mal die Registry-Key von der Microsoft-Seite herausgeschrieben und eine Reg-Datei gebaut. Ich teste das heute Abend mal und gebe euch morgen Bescheid...

 

Grüße

Matthias

 

Link zu diesem Kommentar

Welches Update meinst du? Auf der Microsoft-Seite sehe ich nur:

To apply this update, the DefaultSecureProtocols registry subkey must be added.
Note To do this, you can add the registry subkey manually or install the "Easy fix" to populate the registry subkey.

 

Das liest sich für mich so, als wenn ich entweder die Einträge manuell vornehme oder automatisch von einem "Easy fix" eintragen lasse.

 

Es ist zwar noch von einem hotfix-installer die Rede...

 

Note The hotfix installer doesn't add the DefaultSecureProtocols value. The administrator must manually add the entry after determining the override protocols. Or, you can install the "Easy fix" to add the entry automatically.

 

... aber einen Download-Button oder eine KB-Nummer hab ich nicht gefunden... oder bin ich blind? :shock2:

 

Ich habe jedenfalls mal diese Einträge für das Reg-File zusammengestellt:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
"SecureProtocols"=dword:00000a80

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"SecureProtocols"=dword:00000a80

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000a00

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000a00

 

 

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...