强化Exchange服务器的关键安全措施
攻击面分析
对于网络威胁行为者而言,Exchange是一个极具吸引力的目标。其流行度、复杂性、丰富的设置以及最重要的——从外部网络的可访问性,使其容易受到多种攻击:
- 通过密码喷洒攻击或鱼叉式网络钓鱼渗透邮箱
- 通过过时的身份验证协议导致账户泄露
- 通过Exchange Web Services注入恶意邮件流规则窃取特定电子邮件
- 通过利用Exchange邮件处理基础设施中的缺陷劫持员工身份验证令牌或伪造消息
- 利用Exchange漏洞在服务器上执行任意代码(部署Web Shell)
- 横向移动和服务器入侵,Exchange服务器成为网络侦察、恶意软件托管和流量隧道的立足点
- 通过专门的Exchange植入程序长期窃取电子邮件
关键防护措施
迁移终止支持版本
微软和CISA都建议过渡到Exchange SE以获取及时的安全更新。对于无法立即切换的组织,可为2016和2019版本购买付费的扩展安全更新(ESU)订阅。
定期更新
微软每年发布两次累积更新(CU)以及每月的安全修补程序。Exchange管理员的关键任务是建立流程,及时部署这些更新。
紧急缓解措施
对于关键的、被积极利用的漏洞,通常在Exchange博客和Exchange缓解页面上发布临时缓解指南。应在Exchange邮箱服务器上启用紧急缓解(EM)服务。
安全基线
必须将统一、全组织范围的配置集不仅应用于Exchange服务器,还要应用于所有平台的邮件客户端及其底层操作系统。
专用安全解决方案
许多组织犯的一个关键错误是在其Exchange服务器上没有部署EDR和EPP代理。为防止漏洞利用和Web Shell执行,服务器需要受到像卡巴斯基端点检测和响应这样的安全解决方案的保护。
限制管理访问
攻击者经常通过滥用对Exchange管理员中心(EAC)和PowerShell远程处理的访问来提升权限。最佳实践规定这些工具只能从固定数量的特权访问工作站(PAW)访问。
采用Kerberos和SMB替代NTLM
现代Windows安装默认禁用SMBv1和NTLMv1,未来版本将禁用NTLMv2。从Exchange SE CU1开始,NTLMv2将被Kerberos取代,使用MAPI over HTTP实现,作为默认身份验证协议。
现代身份验证方法
从Exchange 2019 CU13开始,客户端可以利用OAuth 2.0、MFA和ADFS的组合进行强大的服务器身份验证——这一框架被称为现代身份验证。
启用扩展保护
扩展保护(EP)提供了针对NTLM中继攻击、中间人攻击和类似技术的防御。它通过使用通道绑定令牌(CBT)来增强TLS安全性。
安全TLS版本
整个服务器基础设施,包括所有Exchange服务器,应配置为使用相同的TLS版本:1.2或理想情况下1.3。
HSTS
为确保所有连接都受到TLS保护,应额外配置HTTP严格传输安全(HSTS)。这有助于防止某些AitM攻击。
下载域
下载域功能通过将附件下载移动到与组织Outlook on the web托管域不同的域,提供针对某些跨站请求伪造攻击和cookie盗窃的保护。
基于角色的管理模型
Exchange Server为特权用户和管理员实现了基于角色的访问控制(RBAC)模型。CISA指出,具有AD管理员权限的账户通常也用于管理Exchange。
PowerShell流签名
管理员经常使用称为cmdlet的PowerShell脚本通过Exchange Management Shell(EMS)修改设置和管理Exchange服务器。远程PowerShell访问理想情况下应被禁用。
邮件头保护
2024年11月,微软引入了针对涉及伪造P2 FROM邮件头攻击的增强保护,这些攻击使电子邮件看起来像是来自受信任的发件人。新的检测规则现在会标记这些邮件头可能被操纵的电子邮件。
