强化Exchange服务器
以下是减轻组织邮件服务器遭受针对性攻击风险的方法。
攻击面概览
很少有网络安全专家会质疑针对Microsoft Exchange服务器的攻击是不可避免的,且入侵风险持续居高不下。2025年10月,微软终止了对Exchange Server 2019的支持,使得Exchange Server订阅版成为2026年唯一受支持的本地解决方案。尽管如此,许多组织仍在运行Exchange Server 2016、2013甚至更旧的版本。
对威胁行为者而言,Exchange是一个不可抗拒的目标。其流行度、复杂性、丰富的设置,以及最重要的是其可从外部网络访问的特性,使其容易受到各种攻击:
- 通过密码喷洒攻击或鱼叉式网络钓鱼渗透邮箱
- 通过过时的身份验证协议导致账户泄露
- 通过Exchange Web Services注入恶意邮件流规则来窃取特定电子邮件
- 通过利用Exchange邮件处理基础设施中的缺陷劫持员工身份验证令牌或伪造消息
- 利用Exchange漏洞在服务器上执行任意代码(部署Web Shell)
- 横向移动和服务器入侵,使Exchange服务器成为网络侦察、恶意软件托管和流量隧道的立足点
- 通过专门的Exchange植入程序进行长期邮件窃取
要真正理解Exchange攻击的复杂性和多样性,值得回顾有关GhostContainer、Owowa、ProxyNotShell和PowerExchange威胁的研究。
安全加固措施
迁移终止支持版本
微软和CISA都建议过渡到Exchange SE以获得及时的安全更新。对于无法立即切换的组织,可为2016和2019版本购买付费的扩展安全更新订阅。微软强调,从2016或2019升级到Exchange SE的复杂性与安装标准累积更新相当。
如果因任何原因需要继续运行不受支持的版本,应将其与内部和外部网络彻底隔离。所有邮件流应通过专门配置的电子邮件安全网关路由。
定期更新
微软每年发布两次累积更新以及每月的安全补丁。Exchange管理员的一项关键任务是建立及时部署这些更新的流程,因为威胁行为者会迅速利用已知漏洞。您可以在微软官方页面上跟踪这些更新的发布计划和内容。要验证Exchange安装的运行状况和更新状态,请使用SetupAssist和Exchange Health Checker等工具。
紧急缓解措施
对于关键的、被主动利用的漏洞,通常会在Exchange博客和Exchange缓解措施页面上发布临时缓解指南。应在Exchange邮箱服务器上启用紧急缓解服务。EM自动连接到Office配置服务以下载并应用针对紧急威胁的缓解规则。这些措施可以快速禁用易受攻击的服务,并使用IIS中的URL重写规则阻止恶意请求。
安全基线
必须将针对组织需求优化的统一、全组织范围的配置集应用于所有平台上的Exchange服务器、邮件客户端及其底层操作系统。
由于不同操作系统和Exchange版本的推荐安全基线不同,CISA指南引用了流行的、免费提供的CIS基准和微软说明。最新的CIS基准是为Exchange 2019创建的,但也完全适用于Exchange SE——因为当前的订阅版在可配置选项上与Exchange Server 2019 CU15没有区别。
专用安全解决方案
许多组织犯的一个关键错误是没有在其Exchange服务器上部署EDR和EPP代理。为防止漏洞利用和Web Shell的执行,服务器需要受到像卡巴斯基端点检测和响应这样的安全解决方案的保护。Exchange Server与反恶意软件扫描接口集成,使安全工具能够有效处理服务器端事件。
应用程序允许列表可以显著阻碍试图利用Exchange漏洞的攻击者。此功能在大多数高级EPP解决方案中都是标准配置。但是,如果需要使用原生Windows工具实现它,可以通过App Control for Business或AppLocker限制不受信任的应用程序。
为了保护员工及其机器,服务器应使用像卡巴斯基邮件服务器安全这样的解决方案来过滤邮件流量。这解决了现成本地Exchange缺乏工具应对的几个挑战——例如通过SPF、DKIM和DMARC协议进行发件人身份验证,或防范复杂的垃圾邮件和鱼叉式网络钓鱼。
如果因任何原因未在服务器上部署完整的EDR,则至少必须激活默认的反病毒软件,并确保启用攻击面缩减规则"阻止服务器创建Webshell"。
为防止运行默认反病毒软件时服务器性能下降,微软建议从扫描中排除特定的文件和文件夹。
限制管理访问
攻击者经常通过滥用对Exchange管理中心和PowerShell远程处理的访问来提升权限。最佳实践规定这些工具只能从固定数量的特权访问工作站访问。这可以通过Exchange服务器本身的防火墙规则或使用防火墙来强制执行。Exchange中内置的客户端访问规则在此场景中也可能提供有限的效用,但它们无法对抗PowerShell滥用。
采用Kerberos和SMB替代NTLM
微软正在逐步淘汰旧的网络和身份验证协议。现代Windows安装默认禁用SMBv1和NTLMv1,未来版本计划禁用NTLMv2。从Exchange SE CU1开始,NTLMv2将被使用MAPI over HTTP实现的Kerberos取代,作为默认身份验证协议。
IT和安全团队应彻底审核其基础设施中旧协议的使用情况,并制定迁移到现代、更安全的身份验证方法的计划。
现代身份验证方法
从Exchange 2019 CU13开始,客户端可以利用OAuth 2.0、MFA和ADFS的组合进行强大的服务器身份验证——这一框架被称为现代身份验证。这样,用户只有在通过ADFS成功完成MFA后,才能访问邮箱,然后Exchange服务器从ADFS服务器接收有效的访问令牌。一旦所有用户都迁移到现代身份验证,应在Exchange服务器上禁用基本身份验证。
启用扩展保护
扩展保护提供了针对NTLM中继攻击、中间人攻击和类似技术的防御。它通过使用通道绑定令牌来增强TLS安全性。如果攻击者窃取凭据或令牌,并试图在不同的TLS会话中使用它们,服务器将终止连接。要启用EP,所有Exchange服务器必须配置为使用相同版本的TLS。
从Exchange 2019 CU14开始,扩展保护在新服务器安装上默认激活。
安全的TLS版本
包括所有Exchange服务器在内的整个服务器基础设施,应配置为使用相同的TLS版本:1.2或理想情况下1.3。微软提供了关于优化配置和必要先决条件检查的详细指南。您可以使用Health Checker脚本来验证这些设置的正确性和一致性。
HSTS
为确保所有连接都受到TLS保护,您应额外配置HTTP严格传输安全。这有助于防止某些AitM攻击。在按照微软的建议实施Exchange Server配置更改后,所有到Outlook on the web和EAC的连接都将强制使用加密。
下载域
下载域功能通过将附件下载移动到与组织Outlook on the web托管域不同的域,提供针对某些跨站请求伪造攻击和Cookie盗窃的保护。这将UI和邮件列表的加载与下载文件附件分开。
基于角色的管理模式
Exchange Server为特权用户和管理员实现了基于角色的访问控制模型。CISA指出,具有AD管理员权限的账户通常也用于管理Exchange。在此配置中,Exchange服务器的入侵会立即导致整个域被入侵。因此,使用拆分权限和RBAC将Exchange管理与其他管理权限分开至关重要。这减少了拥有过多权限的用户和管理员数量。
PowerShell流签名
管理员经常使用称为cmdlet的PowerShell脚本来通过Exchange Management Shell修改设置和管理Exchange服务器。理想情况下,应禁用远程PowerShell访问。当启用时,发送到服务器的命令数据流必须使用证书进行保护。截至2023年11月,此设置对于Exchange 2013、2016和2019默认启用。
邮件头保护
2024年11月,微软引入了针对涉及伪造P2 FROM邮件头攻击的增强保护,这些攻击使电子邮件在受害者看来像是来自受信任的发件人。新的检测规则现在会标记这些邮件头可能被篡改的电子邮件。管理员不得禁用此保护,并应将带有X-MS-Exchange-P2FromRegexMatch标头的可疑电子邮件转发给安全专家进行进一步分析。
