Getty Images
So implementieren Sie Exchange Extended Protection richtig
Die Sicherheitsfunktion Exchange Extended Protection kann Exchange Server besser schützen, indem sie eine Vielzahl von Angriffen verhindert und sensible Daten schützt.
Exchange Server ist ein beliebtes Ziel für Angreifer, aber eine zusätzliche Sicherheitsebene von Microsoft kann dabei unterstützen, Cyberangriffe abzuwehren.
Windows Extended Protection ist eine Sicherheitsfunktion, die den Schutz vor bestimmten Arten von Angriffen, insbesondere vor Datenabfang und -manipulation, verbessern soll. Microsoft hat diesen Schutz kürzlich auf Exchange Server ausgeweitet, aber ohne die richtige Konfiguration kann Exchange Extended Protection Probleme verursachen.
In diesem Artikel werden die Voraussetzungen für Exchange Extended Protection, die Einrichtung und die Fehlerbehebung bei Problemen erläutert.
Wie verhindert Exchange Extended Protection Angriffe?
Exchange Extended Protection hilft, Angriffe auf Exchange zu verhindern, indem es die Sicherheit der Kommunikation zwischen Exchange Server und Clients verbessert. Dadurch wird das Risiko von Man-in-the-Middle-Angriffen (MitM) verringert, bei denen ein Angreifer die Kommunikation zwischen einem Client und einem Server abfängt und möglicherweise verändert.
Exchange Extended Protection erzwingt strengere Authentifizierungsmechanismen, zum Beispiel die Verwendung von erweiterten Validierungszertifikaten durch Clients, sodass nur autorisierte Clients eine Verbindung zu Exchange-Servern herstellen können. Exchange Extended Protection erfordert die Verwendung verbesserter Verschlüsselungsalgorithmen, die die zwischen Clients und Servern ausgetauschten Daten sicherer verschlüsseln. Dies verhindert, dass Angreifer sensible Informationen, die über das Netzwerk übertragen werden, abfangen und entschlüsseln können.
Microsoft hat bekannte Sicherheitslücken und Schwachstellen in Exchange Server behoben, indem mit Exchange Extended Protection strengere Maßnahmen durchgesetzt wurden. Durch die Aktualisierung auf diese Sicherheitsfunktion entsprechen Exchange-Bereitstellungen den branchenüblichen Sicherheitsprotokollen und Best Practices.
Welche potenziellen Probleme können mit Exchange Extended Protection auftreten?
Die Implementierung von Exchange Extended Protection kann mehrere potenzielle Probleme oder Herausforderungen mit sich bringen. Einige ältere oder weniger verbreitete E-Mail-Clients unterstützen möglicherweise nicht die von Exchange Extended Protection erforderlichen Sicherheitsprotokolle und Konfigurationen, was zu Kompatibilitätsproblemen führt, die den Benutzern den sicheren Zugriff auf Exchange-Dienste verwehren.
Eine falsche Konfiguration der Exchange Extended Protection-Einstellungen auf Exchange-Servern oder -Clients kann zu Verbindungsproblemen und anderen Problemen führen. Zusätzlicher Overhead und zusätzliche Verarbeitungsanforderungen auf Servern und Clients können die Leistung beeinträchtigen. Diese Probleme sollten durch Planung und Überwachung durch Administratoren gemindert werden.
Die Verwaltung von Zertifikaten mit erweiterter Validierung kann komplex und zeitaufwendig sein. Administratoren müssen sicherstellen, dass Zertifikate korrekt ausgestellt, erneuert und auf Exchange Server- und Client-Systemen installiert werden. Eine fehlerhafte Verwaltung von Zertifikaten kann zu Sicherheitslücken und Verbindungsproblemen führen. Endbenutzer müssen möglicherweise geschult werden, um ihre E-Mail-Clients auf dem neuesten Stand zu halten und neue Sicherheitsrichtlinien einzuhalten.
Wenn Ihr Unternehmen Sicherheitsprodukte oder E-Mail-Filterdienste von Drittanbietern verwendet, testen Sie deren Kompatibilität, bevor Sie Exchange Extended Protection aktivieren, und überprüfen Sie anschließend die ordnungsgemäße Funktion.
Tests, Überwachung und kontinuierliche Wartung sind entscheidend, um Probleme zu vermeiden, die bei der Verwendung von Exchange Extended Protection auftreten können.
Was sind die Voraussetzungen für Exchange Extended Protection?
Microsoft unterstützt Exchange Extended Protection auf Exchange Server 2013, 2016 und 2019 mit den neuesten kumulativen Updates.
Exchange Server 2016 und 2019 müssen über das kumulative Update 2022 H1 verfügen und das Sicherheitsupdate vom August 2022 oder höher installiert haben. Exchange Server 2013 muss über das kumulative Update 23 mit dem Sicherheitsupdate vom August 2022 oder höher verfügen.
Der erweiterte Schutz kann nicht auf Exchange Server 2013 mit öffentlichen Ordnern in einer koexistierenden Umgebung aktiviert werden. Microsoft hat den Support für Exchange 2013 im April 2023 eingestellt. Öffentliche Ordner müssen in eine unterstützte Exchange Server-Umgebung verschoben werden.
Die NTLM-Version muss NTLMv2 sein. Microsoft unterstützt NTLMv1 mit Exchange Extended Protection nicht. Ein Client, der NTLMv1 verwendet, kann sich nicht authentifizieren. Microsoft empfiehlt, dass Windows-Clients und Exchange-Server mindestens den Registrierungswert LmCompatibilityLevel 3 haben, der eine NTLMv2-Antwort sendet.
Die SSL-Auslagerung (Secure Sockets Layer) ist standardmäßig für Organisationen aktiviert, die Outlook Anywhere verwenden, damit Benutzer ohne VPN außerhalb des Netzwerks der Organisation auf ihre Exchange-Postfächer zugreifen können. Die SSL-Auslagerung verbessert die Leistung und Skalierbarkeit von Webservern, einschließlich Exchange Server, gilt jedoch als Sicherheitsrisiko für MitM-Angriffe und ist nicht mit Exchange Extended Protection kompatibel.
Deaktivieren Sie SSL-Offloading in Outlook Anywhere, damit die SSL-Verschlüsselung auf dem Exchange Server statt auf einem Zwischengerät wie einem Reverse-Proxy oder einem Load Balancer erfolgt.
Das Installationsprogramm für Exchange Server 2019 CU14 und höher stoppt SSL-Offloading automatisch, aber Administratoren können SSL-Offloading mit dem folgenden PowerShell-Befehl deaktivieren:
Set-OutlookAnywhere -Identity „<ServerName>\rpc (Default Web Site)“ -SSLOffloading $false -InternalClientsRequireSsl $true -ExternalClientsRequireSsl $trueDa Exchange Extended Protection erweiterte Validierungszertifikate erfordert, stellen Sie sicher, dass Sie über eine Zertifikatsinfrastruktur zum Ausstellen und Verwalten dieser Zertifikate verfügen. Dazu gehört das Beziehen gültiger SSL-/TLS-Zertifikate (Transport Layer Security) von einer vertrauenswürdigen Zertifizierungsstelle und das Überprüfen der ordnungsgemäßen Installation und Einrichtung der Zertifikate auf Exchange Server.
Alle Exchange-Server müssen TLS 1.2 verwenden.
Wenn die Organisation öffentliche Ordner auf Exchange Server 2013 verwendet, müssen diese auf eine unterstützte Version von Exchange Server migriert werden.
Exchange Server ist für die Authentifizierung, Autorisierung und andere Verzeichnisdienste auf Active Directory (AD) angewiesen. Es ist wichtig, dass die AD-Infrastruktur ordnungsgemäß konfiguriert, fehlerfrei und über Exchange Server zugänglich ist.
Die von Ihren Benutzern verwendeten Clients müssen die erforderlichen Sicherheitsprotokolle und -konfigurationen unterstützen. Dazu ist möglicherweise eine Aktualisierung der Client-Anwendungen wie Outlook und mobile E-Mail-Clients erforderlich, um erweiterte Validierungszertifikate, Verschlüsselungsalgorithmen und andere Sicherheitsfunktionen zu unterstützen.
Wie überprüfen Sie die Kompatibilität mit Exchange Extended Protection?
Microsoft stellt Exchange-Administratoren Tools zur Verfügung, die zwar nicht speziell auf die Kompatibilität mit Exchange Extended Protection prüfen, aber potenzielle Probleme bei der Exchange Server-Bereitstellung identifizieren können:
- Exchange Server Health Checker. Dieses PowerShell-Skript von Microsoft erstellt einen Bericht über Konfigurationsprobleme in der Exchange-Umgebung, einschließlich Load Balancers und Postfächer, sowie über etwaige Schwachstellen.
- Microsoft Remote Connectivity Analyzer. Dieses Tool diagnostiziert und behebt Probleme mit der Exchange Server-Verbindung. Es hilft beim Testen von Exchange-Diensten und -Protokollen nach der Aktivierung von Exchange Extended Protection.
So aktivieren Sie Exchange Extended Protection
Die Schritte zum Starten von Exchange Extended Protection können je nach Version von Exchange Server variieren. In der Regel aktivieren Sie Exchange Extended Protection mit einem PowerShell-Skript von Microsoft.
Laden Sie die neueste Version des Skripts ExchangeExtendedProtectionManagement.ps1 aus dem Microsoft-Repository herunter.
Dieses PowerShell-Skript kann eine zusätzliche Überprüfung der Voraussetzungen durchführen, um sicherzustellen, dass alle Exchange-Server über die erforderlichen kumulativen Updates und Sicherheitsupdates verfügen und alle dieselbe TLS-Konfiguration verwenden. Führen Sie den folgenden Befehl mit erhöhten Berechtigungen in der Exchange-Verwaltungsshell aus, um die Voraussetzungen für den erweiterten Exchange-Schutz zu überprüfen:
.\ExchangeExtendedProtectionManagement.ps1 -PrerequisitesCheckOnlyWenn das Skript Probleme findet, gibt es seine Ergebnisse aus, um Administratoren bei der Behebung bestimmter Probleme zu unterstützen. Nach der Durchführung von Updates kann der Administrator den folgenden Befehl ausführen, um bestimmte Exchange Server-Systeme zu überprüfen:
.\ExchangeExtendedProtectionManagement.ps1 -PrerequisitesCheckOnly -ExchangeServerNames <Servername>Nach der Aktualisierung der Exchange-Sicherheit alles prüfen
Führen Sie nach der Aktivierung von Exchange Extended Protection gründliche Tests durch, um sicherzustellen, dass die Exchange Server-Kommunikation ordnungsgemäß funktioniert und Clients eine sichere Verbindung herstellen können. Testen Sie verschiedene Clientzugriffsmethoden, zum Beispiel Outlook im Web, Outlook Anywhere und Exchange ActiveSync, um zu überprüfen, ob sie wie erwartet funktionieren.
Konsultieren Sie die offizielle Dokumentation von Microsoft und die bewährten Methoden für Ihre spezifische Version von Exchange Server, wenn Sie Exchange Extended Protection aktivieren, da die genauen Schritte und Anforderungen variieren können. Testen Sie Exchange Extended Protection außerdem in einer Nicht-Produktionsumgebung, bevor Sie es auf der Arbeitsplattform bereitstellen, um die Kompatibilität sicherzustellen und mögliche Störungen zu minimieren.
Häufige Probleme und Fehlerbehebung
Nach der Aktivierung von Exchange Extended Protection können bei Benutzern Probleme beim Zugriff auf Exchange-Dienste auftreten. Überprüfen Sie die folgenden Bereiche, um Probleme mit der Exchange-Verbindung zu beheben:
- Netzwerkverbindung zwischen Clients und Exchange-Servern.
- DNS-Auflösung für Exchange Server-Hostnamen.
- Firewalls und Netzwerkgeräte, die den erforderlichen Datenverkehr, wie HTTPS und Remote Procedure Call (RPC) über HTTP, durchlassen.
- Exchange Server-Ereignisprotokolle auf Fehler oder Warnungen im Zusammenhang mit der Konnektivität überprüfen.
- Deaktiviertes SSL-Offloading.
Überwachen Sie regelmäßig die Exchange-Serverprotokolle und Leistungsmetriken, um Probleme oder Anomalien im Zusammenhang mit Exchange Extended Protection zu identifizieren. Verwenden Sie Protokollierungs- und Überwachungs-Tools, um die Systemleistung zu verfolgen, Sicherheitsvorfälle zu erkennen und Probleme proaktiv zu beheben.
