In diesem Tutorial erkläre ich Ihnen, wie Sie den erweiterten Schutz (Exchange Extended Protection) auf Exchange 2016 (und 2019, wenn Sie nicht über CU14 verfügen, das ihn automatisch aktiviert) aktivieren, um sich vor CVE-2024 -21410 zu schützen.
Exchange Extended Protection ist eigentlich eine erweiterte Sicherheitskonfiguration für Exchange 2016/2019. Diese Konfiguration wird mithilfe eines PowerShell-Skripts angewendet.
Bevor erläutert wird, wie Sie diesen erweiterten Schutz anwenden, ist es besonders wichtig, darauf zu achten, wie Sie Ihre Exchange-Server veröffentlichen.
Wenn Sie eine Reverse-Proxy-Lösung vom Typ IIS ARR/Kemp/F5 verwenden, darf zwischen dem Reverse-Proxy und den Exchange-Servern kein SSL-Offload stattfinden, die Kommunikation muss in HTTPS vom Client zum Exchange-Server erfolgen. Als zweites zu berücksichtigendes Element muss das SSL-Zertifikat auf dem Reverse-Proxy und dem/den Exchange-Server(n) identisch sein.
Bevor Sie mit der erweiterten Schutzkonfiguration für Exchange beginnen, muss die SERVER\RPC-Site (Standardwebsite) ohne SSL-Offloading konfiguriert werden.
Geben Sie dazu den folgenden EMS-Befehl ein:
Set-OutlookAnywhere 'EXCHANGE-SERVER-X\RPC (Default Web Site)' -SSLOffloading $false -InternalClientsRequireSsl $true -ExternalClientsRequireSsl $truePassen Sie den Befehl an, indem Sie EXCHANGE-SERVER-X ändern, damit er zu Ihrer Umgebung passt. Dieser Befehl muss für jeden Exchange-Server platziert werden.
Um das Ergebnis des erweiterten Exchange-Schutzes zu sehen, verwenden wir zunächst das Skript HealthChecker.ps1, mit dem wir den Zustand der Exchange-Umgebung überprüfen können.
Laden Sie das Skript auf einen Exchange-Server hoch und führen Sie es in EMS aus .\HealthChecker.ps1.
Das Ergebnis des Teils „Sicherheitslücke“:
Security Vulnerability
----------------------
IIS module anomalies detected: False
Security Vulnerability: Download Domains are not configured. You should configure them to be protected against CVE-2021-1730.
Configuration instructions: https://aka.ms/HC-DownloadDomains
Security Vulnerability: CVE-2022-24516, CVE-2022-21979, CVE-2022-21980, CVE-2022-24477, CVE-2022-30134, CVE-2024-21410
Extended Protection is not configuredIn den Protokollen können wir sehen, dass der erweiterte Schutz nicht aktiviert ist und dass der Server für mehrere CVEs anfällig ist, darunter CVE-2024-21410.
Wir werden jetzt den erweiterten Schutz anwenden, um uns vor den verschiedenen CVEs von Exchange-Servern zu schützen.
Laden Sie das Skript herunter ExchangeExtendedProtectionManagement auf einem Exchange-Server.
Der erweiterte Schutz wird auf alle Exchange-Server angewendet.
Führen Sie das Skript über die EMS-Konsole als Administrator aus.
.\ExchangeExtendedProtectionManagement.ps1Beim Starten des Skripts müssen Sie die Ausführung zweimal bestätigen:
- Der erste, der den Herausgeber validiert, der das Skript unterzeichnet hat
- Der zweite Schritt dient zur Bestätigung der Warnmeldung zu bekannten Problemen.
Warten Sie, während das Skript ausgeführt wird …
Sie haben den erweiterten Exchange-Schutz aktiviert.
Um das Ergebnis zu sehen, starten Sie das Skript neu .\HealthChecker.ps1
Wenn wir uns den Abschnitt „Sicherheitslücke“ ansehen, sind die von Exchange Extended Protection abgedeckten Schwachstellen nicht mehr aufgeführt, insbesondere CVE-2024-21410.
Testen Sie nun die unterschiedlichen OWA- und Outlook-Clientzugriffe, um sicherzustellen, dass alles ordnungsgemäß funktioniert.
Im Falle einer vollständigen Blockierung besteht die Möglichkeit, den erweiterten Schutz zu deaktivieren:
.\ExchangeExtendedProtectionManagement.ps1 -DisableExtendedProtectionZurückgehen (Rollback):
.\ExchangeExtendedProtectionManagement.ps1 -RollbackType "RestoreConfiguration"