Microsoft Exchange // Extended Protection Vorbereitende Maßnahmen

Microsoft Microsoft Exchange

Microsoft Exchange OnPrem 2013/2016/2019 erfordert die Aktivierung von Extended Protection, um einige kritische Sicherheitslücke zu schließen. Bevor ihr die empfohlenen Einstellungen für den erweiterten Schutz in Ihrer Microsoft Exchange-Umgebung aktivieren, sollten Sie zunächst einige Dinge beachten. Denn damit gehen auch Einschränkungen überein.

Tatsächlich sind diese Einstellungen seit 2009 verfügbar und ein Thema von Windows IIS, wird aber jetzt zwingend benötigt, um Sicherheitslücken zu schließen.

Das Flussdiagramm stellt einmal dar, wie der Weg zum schließen der Lücken aussieht.

Hier nun aufgelistet die Einschränkungen:

  • Extended Protection kann nicht auf Exchange Server 2013-Servern (Grundsätzlich aber ab Exchange Server 2013 CU23 möglich) aktiviert werden, die über öffentliche Ordner in der Koexistenzumgebung verfügen.
    • Hier werden die Public Folder sonst nicht mehr bei den Endbenutzern erscheinen
  • Extended Protection kann nicht auf Exchange Server 2016 CU22 oder Exchange Server 2019 CU11 oder früher aktiviert werden, die die Public Folder Hierarchie hosten.
    • Läuft nur ab 2016 CU23 und 2019 CU12
  • Extended Protection funktioniert nicht auf Hybridservern mit der Modern Hybridkonfiguration
    • Features wie Postfachmigration und Frei/Gebucht-Informationen werden unterbrochen
  • NTLMv1 wird nicht unterstützt (sollte möglichst sowieso nicht mehr genutzt werden!) Anleitung
    • Nutzt ein Client dennoch NTLMv1, wird er ständig mit Passwortabfragen bombadiert
  • SSL-Offload-Szenarien werden nicht unterstützt
    • Die Extended Protection schlägt aufgrund der SSL-Beendigung während des SSL-Offloads fehl. Um Extended Protection in Ihrer Exchange-Umgebung zu aktivieren, verwenden Sie kein SSL-Offloading mit Ihrem Load Balancer.
  • Die TLS-Konfiguration
    • Konsistente TLS-Versionen:
      • Überprüfen Sie, dass alle Exchange-Server im Unternehmen die gleiche TLS-Version verwenden. Wenn beispielsweise ein Server TLS 1.2 verwendet, müssen alle anderen Server ebenfalls auf TLS 1.2 konfiguriert sein.
      • Abweichungen in den TLS-Versionen zwischen den Servern können zu Verbindungsproblemen mit den Clients führen und sollten vermieden werden.
    • SchUseStrongCrypto-Registrierungswert:
      • Setzen Sie den Wert des SchUseStrongCrypto-Registrierungswerts auf 1 auf allen Exchange-Servern innerhalb der Organisation.
      • Falls dieser Wert nicht explizit auf 1 festgelegt ist, kann der Standardwert je nach verwendeter .NET-Version interpretiert werden, was zu unerwünschten Konfigurationen führen kann.
    • SystemDefaultTlsVersions-Registrierungswert:
      • Stellen Sie sicher, dass der SystemDefaultTlsVersions-Registrierungswert ebenfalls explizit auf 1 festgelegt ist.
      • Wenn diese Werte nicht wie erwartet festgelegt sind, kann dies zu TLS-Konflikten führen, die wiederum zu Problemen bei der Clientkonnektivität führen.
  • Softwarekompatibilität von Drittanbietern
    • Testen Sie Produkte von Drittanbietern in Ihrer Exchange Server-Umgebung, um sicherzustellen, dass sie ordnungsgemäß funktionieren, wenn der erweiterte Schutz aktiviert ist. Ich habe zum Beispiel Antivirenlösungen gesehen, die Verbindungen über einen Proxy senden, um Clientcomputer zu schützen, aber dies verhindert die Kommunikation mit dem Exchange-Server und sollte deaktiviert werden.

SSL-Bridging funktioniert, sofern im Exchange und Load-Balancer das gleiche Zertifikat verwendet wird.

SSL-Offloading für Outlook Anywhere ist standardmäßig aktiviert und muss deaktiviert werden, indem Sie die folgenden Schritte ausführen:

Set-OutlookAnywhere -Identity "EXCH1\rpc (Default Web Site)" -SSLOffloading $false

Sind all diese Einschränkungen geprüft und abgestimmt, kann die Extended Protection via Skript-Unterstützung aktiviert werden.

Erforderlich:
Der Benutzer muss ein Organization Management-Mitglied sein und dieses Skript über die Exchange-Verwaltungsshell (EMS) mit erhöhten Rechten ausführen.

ExchangeExtendedProtectionManagement.ps1 ist ein Skript zur Automatisierung der Extended Protection des Windows-Authentifizierungsmoduls auf Exchange-Servern. Stellen Sie vor der Konfiguration sicher, dass die TLS-Einstellungen auf allen Servern, auf denen Sie den erweiterten Schutz aktivieren möchten, und auf dem Server, auf dem der Extended Protection bereits aktiviert ist, identisch sind, und dass die erforderlichen anderen Voraussetzungen gegeben sind.

Folgend eine Auflistung mit Beispiel Codezeilen zum ausführen:

PS C:\> .\ExchangeExtendedProtectionManagement.ps1

Einfache Ausführung über alle Server der Organisation.


PS C:\> .\ExchangeExtendedProtectionManagement.ps1 -ExchangeServerNames <Array_of_Server_Names>

Ausführen für nur bestimmte Server.


PS C:\> .\ExchangeExtendedProtectionManagement.ps1 -SkipExchangeServerNames <Array_of_Server_Names>

Ausführen für alle Server außer …


PS C:\> .\ExchangeExtendedProtectionManagement.ps1 -FindExchangeServerIPAddresses -OutputFilePath "C:\temp\ExchangeIPs.txt"

Export einer Liste aller Exchange Server IPs in der Organisation.


PS C:\> .\ExchangeExtendedProtectionManagement.ps1 -RollbackType "RestoreIISAppConfig"

Wiederherstellen der IIS-Einstellungen zuvor.


PS C:\> .\ExchangeExtendedProtectionManagement.ps1 -ShowExtendedProtection

Aktuelle Einstellungen anzeigen.


Hier noch alle Parameter mit Erläuterung.

ParameterBeschreibung
ExchangeServerNamesEine Liste der Server, auf denen das Skript ausgeführt werden soll. Dies kann zur Konfiguration oder zum Rollback verwendet werden.
SkipExchangeServerNamesEine Liste der Server, die nicht für die Ausführung von Konfigurations- oder Rollback-Skripts verwendet werden.
ShowExtendedProtectionZeigt die aktuelle Konfiguration des Extended Protection für die übergebene Serverliste an.
FindExchangeServerIPAddressesVerwenden Sie dies, um eine Liste von Exchange Server-IPs zu erstellen, die für IP-Einschränkungen verwendet werden sollten.
OutputFilePathBenutzerdefinierter Dateipfad zum Exportieren der von FindExchangeServerIPAddresses erfassten Liste der Exchange Server-IPs. Der Standardwert ist der lokale Speicherort IPList.txt.
IPRangeFilePathPfad zu einer Datei, die alle IP-Adressen oder Subnetze enthält, die in die IP Allow List aufgenommen werden sollten.
RestrictTypeAktiviert IP-Einschränkungen für das virtuelle Verzeichnis. Muss mit IPRangeFilePath verwendet werden. Folgende Werte sind erlaubt:
EWS-Backend
ValidateTypeZum überprüfen, dass ValidateType-IP-Einschränkungen korrekt angewendet werden. Muss mit IPRangeFilePath verwendet werden. Folgende Werte sind erlaubt:
RestrictTypeEWSBackend
RollbackTypeDieser Parameter ermöglicht Ihnen ein Rollback mit dem angegebenen Typ. Folgende Werte sind erlaubt:
RestoreIISAppConfig, RestrictTypeEWSBackend
SkipAutoUpdateÜberspringt die automatische Aktualisierungsfunktion und lädt nicht die neueste Version des Skripts herunter.

Offizieller Microsoft Artikel: Link

1 thought on “Microsoft Exchange // Extended Protection Vorbereitende Maßnahmen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert