Vedení
V pokynech se uvádí, že správci by měli s místními servery Exchange zacházet jako s „bezprostředně ohroženými“ a uvádí klíčové postupy pro správce:
- Za prvé, poznamenává, že „nejefektivnější obranou proti zneužití je zajistit, aby všechny servery Exchange používaly nejnovější verzi a kumulativní aktualizaci (CU)“;
- Zdůrazňuje, že Microsoft Exchange Server Subscription Edition (SE) je jedinou podporovanou místní verzí Exchange, protože Microsoft ukončil podporu pro předchozí verze 14. října 2025;
- Vyzývá administrátory, aby zajistili, že služba Emergency Mitigation Service společnosti Microsoft zůstane povolena pro poskytování dočasných zmírnění;
- Vyzývá administrátory, aby vytvořili základní úroveň zabezpečení pro Exchange Server, poštovní klienty a Windows. Udržování základní úrovně zabezpečení umožňuje správcům identifikovat nevyhovující systémy a systémy s nesprávnou konfigurací zabezpečení a také jim umožňuje provádět rychlou nápravu, která snižuje plochu útoku dostupnou pro protivníka;
- Doporučuje správcům, aby povolili vestavěnou ochranu, jako je Microsoft Defender Antivirus a další funkce systému Windows, pokud nepoužívají bezpečnostní software třetích stran. Řízení aplikací pro Windows (App Control for Business a AppLocker) je důležitou bezpečnostní funkcí, která posiluje zabezpečení serverů Exchange řízením spouštění spustitelného obsahu, dodává rada;
- Vyzývá administrátory, aby zajistili, že přístup k administrativním prostředím Exchange, a to i prostřednictvím vzdáleného prostředí PowerShell, by měly mít povoleny pouze autorizované vyhrazené administrativní pracovní stanice;
- Říká správcům, aby zajistili zpřísnění ověřování a šifrování pro ověřování identity;
- Doporučuje, aby byla rozšířená ochrana (EP) nakonfigurována s konzistentním nastavením TLS a konfigurací NTLM. Díky tomu EP funguje správně na více serverech Exchange;
- Radí správcům, aby zajistili, že je povoleno výchozí nastavení pro hlavičku P2 FROM, aby bylo možné detekovat manipulaci s hlavičkou a falšování;
- Říká se, že správci by měli povolit HTTP Strict Transport Security (HSTS), aby všechna připojení prohlížeče byla šifrována pomocí HTTPS.
Vzhledem k množství dostupných možností konfigurace může být pro mnoho organizací obtížné vybrat optimální konfiguraci zabezpečení pro jejich konkrétní organizaci v době instalace, připouští Beggs. To je podle něj složitější, pokud se implementace vyskytují v modelu sdílených služeb, kde je server Exchange hostován v cloudu a může být konfigurován a udržován třetí stranou a odpovědnost za bezpečnou konfiguraci není jasná.
„Málo uznávaným aspektem bezpečné konfigurace Exchange je, že použití oprav a upgradů od dodavatele může resetovat nebo změnit některé informace o konfiguraci zabezpečení,“ poznamenal. Zatímco pokyny nabádají administrátory, aby „aplikovali bezpečnostní základní linie“, Beggs řekl, že by měli ověřit, zda byla použita správná základní linie zabezpečení. A dodal, že by měli kontrolovat nastavení konfigurace alespoň čtvrtletně.
Zdroj: techadvisor.com
