Exchange Server est une cible préférée pour les attaquants, mais une couche supplémentaire de sécurité de Microsoft peut aider à maintenir les cyberattaques à distance.
La protection étendue de Windows est une fonctionnalité de sécurité conçue pour améliorer la protection contre certains types d’attaques, en particulier l’interception des données et la falsification. Microsoft a récemment élargi cette couverture à Exchange Server, mais sans la configuration appropriée, la protection étendue de l’échange peut introduire des problèmes. Cet article explique les conditions préalables à la protection prolongée d’échange, comment la configurer et comment dépanner si des problèmes se produisent.
Comment la protection étendue de l’échange empêche-t-elle les attaques?
La protection étendue de l’échange aide à prévenir les attaques contre l’échange en améliorant la sécurité des communications entre Exchange Server et les clients. Cela atténue le risque d’attaque de l’homme au milieu (MITM), où un attaquant intercepte et modifie potentiellement la communication entre un client et un serveur.
La protection étendue de l’échange applique des mécanismes d’authentification plus stricts, tels que les clients à utiliser des certificats de validation prolongés, puis seuls les clients autorisés peuvent se connecter aux serveurs d’échange. La protection étendue de l’échange nécessite l’utilisation d’algorithmes de chiffrement améliorés, qui codent plus de données échangées entre les clients et les serveurs en toute sécurité. Cela aide à empêcher les attaquants d’intercepter et de déchiffrer les informations sensibles transmises sur le réseau.
Microsoft a abordé des vulnérabilités et des faiblesses de sécurité connues dans Exchange Server en appliquant des mesures plus rigoureuses avec une protection étendue d’échange. La mise à jour de cette fonctionnalité de sécurité fait que les déploiements d’échanges suivent les protocoles de sécurité standard de l’industrie et les meilleures pratiques.
Quels sont les problèmes potentiels avec la protection étendue d’échange?
La mise en œuvre de la protection étendue des échanges peut introduire plusieurs problèmes ou défis potentiels. Certains clients de messagerie plus anciens ou moins courants peuvent ne pas prendre en charge les protocoles et configurations de sécurité requis par la protection étendue de l’échange, conduisant à des problèmes de compatibilité qui empêchent les utilisateurs d’accéder aux services d’échange en toute sécurité. La configuration incorrecte des paramètres de protection Exchange étendue sur les serveurs d’échange ou les clients peut entraîner des problèmes de connectivité et d’autres problèmes. Des exigences supplémentaires sur les frais généraux et le traitement sur les serveurs et les clients peuvent affecter les performances; La planification et le suivi des administrateurs devraient aider à atténuer ces problèmes.
La gestion du certificat de validation étendu peut être complexe et longue. Les administrateurs doivent s’assurer que les certificats sont émis, renouvelés et installés correctement sur Exchange Server et Systèmes clients. Le défaut de gestion des certificats peut entraîner des vulnérabilités de sécurité et des problèmes de connectivité. Les utilisateurs finaux peuvent avoir besoin de formation pour tenir leurs clients de messagerie à jour pour suivre les nouvelles politiques de sécurité.
Si l’organisation utilise des produits de sécurité tiers ou des services de filtrage par e-mail, assurez-vous de tester leur compatibilité avant d’activer la protection prolongée d’échange et de vérifier les fonctionnalités appropriées par la suite.
Les tests, la surveillance et la maintenance continue sont cruciaux pour garder une longueur d’avance sur les problèmes qui découlent de l’utilisation de la protection étendue des échanges.
Quelles sont les conditions préalables à la protection étendue des échanges?
Microsoft prend en charge la protection étendue Exchange sur Exchange Server 2013, 2016 et 2019 avec les dernières mises à jour de sécurité cumulatives.
Exchange Server 2016 et 2019 doivent être sur la mise à jour cumulative 2022 H1 et la mise à jour de sécurité d’août 2022 ou installée ultérieure. Exchange Server 2013 doit être sur la mise à jour cumulative 23 avec la mise à jour de sécurité d’août 2022 ou ultérieure.
La protection prolongée ne peut pas être activée sur Exchange Server 2013 avec des dossiers publics dans un environnement de coexistence. Microsoft a mis fin à la prise en charge de Exchange 2013 en avril 2023. Les dossiers publics doivent être déplacés vers un déploiement de serveur Exchange pris en charge.
La version NTLM doit être NTLMV2. Microsoft ne prend pas en charge NTLMV1 avec une protection étendue d’échange. Un client qui utilise NTLMV1 ne parvient pas à s’authentifier. Microsoft recommande que les clients Windows et les serveurs d’échange aient une valeur de registre LMCompatibilityLevel de 3 au minimum, ce qui envoie une réponse NTLMV2.
Le déchargement Secure Sockets Layer (SSL) est activé par défaut pour les organisations qui utilisent Outlook n’importe où, ce qui permet aux utilisateurs de se rendre à leur boîte aux lettres d’échange en dehors du réseau de l’organisation sans VPN. Le déchargement SSL améliore les performances et l’évolutivité des serveurs Web, y compris Exchange Server, mais il est considéré comme un risque de sécurité pour les attaques MITM et n’est pas compatible avec la protection étendue Exchange.
Désactiver le déchargement SSL dans Outlook n’importe où pour faire en sorte que le cryptage SSL s’arrête sur Exchange Server au lieu d’un périphérique intermédiaire, tel qu’un proxy inversé ou un équilibreur de charge.
Le programme d’installation de Exchange Server 2019 CU14 et arrête plus tard le déchargement SSL automatiquement, mais les administrateurs peuvent utiliser la commande PowerShell suivante pour désactiver le déchargement SSL:
Set-OutlookAnywhere -Identity "<ServerName>\rpc (Default Web Site)" -SSLOffloading $false -InternalClientsRequireSsl $true -ExternalClientsRequireSsl $trueÉtant donné que la protection étendue de l’échange nécessite des certificats de validation prolongés, assurez-vous d’avoir une infrastructure de certificat pour émettre et gérer ces certificats. Cela comprend l’obtention de certificats SSL / Transport Layer Security (TLS) valides à partir d’une autorité de certificat de confiance et la vérification de l’installation et de la configuration appropriées des certificats sur Exchange Server.
Tous les serveurs d’échange doivent utiliser TLS 1.2.
Si l’organisation utilise des dossiers publics sur Exchange Server 2013, ils doivent être migrés vers une version prise en charge d’Exchange Server.
Exchange Server s’appuie sur AD pour l’authentification, l’autorisation et d’autres services d’annuaire. Il est important de vérifier que l’infrastructure AD reste correctement configurée, saine et accessible depuis Exchange Server.
Les clients utilisés par vos utilisateurs doivent prendre en charge les protocoles et configurations de sécurité nécessaires, ce qui pourrait nécessiter une mise à jour des applications client, telles que les clients Outlook et les clients de messagerie mobile, pour prendre en charge les certificats de validation étendus, les algorithmes de chiffrement et d’autres fonctionnalités de sécurité.
Comment vérifiez-vous la compatibilité de la protection étendue en échange?
Microsoft fournit des outils pour les administrateurs d’échange qui pourraient ne pas vérifier spécifiquement la compatibilité de protection Exchange étendue, mais ils peuvent identifier les problèmes potentiels dans le déploiement du serveur Exchange:
- Exchange Server Health Checker. Ce script PowerShell de Microsoft produit un rapport de problèmes de configuration dans l’environnement d’échange, y compris les équilibreurs et les boîtes aux lettres de charge, ainsi que toutes les vulnérabilités.
- Microsoft Remote Connectivity Analyzer. Cet diagnostic et dépannage les problèmes de connectivité du serveur d’échange. Cet outil aide à tester les services d’échange et les protocoles après avoir permis d’échanger une protection étendue.
Comment permettre d’échanger une protection prolongée
Les étapes pour démarrer la protection étendue de l’échange peuvent varier en fonction de la version d’Exchange Server. Vous activez généralement l’échange de protection étendue avec un script PowerShell de Microsoft.
Téléchargez la dernière version du ExchangeExtendProtectionManagement.PS1 script du référentiel Microsoft.
Ce script PowerShell peut exécuter une vérification préalable supplémentaire pour s’assurer que tous les serveurs d’échange exécutent les mises à jour cumulatives et les mises à jour de sécurité minimales requises, et ils utilisent tous la même configuration TLS. Exécutez la commande suivante à l’aide de privilèges élevés de Exchange Management Shell (EMS) pour vérifier les conditions préalables à la protection étendue de l’échange:
.\ExchangeExtendedProtectionManagement.ps1 -PrerequisitesCheckOnlySi le script trouve des problèmes, il publie ses résultats pour aider les administrateurs à corriger des problèmes spécifiques. Après avoir effectué des mises à jour, l’administrateur peut exécuter la commande suivante pour vérifier les systèmes de serveur Exchange spécifiques:
.\ExchangeExtendedProtectionManagement.ps1 -PrerequisitesCheckOnly -ExchangeServerNames <Server Name>Effectuer des chèques après la mise à niveau de la sécurité des échanges
Après avoir activé l’échange de protection étendue, effectuez des tests approfondis pour vous assurer que l’échange de fonctions de communication du serveur et que les clients peuvent se connecter en toute sécurité. Testez diverses méthodes d’accès client, telles que Outlook sur le Web, Outlook Anywhere et Exchange ActiveSync, pour vérifier qu’ils fonctionnent comme prévu.
Consultez la documentation officielle de Microsoft et les meilleures pratiques pour votre version spécifique de Exchange Server lors de l’activation de la protection prolongée Exchange, car les étapes et les exigences exactes peuvent varier. De plus, envisagez de tester la protection étendue de l’échange dans un environnement non production avant de le déployer dans la plate-forme de travail pour assurer la compatibilité et minimiser les perturbations potentielles.
Problèmes communs et dépannage
Les utilisateurs peuvent rencontrer des problèmes lors de l’accès aux services d’échange après l’activation de la protection prolongée d’échange. Regardez les domaines suivants pour aider à résoudre les problèmes de connectivité d’échange:
- Connectivité réseau entre les clients et les serveurs d’échange.
- Résolution DNS pour les noms d’hôte Exchange Server.
- Les pare-feu et les périphériques réseau permettant le trafic nécessaire, tel que HTTPS et l’appel de procédure à distance sur HTTP, pour passer.
- Exchange Server Event des journaux pour toutes les erreurs ou avertissements liés à la connectivité.
- Déchargement SSL désactivé.
Surveillez régulièrement les journaux du serveur Exchange et les métriques de performances pour identifier tous les problèmes ou anomalies liés à la protection étendue de l’échange. Utilisez des outils de journalisation et de surveillance pour suivre les performances du système, détecter les incidents de sécurité et dépanner les problèmes de manière proactive.
Helen Searle-Jones détient une position de groupe de groupe dans le secteur manufacturier. Elle s’appuie sur 30 ans d’expérience en informatique des entreprises et des utilisateurs finaux, en utilisant des technologies cloud et sur site pour améliorer les performances informatiques.
