Tags: Exchange, Sicherheit, Authentifizierung
Windows Extended Protection erhöht die Sicherheit der Windows-Authentifizierung. Die schon länger verfügbare Erweiterung erschwert Credential Relay oder "Man in the Middle"-Angriffe auf die IIS und somit auf Exchange Server. Es verwendet dazu Channel- und Service-Binding, um zu überprüfen, ob eine Anmeldesitzung für eine bestimmte Ressource bestimmt ist.
Angreifer nutzen verschiedene Techniken, um nichtsahnende Benutzer mit einem bösartigen Server zu verbinden und dort ihre Anmeldedaten abzugreifen. Sie können dann die Credentials auf einem legitimen Server erneut abspielen und sich damit authentifizieren.
Sie überprüft in einer solchen Situation, ob die Authentifizierungsanfrage ursprünglich für den Server selbst oder eine andere Ressource bestimmt war.
Wenn ein TLS-Kanal aufgebaut wird, kontrolliert WEP außerdem, ob die TLS-Sitzung mit der ursprünglichen Session identisch ist. Ist das nicht der Fall, dann weist er den Anmeldeversuch ab.
Es verwendet folgende Mechanismen:
- Die Kanalbindung nutzt ein Channel-Binding-Token (CBT), wie es bei SSL-Verbindungen eingesetzt wird.
- Die Service-Bindung verwendet den Service Principle Name (SPN) vor allem in Fällen, in denen Verbindungen über einen Proxy-Server oder Load Balancer hergestellt werden, oder bei solchen, die kein SSL verwenden.
Windows Extended Protection manuell aktivieren
Zunächst muss die Windows-Authentifizierung im IIS installiert und aktiviert sein. Die eigentliche Konfiguration für WEP erfolgt unter den erweiterten Einstellungen der Windows-Authentifizierung. Mögliche Werte sind:
- Off
- Accept
- Required
Aktivierung per Script
Um die mit den Sicherheits-Updates vom August 2022 geschlossenen Schwachstellen in Exchange Server 2013, 2016 und 2019 abzusichern, muss die Windows Extended Protection aktiviert werden.
Ein Script hilft dabei, den Prozess zu automatisieren, weil Exchange Server über eine Reihe von Verzeichnissen verfügt, die von WEP profitieren.
Aufgrund der zahlreichen erforderlichen Änderungen empfiehlt Microsoft, das Script ExchangeExtendedProtectionManagement.ps1 zu verwenden, anstatt diese manuell vorzunehmen. Sie können die vollständige Dokumentation und die neueste Version hier herunterladen.
Nachteile der Verwendung von WEP für Exchange
Schutzmechanismen schränken oft die Funktionalität einer Software ein oder lassen sich für bestimmte Szenarien nicht nutzen. Solche gibt es auch für die Windows Extended Protection:
- SSL-Offloading oder SSL-Terminierung über Layer 7-Lastausgleich führt zum Scheitern von WEP
- Automatisierte Archivierung mittels Richtlinie: In diesem Fall müssen Sie das Script ExchangeExtendedProtectionManagement.ps1 bei deaktiviertem WEP im Backend-EWS-Verzeichnis ausführen. Es erstellt einen Filter für IPs, die für dieses Verzeichnis zugelassen sind, um das Risiko zu vermindern.
- WEP funktioniert nicht, wenn Sie eine Modern Hybrid-Konfiguration verwenden. Exchange-Server, die mit dem Hybrid-Agenten veröffentlicht werden, müssen mit dem Parameter SkipExchangeServerNames übersprungen werden.
- Zugriff auf öffentliche Ordner: Wenn Sie Exchange Server 2013 verwenden, müssen Sie sicherstellen, dass sie keine öffentlichen Ordner haben. Wenn Sie sich in einer gemischten Konfiguration aus Exchange 2013 und 2016 bzw. 2019 befinden, müssen die öffentlichen Ordner auf Exchange 2016 oder 2019 migriert werden, bevor man WEP aktiviert.
Weitere Details zur Konfiguration von Extended Protection in den oben genannten Szenarien finden Sie hier.
Zusammenfassung
Mit den Security Updates für Exchange Server vom August 2022 führte Microsoft die Extended Protection ein, um die Authentifizierung für die virtuellen Verzeichnisse in Exchange Server abzusichern.
Kunden müssen dabei jedoch Szenarien und Konfigurationen beachten, bei denen es zu Problemen kommt, wie zum Beispiel bei öffentlichen Ordnern in Exchange Server 2013.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Vorzeitiges CU1, CU12, CU22 für Exchange 2019 / 2016 / 2013 wegen Security, Rollup für Version 2010
- Exchange 2019 CU13: Unterstützung für Modern Authentication, Setup bewahrt individuelle Einstellungen
- Alte oder ungepatche Exchange-Server können künftig keine Mails an Microsoft 365 senden
- NTLM-Authentifizierung überwachen oder blockieren mit Gruppenrichtlinien
- Exchange Online: Endgültiges Aus für Basic Auth, Ende für Remote PowerShell
Weitere Links