Exchange Server und IIS mit Windows Extended Protection (WEP) absichern


    Tags: , ,

    Logo für Exchange Windows Extended Protection erhöht die Sicher­heit der Windows-Authenti­­fizierung. Die schon länger ver­fügbare Erweiterung erschwert Credential Relay oder "Man in the Middle"-Angriffe auf die IIS und somit auf Exchange Server. Es ver­wendet dazu Channel- und Service-Binding, um zu über­prüfen, ob eine Anmelde­sitzung für eine bestimmte Ressource bestimmt ist.

    Angreifer nutzen verschiedene Techniken, um nichtsahnende Benutzer mit einem bösartigen Server zu verbinden und dort ihre Anmeldedaten abzugreifen. Sie können dann die Credentials auf einem legitimen Server erneut abspielen und sich damit authentifizieren.

    Sie überprüft in einer solchen Situation, ob die Authen­tifizierungs­anfrage ursprünglich für den Server selbst oder eine andere Ressource bestimmt war.

    Wenn ein TLS-Kanal aufgebaut wird, kontrolliert WEP außerdem, ob die TLS-Sitzung mit der ursprünglichen Session identisch ist. Ist das nicht der Fall, dann weist er den Anmeldeversuch ab.

    Es verwendet folgende Mechanismen:

    • Die Kanalbindung nutzt ein Channel-Binding-Token (CBT), wie es bei SSL-Verbindungen eingesetzt wird.
    • Die Service-Bindung verwendet den Service Principle Name (SPN) vor allem in Fällen, in denen Verbindungen über einen Proxy-Server oder Load Balancer hergestellt werden, oder bei solchen, die kein SSL verwenden.

    Windows Extended Protection manuell aktivieren

    Zunächst muss die Windows-Authentifizierung im IIS installiert und aktiviert sein. Die eigentliche Konfiguration für WEP erfolgt unter den erweiterten Einstellungen der Windows-Authentifizierung. Mögliche Werte sind:

    • Off
    • Accept
    • Required

    Windows Extended Protection in IIS aktivieren

    Aktivierung per Script

    Um die mit den Sicherheits-Updates vom August 2022 geschlossenen Schwachstellen in Exchange Server 2013, 2016 und 2019 abzusichern, muss die Windows Extended Protection aktiviert werden.

    Ein Script hilft dabei, den Prozess zu automatisieren, weil Exchange Server über eine Reihe von Verzeichnissen verfügt, die von WEP profitieren.

    Aufgrund der zahlreichen erforderlichen Änderungen empfiehlt Microsoft, das Script Exchange­Extended­Protection­Management.ps1 zu verwenden, anstatt diese manuell vorzunehmen. Sie können die vollständige Dokumentation und die neueste Version hier herunterladen.

    Nachteile der Verwendung von WEP für Exchange

    Schutzmechanismen schränken oft die Funktionalität einer Software ein oder lassen sich für bestimmte Szenarien nicht nutzen. Solche gibt es auch für die Windows Extended Protection:

    • SSL-Offloading oder SSL-Terminierung über Layer 7-Lastausgleich führt zum Scheitern von WEP
    • Automatisierte Archivierung mittels Richtlinie: In diesem Fall müssen Sie das Script Exchange­Extended­Protection­Management.ps1 bei deakti­viertem WEP im Backend-EWS-Verzeichnis ausführen. Es erstellt einen Filter für IPs, die für dieses Verzeichnis zugelassen sind, um das Risiko zu vermindern.
    • WEP funktioniert nicht, wenn Sie eine Modern Hybrid-Konfiguration verwenden. Exchange-Server, die mit dem Hybrid-Agenten veröffentlicht werden, müssen mit dem Parameter SkipExchange­ServerNames übersprungen werden.
    • Zugriff auf öffentliche Ordner: Wenn Sie Exchange Server 2013 verwenden, müssen Sie sicherstellen, dass sie keine öffentlichen Ordner haben. Wenn Sie sich in einer gemischten Konfiguration aus Exchange 2013 und 2016 bzw. 2019 befinden, müssen die öffentlichen Ordner auf Exchange 2016 oder 2019 migriert werden, bevor man WEP aktiviert.

    Weitere Details zur Konfiguration von Extended Protection in den oben genannten Szenarien finden Sie hier.

    Zusammenfassung

    Mit den Security Updates für Exchange Server vom August 2022 führte Microsoft die Extended Protection ein, um die Authentifizierung für die virtuellen Verzeichnisse in Exchange Server abzusichern.

    Kunden müssen dabei jedoch Szenarien und Konfigurationen beachten, bei denen es zu Problemen kommt, wie zum Beispiel bei öffentlichen Ordnern in Exchange Server 2013.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.

    // Kontakt: Web, E-Mail, LinkedIn //

    Verwandte Beiträge

    Weitere Links