Exchange Server und IIS mit Windows Extended Protection (WEP) absichern

WEP überprüft in einer solchen Situation, ob die Authen­tifizierungs­anfrage ursprünglich für den Server selbst oder eine andere Ressource bestimmt war.

Wenn ein TLS-Kanal aufgebaut wird, kontrolliert WEP außerdem, ob die TLS-Sitzung mit der ursprünglichen Session identisch ist. Ist das nicht der Fall, dann weist er den Anmeldeversuch ab.

Es verwendet folgende Mechanismen:

• Die Kanalbindung nutzt ein Channel-Binding-Token (CBT), wie es bei SSL-Verbindungen eingesetzt wird.
• Die Service-Bindung verwendet den Service Principle Name (SPN) vor allem in Fällen, in denen Verbindungen über einen Proxy-Server oder Load Balancer hergestellt werden, oder bei solchen, die kein SSL verwenden.

Windows Extended Protection manuell aktivieren

Zunächst muss die Windows-Authentifizierung im IIS installiert und aktiviert sein. Die eigentliche Konfiguration für WEP erfolgt unter den erweiterten Einstellungen der Windows-Authentifizierung. Mögliche Werte sind:

• Off
• Accept
• Required

Aktivierung per Script

Um die mit den Sicherheits-Updates vom August 2022 geschlossenen Schwachstellen in Exchange Server 2013, 2016 und 2019 abzusichern, muss die Windows Extended Protection aktiviert werden.

Ein Script hilft dabei, den Prozess zu automatisieren, weil Exchange Server über eine Reihe von Verzeichnissen verfügt, die von WEP profitieren.

Aufgrund der zahlreichen erforderlichen Änderungen empfiehlt Microsoft, das Script Exchange­Extended­Protection­Management.ps1 zu verwenden, anstatt diese manuell vorzunehmen. Sie können die vollständige Dokumentation und die neueste Version hier herunterladen.

Nachteile der Verwendung von WEP für Exchange

Schutzmechanismen schränken oft die Funktionalität einer Software ein oder lassen sich für bestimmte Szenarien nicht nutzen. Solche gibt es auch für die Windows Extended Protection:

• SSL-Offloading oder SSL-Terminierung über Layer 7-Lastausgleich führt zum Scheitern von WEP
• Automatisierte Archivierung mittels Richtlinie: In diesem Fall müssen Sie das Script Exchange­Extended­Protection­Management.ps1 bei deakti­viertem WEP im Backend-EWS-Verzeichnis ausführen. Es erstellt einen Filter für IPs, die für dieses Verzeichnis zugelassen sind, um das Risiko zu vermindern.
• WEP funktioniert nicht, wenn Sie eine Modern Hybrid-Konfiguration verwenden. Exchange-Server, die mit dem Hybrid-Agenten veröffentlicht werden, müssen mit dem Parameter SkipExchange­ServerNames übersprungen werden.
• Zugriff auf öffentliche Ordner: Wenn Sie Exchange Server 2013 verwenden, müssen Sie sicherstellen, dass sie keine öffentlichen Ordner haben. Wenn Sie sich in einer gemischten Konfiguration aus Exchange 2013 und 2016 bzw. 2019 befinden, müssen die öffentlichen Ordner auf Exchange 2016 oder 2019 migriert werden, bevor man WEP aktiviert.

Weitere Details zur Konfiguration von Extended Protection in den oben genannten Szenarien finden Sie hier.

Zusammenfassung

Mit den Security Updates für Exchange Server vom August 2022 führte Microsoft die Extended Protection ein, um die Authentifizierung für die virtuellen Verzeichnisse in Exchange Server abzusichern.

Kunden müssen dabei jedoch Szenarien und Konfigurationen beachten, bei denen es zu Problemen kommt, wie zum Beispiel bei öffentlichen Ordnern in Exchange Server 2013.