Exchange 2019 CU14 aktiviert Extended Protection, HSTS-Support für 2016 und 2019 ab sofort

    , 29.08.2023
    Tags: , , ,

    Logo für ExchangeMicrosoft kündigte zwei Security-bezogene Neuer­ungen für Exchange an. Zum einen soll das Update H2 2023 die Extended Protection auto­matisch aktivieren. Dies kann je nach Umgebung zu uner­wün­schten Effekten führen. Zum anderen unter­stützen Exchange 2016 und 2019 nun den HSTS-Standard, um die Kommuni­kation mit Web-Clients abzusichern.

    Die Windows Extended Protection (WEP) nutzt ein Channel-Binding-Token (CBT) für TLS-Verbin­dungen, um sicherzustellen, dass eine TLS-Sitzung mit der ursprünglichen Session identisch ist. Dies soll Man-in-the-Middle-Attacken verhindern, weil der Angreifer über diesen zusätzlichen CBT-Faktor nicht verfügt.

    WEP-Support seit August 2022

    Bei WEP handelt es um ein Feature der IIS, welches Exchange seit den Security Updates aus dem August 2022 unterstützt. Microsoft empfahl die Aktivierung von WEP, um die damals bekannt gewordenen Schwachstellen zu schließen. Der Hersteller bietet seitdem ein Script an, mit dem man die Umgebung für den Einsatz von WEP evaluieren und dieses auf Exchange-Servern aktivieren kann.

    Bis dato ist WEP mithin standard­mäßig deaktiviert. Dies soll sich mit der Installation von CU14 auf Exchange 2019 ändern, denn das Setup schaltet das Feature dann automatisch an.

    Hindernisse für WEP

    Wenn Unternehmen jedoch vor einem Exchange-Server einen Load-Balancer oder einen Proxy-Server betreiben, dann fungieren diese quasi als "Man in the Middle", so dass die TLS-Verbindung scheitert. Das gilt für SSL-Offloading oder SSL-Terminierung generell.

    Weitere Gründe gegen WEP sind die Inkompatibilität mit dem Modern Hybrid Agent sowie mögliche Komplikationen bei der Archivierung.

    Opt-out nur über die Kommandozeile

    Microsoft sieht daher die Möglichkeit vor, WEP nachträglich wieder zu deaktivieren oder gleich bei der Installation von CU14 zu vermeiden. Das klappt jedoch nicht mit dem normalen Setup, vielmehr benötigt man dafür die Version für die Kommandozeile, die einen neuen Parameter für diesen Zweck erhält.

    Unterstützung für HSTS

    Die zweite Neuerung von Exchange on-prem besteht im Support für HTTP Strict Transport Security (HSTS). Auch diese Maßnahme schützt gegen Man-in-the-Middle-Angriffe, und zwar indem sie Protokoll-Downgrades oder Cookie-Hijacking verhindert. Die HSTS-Unterstützung in Exchange kommt vor allem Outlook on the Web oder der ECP zugute.

    Der Web-Server teilt dem Browser über den Strict-Transport-Security HTTP Response Header mit, dass er nur über HTTPS kommunizieren möchte. Anfragen an diese Website über HTTP werden dann künftig vom Browser auf HTTPS geändert. Es handelt sich dabei um keine Umleitung, da die unsichere Version erst gar nicht mehr geladen wird.

    Benutzer sind dann auch nicht mehr in der Lage, Warnungen zu ungültigen oder abgelaufenen Zertifikaten zu ignorieren und zu umgehen.

    Microsoft hat eine Dokumentation für die Aktivierung von HSTS veröffentlicht, die alle notwendigen Schritte beschreibt. Der Hersteller weist darauf hin, dass die Konfiguration für Exchange von der standard­mäßigen IIS-Implementierung abweicht. Dies sollte beachtet werden, um die Verbindung zum Exchange-Server nicht zu unterbrechen.

    Der Exchange HealthChecker soll demnächst ein Update erhalten, so dass er in der Lage ist, auch die HSTS-Konfiguration zu überprüfen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links