In der letzten Zeit wird wieder viel über die Absicherung von Exchange Servern diskutiert, die in der eigenen IT-Infrastruktur betrieben werden. Auslöser der neuerlichen Diskussion sind u.a. die Sicherheitslücken zur Ausführung von Remote-PowerShell über den AutoDiscover v2-Endpunkt.
Absicherung von Exchange Server On-Premises
Die Absicherung von Exchange Server, als Applikation, ist nur ein Puzzle-Teil bei der Sicherheitsbetrachtung des Serversystems, auf dem Exchange Server betrieben wird. Genau genommen, gilt es das Serversystem eines Applikationsservers abzusichern, dessen Applikation zufällig Exchange Server heißt. Und damit sind wir auch bereits mitten im Thema.
Die Absicherung eines Exchange Server Systems gliedert sich in mehrere Stufen.
- Zugriff auf das Windows Server Betriebssystems
- Absicherung des Servers mit einer Endpunktsicherheitslösung
- Absicherung der Protokollzugriffe auf Exchange Server 2019
- Aktivierung des Exchange Emergency Mitigation Service
Das Serversystem
Ein Windows Server System für Exchange Server mit Postfach-Rolle ist immer ein Mitgliedserver einer Active Directory Domäne. Damit geht automatisch einher, dass jedem Mitgliedskonto der Gruppe der Domänenadministratoren die lokale Anmeldung, auch per Remote Desktop, auf dem Server erlaubt ist. Dies ist zum einen praktisch, aber auch ein Sicherheitsrisiko, denn mit solch einem Konto kann man in der Standardkonfiguration auch jeden beliebigen Code auf dem System ausführen oder beliebige Software installieren.
Um den Zugriff auf ein Windows Server System zu kontrollieren, bieten sich folgenden Möglichkeiten an:
- Erstellung von getrennten AD-Sicherheitsgruppen für den RDP-Zugriff und die administrative Verwaltung, z.B. RDP-Exchange
- Bei der Konfiguration der neuen AD-Sicherheitsgruppe für die lokalen Administratoren musst darauf achten, dass das Konto Exchange Trusted Subsystem ebenfalls hinzugefügt wird
- Konfiguration der lokalen Sicherheitsgruppen per Gruppenrichtlinienobjekt
- Entfernung der Domänenadministratoren als allen lokalen Sicherheitsgruppen
- Hinzufügen der neuen AD-Sicherheitsgruppe zur passenden lokalen Gruppe
Eine einfache Verwaltung per Gruppenrichtlinienobjekte erfordert, dass du eine dedizierte Organisationseinheit (OU) für Exchange Server erstellst, in der alle Exchange Server Computerobjekte platziert werden. Die konfigurierten Gruppenrichtlinien für Exchange Server werden dann mit dieser OU verlinkt.
Diese Aufgaben lassen sich bereits vor der Installation des ersten Exchange Servers durchführen, nachdem das Active Directory per /PrepareAD vorbereitet wurde. Das Konto, das zur Installation von Exchange Server verwendet wird, muss natürlich weiterhin alle Voraussetzungen, wie z.B. Enterprise Administrator oder Schemaadministrator, erfüllen.
Meine Empfehlung ist die Verwendung von Windows Server 2022 Core Edition als Betriebssystem für Exchange Server 2019. Hierdurch kannst du, durch den Wegfall der grafischen Oberfläche, die Angriffsfläche deutlich reduzieren. Dies erfordert natürlich, dass andere benötigte Softwarekomponenten, die auf dem System zum Einsatz kommen sollen, kompatibel zu Windows Server Core sind.
Lokale Anti-Malware-Lösungen
Der nächste Punkt ist der Einsatz einer Endpunkt Sicherheitslösung. Windows Defender gehört zum Windows Server Betriebssystem und kann per Gruppenrichtlinien konfiguriert werden. In einem erweiterten Betriebsszenario integrieren due deine lokalen Exchange Server in die Purview-Schutzfunktionen von Microsoft 365. Aber das ist ein anderes Thema.
Unabhängig von der verwendeten Endpunktsicherheitslösung, ist ein sicherer Betrieb von Exchange Server 2019 nur möglich, wenn du auch die passenden Ausnahmen definierst. Passend bedeutet in diesem Fall, dass die Dateipfade der Ausnahmen der lokalen Exchange Server Installation und den Datenpfaden entsprechen. Ausnahmen gibt es nicht nur für Dateien und Dateipfade. Moderne Endpunkt-Sicherheitslösungen führen auch Prozessüberwachungen und In-Memory-Scans durch.
Wird ein Exchange Server Dienst während der Ausführung einfach terminiert, besteht das Risiko eines unerwünschten Datenverlustes. Sollte der Information Store Worker Prozess einer Postfachdatenbank durch die Endpunkt-Sicherheitslösung terminiert werden, so kann die gesamte Postfachdatenbankdatei unbrauchbar werden. Daher ist es so immens wichtig, dass die Anti-Malware-Ausnahmen für Exchange Server korrekt konfiguriert sind.
Exchange Server 2019 ist mit der Nutzung der AMSI-Schnittstelle für die Verwendung des Windows Defenders optimiert. Der Blogartikel der Exchange Produktgruppe bietet hierzu ausführliche Informationen.
Exchange Server
Nach der Absicherung des Serverzugriffes und des Schutzes des lokalen Betriebssystems folgt die sichere Konfiguration von Exchange Server. Diese unterteilt sich in die organisationsweite Konfiguration und den Schutz der einzelnen Exchange Server Protokollendpunkte.
Die Basis des organisationsweiten Schutzes ist der rollenbasierte Zugriff (RBAC) auf administrative und benutzerbezogene Funktionen. Exchange Server nutzt seit Exchange Server 2010 RBAC zur Kontrolle, wer welche Exchange Funktionen mit welchen Exchange-Objekten durchführen kann. Jede Exchange Organisation verfügt über Standard-RBAC-Rollen. Mitglieder der zugehörigen Rollengruppen können alle Funktionen ausführen, die einer Rollen zugewiesen sind. Prüfen Sie genau, welche Funktionen in einer Rollen enthalten sind und wem diese Rollen zugewiesen sind. Führen Sie diese Prüfungen regelmäßig durch.
Sie können individuelle Rollendefinitionen mit Hilfe der Exchange Management Shell durchführen, um individuelle Anforderungen Ihrer Organisation umzusetzen.
Jedes von Exchange Server verwendete Protokoll ist automatisch ein möglicher Angriffspunkt. Aus diesem Grund sind sowohl POP3 als auch IMAP4 in Exchange Server 2019 standardmäßig nicht aktiv. Wenn du diese Protokolle verwendest, empfehle ich, dass du nur ausgewählten Konten die Nutzung dieser Protokolle gestattest und sie für alle anderen Nutzer ausschaltest.
Das verbleibende Client-Zugriffsprotokoll ist HTTPS. Über dieses Protokoll werden unterschiedliche Exchange Endpunkte betrieben. Diese Endpunkte sind immer wieder Angriffen ausgesetzt, die hauptsächlich direkt aus dem Internet erfolgen. Allerdings dürfen Sie den Angriffsvektor aus dem lokalen Unternehmensnetzwerk nicht unterschätzen.
Aus diesem Grund muss die Absicherung der HTTPS-Endpunkte auch jedem Exchange Server erfolgen. Die Nutzung eines Reverse-Proxys für die Veröffentlichung von Exchange Server ins Internet ist nur eine zusätzliche Schutzkomponente. Aber dazu später mehr.
Die HTTPS-Endpunkte werden nicht nur von Clients verwendet. Auch die Exchange Server deiner Exchange Organisation verbinden sich wechselseitig mit jedem verfügbaren und in Betrieb befindlichen Exchange Server. Ursprung dieser Zugriffe sind die u.a. die Health Mailboxen. Diese sind Bestandteil der Managed Availability, um die Hochverfügbarkeit deiner Exchange Umgebung sicherzustellen. Dies ist eine existentielle Exchange Server Funktion, an dies es bei Zugriffsfilterungen zu denken gilt.
Exchange Emergency Mitigation Service
Seit Herbst 2021 verfügt Exchange Server 2019 über den Exchange Emergency Mitigation Service (EEMS). Dies ist ein zusätzlicher Windows Service auf jedem Exchange Server, der stündlich den EEMS-Endpunkt unter config.office.com abfragt und von der Exchange Produktgruppe veröffentlichte Mitigationen anwendet. Damit der lokale EEMS eine Mitigation auf einem Exchange Server anwenden kann, müssen Sie zwei Voraussetzungen sicherstellen. Jeder zu schützende Exchange Server muss config.office.com erreichen und die Anwendung von Mitigationen muss aktiviert sein.
Ende September 2022 wurde die erste Mitigation veröffentlicht.
Das folgende Beispiel zeigt auf Abfrage der veröffentlichten Mitigations und den aktuellen Status für einen Server. Das erforderliche PowerShell-Skript findest du im $exscripts Verzeichnis.
Ohne die aktivierte Anwendung von EEMS-Mitigationen können deine Exchange Server nicht von dieser Schutzfunktion profitieren. EEMS-Mitigationen sind als Sicherheitszwischenlösung gedacht, sie sind kein dauerhafter Sicherheitspatch. Nach der Veröffentlichung eines Sicherheitsupdates für Exchange Server muss eine angewandte Mitigation manuell deaktiviert werden. Der Installationsprozess des Sicherheitsupdates kümmert sich nicht um die Deaktivierung. Den Zeitpunkt bestimmst du.
Veröffentlichung von Exchange Server
Wie schon zuvor erwähnt, ist die Nutzung einer Reverse-Proxy-Lösung für die Veröffentlichung von Exchange Server 2019 ins Internet Pflicht. Auf einen Reverse-Proxy zu verzichten ist grob fahrlässig.
Nutze hierzu entweder die zu Windows Server 2022 gehörende Funktionsrolle Web Application Proxy oder eine andere (virtualisierte) Hardware-Lösung, um die HTTPS-Veröffentlichung deiner Exchange Server zu kontrollieren.
Aktualisierungen
Nach der Inbetriebnahme Ihres Exchange Server 2019 Systems ist die Installation von Windows Server und Exchange Server Produkt- und Sicherheitsupdates Pflicht. Nur so kannst du sicherstellen, dass bekannte Sicherheitslücken geschlossen sind. Seit Dezember 2021 veröffentlicht das Exchange Produktteam kumulative Produktaktualisierungen halbjährlich. Unterstützte Produktversionen sind immer jeweils aktuelle kumulative Update und die Vorversion.
Neben den Produktaktualisierungen veröffentlicht die Produktgruppe Sicherheitsaktualisierungen nach Bedarf. Diese Sicherheitsaktualisierungen sind kumulativ. Das bedeutet, dass du für ein installiertes Exchange Server 2019 CU nur das das jeweils aktuelle Sicherheitsupdate (SU) installieren musst, wenn du z.B. ein neues Exchange Server System aufsetzst. Das aktuelle SU enthält die Änderungen der bisher veröffentlichten SU-Pakete für Ihr Exchange Server 2019 CU. Du fndest die Download-Übersicht der aktuellen CUs und SUs in der Online-Dokumentation.
