网络安全机构发布微软Exchange Server防护"迟来已久"的最佳实践
美国等三国网络安全机构联合发布保护微软Exchange Server的最佳实践清单,强调更新、配置和监控的重要性。 2025-10-31 15:37:7 Author: www.freebuf.com(查看原文) 阅读量:2 收藏

freeBuf

主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

最佳实践聚焦强化用户认证与访问控制

微软大楼标识

美国等三国网络安全机构联合发布了一份保护微软Exchange Server的安全最佳实践清单。这款历史悠久的本地邮件服务器至今仍被众多IT部门所沿用。澳大利亚和加拿大也签署了该建议,其发布时机恰逢其时:威胁行为者仍在寻找Exchange Server漏洞,许多攻击得逞正是因为版本老旧或配置不当。例如,德国联邦信息安全办公室认为该国90%的Exchange服务器仍在运行过时版本。

即便是混合Exchange环境也并非无懈可击。今年8月,微软就针对本地与Exchange Online混合部署中的高危漏洞(CVE-2025-53786)发布指南,该漏洞允许拥有本地服务器管理员权限的威胁行为者提升特权。这份建议是对4月发布的热修复补丁的更新。

同样在8月,Positive Technologies研究人员警告发现键盘记录器被注入Exchange认证页面,26个国家约65个受害者已被确认。读者或许还记得2021年1月那场大规模Exchange Server攻击,当时主要被名为Hafnium的黑客组织利用四个0Day漏洞发起攻击。据估算,美国约3万客户及全球25万用户受到影响。

本地Exchange仍在特定环境中占据主导

尽管许多IT部门正转向云邮件服务商,但部分企业和政府部门仍坚守本地Exchange服务器,或因缺乏迁移遗留系统的预算,或认为直接控制能带来更好安全性。

美国网络安全和基础设施安全局(CISA)在指南引言中指出:"随着威胁活动持续针对存在漏洞的Exchange服务器(包括已终止支持的版本),未受保护或配置不当的Exchange服务器所属组织仍面临极高入侵风险。"实施这些最佳实践可显著降低网络威胁风险,CISA强调需重点关注强化用户认证与访问控制、确保强网络加密及最小化应用攻击面。

该文件并非全面的加固指南,CISA表示主动监控入侵迹象、制定事件响应与恢复计划同样应是Exchange管理员的重点工作。加拿大事件响应公司DigitalDefence负责人Robert Beggs称此指南"迟来已久"。

尽管Exchange因其存储的敏感企业/个人信息(有时甚至包含密码)成为"极具诱惑力的目标",但该公司发现"每个经测试的Exchange服务器部署都存在严重配置错误"。Beggs补充道,许多Exchange服务器缺乏基础设施安全控制、监控/日志记录、终端安全方案甚至防病毒软件,因用户认为这些会影响邮件服务运行。

具体防护建议

指南要求管理员将本地Exchange服务器视为"面临紧迫威胁",并列出关键实践:

  • 首要防御措施是确保所有Exchange服务器运行最新版本和累积更新(CU)
  • 微软Exchange Server订阅版(SE)是目前唯一受支持的本地版本(传统版本支持已于2025年10月14日终止)
  • 确保启用微软紧急缓解服务以接收临时缓解措施
  • 建立Exchange Server、邮件客户端及Windows的安全基线,便于识别不合规系统和错误配置,快速修复以缩减攻击面
  • 若未使用第三方安全软件,应启用Microsoft Defender防病毒等内置防护功能。Windows应用控制(商业版应用控制与AppLocker)通过管控可执行内容运行来增强Exchange安全性
  • 仅允许经授权的专用管理工作站访问Exchange管理环境(包括远程PowerShell)
  • 强化身份验证与加密机制
  • 配置扩展保护(EP)时保持TLS设置与NTLM配置一致性,确保EP在多台Exchange服务器间正确运作
  • 启用P2 FROM标头默认设置以检测标头篡改与欺骗
  • 启用HTTP严格传输安全(HSTS)强制所有浏览器连接使用HTTPS加密

Beggs坦言,由于配置选项繁多,多数组织难以在部署时选择最优安全配置。若采用云托管第三方运维的共享服务模式,安全配置责任界定不清会使情况更复杂。他指出:"安全配置Exchange有个鲜为人知的要点——厂商提供的补丁和升级可能重置某些安全配置。"虽然指南要求管理员"应用安全基线",但Beggs建议应核实基线是否正确应用,并至少每季度审查配置设置。

Beggs强调该指南提醒管理员:Exchange本质仍是服务器,必须像对待网络中其他服务器一样评估其风险并实施同等安全要求。"必须对所有数据一视同仁地实施安全防护,特别是邮件服务器通常存储的敏感数据。"

参考来源:

Cyber agencies produce ‘long overdue’ best practices for securing Microsoft Exchange Server

本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)


文章来源: https://www.freebuf.com/articles/es/455245.html
如有侵权请联系:admin#unsafe.sh