Обновление Microsoft Exchange включает расширенную защиту по умолчанию

Microsoft автоматически включает расширенную защиту Windows на серверах Exchange после установки 2024 H1 Cumulative Update (aka CU14), выпущенного в этом месяце.

Расширенная защита (EP) будет автоматически включаться по умолчанию при установке Exchange Server 2019 CU14 (или более поздней версии), чтобы усилить функциональность Windows Server auth для борьбы с ретрансляцией аутентификации и атаками "человек посередине" (MitM).

"Это произойдет при запуске GUI-версии Setup и при запуске версии Setup из командной строки без использования ключа настройки /DoNotEnableEP или /DoNotEnableEPFEEWS для отказа от использования", - сообщает команда Exchange Team.

"Если ваши серверы не готовы к использованию EP (например, они используют SSL-мост или есть несоответствия между конфигурацией TLS клиента и сервера), и вы не отказались от включения EP во время Setup, возможно, что некоторые функции могут быть нарушены после установки CU14."

Администраторам рекомендуется оценить свои среды и просмотреть проблемы, упомянутые в документации к сценарию ExchangeExtendedProtectionManagement PowerShell, предоставленному Microsoft, прежде чем включать EP на своих серверах Exchange (этот сценарий автоматически обновляется на системах, подключенных к Интернету).

Если после включения EP возникли проблемы, администраторы могут либо убедиться, что все предварительные условия EP выполнены, либо использовать сценарий для отключения функции.

Они также могут включить EP на более старых версиях Exchange Server (например, Exchange Server 2016) с помощью того же сценария PowerShell на онлайн-серверах.

Редмонд также выпустил простую схему принятия решений, приведенную ниже, чтобы помочь тем, кто все еще нуждается в включении этой функции для дальнейшей защиты своей среды Exchange.

Microsoft впервые представила поддержку Exchange Server EP в августе 2022 года, выпустив накопительные обновления в рамках августовского вторника патчей 2022 года, когда было исправлено несколько уязвимостей Exchange критической степени тяжести (CVE-2022-21980, CVE-2022-24477 и CVE-2022-24516), позволяющих повысить привилегии.

В Редмонде заявили, что, помимо исправления этих ошибок, администраторам также придется включить расширенную защиту, чтобы злоумышленники не смогли взломать уязвимые серверы.

В этот вторник был сделан аналогичный запрос на полное устранение уязвимости CVE-2024-21410, позволяющей удаленным угрожающим субъектам повышать привилегии при атаках через ретрансляцию NTLM.

Год спустя компания объявила, что расширенная защита Exchange будет включена по умолчанию на всех серверах Exchange после развертывания CU14.

Рекомендации Microsoft, опубликованные в августе 2023 года и зависящие от установленного обновления безопасности, включают:

• Aug 2022 SU или более поздняя версия и включенный EP: Установите CU14 (никаких специальных действий не требуется).
• Aug 2022 SU или более поздняя версия, но EP еще не включен: Установите CU14, оставив по умолчанию 'Enable EP'.
• Версия Exchange Server раньше, чем Aug 2022 SU: "Мы посылаем вам мысли и молитвы, а также очень сильное, но мягкое указание немедленно обновить ваши серверы до последней версии SU".

"Мы рекомендуем всем клиентам включить EP в своей среде. Если на ваших серверах установлен SU августа 2022 года или более поздний SU, то они уже поддерживают EP", - заявила команда Exchange Team в августе 2023 года.

"Если у вас есть серверы старше August 2022 SU, то ваши серверы считаются устойчиво уязвимыми и должны быть немедленно обновлены. Кроме того, если у вас есть серверы Exchange старше August 2022 SU, вы нарушите межсерверную связь с серверами, на которых включена EP".

Год назад Microsoft также призывала клиентов всегда поддерживать свои локальные серверы Exchange в актуальном состоянии, чтобы быть готовыми к развертыванию аварийных исправлений безопасности.