Microsoft Exchange Extended Protection geactiveerd in Exchange Server 2019

Microsoft meldt in een update: "Windows Authentication in IIS een binding plaatsvindt tussen de auth-informatie die wordt doorgegeven op de applicatielaag en de TLS-inkapseling op de lagere niveaus van de protocolstack. Auth-informatie wordt ook aangevuld door het toevoegen van de naamruimte waartoe de client toegang heeft in de verbinding. Als een MiTM niet de naamruimte vertegenwoordigt die de server verwacht, of als er met de TLS-informatie tussen de client en de server wordt geknoeid, is de binding ongeldig en mislukt het authenticatieverzoek. Dit maakt NTLM Relay- en Ticket Replay-scenario's veel moeilijker voor kwaadwillenden.

We hebben ondersteuning voor EP toegevoegd in de beveiligingsupdates (SU's) van augustus 2022 van vorig jaar.  Sindsdien hebben we begeleiding gegeven en verschillende verbeteringen aangebracht aan het script dat u kunt gebruiken om EP op uw Exchange-servers in te schakelen.

Vandaag willen we u laten weten dat EP vanaf de 2023 H2 Cumulatieve Update (CU) voor Exchange Server 2019 (ook bekend als CU14) standaard wordt ingeschakeld wanneer CU14 (of hoger) wordt geïnstalleerd . Exchange Server 2019 bevindt zich momenteel in de reguliere ondersteuning en is de enige versie die nog steeds CU's krijgt.

Houd er echter rekening mee dat dit slechts de standaardinstelling is. Beheerders kunnen zich hiervoor afmelden, zodat ze EP later kunnen inschakelen, of helemaal niet als ze dat willen. Als u zich wilt afmelden, moet u de opdrachtregelversie van Setup gebruiken (dit wordt op een later tijdstip gedocumenteerd). De GUI-versie meldt zich automatisch aan. Als u vandaag de dag onbeheerde Setup of scripts gebruikt om CU's te implementeren, moet u deze wijzigen om de nieuwe Setup-parameter toe te voegen, alleen als u zich wilt afmelden.

We raden alle klanten aan EP in hun omgeving in te schakelen. Als uw servers de SU van augustus 2022 of later gebruiken, ondersteunen ze EP al. Als u servers heeft die ouder zijn dan de SU van augustus 2022, worden uw servers als blijvend kwetsbaar beschouwd en moeten ze onmiddellijk worden bijgewerkt. Als u bovendien Exchange-servers heeft die ouder zijn dan de SU van augustus 2022, verbreekt u de server-naar-server-communicatie met servers waarop EP is ingeschakeld.

Het door ons geleverde script kan worden gebruikt om EP in te schakelen op alle Exchange-servers in uw organisatie. Exchange Setup schakelt EP echter alleen in op de lokale server. U kunt ons EP-script blijven gebruiken om de gereedheid van uw organisatie te evalueren en EP in of uit te schakelen. Onze aanbeveling is om EP in te schakelen, en als u het script gebruikt, krijgt u een uitgebreider beeld van de vereisten waaraan u mogelijk moet voldoen."