Sió-Informatika Rendszerház

HÍREK

NSA + CISA + ACSC + Canadian Cyber Centre: Exchange-keményítés – gyakorlati playbook

Microsoft Exchange Server biztonsági legjobb gyakorlatok

Vezetői TL;DR (nem IT-nek)

  • Azonnali kockázat: az on-prem Exchange továbbra is elsődleges célpont.
  • Legnagyobb nyereség rövid távon: gyors patching, EM (Emergency Mitigation) szolgáltatás bekapcsolva, MFA + Modern Auth, Extended Protection (EP) az IIS/OWA/ECP felületeken, TLS kényszerítése.
  • Stratégia: EOL verziókról azonnali migráció Exchange Server Subscription Edition (SE) vagy Exchange Online irányába (hibrid támogatással).
  • Zéró bizalom (Zero Trust): szigorú szerepkörök (RBAC), admin-hozzáférés korlátozása, naplózás és folyamatos megfigyelés.

24 órás teendők (incident-megelőző „hotfix” csomag)

1) Állapotkép & egészség

Get-ExchangeServer | ft Name,Edition,AdminDisplayVersion
Test-ServiceHealth
Get-ServerHealth -Identity <EXSERVER> | ?{$_.AlertValue -ne "Healthy"} | ft

2) Patch-szint és kumulatív frissítések

  • Telepítsd a legfrissebb SU/CU csomagokat minden Exchange-re.
  • Ütemezd a Windows Server havi biztonsági frissítéseivel együtt.

3) Emergency Mitigation (EM) engedélyezése

Get-Service MSExchangeMitigation
Get-OrganizationConfig | fl MitigationsEnabled
Set-OrganizationConfig -MitigationsEnabled $true
Restart-Service MSExchangeMitigation

4) Külső felületek gyors keményítése

  • Ha lehet, ECP/OWA csak publikus reverse proxy mögött (WAF/ADC), közvetlen 443-elérés tiltva.
  • IP-szűrés / GeoIP ideiglenesen a publikusról.

5) Modern Authentication + MFA kényszerítése

  • Exchange Online/hibrid: Entra ID feltételes hozzáférési szabályok (MFA, „compliant device”).
  • On-prem publikált elérésre MFA-gate (pl. AAD App Proxy / külső IdP).

6) Extended Protection (EP) bekapcsolása OWA/ECP-n

  • Használd a Microsoft Enable-ExtendedProtection.ps1 szkriptjét (2016/2019/SE támogatott).
  • IIS-ben az érintett virtual directory-kon: Windows Authentication → Advanced Settings → Extended Protection: Required (a Microsoft útmutató szerint, kompatibilitási teszt után).

7) TLS/HSTS azonnali minimum

  • TLS 1.2/1.3 engedélyezve, TLS 1.0/1.1 letiltva (szabályozottan; régi kliensekre hatással lehet).
  • HSTS fejléc a publikált webhely(ek)en:
    Strict-Transport-Security: max-age=31536000; includeSubDomains

8) NAPLÓZÁS & vadászat (hunting)

  • IIS logs: OWA/ECP 401/500 tüskék, ismeretlen IP-minták.
  • EventID fókusz: 1309 (ASP.NET), 4625/4624 (logon minták), 4624-es „Type 3” ugrások, 4688 (kódvégrehajtás), 4104 (PowerShell).
  • ExO/Entra: anomális bejelentkezések, impossible travel, MFA reset kérések.

7 napos keményítési terv

1) EOL kiiktatás / migrációs terv

  • Exchange 2016/2019 támogatás vége → migráció Exchange SE vagy Exchange Online felé.
  • Ha marad on-prem: SE + támogatott CU/SU, támogatott OS.

2) RBAC, jogosultságok, admin workstation

  • Csak RBAC-szerepkörökkel adj admin jogot, split permissions ajánlott.
  • Privileged Access Workstation (PAW) kötelező adminhoz; interaktív logon tiltás az Exchange-szerverre.
  • Szerviz-fiókok: managed service account (gMSA), minimumjog.

3) Hitelesítés konszolidáció

  • NTLM → Kerberos (és hosszabb távon teljes kivezetés).
  • Modern Auth minden kliensre; POP/IMAP/BasicAuth kivezetése.

4) E-mail eredetvédelem

  • SPF (v=spf1 … -all), DKIM aláírás (ha relé/proxy van, hozzá igazítani), DMARC (p=quarantine/ reject – fokozatos szigorítás).
  • Exchange antispam/antimalware + külső secure email gateway vagy Defender for Office 365.

5) Transport Security / TLS lánc

  • Minden receive/send connector: TLS kötelező, cipher suite baseline (CIS/Microsoft).
  • Tanúsítványok: SHA-256, megfelelő SAN; lejárat-figyelmeztetés.

6) Felügyelet & észlelés

  • EDR az Exchange-en is (kivételek finomhangolva).
  • Attack Surface Reduction (ASR) szabályok, AppLocker/WDAC a kellő kivételekkel.
  • Sysmon Exchange-profilra hangolva (process injection, network beacons).

30 napos érettség-növelés (Zero Trust irány)

1) Hálózati szegmentáció

  • Exchange-szerverek külön szegmensben, csak szükséges portok.
  • Lateral movement gát: RDP tiltás, admin hálózat leválasztása.

2) Publikáció biztonságos mintázatban

  • Application Proxy / WAF (pre-auth, bot-, DDoS- és exploit-szűrés).
  • Kliens-TLS és mTLS lehetőség vizsgálata partnerek felé.

3) Konfigurációmenedzsment & megfelelőség

  • CIS/DISA/Microsoft baseline kiválasztása, drift-figyelés (Intune/Group Policy/ConfigMgr).
  • Rendszeres config audit: Get-ReceiveConnector | fl Name,AuthMechanism,Tls*,Fqdn Get-SendConnector | fl Name,SmartHosts,DNSRoutingEnabled,Tls* Get-OrganizationConfig | fl OAuth*,Adfs*,MAPIHttpEnabled Get-OWAVirtualDirectory | fl *auth*,*redirect*,IISAuthenticationMethods Get-EcpVirtualDirectory | fl *auth*, IISAuthenticationMethods

4) Mentés + visszaállítás bizonyíték

  • Bare-metal + adatbázis szintű mentések, offline copy.
  • Visszaállítási próba (runbook, RTO/RPO dokumentálva).

5) Támadásszimuláció / tabletop

  • Színlelt OWA/ECP exploit forgatókönyv, riasztási lánc, kommunikációs sablonok (GDPR-eseménykezelés).

Gyors ellenőrzőlista (printelhető)

  • Legfrissebb Exchange CU + SU telepítve minden szerveren
  • MSExchangeMitigation fut + MitigationsEnabled=$true
  • Extended Protection: OWA/ECP/IIS vdir-eken bekapcsolva és tesztelve
  • TLS 1.0/1.1 tiltva, TLS 1.2/1.3 engedélyezve; HSTS fejléc aktív
  • Modern Auth + MFA kényszerítve; NTLM kivezetési ütemterv
  • RBAC rendben; admin hozzáférés PAW-ról, interaktív logon tiltással
  • SPF/DKIM/DMARC publikálva és monitorozva (p=none → quarantine → reject)
  • EDR + ASR + AppLocker/WDAC élesítve Exchange-kompat módon
  • IIS/Windows eseménynaplók gyűjtése SIEM-be, anomália-riasztásokkal
  • Mentések validálva; tabletop gyakorlat lefuttatva

Mintaparaméterek / hasznos PowerShell

DMARC kezdéshez (DNS példa)

_dmarc.example.hu  TXT  "v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1"

(2–4 hét után p=quarantine, majd p=reject, ha az SPF/DKIM igazolás stabil.)

SPF példa (szigorú)

example.hu  TXT  "v=spf1 ip4:1.2.3.4 include:spf.protection.outlook.com -all"

OWA/ECP EP script

  • Futtasd a Microsoft Enable-ExtendedProtection.ps1 szkriptjét (Exchange verziónak megfelelő kiadás).
  • Utána ellenőrzés és kliens-/rendszerkompat teszt.

Kommunikáció és megfelelőség (DPO-szempont)

  • Vezetői tájékoztató: kockázat, ütemterv, szolgáltatás-ablakok.
  • Incidenspult: bejelentési csatorna, reakcióidők, naplómegőrzés (GDPR).
  • Szállítói felelősség: ha külső üzemeltető kezeli az Exchange-et, SLA + riasztási kötelezettségek felülvizsgálata.

Keresés

Népszerű bejegyzések

Kategóriák

Arhívum

Kövess minket

Az oldal tartalma nem másolható!