本地部署 Exchange Server 的持續威脅與國際協同防禦
本地部署的微軟 Exchange Server 由於其在企業通訊與敏感資料儲存中的核心地位,長期以來一直是惡意攻擊者,特別是國家級威脅行為者的主要目標。儘管微軟持續發布更新,但許多未受保護或配置錯誤的伺服器,以及已停止支援的版本,仍面臨極高的風險。為了正視這一嚴峻挑戰,美國與國際安全夥伴聯合發布了一份名為《Microsoft Exchange Server 安全最佳實務》的深度指南,旨在為全球網路防禦者提供一個統一且全面的安全強化藍圖。這份指南的核心策略是從被動響應轉向主動預防,透過零信任原則、嚴格的身份驗證及精確的權限控制,全面提升 Exchange 基礎設施的韌性。
危機與指南發布背景
美國安全機構與國際網路安全合作夥伴聯合發布指南,幫助網路防禦者加強本地部署的微軟Exchange伺服器,抵禦惡意攻擊者的攻擊。這份名為《Microsoft Exchange Server 安全最佳實務》的指南是依賴 Microsoft Exchange 的組織的重要資源,旨在為當地管理員提供必要的安全措施,以增強預防能力並強化防禦。由於針對易受攻擊的Exchange伺服器(包括已停止支援的版本)的威脅活動持續存在,因此,未受保護或配置錯誤的微軟Exchange伺服器仍面臨極高的安全性風險。透過限制管理員存取權限、實施多因素身份驗證、強制執行嚴格的傳輸安全性配置以及採用零信任(ZT) 安全模型,組織可以加強其抵禦潛在網路攻擊的能力。這份最新藍圖以美國網路安全與基礎設施安全局(CISA) 8 月發布的「緊急指令25-02:緩解 Microsoft Exchange 漏洞」為基礎,建議採用主動預防技術,正面應對網路威脅,並保護混合 Exchange 環境中本地 Exchange 伺服器內的敏感資訊和通訊。該文件由美國國家安全局 (NSA)、網路安全和基礎設施安全局 (CISA)、澳洲信號局下屬的澳洲網路安全中心 (ASD ACSC) 以及加拿大網路安全中心 (Cyber Centre) 共同編寫。
發布該指南的國際聯盟強調,面對持續且專業化的威脅,採取「主動預防姿態」至關重要。CISA 代理局長指出,即使在嚴峻的政治環境下,CISA 仍致力於透過及時指導來保護關鍵基礎設施,並與全球情報及執法夥伴合作。CISA 網路安全部門執行助理主任亦強調,由於 Exchange 伺服器所受威脅持續存在,執行預防姿態並遵守最佳實務對於保護關鍵通訊系統至關重要。
CISA 亦建議,組織應評估使用雲端電子郵件服務的可能性,以避免管理本地部署通訊服務的複雜性,並提供了透過其安全雲端業務應用程式(SCuBA)計畫實現安全基準的途徑。然而,對於仍需使用本地或混合 Exchange 環境的組織,本指南提供了全面且必要的強化步驟。
核心安全原則與預防姿態的深度實踐
指南強調,針對 Exchange 伺服器的預防姿態必須涵蓋整個網路環境。這包括採用幾項核心網路安全指導原則:
預設拒絕(Deny-by-default):除非明確允許,否則拒絕所有存取。
最小權限原則(Least Privilege):僅授予執行職責所需的最低存取權限。
及時更新(Timely Updates):保持所有系統和軟體在最新狀態。
最小化攻擊面(Minimizing the Attack Surface):減少系統暴露於網路風險的範圍。
核心原則的縱深防禦意義
這四項原則是建立 Exchange Server 安全架構的基石,代表著從傳統的「邊界防禦」思維轉向「零信任」的根本性轉變。它們要求網路防禦者在系統的每個層次和每個組件上都採取懷疑和限制的態度。
1. 預設拒絕(Deny-by-default)的實施
預設拒絕原則要求系統或組件在沒有明確配置允許的情況下,拒絕所有連線、請求或動作。在 Exchange 環境中,這不僅適用於防火牆規則,也應延伸至應用層:
2. 最小權限原則(Least Privilege)的細化
最小權限原則是防禦橫向移動和權限升級的關鍵。針對 Exchange 伺服器,這需要對使用者和服務帳戶進行精確的劃分和限制:
管理權限分離:如指南後續章節所述,強烈建議使用 Exchange 的角色型存取控制(RBAC),並實施分離權限(split permissions)。避免使用高權限的 Active Directory 網域管理員帳戶來執行日常 Exchange 管理任務,從而將 Exchange 系統受損時對整個 AD 網域的影響降到最低。
服務帳戶限制:確保運行 Exchange 相關服務(例如 Edge Transport、Mailbox Services)的帳戶只擁有執行其必要功能所需的最低權限。這些帳戶不應具備登入終端機或存取不相關網路資源的能力。
專用管理工作站:管理員應僅使用配置了最高安全基準、安裝了 EDR 和嚴格軟體控制的專用、受限工作站來存取 Exchange 管理介面,避免從日常工作站進行敏感操作。
3. 及時更新(Timely Updates)的程序保障
將更新視為安全預防姿態的首要任務,需要建立自動化和緊急應變程序,而不僅僅是手動操作:
自動化修補管理:應利用 Microsoft 的工具(如 Exchange Update Step-by-Step Guide)或第三方補丁管理系統,自動監控並部署 Exchange 的累積更新(CU)和每月安全補丁。
風險緩解優先於功能:指南明確指出惡意行為者開發利用程式的速度極快,因此更新必須「盡快應用」。組織需要將安全更新的風險緩解優先級置於次要的功能測試之前。對於 Microsoft 發布的臨時緩解措施(Mitigation),應在補丁發布之前立即部署。
淘汰生命週期終止(EOL)版本:指南強調,針對已達 EOL 的 Exchange 版本進行攻擊的活動仍在持續,組織必須積極將其遷移或淘汰,因為 EOL 版本已無法獲得安全修補,風險極高。
4. 最小化攻擊面(Minimizing the Attack Surface)的具體措施
攻擊面是駭客可以利用進入系統的潛在路徑總和。最小化攻擊面要求主動識別和移除所有不必要的暴露:
禁用不必要的功能:在 Exchange 伺服器上禁用或移除所有不必要的角色、服務或元件。例如,如果伺服器不執行 Edge Transport 功能,則該服務應被禁用。
協議限制:禁用不安全的舊版身份驗證協議,例如基本身份驗證(Basic Authentication),因為它容易暴露明文憑證。強制轉換到更安全的 Modern Authentication (OAuth 2.0)。
外部暴露評估:定期審查 Exchange 伺服器與外部網路(如網際網路)之間的連線,特別是 OWA 和 ECP(現為 EAC),確保其只透過強加密(如 HSTS)和嚴格的存取控制暴露。如果可能,建議將 OWA 放在反向代理或 Web 應用程式防火牆(WAF)後方,以提供額外的保護層。
這四項核心原則的嚴格實施,共同構成了 Exchange Server 強固防禦體系的主動預防基礎,也是擁抱零信任安全模型的先決條件。
- 即時修補與更新機制
最有效的防禦措施是確保所有 Exchange 伺服器運行最新版本和累積更新(CU)。指南明確指出 Exchange Server 的更新頻率為每年兩次 CU,以及每月一次的安全與修復更新。惡意網路行為者可以在補丁發布後的幾天內迅速開發出漏洞利用程式,因此必須盡快應用更新。
- 實施嚴格的安全基準(Security Baselines)
軟體和作業系統安全基準有助於在組織的網路基礎設施中維持一致的安全配置。電子郵件通訊至少需要郵件伺服器、郵件客戶端和底層作業系統;每個組件都必須應用安全基準,以提高電子郵件基礎設施的整體安全態勢。保護 Exchange 伺服器需要一種全面性的方法,涵蓋所有處理和傳遞電子郵件的組件。
在不使用第三方防病毒、反惡意軟體和端點偵測及回應(EDR)能力的情況下,應啟用微軟或第三方的內建或額外保護功能以實施深度防禦,包括:
防病毒保護:例如 Microsoft Defender Antivirus (MDAV)。
進階控制:如 Windows Antimalware Scan Interface (AMSI)、Attack Surface Reduction (ASR)、AppLocker 和 App Control for Business。
端點偵測與回應:確保啟用 EDR 功能以快速應對威脅。
Exchange 內建功能:啟用 Exchange Server 的反垃圾郵件和反惡意軟體功能。
存取控制與身份驗證強化
一、限制管理員存取權限
管理員對 Exchange 環境的存取權限必須受到嚴格控制。僅應允許授權且專用的管理工作站存取 Exchange 管理環境(例如 Exchange Admin Center, EAC 和遠端 PowerShell)。
二、強化身份驗證與加密
身份驗證和加密對於驗證身份和確保機密性至關重要。強化這些方面對於確保 Exchange 伺服器上的通訊機密性、完整性和可用性,以及保護敏感資料免受未經授權的存取或額外網路威脅至關重要。
實施延伸保護(Extended Protection, EP):
EP 提供了針對中間人攻擊 (AitM)、轉發和轉接技術的額外身份驗證防禦。
EP 透過通道繫結令牌(Channel Binding Token, CBT)和服務繫結來增強 TLS 連線,將使用者的身份驗證資訊連結到唯一的 TLS 會話。
要求:要使 EP 正常運作,現有 Exchange 伺服器必須具備一致的 TLS 設定和 New Technology LAN Manager (NTLM) 配置。NTLM 必須被禁用或配置為僅使用 NTLMv2,並拒絕舊的 NTLM 版本。
採用現代身份驗證(Modern Authentication, Modern Auth):
從 Exchange Server 2019 CU13 開始,Exchange 可以使用 Modern Authentication,利用 OAuth 2.0,並透過 Active Directory Federation Services (ADFS) 作為安全令牌服務來啟用多因素身份驗證 (MFA)。
對於使用雲端 Microsoft Entra ID 身份的組織,可以配置**混合現代身份驗證(Hybrid Modern Authentication)**來存取本地 Exchange 信箱。
優勢:現代身份驗證取代了已棄用的基本身份驗證協議,解決了基本身份驗證使用明文憑證的風險。一旦配置完成,應禁用基本身份驗證。Modern Auth 只有在 ADFS 透過憑證或 MFA 驗證使用者並生成存取令牌後,才允許客戶端存取信箱。
三、強制實施嚴格傳輸安全性
為了減輕某些 AitM 技術的風險,組織必須啟用 HTTP 嚴格傳輸安全性 (HSTS),強制所有瀏覽器連線使用 HTTPS 加密。
HSTS 工作原理:伺服器向瀏覽器發送一個名為 Strict-Transport-Security (STS) 的特殊 HTTP 回應標頭。這個標頭指示瀏覽器在指定的期限內,只能使用加密的 HTTPS 連線到伺服器。一旦瀏覽器接收到這個標頭,它會自動將任何對該網站的未加密 HTTP 請求轉換為 HTTPS 請求。
Download Domains:Download Domains 有助於緩解 Outlook on the Web 中的跨站請求偽造 (CSRF) 攻擊,透過確保附件從一個獨立於 Outlook 本身的子網域載入,防止惡意行為者竊取綁定到 Outlook on the Web 的身份驗證 Cookie。
最小化損害與權限管理
一、角色型存取控制(RBAC)與最小權限
Exchange Server 使用角色型存取控制 (RBAC) 模型,透過定義的管理角色來管理使用者和管理員的權限。
傳統風險:傳統上,管理員依賴高權限的 Active Directory (AD) 網域管理員帳戶來管理 AD 和 Exchange,這造成了一個安全風險:一旦 Exchange 受到損害,可能導致整個網域遭到入侵。
分離職責:為減輕此風險,應根據 NSA 的《防禦權限與帳戶》指南中概述的最小權限原則,將管理職責分離。
實施分離權限:Exchange Server 透過其 RBAC 模型中的分離權限(split permissions)支援這種分離,允許組織限制過度的權限並提高整體安全態勢。強烈建議實施分離權限,以最大限度地減少潛在洩露的影響並加強存取控制。
二、雲端與混合環境考量
雖然指南主要針對本地部署的 Exchange Server 進行強化,但 CISA 建議組織應評估其電子郵件系統遷移到雲端的選項,以避免自行託管通訊服務的複雜性。對於處於混合 Exchange 環境的組織,指南中的最佳實務適用於保護本地 Exchange 伺服器內的敏感資訊和通訊,同時與雲端安全模型保持一致。
擁抱零信任安全模型
這份來自 CISA、NSA 及國際夥伴的指南,其核心指導原則是「擁抱零信任安全模型(Embracing a Zero Trust Security Model)」。
零信任基於一種認知:威脅是存在的,並且將不可避免地發生在傳統網路邊界內外。為了使用零信任概念應對這些威脅,指南中描述的最佳實務重點聚焦於:
強化使用者身份驗證和存取:例如 MFA 和 Modern Auth。
確保強大的網路加密:例如 HSTS 和 EP。
最小化應用程式攻擊面:例如限制管理員存取和實施 RBAC。
透過堅持這些最佳實務,組織可以顯著降低來自網路威脅的風險。持續評估和強化這些通訊伺服器的網路安全態勢,對於走在不斷演變的網路威脅之前,並確保作為許多組織營運核心的 Exchange 擁有強大的保護至關重要。
資料來源:https://industrialcyber.co/cisa/cisa-nsa-partners-publish-microsoft-exchange-server-hardening-guide-to-prevent-compromise-and-data-theft/
解析 CISA、NSA 及國際夥伴聯合發布的《Microsoft Exchange Server 安全最佳實務》,探討在持續的網路威脅下,本地部署 Exchange Server 所面臨的風險,並詳細闡述如何透過實施多因素身份驗證、擴展保護、角色型存取控制及零信任模型等關鍵措施,全面提升企業通訊系統的預防能力與防禦韌性。