Алексей Лукаш
Олег СенченкоПриведенные ниже параметры почтовой системы Microsoft Exchange призваны повысить уровень защищенности информационной инфраструктуры, корпоративных данных и процесса коммуникации и с точки зрения результативной кибербезопасности должны быть учтены в первую очередь.
Обновление Exchange Server и установка последних обновлений CU и SUs
Используйте только поддерживаемые производителем версии ПО, а также следите за выпуском новых версий накопительных обновлений (CU) и обновлений безопасности (SUs), содержащих в себе исправления программных ошибок и закрытие уязвимостей, которые были обнаружены в ходе эксплуатации.
Ограничения административной учетной записи Exchange
Убедитесь, что административная учетная запись Microsoft Exchange не является членом групп:
- Администратор домена (Domain Admin);
- Администратор предприятия (Enterprise Admin);
- Администратор схемы (Schema Admin).
ВАЖНО! Допускается ВРЕМЕННО включать административную учетную запись Microsoft Exchange в указанные выше группы во время:
- первоначальной установки Microsoft Exchange;
- миграции службы Microsoft Exchange на более новую версию.
Настроить аутентификацию по сертификатам для учетных записей сотрудников с правами администратора
- Настройте внутреннюю инфраструктуру PKI согласно документации Microsoft.
- Для администрирования Microsoft Exchange создайте отдельные учетные записи.
- Выпишите для выделенных учетных записей сертификаты для аутентификации. Требования к сертификатам описаны по ссылке.
- Настройте для выделенных учетных записей вход только с использованием смарт-карт. В качестве смарт-карт можно использовать USB-токены JaCarta PKI или аналогичные.
- Настройте аутентификацию по сертификатам для доступа к Exchange Admin Center согласно инструкции Microsoft, доступной по ссылке.
Настройка службы Kerberos для аутентификации в локальной сети
Настройте аутентификацию для клиентов Microsoft Outlook и OWA (Outlook Anywhere) в локальной сети согласно инструкции, доступной по ссылке.
Отключение OWA, ActiveSync для служебных учетных записей
Отключите сервисы OWA и ActiveSync для служебных учетных записей. Служебная (сервисная) учетная запись — любая учетная запись, не связанная с конкретным физическим лицом (сотрудником компании или подрядчиком). Примерами таких учетных записей являются:
- учетные записи для отправки или получения уведомлений от систем мониторинга;
- учетные записи, используемые для запуска служб с ограниченными правами.
Отключение для конкретной учетной записи можно произвести:
- из графического интерфейса, инструкция доступна по ссылке;
- из командной строки с помощью команд:
Set-CasMailbox -Identity \<MailboxIdentity\> -ActiveSyncEnabled \<$true \| $false\></span>
Set-CasMailbox -Identity \<MailboxIdentity\> -OWAEnabled \<$true \| $false\></span>
Изменение конфигурации протоколов SSL и TLS
Выполните рекомендации Microsoft по конфигурированию протоколов SSL и TLS, доступные по ссылке.
Используйте RSA-2048 при создании новых ключей сертификатов. При обновлении или создании новых запросов на подпись сертификатов рекомендуется отдавать предпочтение алгоритму SHA-256 или более безопасным.
При создании самоподписанных сертификатов следуйте рекомендациям Microsoft, доступным по ссылке.
Отключение SMBv1
С помощью команд PowerShell проверьте, отключен ли на серверах протокол SMBv1. Для Windows 2012 R2 и выше используйте следующие команды:
Get-WindowsFeature FS-SMB1).Installed
Get-SmbServerConfiguration \| Select EnableSMB1Protocol
Значение True в полученном результате выполнения команды означает, что протокол SMBv1 включен.
ВАЖНО! Перед отключением SMBv1 убедитесь, что witness-сервер DAG поддерживает как минимум протокол SMBv2 и ваш DAG корректно сконфигурирован. Проверить правильность конфигурации DAG можно по инструкции Microsoft, доступной по ссылке.
Отключить протокол SMBv1 можно двумя способами:
- С помощью команд (для Windows 2012 R2 и выше):
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
Set-SmbServerConfiguration -EnableSMB1Protocol $false
- С использованием групповых политик, воспользовавшись инструкцией Microsoft, доступной по ссылке.
Скрытие заголовков ответа сервера Microsoft IIS
Скройте отображение заголовков ответов X-AspNet-Version, X-Powered-By и Server, содержащих номера версий веб-приложений.
Чтобы убрать отображение заголовка X-AspNet-Version, нужно:
- Открыть в Microsoft IIS Manager параметры сервера (Configuration Editor).
- Выбрать секцию system.web/httpRuntime.
- В поле enableVersionHeader сменить True на False.
Заголовок X-Powered-By является настраиваемым. Чтобы заменить его содержимое, нужно:
- Открыть настройки Microsoft IIS Manager.
- Выбрать пункт HTTP Response Header.
- Выбрать пункт X-Powered-By и изменить значение поля Value на произвольное.
Заголовок Server раскрывает версию сервера Microsoft IIS. Скрыть эту информацию можно с помощью компонента URL Rewrite. Необходимо создать правило типа Outbound, заполнив поля в соответствии с таблицей 1.
Таблица 1. Пример параметров правила типа Outbound компонента URL Rewrite
В таблице жирным шрифтом выделены значения, которые могут заполняться произвольно.
Расширенная защита Windows
Включите расширенную защиту (Extended Protection) системы Windows, в том числе для всех виртуальных каталогов Microsoft Exchange Server.
Расширенная защита Windows поддерживается в Microsoft Exchange Server 2013, 2016 и 2019, а также начиная с выпусков Microsoft Exchange Server Security Update (SU) за август 2022 года. При этом имеются следующие ограничения:
- Расширенная защита поддерживается только в Microsoft Exchange Server 2013 CU23, Microsoft Exchange Server 2016 CU22 и Microsoft Exchange Server 2019 CU11 или более поздней версии с установленными обновлениями безопасности за август 2022 года.
- Расширенную защиту нельзя включить на серверах Microsoft Exchange Server 2013 с общими папками в среде сосуществования. После включения расширенной защиты, если в Microsoft Exchange 2013 есть общедоступные папки, они больше не будут отображаться для конечных пользователей.
- Расширенную защиту нельзя включить в Microsoft Exchange Server 2016 CU22, Microsoft Exchange Server 2019 CU11 или более ранней версии, на которой размещена иерархия общих папок.
- Расширенная защита не работает с серверами, использующими метод Hybrid Modern Authentication. Включение расширенной защиты на серверах с использованием метода Hybrid Modern Authentication приведет к нарушению работы отдельных функций, таких как миграция почтовых ящиков и сведения о доступности.
- При включенной расширенной защите не поддерживается протокол NTLMv1.
- Конфигурация протокола TLS должна быть согласована на всех серверах Microsoft Exchange.
ВАЖНО! Если клиент будет использовать протокол NTLMv1 вместо NTLMv2 и на сервере Microsoft Exchange включена расширенная защита, это приведет к запросам пароля на стороне клиента без возможности успешной аутентификации в Microsoft Exchange. Выбрать тип аутентификации и переключиться на протокол NTLMv2 можно с помощью внесения изменений в политике доменов через реестр:
- Групповая политика: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\[Network security: LAN Manager authentication level].
- Ключ реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa.
- Значение реестра: LmCompatibilityLevel.
- Рекомендованное значение: отправлять только ответ NTLMv2. Отказаться от LM и NTLM (значение ключа реестра — 5)
Использование серверов с ролью EDGE Transport
Ознакомьтесь с архитектурой Microsoft Exchange (см. схему On-premises Exchange 2016 environment по ссылке.
Используйте серверы с ролью EDGE Transport, если:
- вы не используете сторонние антиспам- и антифишинг-средства и планируете использовать только встроенные возможности Microsoft Exchange для противодействия спаму и фишингу;
- сторонние антиспам- и антифишинг-средства требуют для установки серверы с ролью EDGE Transport.
В остальных случаях достаточно будет настроить программное обеспечение Postfix для взаимодействия с внешними почтовыми системами.
ВАЖНО! Не допускается публикация на сетевом периметре серверов с ролью Mailbox.