Приведенные ниже параметры почтовой системы Microsoft Exchange призваны повысить уровень защищенности информационной инфраструктуры, корпоративных данных и процесса коммуникации и с точки зрения результативной кибербезопасности должны быть учтены в первую очередь.
Используйте только поддерживаемые производителем версии ПО, а также следите за выпуском новых версий накопительных обновлений (CU) и обновлений безопасности (SUs), содержащих в себе исправления программных ошибок и закрытие уязвимостей, которые были обнаружены в ходе эксплуатации.
Убедитесь, что административная учетная запись Microsoft Exchange не является членом групп:
ВАЖНО! Допускается ВРЕМЕННО включать административную учетную запись Microsoft Exchange в указанные выше группы во время:
Настройте аутентификацию для клиентов Microsoft Outlook и OWA (Outlook Anywhere) в локальной сети согласно инструкции, доступной по .
Отключите сервисы OWA и ActiveSync для служебных учетных записей. Служебная (сервисная) учетная запись — любая учетная запись, не связанная с конкретным физическим лицом (сотрудником компании или подрядчиком). Примерами таких учетных записей являются:
Отключение для конкретной учетной записи можно произвести:
Set-CasMailbox -Identity \<MailboxIdentity\> -ActiveSyncEnabled \<$true \| $false\></span>
Set-CasMailbox -Identity \<MailboxIdentity\> -OWAEnabled \<$true \| $false\></span>
Выполните рекомендации Microsoft по конфигурированию протоколов SSL и TLS, доступные по .
Используйте RSA-2048 при создании новых ключей сертификатов. При обновлении или создании новых запросов на подпись сертификатов рекомендуется отдавать предпочтение алгоритму SHA-256 или более безопасным.
При создании самоподписанных сертификатов следуйте рекомендациям Microsoft, доступным по .
С помощью команд PowerShell проверьте, отключен ли на серверах протокол SMBv1. Для Windows 2012 R2 и выше используйте следующие команды:
Get-WindowsFeature FS-SMB1).Installed
Get-SmbServerConfiguration \| Select EnableSMB1Protocol
Значение True
в полученном результате выполнения команды означает, что протокол SMBv1 включен.
ВАЖНО! Перед отключением SMBv1 убедитесь, что witness-сервер DAG поддерживает как минимум протокол SMBv2 и ваш DAG корректно сконфигурирован. Проверить правильность конфигурации DAG можно по инструкции Microsoft, доступной по .
Отключить протокол SMBv1 можно двумя способами:
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
Set-SmbServerConfiguration -EnableSMB1Protocol $false
Скройте отображение заголовков ответов X-AspNet-Version
, X-Powered-By
и Server
, содержащих номера версий веб-приложений.
Чтобы убрать отображение заголовка X-AspNet-Version, нужно:
Заголовок X-Powered-By
является настраиваемым. Чтобы заменить его содержимое, нужно:
Заголовок Server раскрывает версию сервера Microsoft IIS. Скрыть эту информацию можно с помощью компонента URL Rewrite. Необходимо создать правило типа Outbound, заполнив поля в соответствии с таблицей 1.
Таблица 1. Пример параметров правила типа Outbound компонента URL Rewrite
В таблице жирным шрифтом выделены значения, которые могут заполняться произвольно.
Включите расширенную защиту (Extended Protection) системы Windows, в том числе для всех виртуальных каталогов Microsoft Exchange Server.
Расширенная защита Windows поддерживается в Microsoft Exchange Server 2013, 2016 и 2019, а также начиная с выпусков Microsoft Exchange Server Security Update (SU) за август 2022 года. При этом имеются следующие ограничения:
ВАЖНО! Если клиент будет использовать протокол NTLMv1 вместо NTLMv2 и на сервере Microsoft Exchange включена расширенная защита, это приведет к запросам пароля на стороне клиента без возможности успешной аутентификации в Microsoft Exchange. Выбрать тип аутентификации и переключиться на протокол NTLMv2 можно с помощью внесения изменений в политике доменов через реестр:
Ознакомьтесь с архитектурой Microsoft Exchange (см. схему On-premises Exchange 2016 environment по .
Используйте серверы с ролью EDGE Transport, если:
В остальных случаях достаточно будет настроить программное обеспечение Postfix для взаимодействия с внешними почтовыми системами.
ВАЖНО! Не допускается публикация на сетевом периметре серверов с ролью Mailbox.