MS Exchange Szerver hardening útmutató

October 31, 2025 TrainedR End of support, Exchange, Hardening, MFA, Microsoft, Server, Útmutató, Zero Trust

A Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) és a Nemzetbiztonsági Ügynökség (NSA) útmutatást tett közzé, amelynek célja, hogy segítse az IT rendszergazdákat a Microsoft Exchange szerverek támadásokkal szembeni megerősítésében. Az ajánlott bevált gyakorlatok között szerepel a felhasználói hitelesítés és hozzáférés megerősítése, az alkalmazások támadási felületének minimalizálása és az erős hálózati titkosítás alkalmazása.

Az ügynökségek azt is tanácsolják, hogy a Microsoft 365-re való átállás után helyezzék üzemen kívül az end-of-life (EOL) on-prem vagy hibrid Exchange szervereket, mert ha egy utolsó, nem naprakész Exchange szervert tartanak fenn a környezetükben, az támadásoknak teheti ki a szervezetüket.

Az adminisztrátori hozzáférés korlátozásával, a többfaktoros hitelesítés bevezetésével, a szigorú szállítási biztonsági konfigurációk érvényesítésével és a ZT biztonsági modell elveinek alkalmazásával a szervezetek jelentősen megerősíthetik védelmüket a potenciális kibertámadásokkal szemben.

A hatóságok azt is javasolják, hogy a szervezetek erősítsék a hitelesítést az MFA és a Modern Auth engedélyezésével, az OAuth 2.0 használatával, a Kerberos és az SMB bevezetésével az NTLM helyett, valamint a Transport Layer Security konfigurálásával az adatok integritásának védelme és az Extended Protection bevezetésével az Adversary-in-the-Middle (AitM) támadások elleni védelem érdekében.

A szervezeteknek engedélyezniük kell a tanúsítványalapú aláírást az Exchange Management Shell számára, és be kell vezetniük a HTTP Strict Transport Security-t a böngészőkapcsolatok biztonságának garantálása érdekében. Ezenkívül be kell vezetniük a szerepköralapú hozzáférés-vezérlést (RBAC) a felhasználói és rendszergazdai jogosultságok kezelése érdekében, konfigurálniuk kell a Download Domains-t a Cross-Site Request Forgery támadások blokkolása érdekében, és figyelniük kell a P2 FROM fejléc manipulációs kísérleteket a feladó hamisításának megakadályozása érdekében.

2025. október 14-én az Exchange Server 2016 és az Exchange Server 2019 támogatása véget ért.

Forrás