Exchange: Extended Protection, Checkliste und Probleme

Exchange LogoMit den Sicherheitsupdates vom August 2022 für Microsoft Exchange (On-Premises-Lösung) werden ja einige Schwachstellen geschlossen. Der Haken bei diesem Ansatz: Es muss die Extended Protection (EP) in Exchange aktiviert werden. Ohne diese Aktivierung werden die Schwachstellen nicht geschlossen. Frank Carius hat sich mit dem Thema auseinander gesetzt und eine Checkliste veröffentlicht. Zudem weist er auf mögliche Probleme hin.


Anzeige

Microsoft hat zum 9. August Sicherheitsupdates für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese Updates sind erforderlich, um Schwachstellen, die von externen Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden  wurden, zu schließen. Ich hatte über Sicherheitsupdates für Exchange im Blog-Beitrag Exchange Server Sicherheitsupdates (9. August 2022) berichtet.

Dort gab es auch den Hinweis, dass die Extended Protection (EP) in Exchange aktiviert werden muss, um den Schutz vor den geschlossenen zu Schwachstellen zu erhalten.

Checkliste und Probleme

Frank Carius setzt sich mit dem Thema Exchange-Absicherung auseinander und hat dazu schon einiges publiziert. Unter anderem gibt es einen Artikel, der sich mit einer Checkliste im Hinblick auf die Aktivierung von Extended Protection (EP) und möglicher Probleme befasst. Ich bin über nachfolgenden Tweet auf dieses Thema gestoßen.

Exchange: Extended Protection


Anzeige

Frank gibt im Beitrag Extended Protection Hinweise zum Thema und erklärt auch, was Extended Protection (EP) in Exchange ist. Ziel von EP ist es, eine verschlüsselte https-Verbindung zu einem Webserver so abzusichern, dass auch das Risiko einer "Man in the Middle (MITM)"-Attacke abgefangen wird. Dazu verknüpft die Extended Protection eine zusätzliche Information aus dem TLS-Kommunikationskanal. Konkret nutzt der Webserver eine Information aus dem Webserver-Zertifikat als weiterer Faktor bei der Windows-Anmeldung. Diesen Faktor hat ein MITM-Angreifer nicht. Extended Protection ist daher eine Einstellung der Authentication pro virtuellem Verzeichnis im IIS. Microsoft hat vor einigen Tagen diesen Artikel zum Thema Extended Protection (EP) auf Github mit weiteren Erklärungen veröffentlicht. Vielleicht ist das Material für den einen oder anderen Exchange-Administrator unter den Blog-Lesern hilfreich.

Ähnliche Artikel:
Exchange Server Sicherheitsupdates (9. August 2022)
Update für Exchange Extended Protection-Script, aber weiterhin Fehler


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Exchange: Extended Protection, Checkliste und Probleme

  1. Alexander Busch sagt:

    Guter Hinweis auf einen umfassenden Artikel. Das Thema Extended Protection beschäftigt wohl derzeit jeden, der mit Exchange zu tun hat.
    Falls jemand Probleme im Zusammenhang mit der Kalenderanbindung / Raumbuchung von Drittsystemen hat, so habe ich die Lösung (Abschalten von EP für EWS) hier (https://alex.busch.cc/extended-protection-exchange-server-und-zoom/) beschrieben. In meinem Fall betraf es Zoom, jedoch sollte dies für weitere Drittsysteme analog gültig sein.

  2. Daniel sagt:

    Wir betreiben auch über 10 Exchange Server für unsere Kunden, aber von diesem Thema hat noch keiner bei uns gehört – Exchange ist halt nur eine von 100 Applikationen die wir für unsere Kunden betreuen, quasi CUs installieren, Windows Updates installieren und fertig. So machen es wahrscheinlich viele.

    Es ist ein unglaubliches Armutszeugnis für Microsoft, dass ein Update manuelle Nachbearbeitung benötigt plus die Art wie Microsoft das kommuniziert (oder eben nicht). So etwas müsste bei jedem Login auf dem Server angezeigt werden o.ä., ohne diesen Blog hier hätten wir es nicht mitbekommen.

    • Günter Born sagt:

      Hatte ich aber im verlinkten Beitrag zu den Exchange August 2022-Sicherheitsupdates bereits erwähnt. Der Beitrag ist wohl an euch vorbei gegangen?

    • Jens sagt:

      Wenn man das als Service für einen Kunden anbietet und dafür Geld verlangt, sollte man sich die Mühe machen, die Release Notes zu neuen Updates durchzulesen, alles andere ist grob fahrlässig. Wenn man nicht die Ressource hat das zu tun, sollte man das nicht anbieten und an einen anderen Dienstleister verweisen oder einen Cloud Provider verwenden, der sich um die Sicherheitsupdates kümmert. Wenn man sich die Auswirkungen der "Extended Protection" anschaut, wird einem auch klar, warum das Microsoft nicht automatisch ausrollt.

    • Michael sagt:

      sorry aber das ist eher ein Armutszeugnis von euch als Dienstleister, wenn ihr bis jetzt nix davon gehört habt. Das ging durch alle üblichen Kanäle und jeder Blog der sich mit Security allgemein / od. spezialisiert auf Exchange berichtet UND in den Patch Notes steht es auch…spätestens da hätte es klicken müssen.

      • MOM20xx sagt:

        wozu verteil ich dann per wsus oder auto update patches, wenn ich danach sowieso händisch eingreifen muss und jeden kb extra lesen muss. nicht jede it abteilung ist dermaßen gross ausgestattet, dass sich der jeweilige admin tag ein tag aus nur mit einem produkt beschäftigen muss.
        microsoft trimmt die leute auf automatische updates, die teils gar nimmer deaktivierbar sind und dann erwarten sie, dass der admin noch nachliest, dass fernab von dem automatischen installieren noch händisch was zu machen ist? das ist doch schwachsinn.
        kann mir doch keiner erzählen, dass der patch nicht selbst ständig den mode setzen könnte. und wenn dann irgendwas schief geht muss er halt einen dementsprechenden fehler auslösen, wo dann erst nachzulesen wäre, warum was nicht klappte.
        nur wenn ich schon automatisch patchen will und teils auch zwangsweise mache, dann sollten die patches auch alles machen und nicht erwarten, dass der admin jedesmal eingreift

        • Michael sagt:

          Patches mit Schalter haben aber normalerweise einen großen Impact, genau deshalb haben sie ja einen Schalter, damit dann mit Hilfe von Knowledge Base Artikeln diese sauber umgesetzt werden OHNE, dass die historisch gewachsene Umgebung in die Knie geht. UND genau hier sehe ich auch den Job eines Admins. Für das Einspielen von stupiden automatischen Updates braucht man keinen Admin das kann auch ein Automatismus erledigen, Vorbereitung und Nachbearbeitung liegt aber immer noch beim Menschen.

  3. MOM20xx sagt:

    manuelles nacharbeiten hin oder her. das ist das eine armutszeugnis. viel schlimmer aber, seit veröffentlichung dieses patches warten leute mit onpremise exchange installationen, die retentions tags mit move to archive verwenden auf eine lösung für die extended protection. denn seit bestehen des patches ist bekannt, dass archivierung mit dem patch schlichtweg nicht mehr funktioniert.

    • Lukas sagt:

      Hallo MOM20xx,

      hast du evtl. Infos darüber gefunden, ob das Problem mit der Archivierung mittlerweile gelöst ist? Gibt es einen manuellen fix oder kam das durch ein neues SU update?

      LG und danke

      Lukas

  4. Daniel sagt:

    Ja das ist richtig, die Beiträge zu den Updates lese ich mir meistens nicht durch. Geht ja nur um Updates die man sowieso einfach via WSUS einspielt und sollte es Probleme oder Besonderheiten bei Updates geben, kommt sowieso immer ein eigener Artikel. Das war ein Fehler ;-)

    • Michael sagt:

      Wäre ich Kunde bei euch würdet ihr mit der Aussage nun als Dienstleister rausfliegen. Es kommen reglmäßig Updates wo zusätzlich noch Schalter aktiviert werden müssen um die Systeme dann auch wirklich abzusichern. Ich denke eure Kunden würden sich zumindest erwarten, dass ihr wisst was ihr da einspielt, weil am WSUS auf's Knöpfchen zu drücken können die selbst sicher auch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.