weerapat1003 - stock.adobe.com
Fünf Best Practices für die Sicherheit von Exchange Server
Die einzigartige Beschaffenheit eines lokalen Exchange Servers macht ihn zu einem attraktiven Ziel für Hacker. Einige Best Practices, um Sicherheitsprobleme zu minimieren.
Der Hafnium-Exchange-Server-Hack hat vielen Unternehmen ein notwendiges Übel vor Augen geführt: sie müssen leider immer noch, zumindest teilweise, einen lokalen Exchange Server für E-Mails verwenden.
Selbst wenn Sie die neuesten kumulativen Updates installieren, gibt es keine Möglichkeit, Microsoft Exchange Server dauerhaft vor einer Zero-Day-Lücke zu schützen. Die Reaktion auf den Hafnium-Hack hat Exchange-Administratoren wachgerüttelt, dass mehr Schutzmaßnahmen erforderlich sind, um die Sicherheit ihrer Systeme zu erhöhen.
Exchange Server kann nur auf hochprivilegierte Weise funktionieren, was ihn zu einem attraktiven Ziel für Hacker macht, die sich, sobald sie in das Netzwerk eingedrungen sind, seitlich durch die Infrastruktur bewegen. Es ist zwar nicht möglich, alle mit Exchange Server verbundenen Risiken zu beseitigen, aber Administratoren können verschiedene Schritte unternehmen, um den Schaden im schlimmsten Fall zu begrenzen.
Da E-Mails die häufigste Kommunikationsmethode im Unternehmen ist, kann jede Unterbrechung der Messaging-Plattform zu erheblichen Problemen für das Unternehmen führen. E-Mails können auch sensible Informationen enthalten, zum Beispiel Verträge, vertrauliche Daten und die Kommunikation zwischen Mitarbeitern, die, wenn sie in die falschen Hände geraten, zu rechtlichen und finanziellen Problemen führen. Administratoren können Ausfallzeiten und Einbruchsversuche vermeiden, wenn sie die bewährten Verfahren für die Sicherheit von Exchange Server befolgen, um das Unternehmen vor laufenden Cyberangriffen und neuen Bedrohungen zu schützen.
Schützen Sie Server, die mit dem Internet verbunden sind
Eines der Schlüsselelemente, die den Hafnium-Hack zu einem Erfolg machten, ist, dass die Angreifer anfällige Server durch Remote-Port-Scans fanden. Bei einigen Exchange-Installationen müssen bestimmte Ports für das Internet geöffnet sein.
Um zu vermeiden, dass sie entdeckt und zum Ziel werden, sollten Administratoren folgende Schritte befolgen, um zu verhindern, dass der Server von Angreifern entdeckt wird:
- Blockieren des gesamten eingehenden Datenverkehrs von verdächtigen IP-Adressen oder aus dem Ausland;
- Firewall-Schutzmaßnahmen implementieren, die Port-Scans von fremden IP-Adressen erkennen und blockieren; und
- Erkennen und Blockieren von abnormalem eingehendem Datenverkehr mit dem Exchange Server als Ziel.
Pflegen Sie wichtige Geschäftsanwendungen
Es ist unerlässlich, Patches und Updates für alle Softwareprodukte so schnell wie möglich bereitzustellen. Dies ist besonders wichtig für Exchange Server.
Administratoren können Exchange auf der Grundlage eines vordefinierten Wartungsfensters aktualisieren, wodurch sie mit den neuesten vierteljährlichen kumulativen Updates von Microsoft Schritt halten können. Administratoren sollten sich über die neuesten Exchange-Sicherheits-Updates von Microsoft auf Websites wie dem Leitfaden für Sicherheits-Updates und dem Microsoft Security Blog auf dem Laufenden halten.
Einst eine Seltenheit, sind Out-of-Band Patches für Exchange heute alltäglicher geworden, da Microsoft Korrekturen für Exchange-Zero-Days veröffentlicht, sobald sie verfügbar sind. Es ist auch wichtig, auf diesen Websites nach Tools zur Schadensbegrenzung und Anleitungen zu suchen, wenn für eine Schwachstelle kein Patch verfügbar ist.
Fortschrittliche Sicherheits-Tools zur Erkennung abnormaler Aktivitäten einsetzen
Es reicht nicht mehr aus, Antiviren-Anwendungen auf Servern wie Microsoft Exchange zu installieren und zu erwarten, dass sie einen angemessenen Schutz bieten. Antiviren-Tools sollten als Minimum für den Schutz von Systemen vor bekannter Malware angesehen werden, aber sie bieten nur sehr wenig Schutz, wenn der Remote-Angriff Exploits verwendet.
Um geschäftskritische Server zu schützen, sollten Administratoren Tools für Endpoint Detection and Response (EDR) von Anbietern wie SentinelOne, Trend Micro und Sophos in Betracht ziehen. EDR fügt eine weitere Schutzebene hinzu, indem es die verschiedenen Aktivitäten auf einem Exchange Server analysiert und mit Unterstützung von künstlicher Intelligenz (KI) feststellt, ob diese Aktivitäten bösartig sind und blockiert werden sollten, und ob Administratoren bei verdächtigen Befunden benachrichtigt werden sollen.
On-Premises Exchange, wo möglich, abschalten
Ein weiterer Ansatz zur Verringerung der Sicherheitsrisiken im Zusammenhang mit der Flut von Exchange-Server-Angriffen Anfang 2021 ist die Umstellung auf eine hybride Konfiguration oder die vollständige Migration zu Exchange Online.
Einer der Gründe, warum eine hybride Konfiguration zusätzlichen Schutz bietet, ist, dass der Exchange Server nicht mit dem Internet verbunden sein muss, wenn alle Postfächer in der Microsoft Cloud gehostet werden. Wenn Sie alle Postfächer zu Exchange Online verschieben, benötigen Sie laut Microsoft-Dokumentation immer noch Exchange Server für die hybride Identitätsverwaltung. Microsoft unterstützt nur die Verwendung seiner Tools – Exchange Management Console, das Exchange Admin Center oder die Exchange Management Shell – zur Verwaltung von Active-Directory-Attributen in einem Szenario mit vollständiger Verzeichnissynchronisierung.
In Anbetracht der Tatsache, dass immer mehr Unternehmen Microsoft 365/Office 365 für ihre E-Mails in Betracht ziehen, ist die Migration zu Exchange Online eine weitere Möglichkeit, das Sicherheitsrisiko eines lokalen Servers zu verringern, der eine kontinuierliche Überwachung, Aufrüstung und Patching erfordert.
Überwachen Sie Audit-Protokolle auf verdächtige Aktivitäten
Während einige der oben genannten Schritte einen starken Schutz gegen Exchange-Angriffe bieten, gibt es auch Risiken bei Angriffen von innen oder mit gekaperten Anmeldedaten. Das bedeutet, dass die IT-Abteilung genau wissen muss, welche Art von administrativen Aktivitäten auf ihren Servern stattfinden. Exchange-Administratoren müssen ihre Exchange-Audit-Protokolle regelmäßig überwachen und nach verdächtigen administrativen Aktivitäten suchen, die Folgendes umfassen:
- Konfigurationsänderungen wie Delegierungen und Änderungen von Berechtigungen;
- Mailbox-Exporte;
- Änderungen an Benutzerrollen;
- Löschung von Inhalten wie Postfächern oder Ressourcen;
- Änderungen an Exchange-Datenbanken; und
- Änderungen an Sicherheitsrichtlinien.
Jede dieser Änderungen sollte untersucht werden, wenn der Exchange-Administrator sie nicht autorisiert hat. Es gibt viele Tools, die bei der Überwachung des Systems auf diese Art von Aktivitäten helfen, darunter Produkte von Lepide, SolarWinds und Netwrix, die Warnungen senden, wenn verdächtige Aktivitäten eine weitere Untersuchung rechtfertigen.