最佳實踐聚焦強化用戶認證與訪問控制

美國等三國網絡安全機構聯合發布了一份保護微軟Exchange Server的安全最佳實踐清單。這款歷史悠久的本地郵件服務器至今仍被眾多IT部門所沿用。澳大利亞和加拿大也簽署了該建議，其發布時機恰逢其時：威脅行為者仍在尋找Exchange Server漏洞，許多攻擊得逞正是因為版本老舊或配置不當。例如，德國聯邦信息安全辦公室認為該國90%的Exchange服務器仍在運行過時版本。

即便是混合Exchange環境也并非無懈可擊。今年8月，微軟就針對本地與Exchange Online混合部署中的高危漏洞（CVE-2025-53786）發布指南，該漏洞允許擁有本地服務器管理員權限的威脅行為者提升特權。這份建議是對4月發布的熱修復補丁的更新。

同樣在8月，Positive Technologies研究人員警告發現鍵盤記錄器被注入Exchange認證頁面，26個國家約65個受害者已被確認。讀者或許還記得2021年1月那場大規模Exchange Server攻擊，當時主要被名為Hafnium的黑客組織利用四個0Day漏洞發起攻擊。據估算，美國約3萬客戶及全球25萬用戶受到影響。

本地Exchange仍在特定環境中占據主導

盡管許多IT部門正轉向云郵件服務商，但部分企業和政府部門仍堅守本地Exchange服務器，或因缺乏遷移遺留系統的預算，或認為直接控制能帶來更好安全性。

美國網絡安全和基礎設施安全局（CISA）在指南引言中指出："隨著威脅活動持續針對存在漏洞的Exchange服務器（包括已終止支持的版本），未受保護或配置不當的Exchange服務器所屬組織仍面臨極高入侵風險。"實施這些最佳實踐可顯著降低網絡威脅風險，CISA強調需重點關注強化用戶認證與訪問控制、確保強網絡加密及最小化應用攻擊面。

該文件并非全面的加固指南，CISA表示主動監控入侵跡象、制定事件響應與恢復計劃同樣應是Exchange管理員的重點工作。加拿大事件響應公司DigitalDefence負責人Robert Beggs稱此指南"遲來已久"。

盡管Exchange因其存儲的敏感企業/個人信息（有時甚至包含密碼）成為"極具誘惑力的目標"，但該公司發現"每個經測試的Exchange服務器部署都存在嚴重配置錯誤"。Beggs補充道，許多Exchange服務器缺乏基礎設施安全控制、監控/日志記錄、終端安全方案甚至防病毒軟件，因用戶認為這些會影響郵件服務運行。

具體防護建議

指南要求管理員將本地Exchange服務器視為"面臨緊迫威脅"，并列出關鍵實踐：

• 首要防御措施是確保所有Exchange服務器運行最新版本和累積更新（CU）
• 微軟Exchange Server訂閱版（SE）是目前唯一受支持的本地版本（傳統版本支持已于2025年10月14日終止）
• 確保啟用微軟緊急緩解服務以接收臨時緩解措施
• 建立Exchange Server、郵件客戶端及Windows的安全基線，便于識別不合規系統和錯誤配置，快速修復以縮減攻擊面
• 若未使用第三方安全軟件，應啟用Microsoft Defender防病毒等內置防護功能。Windows應用控制（商業版應用控制與AppLocker）通過管控可執行內容運行來增強Exchange安全性
• 僅允許經授權的專用管理工作站訪問Exchange管理環境（包括遠程PowerShell）
• 強化身份驗證與加密機制
• 配置擴展保護（EP）時保持TLS設置與NTLM配置一致性，確保EP在多臺Exchange服務器間正確運作
• 啟用P2 FROM標頭默認設置以檢測標頭篡改與欺騙
• 啟用HTTP嚴格傳輸安全（HSTS）強制所有瀏覽器連接使用HTTPS加密

Beggs坦言，由于配置選項繁多，多數組織難以在部署時選擇最優安全配置。若采用云托管第三方運維的共享服務模式，安全配置責任界定不清會使情況更復雜。他指出："安全配置Exchange有個鮮為人知的要點——廠商提供的補丁和升級可能重置某些安全配置。"雖然指南要求管理員"應用安全基線"，但Beggs建議應核實基線是否正確應用，并至少每季度審查配置設置。

Beggs強調該指南提醒管理員：Exchange本質仍是服務器，必須像對待網絡中其他服務器一樣評估其風險并實施同等安全要求。"必須對所有數據一視同仁地實施安全防護，特別是郵件服務器通常存儲的敏感數據。"