美国联合多国网络安全机构共同发布了一份保护微软Exchange Server安全的最佳实践指南。
最佳实践聚焦强化用户认证与访问控制
这份由美国、澳大利亚和加拿大网络安全机构联合签署的建议恰逢其时:威胁行为者仍在不断发掘Exchange Server漏洞,许多成功攻击都源于系统版本过时或配置不当。以德国为例,该国联邦信息安全办公室指出,境内仍有高达90%的Exchange服务器运行着已过时的版本。

即便是采用混合部署的Exchange环境也并非固若金汤。今年8月,微软就针对本地与Exchange Online混合部署中的高危漏洞(CVE-2025-53786)发布了专项指南,该漏洞允许已获得本地服务器管理员权限的攻击者进一步提升特权。此次发布的最佳实践是对4月份安全更新的进一步完善。
同月,Positive Technologies研究人员警告称,发现键盘记录器被恶意注入Exchange认证页面,全球26个国家的65个受害者已确认遭殃。读者或许还记得2024年1月那场大规模的Exchange Server攻击事件,当时名为Hafnium的黑客组织利用四个零日漏洞发起攻势。据估算,全球约有3万客户及25万用户受到波及。
本地Exchange在特定环境中仍占主导
尽管许多企业正在转向云邮件服务,但部分组织和政府机构仍坚守本地Exchange服务器——或因缺乏迁移遗留系统的预算,或认为直接控制能带来更可靠的安全性。
美国网络安全和基础设施安全局(CISA)在指南前言中强调:"随着威胁活动持续针对存在漏洞的Exchange服务器(包括已终止支持的版本),配置不当或缺乏保护的Exchange服务器所属组织仍面临极高的入侵风险。" 实施这些最佳实践可显著降低网络威胁风险,CISA建议重点强化用户认证与访问控制、确保强制网络加密及最小化应用受攻击面。
该文件并非全面的加固手册,CISA同时指出主动监控入侵迹象、制定事件响应与恢复计划同样应是Exchange管理员的重点工作。加拿大事件响应公司Digital Defence负责人Robert Beggs称此指南"来得正是时候"。
虽然Exchange因其存储的敏感企业/个人信息(有时甚至包含密码凭证)而成为极具诱惑力的目标,但该公司在渗透测试中发现"每个受检的Exchange服务器部署都存在严重配置缺陷"。Beggs补充道,许多Exchange服务器缺乏基础设施安全控制、监控/日志记录、终端安全方案甚至防病毒软件,因为用户担心这些措施会影响邮件服务性能。
具体防护建议
指南要求管理员将本地Exchange服务器视为"面临紧迫威胁"的基础设施,并提出关键实践:
首要防护措施是确保所有Exchange服务器运行最新版本和累积更新。微软Exchange Server订阅版(SE)是目前唯一受支持的本地版本(传统版本支持已于2025年10月14日终止)。确保启用微软紧急缓解服务以接收临时缓解措施。建立Exchange Server、邮件客户端及Windows的安全基线,便于快速识别违规配置并及时修复以缩减受攻击面。若未使用第三方安全软件,应启用Microsoft Defender防病毒等内置防护功能。Windows应用控制(商业版应用控制与AppLocker)通过管控可执行内容运行来增强Exchange安全性。仅允许经授权的工作站访问Exchange管理环境(包括远程PowerShell)。强化身份验证与加密机制。配置扩展保护(EP)时保持TLS设置与NTLM配置一致性,确保EP在多台Exchange服务器间正确运作。启用P2 FROM标头默认设置以检测标头篡改与欺诈企图。启用HTTP严格传输安全(HSTS)强制所有浏览器连接使用HTTPS加密。
Beggs坦言,由于配置选项繁多,多数组织难以在部署时选择最优安全配置。若采用云托管等第三方运维的共享服务模式,安全责任界定不清会使情况更复杂。他指出:"安全配置Exchange有个鲜为人知的特点——厂商提供的补丁和升级可能重置某些安全设置。" 虽然指南要求管理员"应用安全基线",但Beggs建议应核实基线是否正确应用,并至少每季度审查配置设置。
Beggs强调该指南提醒管理员:Exchange本质仍是服务器,必须像对待网络中其他服务器一样评估其风险并实施同等安全要求。"必须对所有数据一视同仁地实施安全防护,特别是邮件服务器通常存储的敏感数据。"
