微软Exchange Server防护实践:网络安全机构发布滞后补丁应对指南
美国联合多国网络安全机构共同发布了一份保护微软Exchange Server安全的最佳实践指南。
最佳实践聚焦强化用户认证与访问控制
这份由美国、澳大利亚和加拿大网络安全机构联合签署的建议恰逢其时:威胁行为者仍在不断发掘Exchange Server漏洞,许多成功攻击都源于系统版本过时或配置不当。以德国为例,该国联邦信息安全办公室指出,境内仍有高达90%的Exchange服务器运行着已过时的版本。
即便是采用混合部署的Exchange环境也并非固若金汤。今年8月,微软就针对本地与Exchange Online混合部署中的高危漏洞(CVE-2025-53786)发布了专项指南,该漏洞允许已获得本地服务器管理员权限的攻击者进一步提升特权。此次发布的最佳实践是对4月份安全更新的进一步完善。
同月,Positive Technologies研究人员警告称,发现键盘记录器被恶意注入Exchange认证页面,全球26个国家的65个受害者已确认遭殃。读者或许还记得2024年1月那场大规模的Exchange Server攻击事件,当时名为Hafnium的黑客组织利用四个零日漏洞发起攻势。据估算,全球约有3万客户及25万用户受到波及。
本地Exchange在特定环境中仍占主导
尽管许多企业正在转向云邮件服务,但部分组织和政府机构仍坚守本地Exchange服务器——或因缺乏迁移遗留系统的预算,或认为直接控制能带来更可靠的安全性。
美国网络安全和基础设施安全局(CISA)在指南前言中强调:"随着威胁活动持续针对存在漏洞的Exchange服务器(包括已终止支持的版本),配置不当或缺乏保护的Exchange服务器所属组织仍面临极高的入侵风险。" 实施这些最佳实践可显著降低网络威胁风险,CISA建议重点强化用户认证与访问控制、确保强制网络加密及最小化应用受攻击面。
该文件并非全面的加固手册,CISA同时指出主动监控入侵迹象、制定事件响应与恢复计划同样应是Exchange管理员的重点工作。加拿大事件响应公司Digital Defence负责人Robert Beggs称此指南"来得正是时候"。
虽然Exchange因其存储的敏感企业/个人信息(有时甚至包含密码凭证)而成为极具诱惑力的目标,但该公司在渗透测试中发现"每个受检的Exchange服务器部署都存在严重配置缺陷"。Beggs补充道,许多Exchange服务器缺乏基础设施安全控制、监控/日志记录、终端安全方案甚至防病毒软件,因为用户担心这些措施会影响邮件服务性能。
具体防护建议
指南要求管理员将本地Exchange服务器视为"面临紧迫威胁"的基础设施,并提出关键实践:
首要防护措施是确保所有Exchange服务器运行最新版本和累积更新。微软Exchange Server订阅版(SE)是目前唯一受支持的本地版本(传统版本支持已于2025年10月14日终止)。确保启用微软紧急缓解服务以接收临时缓解措施。建立Exchange Server、邮件客户端及Windows的安全基线,便于快速识别违规配置并及时修复以缩减受攻击面。若未使用第三方安全软件,应启用Microsoft Defender防病毒等内置防护功能。Windows应用控制(商业版应用控制与AppLocker)通过管控可执行内容运行来增强Exchange安全性。仅允许经授权的工作站访问Exchange管理环境(包括远程PowerShell)。强化身份验证与加密机制。配置扩展保护(EP)时保持TLS设置与NTLM配置一致性,确保EP在多台Exchange服务器间正确运作。启用P2 FROM标头默认设置以检测标头篡改与欺诈企图。启用HTTP严格传输安全(HSTS)强制所有浏览器连接使用HTTPS加密。
Beggs坦言,由于配置选项繁多,多数组织难以在部署时选择最优安全配置。若采用云托管等第三方运维的共享服务模式,安全责任界定不清会使情况更复杂。他指出:"安全配置Exchange有个鲜为人知的特点——厂商提供的补丁和升级可能重置某些安全设置。" 虽然指南要求管理员"应用安全基线",但Beggs建议应核实基线是否正确应用,并至少每季度审查配置设置。
Beggs强调该指南提醒管理员:Exchange本质仍是服务器,必须像对待网络中其他服务器一样评估其风险并实施同等安全要求。"必须对所有数据一视同仁地实施安全防护,特别是邮件服务器通常存储的敏感数据。"
相关攻略
近日,安全研究人员披露了一个名为“Dirty Frag”的高危Linux内核本地提权漏洞。该漏洞被视为此前Copy Fail漏洞(CVE-2026-31431)的后续变种,已于2026年4月30日报告给内核维护团队,目前官方补丁仍在等待中,对众多主流Linux发行版构成严重威胁。 漏洞概述 Dirt
该漏洞编号为(CVE-2026-5281),是Dawn Chrome跨平台GPU抽象层(用于实现WebGPU)中的释放后使用(use-after-free)漏洞。 谷歌已为其Chrome浏览器发布紧
这一发现标志着漏洞挖掘领域的重大范式转变,证明 AI 模型能够通过简单的自然语言提示,在传统软件中发现关键漏洞。 Anthropic 公司的 Claude AI 成功发现了 Vim 和 GNU Em
Ubuntu 安全团队在公开发布前通过将 Ubuntu 25 10 的默认 rm 命令恢复为 GNU coreutils 缓解了风险,上游修复已应用于 uutils 代码库。 漏洞概述Ubuntu
身份与访问管理无法单独识别冒牌IT人员。如本例所示,发现朝鲜内鬼需整合多重信号。 朝鲜IT冒牌员工计划已成为跨行业重大威胁。尽管最佳实践强调招聘阶段的防范措施,但一旦这类人员入职,往往难以察觉。近期
热门专题
热门推荐
公安部就电子数据取证规则公开征求意见,拟将网络安全等行政案件纳入适用范围,并规范取证流程与核心概念。新规特别明确了获取密码、调取通讯内容等特殊程序,需经严格审批并保障当事人权利。配套法律文书也同步优化,以构建更规范且注重权利保障的取证体系。
理想L9和LIvis的定价策略刚掀起波澜,小鹏GX的最终价格就给出了更猛烈的回应——从近40万元的预售价直降至27万元起。用小鹏产品矩阵负责人吴安飞的话说,这叫“9系的产品,8系的价格”。 这12万元的下调,效果堪称立竿见影。发布会次日,小鹏集团港股股价一度大涨超8%。更关键的是市场订单:上市12小
5月21日,环塔拉力赛新疆且末赛段大营迎来了一位备受瞩目的访客——知名零售企业胖东来的创始人于东来。他专程前往长城汽车车队营地,与参赛车手及后勤团队进行了深度交流。据悉,于东来此次自驾越野之旅已历时一月,随行车队中包含多款国产越野车型。经过实地驾驶与多维度对比,他对以长城汽车为代表的国产越野车品质给
比特币官方入口在哪里?一个核心门户的权威指南 说起比特币,很多人第一反应是去找它的“官网”或“官方App”。但这里有个关键点需要先理清:比特币本质上是一种去中心化的全球数字货币,它不属于任何一家公司或机构,而是由一个庞大的、遍布全球的社区共同维护。因此,它并没有传统意义上由某个企业运营的“官方网站”
Ring-2 5-1T是什么 在当今大模型技术激烈竞争的赛道上,追求更长的上下文处理能力和更强大的深度推理性能已成为核心焦点。近日,蚂蚁集团旗下的inclusionAI团队重磅开源了Ring-2 5-1T模型,这是一个参数规模高达万亿级别的混合线性思考大语言模型。该模型基于先进的Ling 2 5架构