Exchange Server Extended Protection hakkında bilgi vermeye çalışacağım sizlere. Pek çok ortam halen Exchange Server’da Genişletilmiş Korumayı aktif etmemiş durumda. Bunun nedeni ya bu konuda bilgilerinin olmaması ya da teknik yeterlilik olabilir.
Extended Protection nedir?
Extended Protection Koruma, mevcut kimlik doğrulamasını geliştirir ve kimlik doğrulama geçişi veya “ortadaki adam” (MitM) saldırılarını en aza indirir.
Bu Extended Protection Virtual Directory bazlı tek tek etkinleştirilebileceği gibi daha kolay yöntem olarak Microsoft’un ExchangeExtendedProtectionManagement.ps1dosyası ile çok daha kolay yapılabilmektedir.
İşlemlere başlamadan önce Exchange server sürümüne göre buradan bilgilere göz atabilirsiniz.
Windows Extended Protection, aşağıdaki Exchange Server sürümleri tarafından desteklenmektedir.
Exchange Server 2013
Exchange Server 2016
Exchange Server 2019
Not: Exchange Server’ı en son çıkan Exchange Toplu Güncelleştirmesi ve Exchange Güvenlik Güncelleştirmesi ile güncel tutmayı unutmayın .
Extended Protection durumunu kontrol etmek için iki yöntem bulunmaktadır.
İlki Exchange Server Healt Check tool ile bunu kontrol edebilirsiniz. Health Check tool ile Extended Protection ile ilgili güvenlik açığını görebilirsiniz.
Şu an benim sunucumda Extended Protection aktif değil. İlgili güvenlik açıkları KB’ler ile belirtilmiştir.
İkinci yöntemde ise ExchangeExtendedProtectionManagement.ps1 scriptini indirip C:\scripts ya da sizin belirleyeceğiniz klasöre indirin. Exchange Server üzerinde EMS yi yönetici olarak açın. Buraya aşağıdaki komut seti yazıp çalıştırın.
Komut çıktısı olarak Value kısmında None olarak geri dönmekte buda bize sunucumuzda Extended Protection’un aktif olmadığı anlamına gelir.
“ExchangeExtendedProtectionManagement.ps1 -ShowExtendedProtection”
Şimdi kontrollerimizi yaptık ve Extended Protection korumasını aktif edeceğiz.
Bu işlemi DAG yapınız dahi olsa mesai saati sonrasında yapmanızı öneririm.
1. En son Exchange Server CU / SU’ya güncelleyin .
2. Exchange Server TLS ayarlarını yapılandırın.
3. Outlook Anywhere için SSL Offloading özelliğini devre dışı bırakmalısınız. Bu ayar varsayılan olarak Enable durumdadır.
Extended Protection için bu ayarın devre dışı bırakılması gerekmektedir. Komut seti aşağıdaki gibidir.
“Set-OutlookAnywhere “EXCHNODE01\RPC (Default Web Site)” -SSLOffloading $false -InternalClientsRequireSsl $true -ExternalClientsRequireSsl $true”
Şimdi ExchangeExtendedProtectionManagement.ps1 PowerShell scriptini indirin ve C:\script yada istediğiniz bir klasöre kaydedin.
İndirdiğimiz scripti çalıştırmak için yönetici hakları ile EMS’yi açıyoruz ve script’i çalıştırıyoruz.
“.\ExchangeExtendedProtectionManagement.ps1”
Bu işlemden sonra Extended Protection etkin konuma gelmiştir. Doğrulamak için tekrardan Exchange Server Healt Check scriptini çalıştırarak kontrolünü sağlayabiliriz.
Exchange Server Extended Protection artık sistemimiz için aktif durumdadır.
Bir sebepten dolayı yapılan ayarı geri almak isterseniz de aşağıdaki komutu çalıştırmanız yeterlidir.
“ .\ExchangeExtendedProtectionManagement.ps1 -RollbackType “RestoreIISAppConfig” “
Makalemizin sonuna geldik. Umarım faydalı olur herkese sağlıklı ve sorunsuz günler dilerim.