Exchange 2016 : Activer la protection étendue (Exchange Extended Protection)


Exchange 2013 Exchange 2019

Dans ce tutoriel, je vais vous expliquer comment activer la protection étendue (Exchange Extended Protection) sur Exchange 2016 (et 2019 si vous n’avez pas le CU14 qui l’active automatiquement) qui va vous permettre de vous protéger de la CVE-2024-21410.

Exchange Extended Protection est en faite une configuration renforcé en sécurité pour Exchange 2016 / 2019. Cette configuration s’applique à l’aide d’un script PowerShell.

Avant de vous expliquer comment appliquer cette protection étendue, il y a un point d’attention particulièrement important qui est la façon d’où vous publiez vos serveurs Exchange.

Si vous utilisez une solution de reverse proxy de type IIS ARR / Kemp / F5 … il ne doit pas y avoir de décharge SSL entre le reverse proxy et les serveurs Exchange, il faut que la communication soit en HTTPS du client au serveur Exchange. Deuxième éléments à prendre en compte, le certificat SSL doit être le même sur le Reverse proxy et le ou les serveurs Exchanges.

Avant de lancer la configuration de protection étendue pour Exchange, il faut que le site SERVER\RPC (Default Web Site) soit configurer sans décharge SSL (SSL Offloading).

Pour cela entrer la commande suivante de EMS :

Set-OutlookAnywhere 'EXCHANGE-SERVER-X\RPC (Default Web Site)' -SSLOffloading $false -InternalClientsRequireSsl $true -ExternalClientsRequireSsl $true

Adapter la commande en modifiant EXCHANGE-SERVER-X pour le faire correspondent à votre environnement, cette commande doit être passée pour chaque serveur Exchange.

Pour se rendre compte du résultat de Exchange Extended Protection on va dans un premier temps utiliser le script HealthChecker.ps1 qui va nous permettre de vérifier l’état de santé de l’environnement Exchange.

Télécharger le script sur un serveur Exchange et exécuter dans EMS .\HealthChecker.ps1.

Le résultat de la partie Security Vulnerability :

Security Vulnerability
----------------------
	IIS module anomalies detected: False
	Security Vulnerability: Download Domains are not configured. You should configure them to be protected against CVE-2021-1730.
		Configuration instructions: https://aka.ms/HC-DownloadDomains
	Security Vulnerability: CVE-2022-24516, CVE-2022-21979, CVE-2022-21980, CVE-2022-24477, CVE-2022-30134, CVE-2024-21410
		Extended Protection is not configured

Dans les logs, on peut que Extended Protection n’est pas activé et que le serveur est vulnérable à plusieurs CVE dont la CVE-2024-21410.

On va maintenant appliquer l’Extended Protection pour se protéger des différentes CVE des serveurs Exchange.

Télécharger le script ExchangeExtendedProtectionManagement sur un serveur Exchange.

Extended Protection sera appliquée à tous les serveurs Exchange.

Depuis la console EMS lancer en administrateur exécuté le script.

.\ExchangeExtendedProtectionManagement.ps1

Au lancement du script, il faut confirmer l’exécution deux fois :

  • La première pour valider l’éditeur qui a signé le script
  • La seconde pour confirmer le message d’avertissement sur les problèmes connus.

Patienter pendant l’exécution du script …

Vous avez activer la protection étendu d’Exchange.

Pour se rendre compte du résultat, relancer le script .\HealthChecker.ps1

Si on regarde dans la partie Security Vulnerability, les vulnérabilités couvertes par Exchange Extended Protection ne sont plus listé notamment le CVE-2024-21410.

Maintenant tester les différents accès OWA et client Outlook pour s’assurer que tout fonctionne correctement.

En cas de blocage complet, il est possible de désactiver la protection étendue :

.\ExchangeExtendedProtectionManagement.ps1 -DisableExtendedProtection

Pour faire un retour arrière (Rollback) :

.\ExchangeExtendedProtectionManagement.ps1 -RollbackType "RestoreConfiguration"



Laisser un commentaire