Home Exchange kiterjesztett védelem | Hogyan lehet engedélyezni

Exchange kiterjesztett védelem | Hogyan lehet engedélyezni

Engedélyezze az Exchange kiterjesztett védelmet

Engedélyezze az Exchange Extended Protection for Exchange Server Security alkalmazást a kiszolgáló zökkenőmentes futtatásához.

Az Exchange kiterjesztett védelem alapértelmezés szerint be van kapcsolvaCsere 2019 CU 14és később.

Ha nem alkalmazza körültekintően az Exchange Extended védelmet, és frissítse Exchange-jét CU 14-re.

Komoly problémák léphetnek fel az Exchange-ben, például a felhasználó nem tud bejelentkezni az Exchange 2019-be a CU 14-re való frissítés után.

Ezért az Exchange-szervezet biztonsága érdekében végrehajthatja az Exchange Extended Protection megfelelő beállítását.

A Microsoft azt javasolja, hogy minden Exchange-felhasználó engedélyezze.

Ebben a cikkben megtudjuk, hogyan engedélyezheti a kiterjesztett védelmet az Exchange Server 2019 számára.

Növeli a Windows Server meglévő hitelesítési módszereinek biztonságát, hogy megvédje magát a hitelesítési továbbító vagy a középső támadásoktól.

Ez olyan biztonsági információk használatával valósítható meg, amelyeket elsősorban a TLS-kapcsolatokhoz használt csatornakötési token (CBT) keresztül meghatározott csatorna-kötési információkon keresztül valósítanak meg.

Az Exchange 2019 CU 14 rendszeren azonban alapértelmezés szerint engedélyezve van

Engedélyezheti a kiterjesztett védelmet az Exchange régebbi verzióiban a Microsoft által biztosított PowerShell Script segítségével, azaz ExchangeExtendedProtectionManagement.ps1

A kiterjesztett védelmet támogató Exchange-verziók előfeltételei

Az Exchange 2013, 2016 és 2019 támogatja az EP-t

Az Exchange 2016 és 2019 esetén futnia kell2022 H1 CU

Mielőtt engedélyezné, legalább telepítenie kell2022. augusztus SUvagy később.

Az Exchange 2013-hoz futnia kellCU 23, 2022. augusztus SUvagy később.

Az SSL-letöltést le kell tiltani

NTLMv2-t kell használnia

Győződjön meg arról, hogy minden Exchange Server-t használTLS 1.2legjobb gyakorlatokkal.

Érintett forgatókönyv kiterjesztett védelemmel

  • Az SSL-kitöltés nem támogatott, ezért ne használjon SSL-kitöltést terheléselosztóval, inkább SSL-áthidalást használjon.
  • Ugyanazt az SSL-t használhatja terheléselosztóin, amikor SSL áthidalást használ a terheléselosztón.
  • Az Extended Protection for Exchange 2013 nem engedélyezhető nyilvános mappával egyidejűleg létező környezetben.
  • Használat esetén nem engedélyezhetőCsere 2016 22-velvagyCsere 2019 CU 11amely nyilvános mappa hierarchiát tartalmaz.
  • Ha megvan a fenti forgatókönyv, frissítsenCsere 2016-ról CU 23-raésCsere 2019 CU 12-revagy később.
  • Az EP nem konfigurálható teljesen a hibrid ügynökkel közzétett Exchange kiszolgálókon.
  • Ellenőrizze aCserélje ki a legújabb CU-t és SU-t

További információért lásd az alábbi képet.

Ismerje meg az Exchange kiterjesztett védelmi állapotát

Az EP engedélyezése előtt a legjobb, ha először ismeri az állapotot.

Az állapot megismeréséhez futtathatjuk az Exchange állapotellenőrző parancsfájlt, és létrehozhatjuk a HTML-jelentést

Olvassa el még:Hogyan lehet egyszerűen és gyorsan engedélyezni az LSA védelmet a Windows 11 rendszerben

Tehát lefuttattuk a szkriptet, hogy megtudjuk az EP állapotát az Exchange Server 2019-en, és az alábbi eredményt kaptuk.

A fenti kép azt jelzi, hogy az EP nincs konfigurálva, és vannak sebezhetőségeinkCVE-2022-24516, 21979, 21980, 24477,és30134,és az érték úgy van beállítvaegyik sema miénkértvirtuális könyvtárak

Ezért a kiterjesztett védelem állapotának ellenőrzéséhez a PowerShell-szkriptet is futtathatja.

Töltse le az ExchangeExtendedProtectionManagement.ps1-etscript fromGitHub

Mentse el a szkriptet ascript mappátbelül aC meghajtóés navigáljon ascript mappátaz Exchange menedzsment shellben.

Most futtassa a következő parancsmagot az EP állapotának megismeréséhez

.ExchangeExtendedProtectionManagement.ps1 –ShowExtendedProtection

Az eredményt az alábbiak szerint kapja meg

Láthatja, hogy ugyanazt az eredményt kaptuk, mint a HTML jelentésnél, amely értéket mutategyik semvirtuális könyvtárakhoz.

A kiterjesztett védelem engedélyezése az Exchange Serverben

Ha frissítette a szükséges verziót, engedélyezheti az Exchange kiterjesztett védelmet.

Az EP engedélyezése előtt tekintse meg az Exchange TLS 1.2 beállításának konfigurálására vonatkozó legjobb gyakorlatot.

Itt azt gondoljukTLS 1.2már konfigurálva van.

Tehát le kell tiltanunk aSSL kitöltésOutlook Anywhere programhoz a szervezet összes Exchange Serveréhez.

A letiltásához futtassa a következő parancsmagot az EMS-ben (Exchange Management Shell)

Set-OutlookAnywhere "EX01-2019RPC (Default Web Site)" -SSLOffloading $false

Most már futtathatjuk aExchangeExtendedProtectionManagement.ps1szkript a kiterjesztett védelem konfigurálásához az Exchange szerverünkön.

Győződjön meg róla, megvan aSzervezetmenedzsment jogokata feladat elvégzésére.

Ugyanebben az esetben letöltöttük a szkriptetscript mappátbelül ac meghajtóés navigált az EMS parancsfájl mappájába.

A szkript futtatásához futtassa a következő parancsmagot

.ExchangeExtendedProtectionManagement.ps1

Most elindítja a kiterjesztett védelem konfigurálását a szervezete összes Exchange kiszolgálóján.

Ezért a TLS-előfeltételeket és az SSL-letöltést is ellenőrzi, és konfigurálja az EP-t.

A konfigurálás után az alábbi képernyő jelenik meg, amely azt mondja, hogy a kiterjesztett védelem sikeresen konfigurálva.

láthatja, hogy a TLS-előfeltételek sikeresen teljesítettek, és az SSL-kitöltés is le van tiltva.

Az EP állapotának ellenőrzése

Sikeresen konfiguráltuk a kiterjesztett védelmet a két EX01 és EX02 szerverünkhöz

Ellenőrizzük a PowerShell segítségével

Az állapot ellenőrzéséhez ugyanazt a parancsmagot fogjuk futtatni, mint korábban

.ExchangeExtendedProtectionManagement.ps1 –ShowExtendedProtection

Az eredményt lentebb látni fogjuk

Láthatja, hogy most már beállítottuk a virtuális könyvtáraink értékeit.

Ezért az Exchange állapotellenőrző parancsfájljával is megerősíthetjük.

A szkript futtatása után a következő eredményt kapja.

Most már láthatja, hogy a kiterjesztett védelem sikeresen engedélyezve van.

Ellenőrizheti a levelezési folyamatot, hogy megbizonyosodjon arról, hogy minden rendben működik-e vagy sem.

Az Exchange EP letiltása és visszaállítása

Az EP letiltása az összes jelenlegi konfigurált értéket a következőre állítjaegyik sem

Az EP letiltásához a szervezet összes Exchange-kiszolgálóján futtassa a következő parancsmagot

.ExchangeExtendedProtectionManagement.ps1 –DisableExtendedProtection

Ezért, ha egy adott kiszolgálón szeretné letiltani, akkor a következő parancsmagot kell futtatnia

.ExchangeExtendedProtectionManagement.ps1 -DisableExtendedProtection -ExchangeServerNames EX01, EX02

Az EP-beállítások visszaállításához a következő parancsmagot is futtathatja.

.ExchangeExtendedProtectionManagement.ps1 -RollbackType "RestoreIISAppConfig"

Következtetés

Ebből a cikkből megtudtuk, hogyan konfigurálhatja az Exchange Server 2019 kiterjesztett védelmét.

Amikor engedélyezi az EP-t Exchange-szervezetében, győződjön meg arról, hogy az engedélyezéssel teljesíti az előfeltételeketTLS 1.2és az Exchange frissítése alegújabb CU.

Ha a dolgok rosszul mennek, továbbra is lehetősége van ráletiltja az EP-tvagy visszatekerjük az előző szakaszba.

Ha többet szeretne megtudni, tekintse meg az ingyenes Microsoft Exchange oktatóanyagokat

Továbbá, ha szeretné látni a cikket működés közben, nézze meg az alábbi videót az EP konfigurálásához az Exchange 2019-hez

Related Posts

Biztonsági mentési és távoli törlési eljárások

Biztonsági mentési és távoli törlési eljárások

2025-04-30
Hogyan lehet létrehozni egy virtuális gépet a VMware ESXI

Hogyan lehet létrehozni egy virtuális gépet a VMware ESXI

2024-01-10
2 módszer az alkalmazások megnyitásának megakadályozására a Windows 11

2 módszer az alkalmazások megnyitásának megakadályozására a Windows 11

2025-05-07
3 módszer a Windows Defender kikapcsolására a Windows 10

3 módszer a Windows Defender kikapcsolására a Windows 10

2025-05-08
A Windows Sandbox hiba javítása 0x80070015: Az eszköz még nem áll készen

A Windows Sandbox hiba javítása 0x80070015: Az eszköz még nem áll készen

2025-03-27
DNS-terjesztés: mi ez és miért számít

DNS-terjesztés: mi ez és miért számít

2024-12-25
A Mosyle MDM eltávolítása az iPadről [3 módszer]

A Mosyle MDM eltávolítása az iPadről [3 módszer]

2024-09-16
Hogyan lehet aktiválni a kamerát a Mac

Hogyan lehet aktiválni a kamerát a Mac

2025-02-25
Hihetetlen New Deal az Airpods Pro 2-t is kötelezővé teszi még az Airpods Pro 3 indítása után is

Hihetetlen New Deal az Airpods Pro 2-t is kötelezővé teszi még az Airpods Pro 3 indítása után is

2025-09-10
Az iPhone 16/16 Pro Black Screen of Death javítása [iOS 18 támogatott]

Az iPhone 16/16 Pro Black Screen of Death javítása [iOS 18 támogatott]

2024-09-25
A 0x800F0993 hiba javításának módja a Windows 11

A 0x800F0993 hiba javításának módja a Windows 11

2025-04-14
A legjobb mélymagos alternatívák az Ön használatához

A legjobb mélymagos alternatívák az Ön használatához

2025-03-03
Webfejlesztési szolgáltatások

Webfejlesztési szolgáltatások

2025-03-30
Bulizz úgy, mint 2014-ben az Apple (2024) Beats Pill hangszórójával, rekord alacsony áron!

Bulizz úgy, mint 2014-ben az Apple (2024) Beats Pill hangszórójával, rekord alacsony áron!

2025-10-20
Hogyan lehet rögzíteni a sárga szegélyt, amikor a képernyő

Hogyan lehet rögzíteni a sárga szegélyt, amikor a képernyő

2025-02-01