Home Rozszerzona ochrona Exchange | Jak włączyć

Rozszerzona ochrona Exchange | Jak włączyć

Włącz rozszerzoną ochronę Exchange

Włącz usługę Exchange Extended Protection dla Exchange Server Security, aby zapewnić płynne działanie serwera.

Rozszerzona ochrona Exchange jest domyślnie włączonaWymiana 2019 CU 14i później.

Jeśli nie wdrożysz ostrożnie rozszerzonej ochrony Exchange i zaktualizujesz Exchange do CU 14.

Mogą wystąpić poważne problemy z Exchange, takie jak brak możliwości zalogowania się użytkownika do Exchange 2019 po aktualizacji do CU 14.

Dlatego możesz wdrożyć odpowiednie ustawienie Rozszerzonej ochrony Exchange, aby zabezpieczyć swoją organizację Exchange.

Firma Microsoft zaleca, aby każdy użytkownik Exchange włączył tę opcję.

W tym artykule dowiemy się, jak włączyć rozszerzoną ochronę dla Exchange Server 2019.

Co to jest ochrona rozszerzona?

Zwiększa bezpieczeństwo istniejących metod uwierzytelniania w systemie Windows Server w celu ochrony przed atakami typu „przekazywanie uwierzytelniania” lub „man-in-the-middle”.

Osiąga się to poprzez wykorzystanie informacji o bezpieczeństwie, które są implementowane poprzez informacje o powiązaniu kanału określone za pomocą tokenu powiązania kanału (CBT), który jest używany głównie w połączeniach TLS.

Jednak jest ona domyślnie włączona w Exchange 2019 CU 14

Możesz włączyć rozszerzoną ochronę w starszych wersjach Exchange za pomocą skryptu PowerShell dostarczonego przez Microsoft, np. ExchangeExtendedProtectionManagement.ps1

Wymagania wstępne dotyczące wersji programu Exchange obsługujących ochronę rozszerzoną

Exchange 2013, 2016 i 2019 obsługują EP

W przypadku Exchange 2016 i 2019 musisz działać dalej2022 I półrocze CU

Przed włączeniem tej opcji musisz przynajmniej zainstalowaćsierpień 2022 SUlub później.

W przypadku Exchange 2013 musisz mieć uruchomioną wersjęCU 23 z sierpniem 2022 SUlub później.

Odciążanie protokołu SSL powinno być wyłączone

Czy użytkownik NTLMv2

Upewnij się, że używa wszystkich serwerów ExchangeTLS 1.2z najlepszymi praktykami.

Dotknięty scenariusz z rozszerzoną ochroną

  • Odciążanie SSL nie jest obsługiwane, dlatego nie należy używać odciążania SSL za pomocą modułu równoważenia obciążenia, zamiast tego użyj mostkowania SSL.
  • Możesz używać tego samego protokołu SSL w modułach równoważenia obciążenia, korzystając z mostkowania SSL w module równoważenia obciążenia.
  • Nie można włączyć rozszerzonej ochrony dla Exchange 2013 z folderem publicznym we współistniejącym środowisku.
  • Nie można włączyć, jeśli używaszWymiana 2016 Z 22LubWymiana 2019 CU 11który obsługuje hierarchię folderów publicznych.
  • Jeśli masz powyższy scenariusz, dokonaj aktualizacjiWymiana 2016 na CU 23IWymiana 2019 na CU 12lub później.
  • EP nie można w pełni skonfigurować na serwerach Exchange opublikowanych za pomocą agenta hybrydowego.
  • SprawdźWymień najnowsze CU i SU

Aby uzyskać większy prześwit, zobacz zdjęcie poniżej.

Poznaj stan rozszerzonej ochrony swojej giełdy

Przed włączeniem EP najlepiej jest najpierw poznać status.

Aby poznać status, możemy uruchomić skrypt Exchange Health Checker i wygenerować raport HTML

Uruchomiliśmy więc skrypt, aby poznać status EP na naszym serwerze Exchange 2019 i otrzymaliśmy poniższy wynik.

Powyższy obraz wskazuje, że EP nie jest skonfigurowany i mamy luki w zabezpieczeniachCVE-2022-24516, 21979, 21980, 24477,I30134,i wartość jest ustawiona jakonicdla naszychkatalogi wirtualne

Dlatego też, aby sprawdzić stan Rozszerzonej Ochrony, możesz także uruchomić skrypt PowerShell.

Pobierz ExchangeExtendedProtectionManagement.ps1skrypt zGitHub

Zapisz skrypt w formaciefolder ze skryptamiwewnątrzNapęd Ci przejdź dofolder ze skryptamiw powłoce zarządzającej Exchange.

Teraz uruchom następujące polecenie cmdlet, aby poznać stan EP

.ExchangeExtendedProtectionManagement.ps1 –ShowExtendedProtection

Otrzymasz wynik jak poniżej

Jak widać, otrzymaliśmy taki sam wynik, jak w przypadku raportu HTML pokazującego wartośćnicdla katalogów wirtualnych.

Jak włączyć rozszerzoną ochronę na serwerze Exchange

Jeśli dokonasz aktualizacji do wymaganej wersji, możesz włączyć rozszerzoną ochronę Exchange.

Przed włączeniem EP zapoznaj się z najlepszymi praktykami dotyczącymi konfigurowania ustawień Exchange TLS 1.2.

Tutaj to rozważamyTLS 1.2jest już skonfigurowany.

Musimy więc wyłączyćOdciążanie protokołu SSLdla programu Outlook Anywhere dla wszystkich serwerów Exchange w organizacji.

Aby go wyłączyć, uruchom następujące polecenie cmdlet w EMS (Exchange Management Shell)

Set-OutlookAnywhere "EX01-2019RPC (Default Web Site)" -SSLOffloading $false

Teraz możemy uruchomićExchangeExtendedProtectionManagement.ps1skrypt konfigurujący rozszerzoną ochronę na naszym serwerze Exchange.

Upewnij się, że maszZarządzanie organizacją prawawykonać zadanie.

Pobraliśmy skrypt w tym samym miejscufolder ze skryptamiwewnątrzdysk ci przeszedłem do folderu skryptów w EMS.

Aby uruchomić skrypt, uruchom następujące polecenie cmdlet

.ExchangeExtendedProtectionManagement.ps1

Teraz rozpocznie konfigurację rozszerzonej ochrony na wszystkich serwerach Exchange w Twojej organizacji.

Dlatego sprawdzi również wymagania wstępne TLS i odciążanie SSL oraz skonfiguruje EP.

Po skonfigurowaniu zobaczysz poniższy ekran z informacją, że ochrona rozszerzona została pomyślnie skonfigurowana.

możesz zobaczyć, że wymagania wstępne TLS zostały pomyślnie zaliczone, a odciążanie SSL również jest wyłączone.

Weryfikacja statusu EP

Pomyślnie skonfigurowaliśmy rozszerzoną ochronę dla naszych dwóch serwerów EX01 i EX02

Zweryfikujmy to za pomocą PowerShell

Uruchomimy to samo polecenie cmdlet, co wcześniej, aby sprawdzić status

.ExchangeExtendedProtectionManagement.ps1 –ShowExtendedProtection

Wynik zobaczymy poniżej

Możesz teraz zobaczyć, że mamy skonfigurowane wartości dla naszych katalogów wirtualnych.

Dlatego możemy to również potwierdzić, sprawdzając skrypt Exchange Health Checker.

Po uruchomieniu skryptu otrzymasz następujący wynik.

Teraz widzisz, że ochrona rozszerzona została pomyślnie włączona.

Możesz sprawdzić przepływ poczty, aby potwierdzić, czy wszystko działa prawidłowo, czy nie.

Wyłączanie i przywracanie Exchange EP

Wyłączenie EP spowoduje ustawienie wszystkich aktualnie skonfigurowanych wartości nanic

Aby wyłączyć EP na wszystkich serwerach Exchange w Twojej organizacji, uruchom następujące polecenie cmdlet

.ExchangeExtendedProtectionManagement.ps1 –DisableExtendedProtection

Dlatego jeśli chcesz wyłączyć tę opcję dla określonego serwera, musisz uruchomić następujące polecenie cmdlet

.ExchangeExtendedProtectionManagement.ps1 -DisableExtendedProtection -ExchangeServerNames EX01, EX02

Możesz także uruchomić następujące polecenie cmdlet, aby przywrócić ustawienia EP.

.ExchangeExtendedProtectionManagement.ps1 -RollbackType "RestoreIISAppConfig"

Wniosek

W tym artykule dowiedzieliśmy się, jak skonfigurować rozszerzoną ochronę dla Exchange Server 2019.

Za każdym razem, gdy włączasz EP dla swojej organizacji Exchange, upewnij się, że spełniasz wymagania wstępne, włączającTLS 1.2i aktualizację Exchange do wersjinajnowszy CU.

Jeśli coś pójdzie nie tak, nadal masz taką możliwośćwyłącz EPlub przywróć go do poprzedniego etapu.

Jeśli chcesz dowiedzieć się więcej, zapoznaj się z bezpłatnymi samouczkami dotyczącymi programu Microsoft Exchange

POWIĄZANY:Jak łatwo i szybko włączyć ochronę LSA w systemie Windows 11

Ponadto, jeśli chcesz zobaczyć artykuł w akcji, obejrzyj poniższy film, aby skonfigurować EP dla Twojej Exchange 2019

Related Posts

Jak naprawić problem z awarią Diablo 4

Jak naprawić problem z awarią Diablo 4

2023-04-08
Jak odblokować telefon z Androidem bez hasła lub konta Google [8 sposobów]

Jak odblokować telefon z Androidem bez hasła lub konta Google [8 sposobów]

2025-04-30
Jak używać AI do badań produktów

Jak używać AI do badań produktów

2025-05-07
Jak wymienić uszkodzone pliki systemowe za pomocą Windows Instalation Media

Jak wymienić uszkodzone pliki systemowe za pomocą Windows Instalation Media

2025-03-27
Jest bezpieczny telegram: krytyczny przegląd funkcji bezpieczeństwa telegramu

Jest bezpieczny telegram: krytyczny przegląd funkcji bezpieczeństwa telegramu

2023-04-20
Rozwój witryny biznesowej z zoptymalizowaną prędkością

Rozwój witryny biznesowej z zoptymalizowaną prędkością

2024-11-20
Test częstotliwości odświeżania

Test częstotliwości odświeżania

2024-11-19
Nowy wygląd Twojego iPhone'a wkrótce się zmieni

Nowy wygląd Twojego iPhone'a wkrótce się zmieni

2025-10-21
Jest rozgotowaną 2 wielą platformą (Xbox, PS4 i PC)

Jest rozgotowaną 2 wielą platformą (Xbox, PS4 i PC)

2024-01-02
Jak legalnie zdobyć Windows 10 za darmo

Jak legalnie zdobyć Windows 10 za darmo

2024-12-11
Odzyskaj wiadomości WhatsApp po przywróceniu ustawień fabrycznych na 5 sposobów [Android/iOS]

Odzyskaj wiadomości WhatsApp po przywróceniu ustawień fabrycznych na 5 sposobów [Android/iOS]

2024-09-30
Jak korzystać z funkcji Udostępnianie w pobliżu w systemie Windows? Uczciwe i kompleksowe wyjaśnienie

Jak korzystać z funkcji Udostępnianie w pobliżu w systemie Windows? Uczciwe i kompleksowe wyjaśnienie

2024-10-08
Pobierz pliki ISO systemu Windows 11 24H2

Pobierz pliki ISO systemu Windows 11 24H2

2025-04-16
Tester kontrolerów i gamepadów

Tester kontrolerów i gamepadów

2024-11-26
Test utraty pakietów

Test utraty pakietów

2024-11-15