Microsoftは8月28日(米国時間)、「 Coming Soon: Enabling Extended Protection on Exchange Server by Default - Microsoft Community Hub」において、Microsoft Exchangeサーバの拡張保護(EP: Extended Protection)をデフォルトで有効化させる予定だと伝えた。

  • Coming Soon: Enabling Extended Protection on Exchange Server by Default - Microsoft Community Hub

    Coming Soon: Enabling Extended Protection on Exchange Server by Default - Microsoft Community Hub

Microsoftによると、この拡張保護は中間者攻撃(MITM: Man-in-the-middle attack)からサーバを保護するためにWindowsの認証を強化する機能とのこと。この機能により、サーバクライアント間のTLS情報の改ざんや、サーバが予期している名前空間を表さないクライアントからの認証要求が失敗するようになり、攻撃者にとってNTMLリレー攻撃やチケットのリプレイ攻撃が困難になるとみられている。

拡張保護の機能自体は2022年8月のセキュリティ更新プログラムで追加されており、機能を有効化するためのスクリプト(ExchangeExtendedProtectionManagement - Microsoft - CSS-Exchange)や、ガイダンス(Extended Protection - Microsoft - CSS-Exchange)が提供されている。

Microsoftによると、拡張保護のデフォルトでの有効化はこの秋に予定されている2023 H2累積更新プログラム14(CU14)を適用したMicrosoft Exchange Server 2019 CU14以降としている。拡張保護のデフォルト有効化はあくまでも既定の設定であり、オプトアウトしたのちに有効化することが可能になり、オプトアウトを希望する場合はコマンドライン版のセットアップを使う必要がある。

GUI版のセットアップでは自動的にオプトインする。また、無人セットアップやスクリプトを使って展開する場合も、オプトアウトを希望する場合はパラメータを追加する必要があるとされる。

Microsoftは拡張保護の注意点として、2022年8月のセキュリティ更新プログラムよりも古いMicrosoft Exchangeサーバは、永続的な脆弱性があるとみなされるため、拡張保護が有効となっているサーバとの通信が切断される点を挙げている。また、拡張保護は通常のセットアップではローカルサーバのみ有効となるため、「機能を有効化するためのスクリプト」を使って組織内のすべてのMicrosoft Exchangeサーバで有効化させることを推奨している。

Microsoft Exchangeサーバの状況に応じた2023 H2累積更新プログラム14(CU14)の適用方法の一覧をまとめたものを次に示す。

  • 2022年8月のセキュリティ更新プログラムを適用済みで、拡張保護を有効にしている場合は、2023 H2累積更新プログラム14(CU14)をインストールする(特別な対応は不要)
  • 2022年8月のセキュリティ更新プログラムを適用済みで、拡張保護が無効の場合は、デフォルトの拡張保護を有効にしたまま2023 H2累積更新プログラム14(CU14)をインストールすることを推奨する。拡張保護を無効にしたままにしたい場合は、コマンドライン版のセットアップから拡張保護をオプトアウトする
  • 2022年8月のセキュリティ更新プログラムより古いバージョンを使用している場合は、速やかに最新のセキュリティ更新プログラムを適用する。非常に強く要求する

Microsoftは拡張保護を有効化することを推奨している。セキュリティ更新プログラムに関しては相当強く適用することを求めている。管理者は慎重な評価を行う必要があるが、可能であれば拡張保護および更新プログラムを適用することが望まれている。