5
Best practice Exchange least privilege
Einen schönen Freitag,
viele von uns haben in den vergangenen Tagen sicherlich zu kämpfen gehabt im Angesicht von HAFNIUM. Ich habe sehr viel gelesen (auch Foren und Kommentare) und viele nützliche Informationen gewonnen. Vor allem habe ich versucht alle problematischen Aspekte der Exchange-Internet-Anbindung für mich zu bewerten um die Sicherheit grundsätzlich zu erhöhen.
Info am Rande: Ich bin seit Jahren Admin und betreue genau einen Exchange (2013), nach bestem Wissen und Gewissen. Bei mir war es wohl mehr Glück als Verstand, ich habe die Kiste am Freitag den 05.03.2021 Abends vom Internet getrennt nachdem ich überhaupt erst aus den Medien von den Angriffen erfahren habe. Nach all den Tests bin ich mir sicher, das mein System sauber ist. Meine Vermutung: Country blocking hat mich vor schlimmerem bewahrt, ein Aspekt den ich noch nirgendwo gelesen habe.
Zum Thema: An vielen Stellen versuche ich nach dem Prinzip least privilege zu handeln aber ich bin Praktiker und stoße dabei auch mal an Grenzen. Der Exchange hängt tief in der AD, da bin ich von Anfang an davon ausgegangen das der Exchange einfach als Domänen-Admin installiert werden muss und der Domain-Admin natürlich auch volle Rechte im Exchange hat, ich kenne das als "normal" und habe das bislang zugegebener Weise nicht hinterfragt.
Jetzt weißt vor allem das BSI ausdrücklich und bei jeder Gelegenheit auf den Sachverhalt hin das viele Exchange-Installationen mit "zu vielen Rechten" ausgestattet seien. Wenn man dann aber mal versucht mehr Informationen zu gewinnen wird es schon kompliziert, was sind denn eigentliche (A) "zu viele Rechte"? Wie gehe ich (B) praktisch vor wenn ich nicht möchte das ein kompromitierter Exchange die AD kapern kann?
Mit großem Interesse habe ich das hier gelesen https://adsecurity.org/?p=4119 , und auch etwas ungläubig was den aufgezeigten work arround anging. Nun steht am Ende der Hinweis das Microsoft Dinge geändert hat (die eventuell ein neues Setup erfordern) aber schafft das ausreichend Abhilfe?
(A)
Was sind "zu viele Rechte": Ich vermute mein Setup ist damit gemeint. Ist es sinnvoll dem Domain-Admin und allen Domain-Accounts mit Admin rechten den Zugriff auf den Exchange zu nehmen (raus aus der Gruppe Organization Managemen) und dedizierte Admin-Accounts in der Domäne nur für die Exchange-Administration einzusetzen oder wäre das eher security by obscurity?
(B)
Ist der Umstand überhaupt lösbar ohne einen massiven Aufwand zu betreiben wie er in dem verlinkten Beispiel aus 2019 beschrieben wird?
Ich stelle definitiv Sicherheit über Komfort. Aber ich bin auch Realist und kann nicht einfach sagen, lass mal grade von Exchange weg gehen, Microsoft ist eh böse. Was ist also das Beste, was man aus so einem Setup raus holen kann? Nur bezogen auf die Rechte des Exchange in der Domäne, nicht auf die Frage ob er am Internet hängen sollte oder nicht.
viele von uns haben in den vergangenen Tagen sicherlich zu kämpfen gehabt im Angesicht von HAFNIUM. Ich habe sehr viel gelesen (auch Foren und Kommentare) und viele nützliche Informationen gewonnen. Vor allem habe ich versucht alle problematischen Aspekte der Exchange-Internet-Anbindung für mich zu bewerten um die Sicherheit grundsätzlich zu erhöhen.
Info am Rande: Ich bin seit Jahren Admin und betreue genau einen Exchange (2013), nach bestem Wissen und Gewissen. Bei mir war es wohl mehr Glück als Verstand, ich habe die Kiste am Freitag den 05.03.2021 Abends vom Internet getrennt nachdem ich überhaupt erst aus den Medien von den Angriffen erfahren habe. Nach all den Tests bin ich mir sicher, das mein System sauber ist. Meine Vermutung: Country blocking hat mich vor schlimmerem bewahrt, ein Aspekt den ich noch nirgendwo gelesen habe.
Zum Thema: An vielen Stellen versuche ich nach dem Prinzip least privilege zu handeln aber ich bin Praktiker und stoße dabei auch mal an Grenzen. Der Exchange hängt tief in der AD, da bin ich von Anfang an davon ausgegangen das der Exchange einfach als Domänen-Admin installiert werden muss und der Domain-Admin natürlich auch volle Rechte im Exchange hat, ich kenne das als "normal" und habe das bislang zugegebener Weise nicht hinterfragt.
Jetzt weißt vor allem das BSI ausdrücklich und bei jeder Gelegenheit auf den Sachverhalt hin das viele Exchange-Installationen mit "zu vielen Rechten" ausgestattet seien. Wenn man dann aber mal versucht mehr Informationen zu gewinnen wird es schon kompliziert, was sind denn eigentliche (A) "zu viele Rechte"? Wie gehe ich (B) praktisch vor wenn ich nicht möchte das ein kompromitierter Exchange die AD kapern kann?
Mit großem Interesse habe ich das hier gelesen https://adsecurity.org/?p=4119 , und auch etwas ungläubig was den aufgezeigten work arround anging. Nun steht am Ende der Hinweis das Microsoft Dinge geändert hat (die eventuell ein neues Setup erfordern) aber schafft das ausreichend Abhilfe?
(A)
Was sind "zu viele Rechte": Ich vermute mein Setup ist damit gemeint. Ist es sinnvoll dem Domain-Admin und allen Domain-Accounts mit Admin rechten den Zugriff auf den Exchange zu nehmen (raus aus der Gruppe Organization Managemen) und dedizierte Admin-Accounts in der Domäne nur für die Exchange-Administration einzusetzen oder wäre das eher security by obscurity?
(B)
Ist der Umstand überhaupt lösbar ohne einen massiven Aufwand zu betreiben wie er in dem verlinkten Beispiel aus 2019 beschrieben wird?
Ich stelle definitiv Sicherheit über Komfort. Aber ich bin auch Realist und kann nicht einfach sagen, lass mal grade von Exchange weg gehen, Microsoft ist eh böse. Was ist also das Beste, was man aus so einem Setup raus holen kann? Nur bezogen auf die Rechte des Exchange in der Domäne, nicht auf die Frage ob er am Internet hängen sollte oder nicht.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 661843
Url: https://administrator.de/forum/best-practice-exchange-least-privilege-661843.html
Ausgedruckt am: 28.03.2025 um 07:03 Uhr
5 Kommentare
Neuester Kommentar
Moin,
Doch, ich habe das auch gemacht, wenn auch zu spät 
Meine Erfahrungen habe ich hier einmal zusammengetragen:
HAFNIUM - Maßnahmen und mögliche Folgen
Und was Deine eigentliche Frage angeht, finden sich da doch scheinbar genügend Informationen?
https://support.microsoft.com/en-us/topic/reducing-permissions-required- ...
https://practical365.com/exchange-server/exchange-best-practices-least-p ...
https://www.msxfaq.de/exchange/e2010/exchange_rechte.htm
...
Gruß
Meine Vermutung: Country blocking hat mich vor schlimmerem bewahrt, ein Aspekt den ich noch nirgendwo gelesen habe.
Meine Erfahrungen habe ich hier einmal zusammengetragen:HAFNIUM - Maßnahmen und mögliche Folgen
Und was Deine eigentliche Frage angeht, finden sich da doch scheinbar genügend Informationen?
https://support.microsoft.com/en-us/topic/reducing-permissions-required- ...
https://practical365.com/exchange-server/exchange-best-practices-least-p ...
https://www.msxfaq.de/exchange/e2010/exchange_rechte.htm
...
Gruß
Auch wenn's sinnvoll ist, das Gefragte zu prüfen: ist es nicht sinnvoller, zu fragen, warum Euer Exchange aus dem Internet ohne VPN erreichbar ist/sein muss?
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
zeigt das doch als Einfallstor auf.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
zeigt das doch als Einfallstor auf.
Ich finde das alles noch etwas unklar, vor allem Microsoft kann mich immer wieder verwirren (ich habe aber auch noch nicht alles gelesen, bin dabei). Mal zwei konkrete Fragen:
a) Also ich habe CU23 bereits installiert + jetzt auch KB5000871. Die erste Installation vom Exchange 2013 ist natürlich schon ewig her, seit dem kamen mehrere CUs. Ab CU22 hat MS wohl die Rechte bereits selbst eingeschränkt. Verstehe ich das richtig das ich das CU23 mit "setup.exe /PrepareAD" hätte installieren müssen damit die Rechte der Default-Installation angepasst werden oder initialisiere ich damit nicht das CU-Setup als solches sondern sorge nur nochmal separat dafür das MS hier die Rechte anpasst?
https://support.microsoft.com/en-us/topic/reducing-permissions-required- ...
b) Das split permissions Modell scheint mir in unserer Umgebung kein Problem zu sein, ich lege meine User immer erst in der AD an und dann im Exchange die Postfächer in einem eigenen Schritt. Aber heißt das jetzt ganz konkret das ich einen eigenen Admin Account für Exchange erstellen sollte so das kein AD-Benutzer in der AD und im Exchange Admin Rechte (Mitglied Organization Management) hat oder ist das egal solange nur der Domain-Admin nicht Mitglied von Organization Management ist?
https://docs.microsoft.com/en-us/exchange/understanding-split-permission ...
Sry wenn das wirr klingt aber ich bin verwirrt, mal mehr mal weniger.
a) Also ich habe CU23 bereits installiert + jetzt auch KB5000871. Die erste Installation vom Exchange 2013 ist natürlich schon ewig her, seit dem kamen mehrere CUs. Ab CU22 hat MS wohl die Rechte bereits selbst eingeschränkt. Verstehe ich das richtig das ich das CU23 mit "setup.exe /PrepareAD" hätte installieren müssen damit die Rechte der Default-Installation angepasst werden oder initialisiere ich damit nicht das CU-Setup als solches sondern sorge nur nochmal separat dafür das MS hier die Rechte anpasst?
https://support.microsoft.com/en-us/topic/reducing-permissions-required- ...
b) Das split permissions Modell scheint mir in unserer Umgebung kein Problem zu sein, ich lege meine User immer erst in der AD an und dann im Exchange die Postfächer in einem eigenen Schritt. Aber heißt das jetzt ganz konkret das ich einen eigenen Admin Account für Exchange erstellen sollte so das kein AD-Benutzer in der AD und im Exchange Admin Rechte (Mitglied Organization Management) hat oder ist das egal solange nur der Domain-Admin nicht Mitglied von Organization Management ist?
https://docs.microsoft.com/en-us/exchange/understanding-split-permission ...
Sry wenn das wirr klingt aber ich bin verwirrt, mal mehr mal weniger.
Ich habe jetzt mit
(setup.exe des aktuellen CUs)
plus einem Neustart Active Directory split permissions aktiviert, den Logs nach haben die gesetzten Optionen gegriffen. Das Setup war auch keine Installation sondern der Laufzeit nach nur eine Anpassung der Rechte wobei "nur" relativ ist, die Logs sind ewig lang.
Damit sollte nach meinem bisherigen Verständnis ein Angreifer im Exchange Trusted Subsystem nicht mehr in der Lage sein die AD zu übernehmen. Es gibt sehr wohl AD-User (inklusive AD-Administrator) die in beiden Systemen Admin-Rechte haben. Ich weiß nicht ob ein Angreifer auf dem Exchange Passwörter aus diesem Accounts bekommen kann, das wäre wirklich sehr interessant.
setup.exe /PrepareAD /ActiveDirectorySplitPermissions:true /IAcceptExchangeServerLicenseTermsplus einem Neustart Active Directory split permissions aktiviert, den Logs nach haben die gesetzten Optionen gegriffen. Das Setup war auch keine Installation sondern der Laufzeit nach nur eine Anpassung der Rechte wobei "nur" relativ ist, die Logs sind ewig lang.
Damit sollte nach meinem bisherigen Verständnis ein Angreifer im Exchange Trusted Subsystem nicht mehr in der Lage sein die AD zu übernehmen. Es gibt sehr wohl AD-User (inklusive AD-Administrator) die in beiden Systemen Admin-Rechte haben. Ich weiß nicht ob ein Angreifer auf dem Exchange Passwörter aus diesem Accounts bekommen kann, das wäre wirklich sehr interessant.
