MiTM (Man-in-the-Middle) saldırıları olarak bilinen ve aracı bir kişi veya programın iki taraf arasındaki iletişimi ele geçirdiği saldırılara karşı korunmanız için Windows, Extended Protection (EP) adlı bir özellik sunuyor. EP, Windows Authentication’da IIS içerisinde Application katmanında geçirilen kimlik bilgisiyle protokol yığınının alt seviyelerindeki TLS kapsüllemesi arasında bir bağlantı kurulmasına olanak tanır. Kimlik bilgisi, istemcinin erişmekte olduğu ad alanıyla da desteklenir. Eğer MiTM, sunucunun beklediği ad alanını temsil etmiyorsa veya istemci ile sunucu arasındaki TLS bilgisiyle oynuyorsa, bağlantı geçersiz hale gelir ve kimlik doğrulama talebi başarısız olur. Bu da NTLM Relay ve Ticket Replay senaryolarını kötü niyetli kişiler için çok daha zor hale getirir.
Microsoft, Exchange Server 2019 CU14 ile birlikte Extended Protection’u varsayılan olarak etkinleştirmeye başlayacağını duyurdu.
Exchange Server Extended Protection Management – ÇözümPark (cozumpark.com)
Extended Protection Nedir ve Nasıl Çalışır?
EP, IIS içindeki Windows Kimlik Doğrulamasında, uygulama katmanında geçen kimlik bilgisiyle, protokol yığınının daha alt seviyelerindeki TLS kapsüllemesi arasında bir bağlantı oluşturarak çalışır. Bu kimlik bilgisi, istemcinin bağlandığı ad alanını da içerir. Eğer bir MiTM saldırısı, sunucunun beklediği ad alanını temsil edemiyorsa veya TLS bilgisi üzerinde oynama yapıyorsa, bağlantı geçersizleşir ve kimlik doğrulama talebi başarısız olur. Bu, saldırganların NTLM Relay ve Ticket Replay taktiklerini kullanmasını oldukça zorlaştırır.
Ağustos 2022’de yapılan Güvenlik Güncellemeleri (SU) ile Windows’a EP desteği eklenmişti. O zamandan bu yana, Exchange sunucularında EP’yi etkinleştirebilmek için bir dizi rehberlik ve iyileştirme sunuldu.
Duyurulması gereken önemli bir gelişme var: 2023’ün ikinci yarısında yayınlanacak olan Exchange Server 2019 CU14 ile Extended Protection (EP), varsayılan olarak etkin hale getirilecek.
Bu, yüklediğinizde otomatik olarak EP’nin aktif olacağı anlamına gelir. Fakat yöneticiler için bir not; bu sadece varsayılan bir ayar. İsterseniz bu özelliği sonradan devre dışı bırakabilir veya daha sonra yeniden etkinleştirebilirsiniz. Ancak, bu özelliği devre dışı bırakmak isterseniz komut satırı versiyonunu kullanmanız gerekmekte.
Eğer… | Sonra, CU 14 piyasaya sürüldüğünde… |
Ağustos 2022 SU veya üstünü çalıştırıyorsanız ve EP’yi zaten etkinleştirdiyseniz, | CU14’ü yükleyin (özel bir adım gerekmez). |
Ağustos 2022 SU veya sonraki bir sürümünü çalıştırıyorsanız, ancak henüz EP’yi etkinleştirmediyseniz, | CU14’ü varsayılan ‘EP’yi Etkinleştir’ açık kalacak şekilde yüklemenizi önerilmektedir. CU14’ü yüklerken EP’yi etkinleştirmek istemiyorsanız, Kur’un komut satırı sürümünü kullanmanız ve EP’yi etkinleştirmeyi devre dışı bırakmanız gerekecektir. |
Exchange Server’ın Ağustos 2022 SU’dan önceki bir sürümünü çalıştırıyorsanız, | Acil olarak sunucularınızı güncellemenizi öneriyoruz. Güvenliğiniz ve Exchange Online’a mail gönderiminiz engellenmemesi açısından tüm Exchange Server sunucularınızı güncellemeniz gerekmektedir. |
EP’nin Önemi ve Tavsiyeler
Sunucu güvenliğinizi önemsiyorsanız, EP’nin etkinleştirilmesi önerilir. Eğer sunucularınız Ağustos 2022 veya sonrasındaki bir SU ile çalışıyorsa, EP’yi zaten destekliyorlar demektir. Ancak bu tarihten önceki bir sürümü kullanan sunucularınız varsa, bu sunucuların risk altında olduğunu ve hemen güncellenmesi gerektiğini hatırlatmak isterim.
EP’yi Nasıl Etkinleştirir veya Devre Dışı Bırakırsınız?
Microsoft, tüm Exchange sunucularınızda EP’yi etkinleştirebileceğiniz bir script sağlıyor. Ancak bu script genel bir değerlendirmede bulunurken, Exchange Kurulumu sadece yerel sunucuda EP’yi etkinleştirir. EP’yi etkinleştirmeniz tavsiye edilir. Bu script, karşılaşabileceğiniz gereksinimlere geniş bir bakış açısı sunar.
Sunucu güvenliğinizi artırmak ve dijital tehditlere karşı hazırlıklı olmak için bu bilgilere dikkat edin! Bu tür özellikler, günümüz dijital dünyasında daha güvende kalmamıza yardımcı olacaktır.
Özet:
Dijital çağda, veri güvenliği her zamankinden daha kritik bir öneme sahip. Windows’un Extended Protection (EP) gibi özellikleri, bu güvenlik ihtiyacını karşılamaya yönelik önemli adımlardan biridir. EP’nin varsayılan olarak etkinleştirilmesi, Microsoft’un güvenliği ne kadar ciddiye aldığının bir göstergesidir. Ancak, yöneticilerin bu tür özellikleri tam anlamıyla anlamaları ve organizasyonlarının ihtiyaçları doğrultusunda nasıl uygulayacakları konusunda bilinçli kararlar vermelidir. Son tahlilde, teknolojik gelişmelerin bize sunduğu avantajlardan tam anlamıyla yararlanabilmek için sürekli güncel kalmak ve en iyi güvenlik uygulamalarını benimsemek esastır. Bu bağlamda, EP’nin sunduğu ek koruma katmanı, modern sunucu altyapıları için vazgeçilmez bir unsurdur.