De Amerikaanse geheime dienst NSA heeft tips gepubliceerd waarmee organisaties hun Microsoft Exchange-servers kunnen beveiligen (pdf). Volgens de NSA zijn Exchange-omgevingen continu het doelwit van aanvallen en moeten organisaties ervan uitgaan dat er altijd sprake is van een acute dreiging. Nu Microsoft de support van Exchange Server 2016 en 2019 is gestopt lopen deze versies een groter risico om te worden gecompromitteerd.

Vanwege de gevolgen van een succesvol aangevallen Exchange-server heeft de NSA nu samen met verschillende andere diensten een aantal best practices gegeven om de beveiliging van on-premises installaties aan te scherpen. Het belangrijkste advies is het up-to-date houden van Exchange-servers. Tevens moeten organisaties de Emergency Mitigation Service inschakelen. Deze service zal automatisch en zonder tussenkomst van de eigenaar mitigaties op kwetsbare Exchange-servers installeren. Het gaat hier niet om beveiligingsupdates, maar mitigaties die misbruik van bekende kwetsbaarheden voorkomen.

Verder adviseert de NSA het toepassen van security baselines en het inschakelen van de ingebouwde beveiliging, zoals Microsoft Defender Antivirus (MDAV), Windows Antimalware Scan Interface (AMSI), Attack Surface Reduction (ASR) en AppLocker en App Control. Ook is het belangrijk om de beheerderstoegang tot de server te beperken en Extended Protection te configureren. Deze maatregel moet bescherming tegen relay-aanvallen bieden. Het "best practices" document van de NSA bevat ook nog een aantal andere adviezen.

"Het beveiligen van Exchange-servers is essentieel voor het beheer van de integriteit en vertrouwelijkheid van zakelijke communicatie en functies. Door de best practices in dit document te volgen, kunnen organisaties het risico op cyberdreigingen aanzienlijk verminderen", zo stelt de Amerikaanse geheime dienst.