Merhaba, Microsoft Excahge Server Dünya’da en çok tercih edilen ve kullanılan eposta sunucusu. Organizasyonlarımızda on premise veya Exchange Online olsun kullanmaktayız. Meyve veren ağaç taşlanır misali saldırganların her an hedefinde.
Exchange Online kullanıcıları bu konuda daha rahat çünkü bulut tabanlı olduğu için her an Microsoft’un göz hapsinde ve kontrolünde. Saldırıların en çok hedefinde olan ise organizasyonlarımızın içerisinde kurulu olan Exchange altyapıları.
Saldırı tekniklerine baktığımızda ise Zero-day zafiyetlerini saymazsak (Konu zero-day olunca Microsoft olsun başka bir üretici olsun çok fazla yapacak bişey yok) temel yapılandırma, yönetim ve ihmalleri görmekteyiz. Bu yazımızda alabileceğimiz yöntemler ile Exchange altyapılarımızın güvenliğini bir adım daha yukarı çekebiliriz. Aslında haberini yaptığımız ve Microsoft’un önerdiği etliki yöntemler var. Gelin şimdi neler yapabiliriz kısaca göz atalım.
Güncellemelerin zamanında yapılması
Exchange Server’ların update edilmesi genelde atlanan veya geçiktirilen bir konu. Özellike kritk zafiyetlerin kapatılması için yayınlanan SU (Security Updates) veya major güncellemelerin yapıldığı CU (Cumulative Update)’lerin zamamında ve vakit kaybetden yapılması büyük önem taşıyor.
Son yayınlanan güncellemeleri aşağıdaki linklerden takip edebilirsiniz.
https://techcommunity.microsoft.com/t5/exchange-team-blog/bg-p/Exchange
Güncellemelerden sonra Microsoft’un yayınladığı HealthChecker.ps1 scriptleri Exchange Server’larınız üzerinde çalıştırmalı ve raporları incelemelisiniz. Rapordaki eksikleri tamamlamak işinize çok yardımcı olacaktır.
Exchange Server’larınızı İnternete Kapatın
Organizasyonlarınızda kullanmakta olduğunuz Exchange Server’ların kesinlikte internet ile bağlantısı olmamalı. Exhange Server’lar ile dış dünya iletişimini Server’arın önüne koyacağız Load Balancer’lar WAF’lar ve güvenlik duvarı sağlamalı. Ayrıca yine SPAM ve zararlı maillerden korunmak için Mail Gateway ürünleri kullanmanız gerekiyor. Bu ürünlere kesinlikle bütçe ayırılmalı, doğru bir danışmanlık ile sisteme entegre edilmeli ve düzenli olarak kontrolleri sağlanmalıdır.
EDR ve Antivürüs Programları Kullanın ve Güncel Tutun
Diğer bir atlanan nokta ise EDR ve Antivürüs yazılımlarının kullanılmaması veya kullanılsa bile güncel tutulmaması. Unutmayın EDR ve Antivürüs yazılımları ayrı ürünlerdir ve özellikle EDR ciddi bir iştir, EDR’da üretilen logları yorumlamak uzmanlık işidir yine bu yazımları sisteme entegre ederek güvenlik puanlarınızı yukarıya çekebilirsiniz.
Exchange Server’ların Kurulu Olduğu İşletim Sistemlerini Güncel Tutun, Doğru Patch Management Yapın
Sadece Exhange Server’lar için değil tüm organizasyonlar için merkezi olarak Patch Management yapmak hayati öneme sahip. Bu yüzden Exchange Serverı sadece update etmek yetmez ayrıca Exchange Server’ların kurulu olduğu işletim sistemlerininde düzenli olarak güncenllenmesi gerekiyor.
MFA Kullanın
MFA (Çok faktörlü kimlik doğrulaması (Multi-factor authentication) ) özellikle OWA kullanımları için artık olmazsa olmaz duruma geldi. OWA erişimleri için mutlaka MFA çözümünü Exchange altyapılarınıza entegre etmeniz gerekiyor. Bu da çokça atlanan yöntemlerden birisi ancak özellikle kullanıcların parolalarını çaldırması durumunda hayat kurtardığıda büyük bir gerçek.
Sunucu Erişimlerini Denetleyin ve Tier Yapısı Kullanın
Bildiğiniz gibi Exchange Server, Active Directory ile tamamen entegre çalışmaktadır. Özellikle Exchange Server’larınıza kimlerin hangi yetki ile eriştiğini kontrol etmeniz gerekiyor. Örneğin sadece Exchange Server’lara login olma yetkisine sahip kullanıcılar oluşturabilir bunları Group Policiy’ler ile sunuclarınıza uygulayabilirsiniz. Böylece sadece sizin belirlediğiniz kullanıcılara login yetkisi vermiş olursunuz.
Diğer önemli bir husus ise Exchange Server’lar üzerindeki audit yapmak. Exchange Sever’lar üzerinde yapacağız doğru log kontrolleri ve bu logların SIEM gibi ürünler üzerine gönderip orada doğru kolerasyon kuralları ile denetlemek büyük artı sağlayacaktır.
Kullanıcı Denetimleri İçin Kontrol Scriptleri Kullanın
Diğer bir önemli nokta kullanılmayan posta hesaplarının kapatılması. Örnek olarak Active Directory’de pasif ancak Exchange üzedrinde hala aktif olan hesaplar problem yaratabiliyor. Bunun için PowerShell scriptleri yazabilir ve peryodik olarak zamanlanmış görevler oluşturularak bu hesapların disable edilmesini sağlayabilirsiniz. Yine aynı scriptlere Mobile Device kontrolleri sağlatarak “X” günden eski mobil device bağlantılarını sildirebilirsiniz. Bunun yanında Exchange Server üzerindeki ACL yetkilerini düzenli kontrol etmeniz büyük öneme sahip.
Microsoft bir çok script paylaşmış durumda bu adresi düzenli kontrol ederek sistemlerinizi denetleyebilir siniz.
Monitoring Yazılımları Kullanın
Monitoring yine atlanan konuların başında geliyor. Organizasyon genelindeki tüm sistemlerin izlenmesi büyük önem taşıyor bu Exchange Server’lar içinde geçerli. Exchange altyapılarını düzenli monitoring yazılımları ile izlemek CPU,RAM ve Prosess üzerindeki anomalleri kontrol etmenizde en büyük yardımcınız olacaktır.
Yedekleme ,Felaket Kurtama ve Acil Eylem Planlarınız Olsun
Düzenli yedekleme ve felaket kurtarma planları kötü gün dostudur. Özellikle düzenli olarak alınan backupların çalışıp çalışmadığını kontrol etmek ve rutin olarak bu backupları test ortamlarına dönerek kontrollerini sağlamak büyük önem taşıyor. Aldığınız backuplar eğer çalışmıyorsa ve siz bunun farkında değilseniz başınız belada olabilir. Bir diğeri felaket anında hızlı geri dönüşler için Acil eylem planlarınızın hazır olması ve dokümente edilmesi bir diğer önemli nokta.
Topoloji Çıkartılması ve Dokümantasyon
Exchange altyapınızın tasarımını gösteren bir topoloji görseli, tasarım ve kurulum adımlarının tümünün eksiksiz olduğu bir doküman elinizin altında olmalı. Çünkü felaket anında problemi daha hızlı çözmek ve sizden sonra gelenlerede yol göstermesi için büyük önem taşıyor.
