নির্দেশিকা
নির্দেশিকা বলে যে প্রশাসকদের অন-প্রিমিসেস এক্সচেঞ্জ সার্ভারগুলিকে “আসন্ন ঝুঁকিতে” বিবেচনা করা উচিত এবং প্রশাসকদের জন্য মূল অনুশীলনগুলি তালিকাভুক্ত করা উচিত:
- প্রথমত, এটি নোট করে, “শোষণের বিরুদ্ধে সবচেয়ে কার্যকর প্রতিরক্ষা হল নিশ্চিত করা যে সমস্ত এক্সচেঞ্জ সার্ভার সর্বশেষ সংস্করণ এবং ক্রমবর্ধমান আপডেটগুলি (CU) চালাচ্ছে”;
- এটি বলে যে মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভার সাবস্ক্রিপশন সংস্করণ (এসই) হল এক্সচেঞ্জের একমাত্র সমর্থিত অন-প্রিমিসেস সংস্করণ, যেহেতু মাইক্রোসফ্ট 14 অক্টোবর, 2025-এ পূর্ববর্তী সংস্করণগুলির জন্য সমর্থন শেষ করেছে;
- এটি প্রশাসকদের অনুরোধ করে যাতে Microsoft এর ইমার্জেন্সি মিটিগেশন সার্ভিস অন্তর্বর্তীকালীন প্রশমন প্রদানে সক্ষম থাকে;
- এটি এক্সচেঞ্জ সার্ভার, মেল ক্লায়েন্ট এবং উইন্ডোজের জন্য একটি নিরাপত্তা বেসলাইন স্থাপন করার জন্য প্রশাসকদের অনুরোধ করে। একটি নিরাপত্তা বেসলাইন বজায় রাখা অ্যাডমিনিস্ট্রেটরদের ভুল নিরাপত্তা কনফিগারেশন সহ অ-অনুসন্ধানী সিস্টেম এবং সিস্টেমগুলি সনাক্ত করতে সক্ষম করে, সেইসাথে তাদের দ্রুত উন্নতি করতে দেয় যা প্রতিপক্ষের জন্য উপলব্ধ আক্রমণের পৃষ্ঠকে হ্রাস করে;
- এটি অ্যাডমিনিস্ট্রেটরদেরকে Microsoft ডিফেন্ডার অ্যান্টিভাইরাস এবং অন্যান্য উইন্ডোজ বৈশিষ্ট্যের মতো অন্তর্নির্মিত সুরক্ষা সক্ষম করার পরামর্শ দেয় যদি তারা তৃতীয় পক্ষের নিরাপত্তা সফ্টওয়্যার ব্যবহার না করে থাকে। অ্যাডভাইজরিতে বলা হয়েছে যে উইন্ডোজের জন্য অ্যাপ্লিকেশন কন্ট্রোল (ব্যবসায়ের জন্য অ্যাপ কন্ট্রোল এবং অ্যাপলকার) হল একটি গুরুত্বপূর্ণ নিরাপত্তা বৈশিষ্ট্য যা এক্সিকিউটেবল কন্টেন্টের এক্সিকিউশন নিয়ন্ত্রণ করে এক্সচেঞ্জ সার্ভারের নিরাপত্তাকে শক্তিশালী করে;
- এটি প্রশাসকদের তা নিশ্চিত করার জন্য অনুরোধ করে যে শুধুমাত্র অনুমোদিত, নিবেদিত প্রশাসনিক ওয়ার্কস্টেশনগুলিকে দূরবর্তী PowerShell সহ এক্সচেঞ্জ প্রশাসনিক পরিবেশে অ্যাক্সেসের অনুমতি দেওয়া উচিত;
- এটি প্রশাসকদের পরিচয় যাচাইয়ের জন্য প্রমাণীকরণ এবং এনক্রিপশনের কঠোরতা নিশ্চিত করতে বলে;
- এটি সুপারিশ করে যে এক্সটেন্ডেড প্রোটেকশন (EP) সামঞ্জস্যপূর্ণ TLS সেটিংস এবং NTLM কনফিগারেশনের সাথে কনফিগার করা উচিত। এগুলো একাধিক এক্সচেঞ্জ সার্ভারে EP সঠিকভাবে কাজ করে;
- হেডার ম্যানিপুলেশন এবং স্পুফিং শনাক্ত করতে এটি প্রশাসকদের পরামর্শ দেয় যে হেডার থেকে P2 এর জন্য ডিফল্ট সেটিং সক্ষম করা হয়েছে;
- এটি বলে যে প্রশাসকদের HTTPS এর সাথে সমস্ত ব্রাউজার সংযোগ এনক্রিপ্ট করতে HTTP কঠোর পরিবহন নিরাপত্তা (HSTS) সক্ষম করা উচিত।
Beggs স্বীকার করেছেন যে উপলব্ধ কনফিগারেশন বিকল্পের সংখ্যা দেওয়া, অনেক সংস্থা ইনস্টলেশনের সময় তাদের নির্দিষ্ট সংস্থার জন্য সর্বোত্তম নিরাপত্তা কনফিগারেশন নির্বাচন করা কঠিন হতে পারে। তিনি বলেন, এটিকে আরও জটিল করে তোলা হয়, যদি বাস্তবায়নটি একটি শেয়ার্ড সার্ভিস মডেলে হয় যেখানে এক্সচেঞ্জ সার্ভার ক্লাউডে হোস্ট করা হয় এবং তৃতীয় পক্ষের দ্বারা কনফিগার ও রক্ষণাবেক্ষণ করা হতে পারে এবং নিরাপদ কনফিগারেশনের দায়িত্ব স্পষ্ট নয়।
“এক্সচেঞ্জকে নিরাপদে কনফিগার করার একটি সামান্য-স্বীকৃত দিক হল যে বিক্রেতার কাছ থেকে প্যাচ এবং আপগ্রেড প্রয়োগ করা কিছু নিরাপত্তা কনফিগারেশন তথ্য পুনরায় সেট বা পরিবর্তন করতে পারে,” তিনি বলেন। যদিও নির্দেশিকা প্রশাসকদের ‘একটি নিরাপত্তা বেসলাইন প্রয়োগ করার’ অনুরোধ করে, বেগস বলেছেন যে তাদের যাচাই করা উচিত যে সঠিক নিরাপত্তা বেসলাইন প্রয়োগ করা হয়েছে। এবং, তিনি বলেন, তাদের অন্তত ত্রৈমাসিক কনফিগারেশন সেটিংস পর্যালোচনা করা উচিত।
