背景／Photo by Tobias van Schneider on Unsplash

微軟周一（8/28）宣布，自今年秋天釋出Exchange Server 2019的2023 H2累積更新（CU 14）之後，原本專為Windows所設計的身分驗證延伸保護（Extended Protection，EP）即會成為Exchange Server的預設功能。

EP是用來加強Windows Server上既有的身分驗證功能，以減緩身分驗證的中間人（MitM）攻擊，它允許於IIS中的Windows Authentication建立綁定，連結應用程式層的驗證資訊與較低通訊協定級別的TLS加密，另也藉由於連結中添加客戶正在存取的命名空間來補強，因此，倘若一個MitM並非代表伺服器所預期的命名空間，或是企圖竄改客戶端與伺服器端之間的TLS資訊，那麼綁定便會失效，而無法通過身分驗證。

微軟是在去年8月藉由安全更新於Exchange Server中新增EP功能，支援Exchange Server 2013、Exchange Server 2016及Exchange Server 2019，但必須手動啟用，不過，微軟現在打算透過CU 14讓EP成為Exchange Server的預設功能，不過，只有仍處主流支援階段的Exchange Server 2019才能接收CU 14，意謂著其它的Exchange Server版本皆需手動啟用EP。

儘管微軟建議所有的Exchange Server客戶都應該於自家環境中啟用EP，但也表示這只是個預設設定，管理人員仍能將它關閉。

微軟亦警告，那些並未安裝August 2022安全更新的舊版Exchange Server都被視為持續含有安全漏洞，皆應立即更新，此外，這些舊版Exchange Server也無法與那些啟用EP的新版伺服器正常通訊。