保护 Exchange Server OWA/ECP 免受暴力攻击

许多僵尸程序不断攻击Exchange Server OWA和ECP页面。 （安全）工程师的任务是保护 Exchange Server OWA/ECP URL 免受攻击。多重身份验证 (MFA) 或仅通过 VPN 访问 OWA/ECP 等措施都是极好的主意。阻止 Exchange Server 暴力攻击的另一种方法是将 Google reCAPTCHA 集成到 OWA/ECP 页面。它是免费的并且运行良好。

保护 Exchange Server OWA/ECP 免受攻击

有很多方法可以保护 Exchange Server OWA/ECP 免受攻击。以下是保护 Exchange Server OWA/ECP 免受暴力攻击的最佳方法：

1. 配置第三方 MFA 解决方案
2. 配置 VPN，以便只有连接到内部网络的用户才能访问 Exchange OWA/ECP
3. 仅在防火墙中启用可以访问 Exchange OWA/ECP 的选定国家/地区
4. 配置 Azure 应用代理（Azure AD Premium P1 或 P2 许可证）

如果您不想花钱购买 MFA 解决方案，或者不想支付 Azure AD Premium P1 或 P2 许可证，则可以通过在登录页面中添加 reCAPTCHA 来保护 Exchange OWA/ECP 免受暴力攻击。

Exchange Server Google reCAPTCHA 集成

要创建 Google reCAPTCHA 站点并将其集成到 Exchange Server OWA/ECP 中，请执行以下步骤：

创建 Google reCAPTCHA 网站

第一步是创建一个新的 Google reCAPTCHA 网站。一旦我们有了 reCAPTCHA 密钥，我们就可以将它们集成到 Exchange Server 中。

登录 Google reCAPTCHA 并填写以下详细信息：

• 标签： Exchange 服务器
• reCAPTCHA 类型： reCAPTCHA v2 - “我不是机器人”复选框
• 域： mail.exoip.com（您的 Exchange URL）和 localhost

选中两个复选框：

• 接受 reCAPTCHA 服务条款
• 向业主发送警报

点击提交。

将出现站点密钥和秘密密钥。复制这两个密钥并保存它们，因为您在下一步中需要它们。

创建 Exchange Server reCAPTCHA 页面

让我们将站点密钥集成到 Exchange Server 中。

注意：在每台 Exchange Server (CAS) 上执行以下步骤。

登录 Exchange Server 并转到以下路径。假设您有较旧的 Exchange Server 版本，请将 V15 更改为其他版本。例如，V14。

C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth

使用记事本在该文件夹中创建一个名为recaptcha.aspx的新文件。

将以下信息复制/粘贴到其中。

<% @ Page AspCompat=True Language = "VB" %>
<%
Dim strPrivateKey As String = "SECRET_KEY"
Dim strResponse = Request("response")
Dim objWinHTTP As Object
objWinHTTP = Server.CreateObject("WinHTTP.WinHTTPRequest.5.1")
objWinHTTP.Open("POST", "https://www.google.com/recaptcha/api/siteverify", False)
objWinHTTP.SetRequestHeader("Content-type", "application/x-www-form-urlencoded")
Dim strData As String = "secret=" & strPrivateKey & "&response=" & strResponse
objWinHTTP.Send(strData)
Dim strResponseText = objWinHTTP.ResponseText
Response.Write(strResponseText)
%>

将您在上一步中复制的 Google reCAPTCHA 密钥粘贴到 SECRET_KEY 字段中。

配置 Exchange Server OWA/ECP 登录页面

让我们将密钥集成到 Exchange Server 中。

备份 logon.aspx 文件，以防万一您必须恢复更改。复制 logon.aspx 并将其重命名为 logon.aspx.bak。

注意：当您安装 Exchange Server CU 时，logon.aspx 文件将被重写为其原始状态。因此，请在手册中写下替换 CU 之后的文件，并测试 Google reCAPTCHA 是否有效。

用记事本打开logon.aspx文件并修改以下内容：

寻找 ：

<form action="/owa/auth.owa"

更改为：

<form action=""

寻找 ：

<div onclick="clkLgn()"

更改为：

<div onclick="myClkLgn()"

寻找 ：

<div><input id="passwordText"

接下来，按Enter按钮并创建几行空行。

将以下信息复制/粘贴到空行中。

<script type="text/javascript">
function myClkLgn()
{
var oReq = new XMLHttpRequest();
var sResponse = document.getElementById("g-recaptcha-response").value;
var sData = "response=" + sResponse;
oReq.open("GET", "/owa/auth/recaptcha.aspx?" + sData, false);
oReq.send(sData);
if (oReq.responseText.indexOf("true") != -1)
{
document.forms[0].action = "/owa/auth.owa";
clkLgn();
}
else
{
alert("Invalid CAPTCHA response");
}
}
</script>
<script src="https://www.google.com/recaptcha/api.js" async defer></script>
<div class="g-recaptcha" data-sitekey="SITE_KEY"></div>

将您在上一步中复制的 Google reCAPTCHA 站点密钥粘贴到 SITE_KEY 字段中。

在 Exchange 服务器上重新启动 IIS

您无需在 Exchange Server 上重新启动 IIS，Google reCAPTCHA 将立即显示在 Exchange Server OWA/ECP 页面上。

如果没有，请以管理员身份启动命令提示符，然后重新启动 Exchange Server 上的Internet 信息服务 (IIS)。

iisreset

使用 Google reCAPTCHA 验证 Exchange Server OWA/ECP

启动您最喜欢的 Web 浏览器并转到 Exchange Server OWA 地址。

Google reCAPTCHA 可见。

填写用户凭据并选中 Google reCAPTCHA 复选框。接下来，点击登录。

用户将成功登录。

如果用户填写了错误的凭据，则会显示标准消息：您输入的用户名或密码不正确。尝试再次输入。

假设用户不接受 Google reCAPTCHA 框并点击登录。将显示一条消息，其中包含以下文本：验证码响应无效。

这同样适用于 Exchange 管理中心 (ECP) 页面。

当浏览到 https://localhost/owa 或 https://localhost/ecp 时，它也可以工作。这是因为您在 Google reCAPTCHA 中创建站点时在第一步中添加了 localhost。

就是这样！

了解更多：保护 Active Directory 密码免遭泄露 »

结论

您了解了如何保护 Exchange Server OWA/ECP 免受暴力攻击。首先，创建一个免费的 Google reCAPTCHA。之后，调整 Exchange Server 文件，以便它将在 OWA/ECP 页面上显示并使用 Google reCAPTCHA 框。将此与 MFA 解决方案结合起来，您就可以开始了。

您喜欢这篇文章吗？您可能还喜欢禁用对 Exchange Server 中的 ECP 的外部访问。不要忘记关注我们并分享这篇文章。