Сегодня компания Microsoft объявила о том, что серверы Exchange Server 2016 и 2019 теперь поддерживают технологию HTTP Strict Transport Security (также известную как HSTS).
HSTS - это директива веб-сервера, которая предписывает веб-сайтам (таким как OWA или ECP для Exchange Server) разрешать соединения только по протоколу HTTPS, защищая их от атак типа "человек посередине" (MitM), запускаемых с помощью понижения протокола и перехвата cookie.
Это также гарантирует, что пользователи не смогут обойти предупреждения о просроченном, недействительном или недоверенном сертификате, которые могут указывать на то, что они подключаются по несанкционированным каналам.
После включения этой функции веб-браузеры будут определять нарушения политики HSTS и оперативно разрывать соединения в ответ на атаки типа "человек посередине".
"HSTS не только обеспечивает защиту от распространенных сценариев атак, но и позволяет отказаться от распространенной (и теперь уже небезопасной) практики перенаправления пользователей с HTTP URL на HTTPS URL", - поясняют в Microsoft.
"HSTS также может использоваться для борьбы с активными и пассивными сетевыми атаками. Однако HSTS не решает проблемы вредоносного ПО, фишинга или уязвимостей браузера".
Как настроить поддержку Exchange HSTS
Microsoft предоставляет подробную информацию о настройке HSTS на Exchange Server 2016 и 2019 с помощью PowerShell или Internet Information Services (IIS) Manager на своем сайте документации.
Администраторы также могут отключить поддержку Exchange Server HSTS, откатив конфигурацию для каждого сервера.
"Пожалуйста, внимательно ознакомьтесь с документацией, поскольку некоторые параметры, предусмотренные стандартной реализацией IIS HSTS (например, перенаправление с HTTP на HTTPS), должны быть настроены по-другому, поскольку в противном случае они могут нарушить подключение к Exchange Server", - заявила сегодня команда Exchange Team.
"В ближайшее время Exchange HealthChecker получит обновление, которое поможет вам выяснить, соответствует ли конфигурация HSTS на вашем Exchange Server ожидаемой".
На этой неделе компания Redmond объявила, что расширенная защита Windows будет включена по умолчанию на сервере Exchange Server 2019 начиная с осени этого года.
Эта функция безопасности будет включаться после установки кумулятивного обновления 2023 H2 (также известного как CU14) и будет защищать от ретрансляции аутентификации или MitM-атак.
В январе Microsoft также призвала администраторов постоянно обновлять локальные серверы Exchange, устанавливая последние поддерживаемые накопительные обновления (CU), чтобы всегда быть готовыми к экстренным исправлениям безопасности.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!