Microsoft je danas najavio da Exchange Server 2016 i 2019 sada dolaze s podrškom za HTTP Strict Transport Security (poznat i kao HSTS).
HSTS je direktiva web servera koja nalaže web stranicama (kao što su OWA ili ECP za Exchange Server) da dozvoljavaju veze samo putem HTTPS-a, štiteći ih od man-in-the-middle (MitM) napada koji se pokreću smanjenjem protokola i otmicom kolačića.
Također osigurava da korisnici ne mogu zaobići upozorenja o isteklim, nevažećim ili nepouzdanim certifikatima, koja mogu ukazivati na to da se povezuju putem ugroženih kanala.
Jednom kada se uključe, web pretraživači će identifikovati kršenja HSTS politike i odmah prekinuti veze kao odgovor na man-in-the-middle napade.
„HSTS ne dodaje samo zaštitu od uobičajenih scenarija napada, već pomaže i da se ukloni potreba za uobičajenom (i sada nesigurnom) praksom preusmjeravanja korisnika sa HTTP URL-a na HTTPS URL,” objašnjava Microsoft.
“HSTS se također može koristiti za rješavanje aktivnih i pasivnih mrežnih napada. Međutim, HSTS ne rješava malver, phishing ili ranjivosti pretraživača.”
Kako konfigurisati podršku za Exchange HSTS
Microsoft pruža detaljne informacije o konfigurisanju HSTS-a na Exchange Server 2016 i 2019 putem PowerShell-a ili Internet Information Services (IIS) Manager-a na svojoj dokumentacijskoj web lokaciji.
Administratori takođe mogu onemogućiti podršku za Exchange Server HSTS vraćanjem konfiguracije za svaki server.
“Pažljivo pročitajte dokumentaciju jer neke od postavki koje su predviđene zadanom IIS HSTS implementacijom (na primjer, HTTP na HTTPS preusmjeravanje) moraju biti konfigurisane na drugačiji način jer bi inače mogle prekinuti povezivanje s Exchange Serverom”, Exchange tim je rekao danas.
“Exchange HealthChecker će uskoro dobiti ažuriranje koje će vam pomoći da saznate da li je HSTS konfiguracija na vašem Exchange serveru onakva kakva se očekuje.”
Ove sedmice, Redmond je najavio da će Windows Extended Protection biti omogućena po defaultu na Exchange Server 2019 počevši od ove jeseni.
Sigurnosna funkcija će se uključiti nakon instaliranja 2023 H2 kumulativnog ažuriranja (također poznatog kao CU14) i također će štititi od releja za autentifikaciju ili MitM napada.
Microsoft je također pozvao administratore u januaru da kontinuirano ažuriraju svoje lokalne Exchange servere instaliranjem najnovijih podržanih kumulativnih ažuriranja (CU) kako bi uvijek bili spremni za hitne sigurnosne zakrpe.
Izvor: BleepingComputer