يمكن استخدام إعلامات دفع خدمات ويب Exchange للوصول غير المصرح به

ينطبق على: Exchange Server 2010Exchange Server 2013Exchange Server 2016

سيناريو


اطّلع على السيناريو التالي:
  • تقوم بتشغيل Exchange Server.
  • تمكين خدمات ويب Exchange (EWS).
  • يتم تمكين الإعلام الدفع وفي البيئة الخاصة بك.

السبب


عند اشتراك عميل "دفع إعلامات" من Exchange Server، تتضمن رسائل الإعلام التي يتم إرسالها إلى العميل معلومات NTLM التي يمكن استخدامها لمصادقة خادم الذي يقوم بتشغيل Exchange Server. هذه المعلومات تم تضمينه مسبقاً للسماح باستجابة مصادقة للعملاء التي تم الاشتراك فيها. تتأثر فقط "إخطارات الدفع". السحب والإخطارات الدفق لا تتأثر.

الحل البديل


للتغلب على هذا السيناريو ومنع إساءة استخدام المعلومات، وتعريف نهج التحكم يمنع "إشعارات الإنذار المبكر" من إرسالها إلى العملاء التي تم الاشتراك فيها. على الرغم من أن "إخطارات الدفع" إلا تخضع لهذا السلوك، نهج التحكم يؤثر على دفع وجذب تدفق إعلامات على قدم المساواة.

ملاحظة: هذا الحل يؤدي بعض العملاء بعدم عمل بشكل صحيح. يتضمن Outlook لنظام التشغيل Mac، Skype للعمل وعملاء البريد iOS الأصلية وبعض العملاء الغير. قد تتضمن أيضا تطبيقات مخصصة LOB.

الحل


قامت Microsoft بتغيير العقد إعلامات بين نظم الإنذار المبكر الأجهزة العميلة والخوادم التي تقوم بتشغيل Exchange Server للسماح بإخطارات المصادقة ليتم تدفقه من قبل الملقم. بدلاً من ذلك، هي تدفق هذه الإعلامات باستخدام آليات المصادقة المجهولة. لأنه سيكون عميل للمصادقة لتأسيس الاشتراك، هذا النهج يعتبر تصميماً مناسباً وضروريا لحماية بيانات الاعتماد وهوية الملقم. بعد إجراء هذا التغيير، سوف تتطلب الأجهزة العميلة التي تعتمد على المصادقة "نظم الإنذار المبكر دفع إعلام" من الخادم الذي يقوم بتشغيل Exchange Server تحديث عميل للمتابعة بشكل صحيح.

سريان هذا التغيير في السلوك في تبادل الإصدارات التالية: