Abychom zabránili zneužití cest UNC útočníky, odebíráme parametry, které cestu UNC používají jako vstupy z rutin Exchange Server PowerShellu a centra pro správu Exchange. Tyto změny ovlivní všechny kumulativní aktualizace (CU) Microsoft Exchange Server 2019 (CU12 a novější) a Microsoft Exchange Server 2016 (CU23 a novější).
Tyto změny jsou k dispozici v následujících nejnovějších aktualizacích Exchange Server:
Kumulativní aktualizace 12 pro Exchange Server 2019 nebo novější kumulativní aktualizaci pro Exchange Server 2019
Kumulativní aktualizace 23 pro Exchange Server 2016 nebo novější kumulativní aktualizaci pro Exchange Server 2016
Změny v rutinách Exchange Server
Get-AgentTrafficTypeSubscription
-
> služby TransportService <
-
> cesty UNC serveru <serveru
Změnit: Parametr Server, který přebírá cestu UNC jako vstup, se z rutiny odebere. Tím se omezí využití na místní server, na kterém je rutina spuštěná.
Import-ExchangeCertificate
-
FileName "<local/UNC path>"
-
heslo <>
Změnit: Parametr FileName , který přebírá cestu UNC jako vstup, se z rutiny odebere. Pokud chcete importovat certifikát uložený v jiné cestě UNC, musíte použít parametr FileData , jak je znázorněno v následujícím příkladu:
Import-ExchangeCertificate
-
FileData ([Byte[]]$(Get-Content -Path "<local or UNC path>" -Encoding byte))
-
heslo <>
Export-ExchangeCertificate
-
> kryptografického otisku kryptografického otisku <kryptografického otisku
-
FileName "<local/UNC path>"
-
Binární kódování
-
heslo <>
Změnit: Parametr FileName , který přebírá cestu UNC jako vstup, se z rutiny odebere. Pokud chcete certifikát exportovat do cesty UNC, musíte použít parametr FileData , jak je znázorněno v následujícím příkladu:
-
$cert = Export-ExchangeCertificate
-
> kryptografického otisku kryptografického otisku <kryptografického otisku
-
heslo <>
-
Binární kódování
-
-
Set-Content -Path "<local or UNC path>" -Value $cert. FileData – bajt kódování
New-ExchangeCertificate
-
GenerateRequest
-
RequestFile "<local/UNC path>"
-
SubjectName "<subject>"
-
DomainName <domény>
Změnit: Parametr RequestFile , který přebírá cestu UNC jako vstup, se z rutiny odebere. Pokud chcete soubor požadavku exportovat do cesty UNC, musíte použít rutinu Set-Content , jak je znázorněno v následujícím příkladu.
-
$request = New-ExchangeCertificate
-
GenerateRequest
-
SubjectName "<subject>"
-
DomainName <domény>
-
-
Set-Content -Path "<local or UNC path>" -Value $request
Get-CalendarDiagnosticLog
-
Identita "Jasen Kozma"
-
Předmět "Rozpočtová schůzka"
-
$true ExactMatch
-
LogLocation "C:\My Documents\Calendar Diagnostic Export"
Změnit: Parametr LogLocation , který přebírá cestu UNC jako vstup, se z rutiny odebere. Tím se omezí využití na místní server, na kterém je rutina spuštěná.
Get-CalendarDiagnosticAnalysis
-
LogLocation "C:\My Documents\Calendar Diagnostic Export"
-
OutputAs HTML
|> Set-Content -Path <local/UNC path
Změnit: Parametr LogLocation , který přebírá cestu UNC jako vstup, se z rutiny odebere. Diagnostické protokoly kalendáře musíte zadat prostřednictvím parametru CalendarLogs , jak je znázorněno v následujícím příkladu:
$calitems = Get-CalendarDiagnosticLog -Identity <mailbox user> -Subject "Budget Meeting"
Get-CalendarDiagnosticAnalysis
-
$calitems CalendarLogs
-
OutputAs HTML
|> Set-Content -Path <local/UNC path
změny centra pro správu Exchange
Odebrání vstupu cesty UNC pro ukládání nastavení virtuálního adresáře během resetování
Při resetování virtuálního adresáře Exchange Ovládací panely (ECP) požádá o cestu UNC, do které může zkopírovat aktuální nastavení. Tento proces se změní. ECP už tady nepovolí žádný vstup cesty UNC.
Místo toho požádá ECP o název souboru, aby exportuje nastavení od uživatele. Tyto informace budou uloženy v souboru .. /V15/Config/Backup složka na serveru, přes který je přístup ECP. Pokud složka neexistuje, vytvoří ji ECP.
Odebrání certifikátu importu & exportu Exchange
V předchozích verzích Exchange Server byla možnost importovat nebo exportovat certifikát Exchange prostřednictvím ECP.
Tato možnost je odebrána. K importu nebo exportu certifikátu Exchange teď musíte použít rutinu PowerShellu.
Odebrání úplné žádosti o certifikát Exchange
V předchozích verzích Exchange Server byla možnost dokončit certifikát Exchange pomocí ECP. To vyzve správce k zadání vstupu cesty UNC.
Tato možnost se odebere z ECP. Teď k tomu musíte použít rutinu PowerShellu.
Odebrání nové žádosti o certifikát Exchange z certifikační autority
V předchozí verzi Exchange Server byla možnost požádat o nový certifikát Exchange od certifikační autority (CA) pomocí ECP. To vyzve správce k zadání vstupu cesty UNC.
Tato možnost se odebere z ECP. Teď k tomu musíte použít rutinu PowerShellu.
Odebrání žádosti o obnovení certifikátu Exchange
V předchozí verzi Exchange Server byla možnost obnovit Exchange žádost o certifikát pomocí ECP, což vedlo k tomu, že správci zadávat cestu UNC.
Tato možnost se odebere z ECP. Teď k tomu musíte použít rutinu PowerShellu.