Um den Missbrauch von UNC-Pfaden durch Angreifer zu verhindern, entfernen wir Parameter, die UNC-Pfade als Eingaben aus den Exchange Server PowerShell-Cmdlets und dem Exchange Admin Center verwenden. Diese Änderungen wirken sich auf alle kumulativen Updateversionen (CU) von Microsoft Exchange Server 2019 (CU12 und höher) und Microsoft Exchange Server 2016 (CU23 und höher) aus.
Diese Änderungen sind in den folgenden neuesten Exchange Server Updates verfügbar:
Kumulatives Update 12 für Exchange Server 2019 oder ein späteres kumulatives Update für Exchange Server 2019
Kumulatives Update 23 für Exchange Server 2016 oder ein späteres kumulatives Update für Exchange Server 2016
Änderungen in Exchange Server-Cmdlets
Get-AgentTrafficTypeSubscription
-
transportService <service>
-
UNC-Pfad <Server>
Veränderung: Der Parameterserver, der den UNC-Pfad als Eingabe verwendet, wird aus dem Cmdlet entfernt. Dadurch wird die Verwendung auf den lokalen Server beschränkt, auf dem das Cmdlet ausgeführt wird.
Import-ExchangeCertificate
-
FileName "<local/UNC path>"
-
Kennwort <Kennwort>
Veränderung: Der FileName-Parameter , der den UNC-Pfad als Eingabe verwendet, wird aus dem Cmdlet entfernt. Um das Zertifikat zu importieren, das in einem anderen UNC-Pfad gespeichert ist, müssen Sie den FileData-Parameter verwenden, wie im folgenden Beispiel gezeigt:
Import-ExchangeCertificate
-
FileData ([Byte[]]$(Get-Content -Path "<local or UNC path>" -Encoding byte))
-
Kennwort <Kennwort>
Export-ExchangeCertificate
-
Fingerabdruck <Fingerabdruck>
-
FileName "<local/UNC path>"
-
Binärcodiert
-
Kennwort <Kennwort>
Veränderung: Der FileName-Parameter , der den UNC-Pfad als Eingabe verwendet, wird aus dem Cmdlet entfernt. Um das Zertifikat in einen UNC-Pfad zu exportieren, müssen Sie den FileData-Parameter verwenden, wie im folgenden Beispiel gezeigt:
-
$cert = Export-ExchangeCertificate
-
Fingerabdruck <Fingerabdruck>
-
Kennwort <Kennwort>
-
Binärcodiert
-
-
Set-Content -Path "<local or UNC path>" -Value $cert. FileData -Encoding-Byte
New-ExchangeCertificate
-
GenerateRequest
-
RequestFile "<local/UNC path>"
-
SubjectName "<subject>"
-
Domänenname <>
Veränderung: Der Parameter RequestFile , der den UNC-Pfad als Eingabe verwendet, wird aus dem Cmdlet entfernt. Um die Anforderungsdatei in einen UNC-Pfad zu exportieren, müssen Sie das Cmdlet "Set-Content " verwenden, wie im folgenden Beispiel gezeigt.
-
$request = New-ExchangeCertificate
-
GenerateRequest
-
SubjectName "<subject>"
-
Domänenname <>
-
-
Set-Content -Path "<local or UNC path>" -Value $request
Get-CalendarDiagnosticLog
-
Identität "Jasen Kozma"
-
Betreff "Haushaltssitzung"
-
ExactMatch $true
-
LogLocation "C:\My Documents\Calendar Diagnostic Export"
Veränderung: Der LogLocation-Parameter , der den UNC-Pfad als Eingabe verwendet, wird aus dem Cmdlet entfernt. Dadurch wird die Verwendung auf den lokalen Server beschränkt, auf dem das Cmdlet ausgeführt wird.
Get-CalendarDiagnosticAnalysis
-
LogLocation "C:\My Documents\Calendar Diagnostic Export"
-
OutputAs HTML
| Set-Content -Path <local/UNC path>
Veränderung: Der LogLocation-Parameter , der den UNC-Pfad als Eingabe verwendet, wird aus dem Cmdlet entfernt. Sie müssen Kalenderdiagnoseprotokolle über den Parameter CalendarLogs bereitstellen, wie im folgenden Beispiel gezeigt:
$calitems = Get-CalendarDiagnosticLog -Identity <Postfachbenutzer> -Subject "Budget Meeting"
Get-CalendarDiagnosticAnalysis
-
CalendarLogs-$calitems
-
OutputAs HTML
| Set-Content -Path <local/UNC path>
Änderungen am Exchange Admin Center
Entfernen der UNC-Pfadeingabe zum Speichern von Virtual Directory-Einstellungen während des Zurücksetzens
Wenn Sie ein virtuelles Verzeichnis zurücksetzen, fordert die Exchange Systemsteuerung (ECP) einen UNC-Pfad an, in den die aktuellen Einstellungen kopiert werden können. Dieser Prozess wird geändert. ECP lässt hier keine UNC-Pfadeingabe mehr zu.
Stattdessen fordert ECP den Dateinamen an, um die Einstellungen des Benutzers zu exportieren. Diese Informationen werden in der .. Ordner "/V15/Config/Backup" auf dem Server, über den auf ECP zugegriffen wird. Wenn der Ordner nicht vorhanden ist, wird er von ECP erstellt.
Entfernen von Import & Export Exchange Certificate
In den vorherigen Versionen von Exchange Server gab es eine Option zum Importieren oder Exportieren des Exchange Zertifikats über ECP.
Diese Option wird entfernt. Sie müssen nun ein PowerShell-Cmdlet verwenden, um das Exchange-Zertifikat zu importieren oder zu exportieren.
Entfernen der vollständigen Exchange Zertifikatanforderung
In früheren Versionen von Exchange Server gab es eine Option zum Ausfüllen des Exchange Zertifikats mithilfe von ECP. Dies fordert Administratoren auf, UNC-Pfadeingaben bereitzustellen.
Diese Option wird aus ECP entfernt. Dazu müssen Sie nun ein PowerShell-Cmdlet verwenden.
Entfernen der Neuen Exchange Zertifikatanforderung von der Zertifizierungsstelle
In der vorherigen Version von Exchange Server gab es die Möglichkeit, ein neues Exchange-Zertifikat von der Zertifizierungsstelle (Ca) mithilfe von ECP anzufordern. Dies fordert Administratoren auf, UNC-Pfadeingaben bereitzustellen.
Diese Option wird aus ECP entfernt. Dazu müssen Sie nun ein PowerShell-Cmdlet verwenden.
Entfernen der Verlängerung Exchange Zertifikatanforderung
In der vorherigen Version von Exchange Server gab es eine Option zum Verlängern Exchange Zertifikatanforderung mit ECP, was dazu führte, dass Administratoren UNC-Pfadeingaben bereitstellten.
Diese Option wird aus ECP entfernt. Dazu müssen Sie nun ein PowerShell-Cmdlet verwenden.
