Jotta hyökkääjät eivät käytä UNC-polkuja väärin, poistamme parametrit, jotka käyttävät UNC-polkuja Exchange Server PowerShellin cmdlet-komentojen ja Exchange hallintakeskuksen syötteinä. Nämä muutokset vaikuttavat kaikkiin Microsoft Exchange Server 2019 (CU12 ja uudemmat) ja Microsoft Exchange Server 2016 (CU23 ja uudemmat versiot) kumulatiivisiin päivitysversioihin.
Nämä muutokset ovat saatavilla seuraavissa uusimmissa Exchange Server päivityksissä:
kumulatiivinen päivitys 12 Exchange Server 2019:lle tai uudempi kumulatiivinen päivitys Exchange Server 2019:lle
kumulatiivinen päivitys 23 Exchange Server 2016:lle tai uudempi kumulatiivinen päivitys Exchange Server 2016:lle
Exchange Server cmdlet-komentojen muutokset
Get-AgentTrafficTypeSubscription
-
TransportService <-palvelun>
-
Palvelimen <palvelimen UNC-polku>
Muuttaa: Parametripalvelin, joka valitsee UNC-polun syötteenä, poistetaan cmdlet-komennosta. Tämä rajoittaa käytön paikalliseen palvelimeen, jossa cmdlet-komento suoritetaan.
Import-ExchangeCertificate
-
FileName "<local/UNC path>"
-
Salasana <salasana>
Muuttaa: Tiedostonimi-parametri, joka valitsee UNC-polun syötteenä, poistetaan cmdlet-komennosta. Jos haluat tuoda toiseen UNC-polkuun tallennetun varmenteen, sinun on käytettävä FileData-parametria seuraavassa esimerkissä esitetyllä tavalla:
Import-ExchangeCertificate
-
FileData ([Tavu[]]$(Get-Content -Path "<local or UNC path>" -Encoding byte))
-
Salasana <salasana>
Export-ExchangeCertificate
-
Peukalonjälki <>
-
FileName "<local/UNC path>"
-
BinaryEncoded
-
Salasana <salasana>
Muuttaa: Tiedostonimi-parametri, joka valitsee UNC-polun syötteenä, poistetaan cmdlet-komennosta. Jos haluat viedä varmenteen UNC-polkuun, sinun on käytettävä FileData-parametria seuraavassa esimerkissä esitetyllä tavalla:
-
$cert = Export-ExchangeCertificate
-
Peukalonjälki <>
-
Salasana <salasana>
-
BinaryEncoded
-
-
Set-Content -Path "<local or UNC path>" -Value $cert. FileData -Koodaustavu
New-ExchangeCertificate
-
Luopyyntö
-
RequestFile "<local/UNC path>"
-
SubjectName "<subject>"
-
DomainName <domains>
Muuttaa: RequestFile-parametri, joka ottaa UNC-polun syötteenä, poistetaan cmdlet-komennosta. Jos haluat viedä pyyntötiedoston UNC-polkuun, sinun on käytettävä Aseta sisältö -cmdlet-komentoa seuraavassa esimerkissä esitetyllä tavalla.
-
$request = New-ExchangeCertificate
-
Luopyyntö
-
SubjectName "<subject>"
-
DomainName <domains>
-
-
Set-Content -Path "<local or UNC path>" -Value $request
Get-CalendarDiagnosticLog
-
Identity "Jasen Kozma"
-
Aihe "Budjettikokous"
-
ExactMatch $true
-
LogLocation "C:\My Documents\Calendar Diagnostic Export"
Muuttaa: LogLocation-parametri, joka ottaa UNC-polun syötteenä, poistetaan cmdlet-komennosta. Tämä rajoittaa käytön paikalliseen palvelimeen, jossa cmdlet-komento suoritetaan.
Get-CalendarDiagnosticAnalysis
-
LogLocation "C:\My Documents\Calendar Diagnostic Export"
-
OutputAs HTML
| Set-Content -Path <paikallisen tai UNC-polun>
Muuttaa: LogLocation-parametri, joka ottaa UNC-polun syötteenä, poistetaan cmdlet-komennosta. Kalenterin diagnostiikkalokit on annettava CalendarLogs-parametrin kautta seuraavassa esimerkissä esitetyllä tavalla:
$calitems = Get-CalendarDiagnosticLog -Identity <-postilaatikon käyttäjä> -Subject "Budget Meeting"
Get-CalendarDiagnosticAnalysis
-
Kalenterilokit-$calitems
-
OutputAs HTML
| Set-Content -Path <paikallisen tai UNC-polun>
Exchange hallintakeskuksen muutokset
Poista UNC-polun syöte virtuaalihakemiston asetusten tallentamista varten oletusasetusten palauttamisen aikana
Kun palautat virtuaalihakemiston oletusasetukset, Exchange Ohjauspaneeli (ECP) pyytää UNC-polkua, johon se voi kopioida nykyiset asetukset. Tätä prosessia muutetaan. ECP ei enää salli UNC-polun syötettä tässä.
Sen sijaan ECP pyytää tiedostonimeä viemään asetukset käyttäjältä. Nämä tiedot tallennetaan .. /V15/Config/Backup-kansio palvelimessa, jonka kautta ECP:tä käytetään. Jos kansiota ei ole, sen luo ECP.
& Vie Exchange -varmenteen poistaminen
Exchange Server aiemmissa versioissa oli mahdollisuus tuoda tai viedä Exchange-varmenne ECP:n kautta.
Tämä asetus on poistettu. Sinun on nyt tuotava tai vietävä Exchange-varmenne PowerShell-cmdlet-komennolla.
Complete Exchange Certificate Request -pyynnön poistaminen
Exchange Server aiemmissa versioissa Exchange varmenteen voi viimeistellä ECP:n avulla. Tämä sai järjestelmänvalvojat antamaan UNC-polun syötteen.
Tämä asetus poistetaan ECP:stä. Sinun on nyt käytettävä PowerShell-cmdlet-komentoa tämän tekemiseen.
Uuden Exchange varmennepyynnön poistaminen varmenteen myöntäjältä
Exchange Server aiemmassa versiossa oli mahdollisuus pyytää uutta Exchange varmennetta varmenteen myöntäjältä ECP:n avulla. Tämä sai järjestelmänvalvojat antamaan UNC-polun syötteen.
Tämä asetus poistetaan ECP:stä. Sinun on nyt käytettävä PowerShell-cmdlet-komentoa tämän tekemiseen.
Uusi Exchange varmennepyynnön poistaminen
Exchange Server aiemmassa versiossa oli mahdollisuus uudistaa Exchange varmennepyyntö ECP:n avulla, mikä johti siihen, että järjestelmänvalvojat antoivat UNC-polun syötteen.
Tämä asetus poistetaan ECP:stä. Sinun on nyt käytettävä PowerShell-cmdlet-komentoa tämän tekemiseen.