Pour éviter toute mauvaise utilisation des chemins UNC par les attaquants, nous supprimons les paramètres qui prennent des chemins UNC comme entrées des applets de commande PowerShell Exchange Server et du centre d’administration Exchange. Ces modifications affecteront toutes les mises à jour cumulatives de Microsoft Exchange Server 2019 (CU12 et versions ultérieures) et Microsoft Exchange Server 2016 (CU23 et versions ultérieures).
Ces modifications sont disponibles dans les dernières mises à jour Exchange Server suivantes :
Mise à jour cumulative 12 pour Exchange Server 2019 ou une mise à jour cumulative ultérieure pour Exchange Server 2019
Mise à jour cumulative 23 pour Exchange Server 2016 ou une mise à jour cumulative ultérieure pour Exchange Server 2016
Modifications apportées aux applets de commande Exchange Server
Get-AgentTrafficTypeSubscription
-
> de service <TransportService
-
Chemin d’accès UNC serveur <serveur>
Changement: Le serveur de paramètres qui prend le chemin UNC comme entrée est supprimé de l’applet de commande. Cela limite l’utilisation au serveur local sur lequel l’applet de commande est exécutée.
Import-ExchangeCertificate
-
FileName « <chemin local/UNC> »
-
Mot de passe <> de mot de passe
Changement: Le paramètre FileName qui prend le chemin UNC comme entrée est supprimé de l’applet de commande. Pour importer le certificat stocké dans un autre chemin UNC, vous devez utiliser le paramètre FileData , comme illustré dans l’exemple suivant :
Import-ExchangeCertificate
-
FileData ([Byte[]]$(Get-Content -Path « <local or UNC path> » -Encoding byte))
-
Mot de passe <> de mot de passe
Export-ExchangeCertificate
-
Empreinte <>
-
FileName « <chemin local/UNC> »
-
BinaryEncoded
-
Mot de passe <> de mot de passe
Changement: Le paramètre FileName qui prend le chemin UNC comme entrée est supprimé de l’applet de commande. Pour exporter le certificat vers un chemin UNC, vous devez utiliser le paramètre FileData , comme illustré dans l’exemple suivant :
-
$cert = Export-ExchangeCertificate
-
Empreinte <>
-
Mot de passe <> de mot de passe
-
BinaryEncoded
-
-
Set-Content -Path « <local or UNC path> » -Value $cert. FileData - Octet d’encodage
New-ExchangeCertificate
-
GenerateRequest
-
RequestFile « <> de chemin local/UNC »
-
SubjectName « <subject> »
-
DomainName <domains>
Changement: Le paramètre RequestFile qui prend le chemin UNC comme entrée est supprimé de l’applet de commande. Pour exporter le fichier de requête vers un chemin UNC, vous devez utiliser l’applet de commande Set-Content , comme illustré dans l’exemple suivant.
-
$request = New-ExchangeCertificate
-
GenerateRequest
-
SubjectName « <subject> »
-
DomainName <domains>
-
-
Set-Content -Path « <local or UNC path> » -Value $request
Get-CalendarDiagnosticLog
-
Identité « Jasen Kozma »
-
Objet « Réunion budgétaire »
-
ExactMatch $true
-
LogLocation " C:\My Documents\Calendar Diagnostic Export »
Changement: Le paramètre LogLocation qui prend le chemin UNC comme entrée est supprimé de l’applet de commande. Cela limite l’utilisation au serveur local sur lequel l’applet de commande est exécutée.
Get-CalendarDiagnosticAnalysis
-
LogLocation " C:\My Documents\Calendar Diagnostic Export »
-
OutputAs HTML
| Set-Content -Path <local/UNC path>
Changement: Le paramètre LogLocation qui prend le chemin UNC comme entrée est supprimé de l’applet de commande. Vous devez fournir des journaux de diagnostic de calendrier via le paramètre CalendarLogs , comme indiqué dans l’exemple suivant :
$calitems = Get-CalendarDiagnosticLog -Identity <mailbox user> -Subject « Budget Meeting »
Get-CalendarDiagnosticAnalysis
-
CalendarLogs $calitems
-
OutputAs HTML
| Set-Content -Path <local/UNC path>
modifications apportées au Centre d’administration Exchange
Supprimer l’entrée de chemin UNC pour stocker les paramètres de répertoire virtuel lors de la réinitialisation
Lorsque vous réinitialisez un répertoire virtuel, le Exchange Panneau de configuration (ECP) demande un chemin UNC dans lequel il peut copier les paramètres actuels. Ce processus est modifié. ECP n’autorise plus d’entrée de chemin UNC ici.
Au lieu de cela, ECP demande le nom de fichier pour exporter les paramètres à partir de l’utilisateur. Ces informations seront stockées dans le fichier .. Dossier /V15/Config/Backup sur le serveur via lequel ECP est accessible. Si le dossier n’existe pas, il est créé par ECP.
Suppression du certificat d’importation & exporter Exchange
Dans les versions précédentes de Exchange Server, il existait une option permettant d’importer ou d’exporter le certificat Exchange via ECP.
Cette option est supprimée. Vous devez maintenant utiliser une applet de commande PowerShell pour importer ou exporter le certificat Exchange.
Suppression d’une demande de certificat de Exchange complète
Dans les versions précédentes de Exchange Server, il existait une option permettant d’exécuter le certificat Exchange à l’aide d’ECP. Cela a invité les administrateurs à fournir une entrée de chemin UNC.
Cette option est supprimée d’ECP. Pour ce faire, vous devez maintenant utiliser une applet de commande PowerShell.
Suppression d’une nouvelle demande de certificat Exchange de l’autorité de certification
Dans la version précédente de Exchange Server, il existait une option permettant de demander un nouveau certificat Exchange à l’autorité de certification à l’aide d’ECP. Cela a invité les administrateurs à fournir une entrée de chemin UNC.
Cette option est supprimée d’ECP. Pour ce faire, vous devez maintenant utiliser une applet de commande PowerShell.
Suppression du renouvellement Exchange demande de certificat
Dans la version précédente de Exchange Server, il existait une option permettant de renouveler Exchange demande de certificat à l’aide d’ECP, ce qui a conduit les administrateurs à fournir une entrée de chemin UNC.
Cette option est supprimée d’ECP. Pour ce faire, vous devez maintenant utiliser une applet de commande PowerShell.