Annak érdekében, hogy a támadók ne használják az UNC elérési utakat, eltávolítjuk azokat a paramétereket, amelyek az UNC elérési utakat bemenetként használják a Exchange Server PowerShell-parancsmagokból és a Exchange Felügyeleti központból. Ezek a változások a Microsoft Exchange Server 2019 (CU12 és újabb) és Microsoft Exchange Server 2016 (CU23 és újabb) összes kumulatív frissítését (CU) érintik.
Ezek a módosítások az alábbi legújabb Exchange Server frissítésekben érhetők el:
2019. Exchange Server 12. kumulatív frissítése vagy egy újabb összegző frissítés Exchange Server 2019-ben
A 2016-os Exchange Server 23-os kumulatív frissítése vagy a 2016-os Exchange Server egy újabb összegző frissítése
Exchange Server-parancsmagok változásai
Get-AgentTrafficTypeSubscription
-
TransportService <szolgáltatás>
-
Kiszolgáló <kiszolgáló UNC elérési útja>
Módosítása: A bemenetként az UNC elérési utat használó kiszolgáló paraméter el lesz távolítva a parancsmagból. Ez arra a helyi kiszolgálóra korlátozza a használatot, amelyen a parancsmag fut.
Import-ExchangeCertificate
-
FileName "<local/UNC path>"
-
Jelszó <jelszó>
Módosítása: A bemenetként az UNC elérési utat használó FileName paraméter el lesz távolítva a parancsmagból. Egy másik UNC elérési úton tárolt tanúsítvány importálásához a FileData paramétert kell használnia az alábbi példában látható módon:
Import-ExchangeCertificate
-
FileData ([Byte[]]$(Get-Content -Path "<local or UNC path>" -Encoding byte))
-
Jelszó <jelszó>
Export-ExchangeCertificate
-
Ujjlenyomat-<ujjlenyomat->
-
FileName "<local/UNC path>"
-
BinaryEncoded
-
Jelszó <jelszó>
Módosítása: A bemenetként az UNC elérési utat használó FileName paraméter el lesz távolítva a parancsmagból. A tanúsítvány UNC elérési útra való exportálásához a FileData paramétert kell használnia, ahogy az a következő példában látható:
-
$cert = Export-ExchangeCertificate
-
Ujjlenyomat-<ujjlenyomat->
-
Jelszó <jelszó>
-
BinaryEncoded
-
-
Set-Content -Path "<local or UNC path>" -Value $cert. FileData –Kódolási bájt
New-ExchangeCertificate
-
GenerateRequest
-
RequestFile "<helyi/UNC elérési út>"
-
SubjectName "<tárgy>"
-
Tartománynév <tartományok>
Módosítása: Az UNC elérési utat bemenetként használó RequestFile paraméter el lesz távolítva a parancsmagból. Ha a kérelemfájlt UNC elérési útra szeretné exportálni, a Set-Content parancsmagot kell használnia az alábbi példában látható módon.
-
$request = New-ExchangeCertificate
-
GenerateRequest
-
SubjectName "<tárgy>"
-
Tartománynév <tartományok>
-
-
Set-Content -Path "<local or UNC path>" -Value $request
Get-CalendarDiagnosticLog
-
"Jasen Kozma" identitás
-
Tárgy : "Költségvetési értekezlet"
-
ExactMatch $true
-
LogLocation "C:\Dokumentumok\Naptár diagnosztikai exportálása"
Módosítása: Az UNC elérési utat bemenetként használó LogLocation paraméter el lesz távolítva a parancsmagból. Ez arra a helyi kiszolgálóra korlátozza a használatot, amelyen a parancsmag fut.
Get-CalendarDiagnosticAnalysis
-
LogLocation "C:\Dokumentumok\Naptár diagnosztikai exportálása"
-
OutputAs HTML
| Set-Content -Path <helyi/UNC elérési út>
Módosítása: Az UNC elérési utat bemenetként használó LogLocation paraméter el lesz távolítva a parancsmagból. A Naptárdiagnosztikai naplókat a CalendarLogs paraméteren keresztül kell megadnia, az alábbi példában látható módon:
$calitems = Get-CalendarDiagnosticLog -Identity <postaláda felhasználója> -Subject "Budget Meeting"
Get-CalendarDiagnosticAnalysis
-
CalendarLogs $calitems
-
OutputAs HTML
| Set-Content -Path <helyi/UNC elérési út>
A Felügyeleti központ módosításainak Exchange
UNC elérési út bemenetének eltávolítása a virtuális könyvtár beállításainak alaphelyzetbe állításkor történő tárolásához
Amikor alaphelyzetbe állít egy virtuális könyvtárat, a Exchange Vezérlőpult (ECP) egy UNC elérési utat kér, amellyel átmásolhatja az aktuális beállításokat. Ez a folyamat megváltozott. Az ECP itt már nem engedélyezi az UNC elérési út bemenetét.
Ehelyett az ECP a fájl nevét kéri a beállítások felhasználóból való exportálásához. Ezeket az adatokat a .. /V15/Config/Backup mappa azon a kiszolgálón, amelyen keresztül az ECP elérhető. Ha a mappa nem létezik, az ECP hozza létre.
Import & Export Exchange Certificate eltávolítása
A Exchange Server korábbi verzióiban lehetőség volt a Exchange tanúsítvány ECP-n keresztüli importálására vagy exportálására.
Ez a beállítás el lesz távolítva. Most egy PowerShell-parancsmagot kell használnia a Exchange tanúsítvány importálásához vagy exportálásához.
A teljes Exchange tanúsítványkérelem eltávolítása
A Exchange Server korábbi verzióiban lehetőség volt a Exchange tanúsítvány ECP használatával történő elvégzésére. Ez a rendszer arra kéri a rendszergazdákat, hogy adjanak meg UNC elérési utat.
Ez a beállítás törlődik az ECP-ből. Ehhez most egy PowerShell-parancsmagot kell használnia.
Új Exchange tanúsítványkérelem eltávolítása a hitelesítésszolgáltatótól
A Exchange Server előző verziójában lehetőség volt új Exchange tanúsítványt kérni a hitelesítésszolgáltatótól (CA) az ECP használatával. Ez a rendszer arra kéri a rendszergazdákat, hogy adjanak meg UNC elérési utat.
Ez a beállítás törlődik az ECP-ből. Ehhez most egy PowerShell-parancsmagot kell használnia.
A megújítási Exchange tanúsítványkérelem eltávolítása
A Exchange Server előző verziójában lehetőség volt Exchange tanúsítványkérelem megújítására az ECP használatával, ami unc elérési út megadását eredményezte a rendszergazdáknak.
Ez a beállítás törlődik az ECP-ből. Ehhez most egy PowerShell-parancsmagot kell használnia.