A Exchange Server PowerShell-parancsmagok és a Exchange Felügyeleti központ UNC elérési úttal kapcsolatos bemeneteinek változásai (KB5014278)

Annak érdekében, hogy a támadók ne használják az UNC elérési utakat, eltávolítjuk azokat a paramétereket, amelyek az UNC elérési utakat bemenetként használják a Exchange Server PowerShell-parancsmagokból és a Exchange Felügyeleti központból. Ezek a változások a Microsoft Exchange Server 2019 (CU12 és újabb) és Microsoft Exchange Server 2016 (CU23 és újabb) összes kumulatív frissítését (CU) érintik.

Ezek a módosítások az alábbi legújabb Exchange Server frissítésekben érhetők el:

2019. Exchange Server 12. kumulatív frissítése vagy egy újabb összegző frissítés Exchange Server 2019-ben

A 2016-os Exchange Server 23-os kumulatív frissítése vagy a 2016-os Exchange Server egy újabb összegző frissítése

Exchange Server-parancsmagok változásai

Get-AgentTrafficTypeSubscription

TransportService <szolgáltatás>
Kiszolgáló <kiszolgáló UNC elérési útja>

Módosítása: A bemenetként az UNC elérési utat használó kiszolgáló paraméter el lesz távolítva a parancsmagból. Ez arra a helyi kiszolgálóra korlátozza a használatot, amelyen a parancsmag fut.

Import-ExchangeCertificate

FileName "<local/UNC path>"
Jelszó <jelszó>

Módosítása: A bemenetként az UNC elérési utat használó FileName paraméter el lesz távolítva a parancsmagból. Egy másik UNC elérési úton tárolt tanúsítvány importálásához a FileData paramétert kell használnia az alábbi példában látható módon:

Import-ExchangeCertificate

FileData ([Byte[]]$(Get-Content -Path "<local or UNC path>" -Encoding byte))
Jelszó <jelszó>

Export-ExchangeCertificate

Ujjlenyomat-<ujjlenyomat->
FileName "<local/UNC path>"
BinaryEncoded
Jelszó <jelszó>

Módosítása: A bemenetként az UNC elérési utat használó FileName paraméter el lesz távolítva a parancsmagból. A tanúsítvány UNC elérési útra való exportálásához a FileData paramétert kell használnia, ahogy az a következő példában látható:

$cert = Export-ExchangeCertificate
- Ujjlenyomat-<ujjlenyomat->
- Jelszó <jelszó>
- BinaryEncoded
Set-Content -Path "<local or UNC path>" -Value $cert. FileData –Kódolási bájt

New-ExchangeCertificate

GenerateRequest
RequestFile "<helyi/UNC elérési út>"
SubjectName "<tárgy>"
Tartománynév <tartományok>

Módosítása: Az UNC elérési utat bemenetként használó RequestFile paraméter el lesz távolítva a parancsmagból. Ha a kérelemfájlt UNC elérési útra szeretné exportálni, a Set-Content parancsmagot kell használnia az alábbi példában látható módon.

$request = New-ExchangeCertificate
- GenerateRequest
- SubjectName "<tárgy>"
- Tartománynév <tartományok>
Set-Content -Path "<local or UNC path>" -Value $request

Get-CalendarDiagnosticLog

"Jasen Kozma" identitás
Tárgy : "Költségvetési értekezlet"
ExactMatch $true
LogLocation "C:\Dokumentumok\Naptár diagnosztikai exportálása"

Módosítása: Az UNC elérési utat bemenetként használó LogLocation paraméter el lesz távolítva a parancsmagból. Ez arra a helyi kiszolgálóra korlátozza a használatot, amelyen a parancsmag fut.

Get-CalendarDiagnosticAnalysis

LogLocation "C:\Dokumentumok\Naptár diagnosztikai exportálása"
OutputAs HTML

| Set-Content -Path <helyi/UNC elérési út>

Módosítása: Az UNC elérési utat bemenetként használó LogLocation paraméter el lesz távolítva a parancsmagból. A Naptárdiagnosztikai naplókat a CalendarLogs paraméteren keresztül kell megadnia, az alábbi példában látható módon:

$calitems = Get-CalendarDiagnosticLog -Identity <postaláda felhasználója> -Subject "Budget Meeting"

Get-CalendarDiagnosticAnalysis

CalendarLogs $calitems
OutputAs HTML

| Set-Content -Path <helyi/UNC elérési út>

A Felügyeleti központ módosításainak Exchange

UNC elérési út bemenetének eltávolítása a virtuális könyvtár beállításainak alaphelyzetbe állításkor történő tárolásához

Amikor alaphelyzetbe állít egy virtuális könyvtárat, a Exchange Vezérlőpult (ECP) egy UNC elérési utat kér, amellyel átmásolhatja az aktuális beállításokat. Ez a folyamat megváltozott. Az ECP itt már nem engedélyezi az UNC elérési út bemenetét.