Aby zapobiec nieprawidłowemu wykorzystywaniu ścieżek UNC przez osoby atakujące, usuwamy parametry, które przyjmują ścieżki UNC jako dane wejściowe z poleceń cmdlet programu PowerShell Exchange Server i centrum administracyjnego Exchange. Te zmiany będą miały wpływ na wszystkie wersje aktualizacji zbiorczej (CU) z Microsoft Exchange Server 2019 r. (CU12 i nowsze) i Microsoft Exchange Server 2016 (CU23 i nowsze).
Te zmiany są dostępne w następujących najnowszych aktualizacjach Exchange Server:
Aktualizacja zbiorcza 12 dla Exchange Server 2019 r. lub nowsza aktualizacja zbiorcza dla Exchange Server 2019 r.
Aktualizacja zbiorcza 23 dla Exchange Server 2016 r. lub nowsza aktualizacja zbiorcza dla Exchange Server 2016 r.
Zmiany w poleceniach cmdlet Exchange Server
Get-AgentTrafficTypeSubscription
-
Usługa TransportService <>
-
Ścieżka UNC serwera <serwera>
Zmienić: Parametr Server pobierający ścieżkę UNC jako dane wejściowe jest usuwany z polecenia cmdlet. Ogranicza to użycie do serwera lokalnego, na którym jest uruchamiane polecenie cmdlet.
Import-ExchangeCertificate
-
FileName "<> ścieżki lokalnej/UNC"
-
> hasła <hasła
Zmienić: Parametr FileName pobierający ścieżkę UNC jako dane wejściowe jest usuwany z polecenia cmdlet. Aby zaimportować certyfikat przechowywany w innej ścieżce UNC, należy użyć parametru FileData , jak pokazano w poniższym przykładzie:
Import-ExchangeCertificate
-
FileData ([Byte[]]$(Get-Content -Path "<ścieżka lokalna lub UNC>" - bajt kodowania))
-
> hasła <hasła
Export-ExchangeCertificate
-
> <<thumbprint
-
FileName "<> ścieżki lokalnej/UNC"
-
BinaryEncoded
-
> hasła <hasła
Zmienić: Parametr FileName pobierający ścieżkę UNC jako dane wejściowe jest usuwany z polecenia cmdlet. Aby wyeksportować certyfikat do ścieżki UNC, należy użyć parametru FileData , jak pokazano w poniższym przykładzie:
-
$cert = Export-ExchangeCertificate
-
> <<thumbprint
-
> hasła <hasła
-
BinaryEncoded
-
-
Set-Content ścieżka "<> ścieżki lokalnej lub> UNC" — $cert wartości. Bajt kodowania FileData
New-ExchangeCertificate
-
GenerateRequest
-
RequestFile "<ścieżki lokalnej/UNC>"
-
SubjectName "<temat>"
-
DomainName <domains>
Zmienić: Parametr RequestFile pobierający ścieżkę UNC jako dane wejściowe jest usuwany z polecenia cmdlet. Aby wyeksportować plik żądania do ścieżki UNC, należy użyć polecenia cmdlet Set-Content , jak pokazano w poniższym przykładzie.
-
$request = New-ExchangeCertificate
-
GenerateRequest
-
SubjectName "<temat>"
-
DomainName <domains>
-
-
Set-Content ścieżka "<ścieżki lokalnej lub> UNC" — $request wartości
Get-CalendarDiagnosticLog
-
Tożsamość "Jasen Kozma"
-
Temat "Spotkanie budżetowe"
-
$true ExactMatch
-
LogLocation "C:\My Documents\Calendar Diagnostic Export"
Zmienić: Parametr LogLocation pobierający ścieżkę UNC jako dane wejściowe jest usuwany z polecenia cmdlet. Ogranicza to użycie do serwera lokalnego, na którym jest uruchamiane polecenie cmdlet.
Get-CalendarDiagnosticAnalysis
-
LogLocation "C:\My Documents\Calendar Diagnostic Export"
-
OutputAs HTML
| ścieżka Set-Content -Path <ścieżki lokalnej/UNC>
Zmienić: Parametr LogLocation pobierający ścieżkę UNC jako dane wejściowe jest usuwany z polecenia cmdlet. Dzienniki diagnostyczne kalendarza należy podać za pośrednictwem parametru CalendarLogs , jak pokazano w poniższym przykładzie:
$calitems = Get-CalendarDiagnosticLog> skrzynek pocztowych <tożsamości — temat "Spotkanie budżetowe"
Get-CalendarDiagnosticAnalysis
-
$calitems dzienników kalendarzy
-
OutputAs HTML
| ścieżka Set-Content -Path <ścieżki lokalnej/UNC>
zmiany w Centrum administracyjnym Exchange
Usuwanie wprowadzania ścieżki UNC w celu przechowywania ustawień katalogu wirtualnego podczas resetowania
Podczas resetowania katalogu wirtualnego Exchange Panel sterowania (ECP) prosi o ścieżkę UNC, do którą może skopiować bieżące ustawienia. Ten proces został zmieniony. Program ECP nie będzie już zezwalał na wprowadzanie w tym miejscu ścieżki UNC.
Zamiast tego ecp poprosi o nazwę pliku w celu wyeksportowania ustawień od użytkownika. Te informacje będą przechowywane w pliku .. /V15/Config/Backup folder na serwerze, do którego jest uzyskiwany dostęp ECP. Jeśli folder nie istnieje, zostanie utworzony przez ecp.
Usuwanie certyfikatu Exchange eksportu & importu
W poprzednich wersjach Exchange Server istniała możliwość zaimportowania lub wyeksportowania certyfikatu Exchange za pośrednictwem ecp.
Ta opcja została usunięta. Aby zaimportować lub wyeksportować certyfikat Exchange, należy teraz użyć polecenia cmdlet programu PowerShell.
Usunięcie kompletnego żądania certyfikatu Exchange
W poprzednich wersjach Exchange Server istniała możliwość ukończenia certyfikatu Exchange przy użyciu ecp. Spowoduje to wyświetlenie monitu administratorów o podanie danych wejściowych ścieżki UNC.
Ta opcja zostanie usunięta z ECP. W tym celu należy użyć polecenia cmdlet programu PowerShell.
Usuwanie nowego żądania certyfikatu Exchange z urzędu certyfikacji
W poprzedniej wersji Exchange Server istniała możliwość zażądania nowego certyfikatu Exchange od urzędu certyfikacji przy użyciu ecp. Spowoduje to wyświetlenie monitu administratorów o podanie danych wejściowych ścieżki UNC.
Ta opcja zostanie usunięta z ECP. W tym celu należy użyć polecenia cmdlet programu PowerShell.
Usunięcie żądania odnowienia Exchange certyfikatu
W poprzedniej wersji Exchange Server była dostępna opcja odnowienia żądania certyfikatu Exchange przy użyciu ecp, co doprowadziło do tego, że administratorzy dostarczali dane wejściowe ścieżki UNC.
Ta opcja zostanie usunięta z ECP. W tym celu należy użyć polecenia cmdlet programu PowerShell.