Pentru a preveni utilizarea necorespunzătoare a căilor UNC de către atacatori, eliminăm parametrii care iau căi UNC ca intrări din cmdleturile Exchange Server PowerShell și centrul de administrare Exchange. Aceste modificări vor afecta toate versiunile de actualizare cumulativă (CU) de Microsoft Exchange Server 2019 (CU12 și versiunile ulterioare) și Microsoft Exchange Server 2016 (CU23 și versiuni mai recente).
Aceste modificări sunt disponibile în următoarele actualizări de Exchange Server cele mai recente:
Actualizarea cumulativă 12 pentru Exchange Server 2019 sau o actualizare cumulativă mai recentă pentru Exchange Server 2019
Actualizarea cumulativă 23 pentru Exchange Server 2016 sau o actualizare cumulativă mai recentă pentru Exchange Server 2016
Modificări în cmdleturile Exchange Server
Get-AgentTrafficTypeSubscription
-
> serviciului <TransportService
-
> unc cale server <server
Schimba: Parametrul Server care preia calea UNC ca intrare este eliminat din cmdlet. Acest lucru restricționează utilizarea la serverul local pe care rulează cmdletul.
Import-ExchangeCertificate
-
FileName "<cale locală/UNC>"
-
> parolei <
Schimba: Parametrul FileName care preia calea UNC ca intrare este eliminat din cmdlet. Pentru a importa certificatul stocat în altă cale UNC, trebuie să utilizați parametrul FileData , așa cum se arată în exemplul următor:
Import-ExchangeCertificate
-
FileData ([Byte[]]$(Get-Content -Path "<cale locală sau UNC>" -Codare octet))
-
> parolei <
Export-ExchangeCertificate
-
Thumbprint <thumbprint>
-
FileName "<cale locală/UNC>"
-
Cod binar
-
> parolei <
Schimba: Parametrul FileName care preia calea UNC ca intrare este eliminat din cmdlet. Pentru a exporta certificatul într-o cale UNC, trebuie să utilizați parametrul FileData , așa cum se arată în exemplul următor:
-
$cert = Export-ExchangeCertificate
-
Thumbprint <thumbprint>
-
> parolei <
-
Cod binar
-
-
Set-Content -Cale "<cale locală sau UNC>" - Valoare $cert. FileData -codare octet
New-ExchangeCertificate
-
Generarequest
-
RequestFile "<cale locală/UNC>"
-
SubjectName "<> subiect"
-
DomainName <domenii>
Schimba: Parametrul RequestFile care preia calea UNC ca intrare este eliminat din cmdlet. Pentru a exporta fișierul de solicitare într-o cale UNC, trebuie să utilizați cmdletul Set-Content , așa cum se arată în exemplul următor.
-
$request = New-ExchangeCertificate
-
Generarequest
-
SubjectName "<> subiect"
-
DomainName <domenii>
-
-
Set-Content -Cale "<cale locală sau UNC>" - Valoare $request
Get-CalendarDiagnosticLog
-
Identitate "Jasen Kozma"
-
Subiect "Întâlnire buget"
-
$true ExactMatch
-
LogLocation "C:\My Documents\Calendar Diagnostic Export"
Schimba: Parametrul LogLocation care preia calea UNC ca intrare este eliminat din cmdlet. Acest lucru restricționează utilizarea la serverul local pe care rulează cmdletul.
Get-CalendarDiagnosticAnalysis
-
LogLocation "C:\My Documents\Calendar Diagnostic Export"
-
OutputAs HTML
| Set-Content -cale <cale locală/UNC>
Schimba: Parametrul LogLocation care preia calea UNC ca intrare este eliminat din cmdlet. Trebuie să furnizați jurnale de diagnosticare calendar prin parametrul CalendarLogs , așa cum se arată în exemplul următor:
$calitems = Get-CalendarDiagnosticLog - utilizator cutie poștală de identitate <> -Subiect "Întâlnire buget"
Get-CalendarDiagnosticAnalysis
-
CalendarLogs $calitems
-
OutputAs HTML
| Set-Content -cale <cale locală/UNC>
Exchange modificări ale Centrului de administrare
Eliminarea introducerii căii UNC pentru stocarea setărilor directorului virtual în timpul resetării
Atunci când resetați un director virtual, Exchange Panou de control (ECP) solicită o cale UNC în care să poată copia setările curente. Acest proces este modificat. ECP nu va mai permite nicio intrare de cale UNC aici.
În schimb, ECP va solicita numele fișierului pentru a exporta setările de la utilizator. Aceste informații vor fi stocate în .. /V15/Config/Backup folder pe serverul prin care este accesat ECP. Dacă folderul nu există, acesta va fi creat de ECP.
Eliminarea certificatului de Exchange import & export
În versiunile anterioare de Exchange Server, exista o opțiune de a importa sau exporta certificatul Exchange prin ECP.
Această opțiune este eliminată. Acum trebuie să utilizați un cmdlet PowerShell pentru a importa sau a exporta certificatul Exchange.
Eliminarea solicitării de certificat complete Exchange
În versiunile anterioare de Exchange Server, exista opțiunea de a finaliza certificatul Exchange utilizând ECP. Acest lucru le-a solicitat administratorilor să furnizeze intrări de cale UNC.
Această opțiune este eliminată din ECP. Acum trebuie să utilizați un cmdlet PowerShell pentru a face acest lucru.
Eliminarea solicitării de certificat de Exchange noi de la AUTORITATEa de certificare
În versiunea anterioară de Exchange Server, exista opțiunea de a solicita un nou certificat de Exchange de la autoritatea de certificare (CA) utilizând ECP. Acest lucru le-a solicitat administratorilor să furnizeze intrări de cale UNC.
Această opțiune este eliminată din ECP. Acum trebuie să utilizați un cmdlet PowerShell pentru a face acest lucru.
Eliminarea solicitării de reînnoire Exchange certificat
În versiunea anterioară de Exchange Server, exista opțiunea Reînnoirea Exchange solicitare de certificat utilizând ECP, ceea ce a condus la furnizarea de către administratori a unei căi UNC.
Această opțiune este eliminată din ECP. Acum trebuie să utilizați un cmdlet PowerShell pentru a face acest lucru.