Zmeny v rutinách typu cmdlet prostredia PowerShell Exchange Server a Centre spravovania Exchange pre vstupy ciest UNC (KB5014278)

S cieľom zabrániť zneužitiu ciest UNC útočníkmi odstraňujeme parametre, ktoré používajú cesty UNC ako vstupy z rutín typu cmdlet prostredia PowerShell Exchange Server a Centra spravovania Exchange. Tieto zmeny ovplyvnia všetky kumulatívne aktualizácie (CU) vydaní Microsoft Exchange Server 2019 (CU12 a novšie verzie) a Microsoft Exchange Server 2016 (CU23 a novšie verzie).

Tieto zmeny sú k dispozícii v nasledujúcich najnovších aktualizáciách Exchange Server:

Kumulatívna aktualizácia 12 pre Exchange Server 2019 alebo neskoršia kumulatívna aktualizácia pre Exchange Server 2019

Kumulatívna aktualizácia 23 pre Exchange Server 2016 alebo novšiu kumulatívnu aktualizáciu pre Exchange Server 2016

Zmeny v rutinách typu cmdlet Exchange Server

Get-AgentTrafficTypeSubscription

> služby TransportService <
Cesta unc servera <serverom>

Zmeniť: Parameter Server, ktorý použije cestu UNC ako vstup, sa odstráni z rutiny typu cmdlet. Obmedzuje používanie na lokálny server, na ktorom je spustená rutina typu cmdlet.

Import-ExchangeCertificate

FileName "<local/UNC path>"
Heslo <> hesla

Zmeniť: Parameter FileName , ktorý použije cestu UNC ako vstup, sa odstráni z rutiny typu cmdlet. Ak chcete importovať certifikát uložený v inej ceste UNC, musíte použiť parameter FileData , ako je to znázornené v nasledujúcom príklade:

Import-ExchangeCertificate

FileData ([Byte[]]$(Get-Content -Path "<local or UNC path>" -Encoding byte))
Heslo <> hesla

Export-ExchangeCertificate

Odtlačok <>
FileName "<local/UNC path>"
BinaryEncoded
Heslo <> hesla

Zmeniť: Parameter FileName , ktorý použije cestu UNC ako vstup, sa odstráni z rutiny typu cmdlet. Ak chcete exportovať certifikát na cestu UNC, musíte použiť parameter FileData , ako je to znázornené v nasledujúcom príklade:

$cert = Export-ExchangeCertificate
- Odtlačok <>
- Heslo <> hesla
- BinaryEncoded
Set-Content -Path "<lokálna cesta alebo cesta UNC>" – $cert hodnoty. FileData - bajt kódovania

New-ExchangeCertificate

GenerateRequest (Generovať žiadosť)
RequestFile "<local/UNC path>"
SubjectName "<subject>"
DomainName <domains>

Zmeniť: Parameter RequestFile , ktorý ako vstup použije cestu UNC, sa odstráni z rutiny typu cmdlet. Ak chcete exportovať súbor požiadavky na cestu UNC, musíte použiť rutinu typu cmdlet Set-Content , ako je to znázornené v nasledujúcom príklade.

$request = New-ExchangeCertificate
- GenerateRequest (Generovať žiadosť)
- SubjectName "<subject>"
- DomainName <domains>
Set-Content – cesta "<lokálna cesta alebo cesta UNC>" – $request

Get-CalendarDiagnosticLog

Identita "Jasen Kozma"
Predmet "Rozpočtová schôdza"
ExactMatch $true
LogLocation "C:\My Documents\Calendar Diagnostic Export"

Zmeniť: Parameter LogLocation , ktorý ako vstup použije cestu UNC, sa odstráni z rutiny typu cmdlet. Týmto sa obmedzí používanie na lokálny server, na ktorom je rutina typu cmdlet spustená.

Get-CalendarDiagnosticAnalysis

LogLocation "C:\My Documents\Calendar Diagnostic Export"
Výstup vo formáte HTML

| Set-Content - cesta <lokálna cesta alebo cesta UNC>

Zmeniť: Parameter LogLocation , ktorý ako vstup použije cestu UNC, sa odstráni z rutiny typu cmdlet. Diagnostické denníky kalendára je potrebné zadať prostredníctvom parametra CalendarLogs , ako je to znázornené v nasledujúcom príklade:

$calitems = Get-CalendarDiagnosticLog -Identity <používateľa poštovej schránky> -Subject "Budget Meeting"

Get-CalendarDiagnosticAnalysis

CalendarLogs $calitems
Výstup vo formáte HTML

| Set-Content - cesta <lokálna cesta alebo cesta UNC>

zmeny v Centre spravovania Exchange

Odstránenie vstupu cesty UNC na ukladanie nastavení virtuálneho adresára počas resetovania

Keď obnovíte virtuálny adresár, ovládací panel Exchange (ECP) zobrazí výzvu na cestu UNC, na ktorú môže skopírovať aktuálne nastavenia. Tento proces sa zmenil. EcP už nepovoľuje vstup cesty UNC.