S cieľom zabrániť zneužitiu ciest UNC útočníkmi odstraňujeme parametre, ktoré používajú cesty UNC ako vstupy z rutín typu cmdlet prostredia PowerShell Exchange Server a Centra spravovania Exchange. Tieto zmeny ovplyvnia všetky kumulatívne aktualizácie (CU) vydaní Microsoft Exchange Server 2019 (CU12 a novšie verzie) a Microsoft Exchange Server 2016 (CU23 a novšie verzie).
Tieto zmeny sú k dispozícii v nasledujúcich najnovších aktualizáciách Exchange Server:
Kumulatívna aktualizácia 12 pre Exchange Server 2019 alebo neskoršia kumulatívna aktualizácia pre Exchange Server 2019
Kumulatívna aktualizácia 23 pre Exchange Server 2016 alebo novšiu kumulatívnu aktualizáciu pre Exchange Server 2016
Zmeny v rutinách typu cmdlet Exchange Server
Get-AgentTrafficTypeSubscription
-
> služby TransportService <
-
Cesta unc servera <serverom>
Zmeniť: Parameter Server, ktorý použije cestu UNC ako vstup, sa odstráni z rutiny typu cmdlet. Obmedzuje používanie na lokálny server, na ktorom je spustená rutina typu cmdlet.
Import-ExchangeCertificate
-
FileName "<local/UNC path>"
-
Heslo <> hesla
Zmeniť: Parameter FileName , ktorý použije cestu UNC ako vstup, sa odstráni z rutiny typu cmdlet. Ak chcete importovať certifikát uložený v inej ceste UNC, musíte použiť parameter FileData , ako je to znázornené v nasledujúcom príklade:
Import-ExchangeCertificate
-
FileData ([Byte[]]$(Get-Content -Path "<local or UNC path>" -Encoding byte))
-
Heslo <> hesla
Export-ExchangeCertificate
-
Odtlačok <>
-
FileName "<local/UNC path>"
-
BinaryEncoded
-
Heslo <> hesla
Zmeniť: Parameter FileName , ktorý použije cestu UNC ako vstup, sa odstráni z rutiny typu cmdlet. Ak chcete exportovať certifikát na cestu UNC, musíte použiť parameter FileData , ako je to znázornené v nasledujúcom príklade:
-
$cert = Export-ExchangeCertificate
-
Odtlačok <>
-
Heslo <> hesla
-
BinaryEncoded
-
-
Set-Content -Path "<lokálna cesta alebo cesta UNC>" – $cert hodnoty. FileData - bajt kódovania
New-ExchangeCertificate
-
GenerateRequest (Generovať žiadosť)
-
RequestFile "<local/UNC path>"
-
SubjectName "<subject>"
-
DomainName <domains>
Zmeniť: Parameter RequestFile , ktorý ako vstup použije cestu UNC, sa odstráni z rutiny typu cmdlet. Ak chcete exportovať súbor požiadavky na cestu UNC, musíte použiť rutinu typu cmdlet Set-Content , ako je to znázornené v nasledujúcom príklade.
-
$request = New-ExchangeCertificate
-
GenerateRequest (Generovať žiadosť)
-
SubjectName "<subject>"
-
DomainName <domains>
-
-
Set-Content – cesta "<lokálna cesta alebo cesta UNC>" – $request
Get-CalendarDiagnosticLog
-
Identita "Jasen Kozma"
-
Predmet "Rozpočtová schôdza"
-
ExactMatch $true
-
LogLocation "C:\My Documents\Calendar Diagnostic Export"
Zmeniť: Parameter LogLocation , ktorý ako vstup použije cestu UNC, sa odstráni z rutiny typu cmdlet. Týmto sa obmedzí používanie na lokálny server, na ktorom je rutina typu cmdlet spustená.
Get-CalendarDiagnosticAnalysis
-
LogLocation "C:\My Documents\Calendar Diagnostic Export"
-
Výstup vo formáte HTML
| Set-Content - cesta <lokálna cesta alebo cesta UNC>
Zmeniť: Parameter LogLocation , ktorý ako vstup použije cestu UNC, sa odstráni z rutiny typu cmdlet. Diagnostické denníky kalendára je potrebné zadať prostredníctvom parametra CalendarLogs , ako je to znázornené v nasledujúcom príklade:
$calitems = Get-CalendarDiagnosticLog -Identity <používateľa poštovej schránky> -Subject "Budget Meeting"
Get-CalendarDiagnosticAnalysis
-
CalendarLogs $calitems
-
Výstup vo formáte HTML
| Set-Content - cesta <lokálna cesta alebo cesta UNC>
zmeny v Centre spravovania Exchange
Odstránenie vstupu cesty UNC na ukladanie nastavení virtuálneho adresára počas resetovania
Keď obnovíte virtuálny adresár, ovládací panel Exchange (ECP) zobrazí výzvu na cestu UNC, na ktorú môže skopírovať aktuálne nastavenia. Tento proces sa zmenil. EcP už nepovoľuje vstup cesty UNC.
Namiesto toho bude ecp požadovať, aby názov súboru exportovať nastavenia od používateľa. Tieto informácie sa uložia do súboru .. /V15/Config/Backup priečinok na serveri, cez ktorý je prístupný ECP. Ak priečinok neexistuje, vytvorí ho ecp.
Odstránenie certifikátu importu & exportu Exchange
V predchádzajúcich verziách Exchange Server bola k dispozícii možnosť importu alebo exportu certifikátu Exchange prostredníctvom ECP.
Táto možnosť sa odstráni. Na import alebo exportovanie certifikátu Exchange teraz musíte použiť rutinu typu cmdlet prostredia PowerShell.
Odstránenie úplnej žiadosti o certifikát Exchange
V predchádzajúcich verziách Exchange Server sa vyskytla možnosť vyplnenia certifikátu Exchange pomocou ECP. To podnietilo správcov, aby poskytli vstup cesty UNC.
Táto možnosť sa odstráni z ECP. Teraz na to musíte použiť rutinu typu cmdlet prostredia PowerShell.
Odstránenie žiadosti certifikačnej autority o nový Exchange certifikát
V predchádzajúcej verzii Exchange Server existovala možnosť požiadať certifikačnú autoritu o nový certifikát Exchange pomocou ECP. To podnietilo správcov, aby poskytli vstup cesty UNC.
Táto možnosť sa odstráni z ECP. Teraz na to musíte použiť rutinu typu cmdlet prostredia PowerShell.
Odstránenie žiadosti o obnovenie Exchange certifikátu
V predchádzajúcej verzii Exchange Server sa vyskytla možnosť obnoviť žiadosť o certifikát Exchange pomocou ecp, čo viedlo k tomu, že správcovia poskytli vstup cesty UNC.
Táto možnosť sa odstráni z ECP. Teraz na to musíte použiť rutinu typu cmdlet prostredia PowerShell.