Để ngăn chặn kẻ tấn công sử dụng đường dẫn UNC sai, chúng tôi đang loại bỏ các tham số lấy đường dẫn UNC làm dữ liệu đầu vào từ các lệnh ghép ngắn Exchange Server PowerShell và Trung tâm Quản trị Exchange. Những thay đổi này sẽ ảnh hưởng đến tất cả các bản phát hành cập nhật tích lũy (CU) của Microsoft Exchange Server 2019 (CU12 trở lên) và Microsoft Exchange Server 2016 (CU23 trở lên).
Những thay đổi này có sẵn trong các bản cập nhật mới Exchange Server mới nhất sau đây:
Bản cập nhật tích lũy 12 dành cho Exchange Server 2019 trở lên cho Exchange Server 2019
Bản cập nhật Tích lũy 23 cho Exchange Server 2016 trở lên dành cho Exchange Server 2016
Các thay đổi trong Exchange Server lệnh ghép ngắn
Get-AgentTrafficTypeSubscription
-
TransportService <vụ>
-
Đường dẫn UNC <chủ máy chủ>
Thay đổi: Máy chủ tham số nhận đường dẫn UNC khi nhập sẽ bị loại bỏ khỏi lệnh ghép ngắn. Điều này hạn chế sử dụng máy chủ cục bộ chạy lệnh ghép ngắn.
Import-ExchangeCertificate
-
Tên Tệp "Trình <dẫn cục bộ/UNC>"
-
Mật <mật khẩu>
Thay đổi: Tham số FileName lấy đường dẫn UNC khi nhập sẽ bị loại bỏ khỏi lệnh ghép ngắn. Để nhập chứng chỉ được lưu trữ trong đường dẫn UNC khác, bạn phải sử dụng tham số FileData , như minh họa trong ví dụ sau đây:
Import-ExchangeCertificate
-
FileData ([Byte[]]$(Get-Content -Path "<local or UNC path>" -Encoding byte))
-
Mật <mật khẩu>
Export-ExchangeCertificate
-
Dấu ngón <ngón>
-
Tên Tệp "Trình <dẫn cục bộ/UNC>"
-
BinaryEncoded
-
Mật <mật khẩu>
Thay đổi: Tham số FileName lấy đường dẫn UNC khi nhập sẽ bị loại bỏ khỏi lệnh ghép ngắn. Để xuất chứng chỉ sang đường dẫn UNC, bạn phải sử dụng tham số FileData , như minh họa trong ví dụ sau đây:
-
$cert = Export-ExchangeCertificate
-
Dấu ngón <ngón>
-
Mật <mật khẩu>
-
BinaryEncoded
-
-
Set-Content -Path "<local or UNC path>" -Value $cert. FileData -Encoding byte
New-ExchangeCertificate
-
GenerateRequest
-
RequestFile "<dẫn cục bộ/UNC>"
-
SubjectName "<subject>"
-
Tên miền <miền>
Thay đổi: Tham số RequestFile lấy đường dẫn UNC khi nhập sẽ bị loại bỏ khỏi lệnh ghép ngắn. Để xuất tệp yêu cầu sang đường dẫn UNC, bạn phải sử dụng lệnh ghép ngắn Set-Content , như minh họa trong ví dụ sau đây.
-
$request = New-ExchangeCertificate
-
GenerateRequest
-
SubjectName "<subject>"
-
Tên miền <miền>
-
-
Set-Content -Đường dẫn "<dẫn cục bộ hoặc UNC>" -Giá trị $request
Get-CalendarDiagnosticLog
-
Nhận dạng "Jasen Kozma"
-
Chủ đề "Cuộc họp Ngân sách"
-
ExactMatch $true
-
LogLocation "C:\My Documents\Calendar Diagnostic Export"
Thay đổi: Tham số LogLocation lấy đường dẫn UNC khi nhập sẽ bị loại bỏ khỏi lệnh ghép ngắn. Điều này hạn chế việc sử dụng máy chủ cục bộ chạy lệnh ghép ngắn.
Get-CalendarDiagnosticAnalysis
-
LogLocation "C:\My Documents\Calendar Diagnostic Export"
-
OutputAs HTML
| Set-Content -Đường dẫn <cục bộ/UNC cho>
Thay đổi: Tham số LogLocation lấy đường dẫn UNC khi nhập sẽ bị loại bỏ khỏi lệnh ghép ngắn. Bạn phải cung cấp nhật ký Chẩn đoán Lịch thông qua tham số CalendarLogs , như minh họa trong ví dụ sau đây:
$calitems = Get-CalendarDiagnosticLog -Identity <mailbox user> -Subject "Budget Meeting"
Get-CalendarDiagnosticAnalysis
-
LịchLogs $calitems
-
OutputAs HTML
| Set-Content -Đường dẫn <cục bộ/UNC cho>
Exchange trung tâm quản trị thay đổi
Loại bỏ đầu vào đường dẫn UNC để lưu trữ cài đặt Thư mục Ảo trong khi đặt lại
Khi bạn đặt lại thư mục ảo, Exchange Panel điều khiển (ECP) sẽ yêu cầu đường dẫn UNC để sao chép cài đặt hiện tại vào. Quy trình này được thay đổi. ECP sẽ không còn cho phép nhập bất kỳ đường dẫn UNC nào tại đây.
Thay vào đó, ECP sẽ yêu cầu tên tệp xuất cài đặt từ người dùng. Thông tin này sẽ được lưu trữ trong .. /V15/Config/Backup thư mục trên máy chủ mà qua đó ECP được truy cập. Nếu thư mục không tồn tại, thư mục đó sẽ được tạo bởi ECP.
Loại bỏ Giấy chứng nhận & xuất Exchange
Trong các phiên bản trước của Exchange Server, có một tùy chọn để nhập hoặc xuất chứng chỉ Exchange qua ECP.
Tùy chọn này sẽ được loại bỏ. Bây giờ, bạn phải sử dụng powerShell cmdlet để nhập hoặc xuất chứng Exchange của mình.
Loại bỏ Yêu cầu Chứng chỉ Exchange Hoàn tất
Trong các phiên bản trước của Exchange Server, có một tùy chọn để hoàn tất chứng chỉ Exchange sử dụng ECP. Điều này đã nhắc người quản trị cung cấp dữ liệu nhập đường dẫn UNC.
Tùy chọn này được loại bỏ khỏi ECP. Bây giờ bạn phải sử dụng PowerShell cmdlet để thực hiện điều này.
Loại bỏ Yêu cầu Chứng Exchange Mới khỏi CA
Trong phiên bản trước của Exchange Server, có một tùy chọn để yêu cầu chứng chỉ Exchange mới từ cơ quan cấp chứng chỉ (CA) bằng cách sử dụng ECP. Điều này đã nhắc người quản trị cung cấp dữ liệu nhập đường dẫn UNC.
Tùy chọn này được loại bỏ khỏi ECP. Bây giờ bạn phải sử dụng PowerShell cmdlet để thực hiện điều này.
Loại bỏ Yêu cầu Chứng Exchange Gia hạn
Trong phiên bản trước của Exchange Server, có tùy chọn Gia hạn Yêu cầu Chứng chỉ Exchange sử dụng ECP dẫn đến việc người quản trị cung cấp phương thức nhập đường dẫn UNC.
Tùy chọn này được loại bỏ khỏi ECP. Bây giờ bạn phải sử dụng PowerShell cmdlet để thực hiện điều này.