為防止攻擊者誤用 UNC 路徑,我們會從 Exchange Server PowerShell Cmdlet 和 Exchange 系統管理中心移除採用 UNC 路徑做為輸入的參數。 這些變更會影響所有 (CU) MICROSOFT EXCHANGE SERVER 2019 (CU12 和更新版本) 的累積更新,以及 MICROSOFT EXCHANGE SERVER 2016 (CU23 和更新版本) 。
下列最新Exchange Server更新中提供這些變更:
Exchange Server 2019 的累積更新 12 或 2019年 Exchange Server 日之後的累積更新
Exchange Server 2016 的累積更新 23 或 2016年 Exchange Server 日之後的累積更新
Exchange Server Cmdlet 中的變更
Get-AgentTrafficTypeSubscription
-
TransportService <service>
-
伺服器 <伺服器 UNC 路徑>
改變: 以 UNC 路徑作為輸入的參數伺服器會從 Cmdlet 中移除。 這會限制執行 Cmdlet 的本機伺服器使用量。
Import-ExchangeCertificate
-
FileName 「<local/UNC 路徑>」
-
密碼<密碼>
改變: 以 UNC 路徑作為輸入的 FileName 參數會從 Cmdlet 中移除。 若要匯入儲存在其他 UNC 路徑中的憑證,您必須使用 FileData 參數,如下列範例所示:
Import-ExchangeCertificate
-
FileData ([Byte[]] $ (Get-Content -Path 「<local or UNC path>」 -Encoding byte) )
-
密碼<密碼>
Export-ExchangeCertificate
-
縮圖<縮圖>
-
FileName 「<local/UNC 路徑>」
-
BinaryEncoded
-
密碼<密碼>
改變: 以 UNC 路徑作為輸入的 FileName 參數會從 Cmdlet 中移除。 若要將憑證匯出至 UNC 路徑,您必須使用 FileData 參數,如下列範例所示:
-
$cert = Export-ExchangeCertificate
-
縮圖<縮圖>
-
密碼<密碼>
-
BinaryEncoded
-
-
Set-Content -路徑「<本機或 UNC 路徑>」 -值$cert。FileData -Encoding 位元組
New-ExchangeCertificate
-
GenerateRequest
-
RequestFile 「<local/UNC 路徑>」
-
SubjectName 「<subject>」
-
網功能變數名稱稱<網域>
改變: 以 UNC 路徑作為輸入的 RequestFile 參數會從 Cmdlet 中移除。 若要將要求檔案匯出至 UNC 路徑,您必須使用 Set-Content Cmdlet,如下列範例所示。
-
$request = New-ExchangeCertificate
-
GenerateRequest
-
SubjectName 「<subject>」
-
網功能變數名稱稱<網域>
-
-
Set-Content -路徑「<本機或 UNC 路徑>」 -值$request
Get-CalendarDiagnosticLog
-
Identity 「Jasen Kozma」
-
主旨「預算會議」
-
ExactMatch $true
-
LogLocation 「C:\My Documents\Calendar Diagnostic Export」
改變: 將 UNC 路徑做為輸入的LogLocation 參數會從 Cmdlet 中移除。 這會限制執行 Cmdlet 的本機伺服器使用量。
Get-CalendarDiagnosticAnalysis
-
LogLocation 「C:\My Documents\Calendar Diagnostic Export」
-
OutputAs HTML
|Set-Content -路徑<本機/UNC 路徑>
改變: 將 UNC 路徑做為輸入的 LogLocation 參數會從 Cmdlet 中移除。 您必須透過CalendarLogs 參數提供行事曆診斷記錄檔,如下列範例所示:
$calitems = Get-CalendarDiagnosticLog - 身分識別<信箱使用者> - 主旨「預算會議」
Get-CalendarDiagnosticAnalysis
-
CalendarLogs $calitems
-
OutputAs HTML
|Set-Content -路徑<本機/UNC 路徑>
Exchange系統管理中心變更
在重設期間移除儲存虛擬目錄設定的 UNC 路徑輸入
當您重設虛擬目錄時,Exchange 主控台 (ECP) 會要求 UNC 路徑,讓系統將目前的設定複製到該路徑。 此程式隨即變更。 ECP 將不再允許此處輸入任何 UNC 路徑。
相反地,ECP 會要求檔案名以匯出使用者的設定。 此資訊將會儲存在 .. 中。存取 ECP 的伺服器上的 /V15/Config/Backup 資料夾。 如果資料夾不存在,則會由 ECP 建立。
移除 [匯入&匯出Exchange憑證]
在舊版 Exchange Server 中,有一個選項可透過 ECP 匯入或匯出Exchange憑證。
此選項隨即移除。 您現在必須使用 PowerShell Cmdlet 匯入或匯出Exchange憑證。
移除完成Exchange憑證要求
在舊版的 Exchange Server 中,有一個選項可使用 ECP 完成Exchange憑證。 這會提示系統管理員提供 UNC 路徑輸入。
此選項已從 ECP 中移除。 您現在必須使用 PowerShell Cmdlet 來執行此動作。
從 CA 移除新Exchange憑證要求
在舊版的 Exchange Server 中,有一個選項可使用 ECP 向憑證授權單位單位要求新的 Exchange 憑證 (CA) 。 這會提示系統管理員提供 UNC 路徑輸入。
此選項已從 ECP 中移除。 您現在必須使用 PowerShell Cmdlet 來執行此動作。
移除續約Exchange憑證要求
在舊版 Exchange Server 中,有一個使用 ECP 續約Exchange憑證要求的選項,這會導致系統管理員提供 UNC 路徑輸入。
此選項已從 ECP 中移除。 您現在必須使用 PowerShell Cmdlet 來執行此動作。