Microsoft は本日、Exchange Server 2016 および 2019 に HTTP Strict Transport Security (別名 HSTS) がサポートされるようになったと発表しました。
HSTS は、Web サイト (OWA や Exchange Server の ECP など) に HTTPS 経由の接続のみを許可するように指示する Web サーバー ディレクティブで、プロトコルのダウングレードや Cookie ハイジャックによって引き起こされる中間者 (MitM) 攻撃から Web サイトを保護します。
また、ユーザーは、期限切れ、無効、または信頼できない証明書の警告 (侵害されたチャネルを介して接続している可能性がある) を回避できなくなります。
オンにすると、Web ブラウザは HSTS ポリシー違反を特定し、中間者攻撃に応じて接続を即座に終了します。
「HSTS は一般的な攻撃シナリオに対する保護を追加するだけでなく、ユーザーを HTTP URL から HTTPS URL にリダイレクトするという一般的な (そして今では安全ではない) 慣行の必要性を取り除くのにも役立ちます。」と Microsoft は説明しています。
「HSTS は、アクティブおよびパッシブなネットワーク攻撃に対処するためにも使用できます。ただし、HSTS はマルウェア、フィッシング、ブラウザの脆弱性には対処しません。」
Exchange HSTS サポートを構成する方法
Microsoft は、PowerShell またはインターネット インフォメーション サービス (IIS) マネージャーを使用した Exchange Server 2016 および 2019 での HSTS の構成に関する詳細情報を、 ドキュメント Web サイトで提供しています。
管理者は、各サーバーの構成をロールバックすることで、 Exchange Server HSTS サポートを無効にすることもできます。
「ドキュメントをよく読んでください。デフォルトの IIS HSTS 実装によって提供される設定の一部 (HTTP から HTTPS へのリダイレクトなど) は、別の方法で構成する必要があります。そうしないと、Exchange Server への接続が切断される可能性があります。」と Exchange チームは述べています。今日は言いました。
「 Exchange HealthChecker は、 Exchange サーバー上の HSTS 構成が期待どおりであるかどうかを確認するのに役立つ更新プログラムを間もなく受け取る予定です。」
今週、レドモンドは、今秋から Exchange Server 2019 でWindows 拡張保護がデフォルトで有効になることを発表しました。
このセキュリティ機能は、2023 H2 累積更新プログラム (CU14 とも呼ばれます) のインストール後にオンになり、認証リレーや MitM 攻撃からも保護されます。
Microsoftはまた、1月に管理者に対し、サポートされている最新の累積更新プログラム(CU)をインストールしてオンプレミスのExchangeサーバーを継続的に更新し、緊急セキュリティパッチに常に備えられるようにするよう促した。
Comments