Корпорация Microsoft недавно объявила , что в Exchange Server 2016 и 2019 теперь встроена поддержка ” data-html=”true” data-original-title=”HTTP” >HTTP Strict Transport Security (” data-html=”true” data-original-title=”HSTS” >HSTS) – механизма принудительного использования безопасного протокола HTTPS.
HSTS защищает веб-приложения Exchange Server, такие как OWA и ECP, от атак типа “человек посередине” (MitM) и перехвата cookie-файлов путём принудительного использования зашифрованного соединения HTTPS.
Механизм также не позволяет пользователям игнорировать предупреждения об истёкших, недействительных или непроверенных сертификатах, которые могут указывать на скомпрометированное соединение.
При обнаружении нарушения политики HSTS браузеры будут незамедлительно прерывать все подозрительные соединения.
По словам Microsoft, HSTS не только усилит защиту от распространённых видов атак, но и устранит необходимость в небезопасной практике перенаправления с HTTP на HTTPS.
Кроме того, с HSTS как активные, так и пассивные сетевые атаки будут практически не страшны пользователям (за исключением вредоносного ПО, фишинга и уязвимостей браузеров).
Подробная информацию о настройке HSTS в Exchange Server 2016 и 2019 с помощью PowerShell или диспетчера IIS доступнана сайте Microsoft. Администраторы также могут вручную отключить поддержку HSTS , отменив соответствующие настройки на каждом отдельно взятом сервере.
Компания рекомендует тщательно изучить документацию, поскольку некоторые настройки по умолчанию в IIS, например, перенаправление с HTTP на HTTPS, должны быть сконфигурированы особым образом, чтобы не нарушить работу Exchange Server.
Exchange HealthChecker также скоро сможет помочь проверить корректность настройки HSTS на сервере.
В понедельник Microsoft также объявилао том, что расширенная защита Windows по умолчанию будет включена в Exchange Server 2019, начиная с осеннего обновления 2023 H2 (CU14). Эта функция защитит пользователей от MitM-атак, а также атак типа “перехват аутентификации”.
В январе корпорация настоятельно рекомендовала администраторам позаботиться о защите серверов Exchange. Microsoft призвала регулярно устанавливать последние поддерживаемые кумулятивные обновления, чтобы всегда быть готовыми к срочным обновлениям безопасности.