in Ihrer Umgebung Exchange Server um die Infrastruktur sicher und funktionsfähig zu halten, regelmäßige Windows-Updates und Exchange ServerEs ist wichtig, bestimmte Sicherheitsupdates (SU) und kumulative Updates (CU) anzuwenden.
Sicherheitsupdate März 2024 für Exchange Server veröffentlicht! – Cengiz YILMAZ | Sys-Blog
Inhaltsverzeichnis
Exchange Server CVE-2021-1730
Diese Updates sind notwendig, um potenzielle Sicherheitslücken zu schließen und Ihr System mit den neuesten Softwarestandards kompatibel zu halten.
In unseren vorherigen Artikeln Exchange Server Gesundheitscheck für (GesundheitskontrolleWir haben über die Bedeutung der Funktion ) gesprochen. Wir können dieses Tool beim Hinzufügen einer neuen Database Availability Group (DAG) oder in regelmäßigen Abständen verwenden, um den Gesamtzustand des Exchange Servers zu bewerten.
insbesondere CVE-2021-1730 Das Auftauchen solcher Sicherheitslücken macht die Bedeutung von Updates noch deutlicher. Mit Health Check-Berichten können Sie überprüfen, ob Updates vollständig angewendet wurden CVE-2021-1730 Es zeigt an, ob Sie vor folgenden Schwachstellen geschützt sind:
Wenn Sie eine Integritätsprüfung durchführen, wird möglicherweise die folgende Warnung bezüglich der Sicherheitslücke „Download-Domänen“ angezeigt.
„Download-Domänen sind nicht konfiguriert. Sie sollten sie für CVE-2021-1730 konfigurieren und davor schützen. Konfigurierte Anweisungen: https://aka.ms/HC-DownloadDomains
CVE-2021-1730 ist eine schwerwiegende Sicherheitslücke in Exchange Server und ermöglicht es Angreifern, nicht autorisierte Aktionen durchzuführen, indem sie sich als Benutzer ausgeben. Die Auswirkungen dieser Schwachstelle sind besonders deutlich bei Outlook Web Access (OWA) zu erkennen, weshalb Sicherheitsmaßnahmen und Tests über OWA durchgeführt werden müssen. Wenn die Konfiguration nicht korrekt durchgeführt wird, können Benutzer visuelle Inhalte nicht über die OWA-Schnittstelle anzeigen.
Exchange Server CVE-2021-1730 Domänenkonfiguration herunterladen
Der erste Schritt zur Behebung der Schwachstelle besteht darin, eine Korrektur bei Ihrem lokalen DNS-Administrator vorzunehmen. In meinem Fall auf meinem lokalen DNS PifPoint DNS weil es gebraucht wirdmail.complianceoncloud.comIch werde die notwendigen Anpassungen in der ' (Zone) vornehmen. Bei diesem Vorgang wird ein erforderlicher DNS-Eintrag erstellt. CNAME Wir müssen den Datensatz hinzufügen. Dies bedeutet, dass Angreifer CVE-2021-1730 Dies ist ein entscheidender Schritt, um zu verhindern, dass Benutzer die Sicherheitslücke für schädliche Aktivitäten nutzen.
Als ersten Schritt in mail.complianceoncloud.com download.mail.complianceoncloud.com Ich erstelle den Datensatz.
Der CNAME-Eintrag, den Sie erstellen müssen, muss sich im vorhandenen FQDN befinden, indem Sie den Namen „Download“ hinzufügen.
| NAME/FUNKTION | TYP | BEWERTUNG |
|---|---|---|
| Download.Mail | CNAME | Mail.Contoso.com |
Bis jetzt Domains herunterladen aus seiner Verletzlichkeit und CNAME Wir haben darüber gesprochen, den Datensatz hinzuzufügen, jetzt Exchangeserver üzerinde VDIR Wir müssen hinzufügen, OWA auf der Sekundarstufe VDIR Wir müssen hinzufügen.
Set-OwaVirtualDirectory -Identity "EXC1owa (Default Web Site)" -InternalDownloadHostName "download.mail.complianceoncloud.com" -ExternalDownloadHostName "download.mail.complianceoncloud.com"
Wir haben die für Download-Domänen erforderliche VDIR-Erweiterung abgeschlossen. Jetzt können wir die folgende Befehlszeile ausführen, um die Richtigkeit unserer Aktionen zu überprüfen.
Get-OwaVirtualDirectory | ft Identity,*DownloadHostName
Nachdem wir den Prozess zum Hinzufügen von CNAME und VDIR abgeschlossen haben, müssen wir die Funktion „Domänen herunterladen“ im gesamten Unternehmen aktivieren. Für diese Funktion müssen wir den Befehl „Set-OrganizationConfig“ verwenden. Diese Einstellung bietet einen besseren Schutz des Exchange Servers vor bestimmten Sicherheitslücken wie CVE-2021-1730.
Dieser Befehl schützt Ihr Unternehmen vor schädlichen Inhalten, indem er die Verwaltung von Download-Domänen erleichtert und sicherheitskritische Daten schützt. Durch die Ausführung dieses Befehls wird Ihr Exchange Server sicherer und bietet eine zusätzliche Schutzebene gegen potenzielle Angriffe.
Set-OrganizationConfig -EnableDownloadDomains $true
Anschließend können Sie Ihre Exchange-Server neu starten oder IISRESET durchführen.
Sie müssen Ihre Transaktion lediglich über OWA überprüfen. Inline-Bilder auf OWA müssen von „download.mail.complianceoncloud.com“ stammen.
Zunächst müssen wir uns bei OWA anmelden und die visuelle Inline-E-Mail überprüfen. Dann müssen wir die „Download“-URL-Adresse im Inspektorfenster sehen, indem wir die Taste F12 drücken.
Ein beim Exchange Server-Update vom März 2024 aufgetretenes Problem besteht darin, dass Inline-Bilder in OWA in Organisationen mit aktivierter Funktion „Domänen herunterladen“ nicht angezeigt werden. Von Microsoft gemeldete Workarounds müssen umgesetzt werden.
Deaktivieren der Exchange Server-Download-Domänenfunktion
Um die Download-Domänenfunktion von Exchange Server zu deaktivieren, müssen wir lediglich die folgende Befehlszeile über die Exchange-Verwaltungsshell ausführen.
Herunterfahren der Exchange Server OWA-Download-Domänen – Cengiz YILMAZ
Set-OrganizationConfig -EnableDownloadDomains $false2- Alle Ihre Benutzer müssen die Microsoft Outlook-Desktopanwendung anstelle von OWA verwenden.
2021 Kommentare zu „Konfigurieren der Exchange Server-Download-Domäne CVE-1730-2“