Configuration HSTS dans Exchange Server

De nos jours, alors que la communication par courrier électronique joue un rôle essentiel pour les entreprises, la sécurité et la confidentialité des données sont devenues tout aussi importantes. de Microsoft Échange Server 2019 est équipé de puissantes fonctionnalités de sécurité développées pour répondre à ces besoins. Dans cet article, comment maximiser la sécurité de vos données HSTS (Sécurité stricte du transport HTTP) Nous expliquerons en détail comment activer sa configuration.

en fait HSTS J'utilise sa structuration depuis très longtemps et j'essaie également de l'utiliser dans mes projets. (Des Pentests apparaissent également :)) Au cours des dernières semaines, Microsoft HSTS Une annonce a été faite pour et Exchange ServerIl a été dit que vous pouviez l'utiliser dans .

Exchange Server offre officiellement la prise en charge HSTS (HTTP Strict Transport Security) – ÇözümPark (cozumpark.com)

Qu’est-ce que le HSTS ?

HSTS est un mécanisme de politique destiné à protéger les sites Web (OWA ou ECP dans le cas d'Exchange Server) contre les attaques de l'homme du milieu, telles que les attaques par déclassement de protocole et les attaques de détournement de cookies. Il s'agit d'une norme largement prise en charge définie dans la RFC 6797.

La mise en œuvre de HSTS dans Microsoft Exchange Server constitue un pas en avant significatif dans le renforcement des mesures de sécurité contre les attaques potentielles. Ceci est particulièrement utile pour les services tels qu'Outlook Web App (OWA) ou Exchange Control Panel (ECP), qui sont des interfaces Web vers Exchange Server et sont sensibles à ce type d'attaque.

Avec HSTS, ces services peuvent désormais appliquer une politique de sécurité plus robuste, ce qui rend beaucoup plus difficile pour les attaquants d'exploiter les vulnérabilités potentielles dues à des connexions non sécurisées ou à des erreurs de certificat.

Les utilisateurs qui gèrent des serveurs Microsoft Exchange doivent envisager d'activer HSTS dans le cadre des meilleures pratiques de sécurité. Microsoft a publié un document expliquant les étapes requises pour configurer HSTS dans Exchange Server 2016 et 2019, permettant ainsi aux administrateurs de mettre en œuvre plus facilement cette fonctionnalité de sécurité importante.

Dans l'ensemble, l'ajout de la prise en charge HSTS à Microsoft Exchange Server est une évolution bienvenue qui contribue à un environnement de messagerie plus sûr et plus sécurisé.

Si un attaquant tente d'effectuer une attaque de déclassement de protocole ou une attaque de l'homme du milieu, le navigateur détectera que la politique HSTS a été violée et abandonnera la connexion.

HTTP Strict Transport Security (HSTS) est une fonctionnalité conçue pour la sécurité Web. Cela indique aux navigateurs Web et aux applications d'établir des connexions uniquement via HTTPS, qui est le protocole HTTP sécurisé. Cela empêche les utilisateurs ou les applications d'établir accidentellement ou de force des connexions non sécurisées.

HSTS est implémenté avec un en-tête de réponse ajouté au champ d'en-tête HTTP d'un serveur Web. Cet en-tête spécifie la durée pendant laquelle un utilisateur ou une application doit communiquer avec ce serveur via HTTPS uniquement. Si l'utilisateur tente d'accéder à ce site via HTTP pendant ce temps, le navigateur sera automatiquement redirigé vers HTTPS.

De plus, un autre point fort du HSTS est qu’il ne tolère pas les erreurs de certificat. Ainsi, si le certificat SSL d'un site Web est défectueux, lorsque HSTS est actif, le navigateur rejettera la connexion directe sans afficher aucun avertissement à l'utilisateur. Cette fonctionnalité protège les utilisateurs contre les attaques de l'homme du milieu.

En résumé, HSTS augmente la sécurité globale du Web en empêchant les utilisateurs et les applications de partager des informations via des protocoles non sécurisés. Ceci est particulièrement critique pour les sites Web sur lesquels des informations sensibles sont partagées.

hsts
Image gracieuseté d’Acunetix.

Scénario:Crise HSTS dans Exchange Server

HSTS du serveur ExchangeLes noms utilisés dans ce scénario ne représentent pas de vraies personnes.

DeltaTech est une entreprise qui s'est récemment fait un nom dans le monde de la technologie et est connue pour ses solutions innovantes. Cette société travaille depuis peu sur un protocole de communication pour ordinateurs quantiques appelé « QuantumNet ». Ce projet pourrait constituer une étape révolutionnaire pour l’industrie. Cependant, les détails du projet sont hautement confidentiels.

Lucas Green est le directeur informatique de DeltaTech. L'entreprise utilise Exchange Server 2019 pour le trafic de courrier électronique confidentiel du projet. Lucas pense que les systèmes sont sûrs, mais il y a quelque chose qu'il ne sait pas : ShadowHawk.

ShadowHawk est un groupe de hackers hautement qualifiés de renommée internationale. Leur chef, "Phantom", est au courant de l'existence du projet QuantumNet et cible DeltaTech pour connaître les détails de ce projet.

Phantom lance d'abord une opération de reconnaissance pour trouver le point faible du serveur Exchange. Il se rend vite compte que les emails ne sont pas cryptés. C'est une belle opportunité pour lui. ShadowHawk infiltre DeltaTech et intercepte les e-mails liés à QuantumNet.

Lucas panique lorsqu'il réalise que les e-mails sont transférés vers d'autres serveurs. Il ouvre aussitôt une enquête et se rend compte de la gravité de la situation. Le fait de ne pas chiffrer les e-mails peut entraîner la divulgation du secret de QuantumNet.

Lucas a pris des mesures immédiates et a commencé à travailler sur le serveur Exchange. HSTS configuration afin qu'il commence à chiffrer le trafic de courrier électronique. Cela déjoue les plans de ShadowHawk. Phantom est bluffé par la réactivité de DeltaTech.

Cependant, Lucas se rend compte qu'il faut être plus prudent. Une simple erreur, comme ne pas chiffrer les e-mails, aurait pu mettre en péril un projet sur lequel l'entreprise travaillait depuis des années. Lucas rencontre l'équipe informatique et décide de revoir les protocoles de sécurité. L'attaque de ShadowHawk a été un réveil pour DeltaTech.

Le projet a progressé en secret après l’attaque et quelques mois plus tard, QuantumNet a été lancé avec succès. Bien que ShadowHawk n’ait pas réussi à atteindre son objectif cette fois-ci, il a fourni une leçon importante à DeltaTech : la sécurité passe toujours en premier.

Comment configurer HSTS dans Exchange Server 2016 et 2019 ?

HSTS sa configuration IIS Nous devons le faire via (inetmgr).

Tout d’abord, nous ouvrons Internet Information Services (IIS – inetmgr) via le serveur Exchange Server.

Nous devons opérer sur le site Web par défaut sur IIS.

Nous arrivons à la section HSTS dans l'onglet Actions sur le côté gauche du Inetmgr – Site Web par défaut.

image

Modifier le site Web Nos configurations dans HSTS devraient être les suivantes :

  • Nous activons la section Activer
  • Âge maximum : 31536000
  • Inclure les sous-domaines
  • pré-charge

Remarque : Vous ne devez pas activer l'option Redirect Http to Https.

Image 1

résumé:

En plus de son accès Web, Exchange Server dispose également de services externes. La sécurité de ces services est donc extrêmement critique. Sécurité de transport stricte HTTP (HSTS)) joue un rôle essentiel dans l'augmentation de cette sécurité.

HSTS exige que seul HTTPS, le protocole HTTP sécurisé, soit utilisé pour accéder aux services Web d'Exchange Server. Ainsi, il minimise les menaces potentielles de sécurité et les violations de données. HSTS redirige automatiquement les demandes de connexion non sécurisées créées par erreur ou intention malveillante vers HTTPS. De plus, en cas d'erreurs de certificat SSL, il garantit que les connexions directes sont interrompues sans permettre aux utilisateurs d'établir des connexions incorrectes.


Articles similaires – Configuration HSTS dans Exchange Server

Commenter