Microsoft bugün Exchange Server 2016 ve 2019’un artık HTTP Sıkı Aktarım Güvenliği (HSTS olarak da bilinir) desteğiyle geldiğini duyurdu.
HSTS, web sitelerine (OWA veya Exchange Server için ECP gibi) yalnızca HTTPS aracılığıyla bağlantılara izin vermeleri talimatını veren ve onları protokol sürüm düşürme ve çerez ele geçirme yoluyla tetiklenen ortadaki adam (MitM) saldırılarından koruyan bir web sunucusu yönergesidir.
Ayrıca kullanıcıların, güvenliği ihlal edilmiş kanallar üzerinden bağlandıklarını gösteren süresi dolmuş, geçersiz veya güvenilmeyen sertifika uyarılarını atlatamamalarını da sağlar.
Bu özellik açıldığında, web tarayıcıları HSTS politika ihlallerini tespit edecek ve ortadaki adam saldırılarına yanıt olarak bağlantıları derhal sonlandıracaktır.
Microsoft, “HSTS yalnızca yaygın saldırı senaryolarına karşı koruma sağlamakla kalmıyor, aynı zamanda kullanıcıları bir HTTP URL’sinden bir HTTPS URL’sine yönlendirmeye yönelik yaygın (ve artık güvenli olmayan) uygulama ihtiyacını da ortadan kaldırmaya yardımcı oluyor” diye açıklıyor.
“HSTS aynı zamanda aktif ve pasif ağ saldırılarını engellemek için de kullanılabilir. Ancak HSTS, kötü amaçlı yazılım, kimlik avı veya tarayıcıdaki güvenlik açıklarını gidermez.”
Exchange HSTS desteği nasıl yapılandırılır
Microsoft, dokümantasyon web sitesinde PowerShell veya Internet Information Services (IIS) Yöneticisi aracılığıyla Exchange Server 2016 ve 2019’da HSTS’nin yapılandırılmasına ilişkin ayrıntılı bilgi sağlar.
Yöneticiler ayrıca her sunucunun yapılandırmasını geri alarak Exchange Server HSTS desteğini devre dışı bırakabilir.
Exchange Ekibi, “Varsayılan IIS HSTS uygulaması tarafından sağlanan bazı ayarların (örneğin, HTTP’den HTTPS’ye yönlendirme) farklı bir şekilde yapılandırılması gerektiğinden, aksi takdirde Exchange Sunucusu bağlantısını kesebilecekleri için lütfen belgeleri dikkatlice okuyun.” bugün söyledi.
“Exchange HealthChecker yakında Exchange Sunucunuzdaki HSTS yapılandırmasının beklendiği gibi olup olmadığını öğrenmenize yardımcı olacak bir güncelleme alacak.”
Bu hafta Redmond, Windows Genişletilmiş Korumanın bu sonbahardan itibaren Exchange Server 2019’da varsayılan olarak etkinleştirileceğini duyurdu.
Güvenlik özelliği, 2023 H2 Toplu Güncelleme (CU14 olarak da bilinir) yüklendikten sonra etkinleştirilecek ve ayrıca kimlik doğrulama aktarımına veya MitM saldırılarına karşı koruma sağlayacaktır.
Microsoft ayrıca Ocak ayında yöneticileri acil durum güvenlik yamalarına her zaman hazır olmak için desteklenen en son Toplu Güncelleştirmeleri (CU) yükleyerek şirket içi Exchange sunucularını sürekli olarak güncellemeye çağırdı.