Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Maison
Aug 31, 2023
Microsoft ajoute la prise en charge HSTS à Exchange Server 2016 et 2019
Microsoft a annoncé aujourd'hui qu'Exchange Server 2016 et 2019 prennent désormais en charge HTTP Strict Transport Security (également connu sous le nom de HSTS). HSTS est une directive de serveur Web qui demande aux sites Web (tels que
Microsoft a annoncé aujourd'hui qu'Exchange Server 2016 et 2019 prennent désormais en charge HTTP Strict Transport Security (également connu sous le nom de HSTS).
HSTS est une directive de serveur Web qui demande aux sites Web (tels qu'OWA ou ECP pour Exchange Server) d'autoriser uniquement les connexions via HTTPS, les protégeant ainsi des attaques de l'homme du milieu (MitM) déclenchées par des déclassements de protocole et des détournements de cookies.
Cela garantit également que les utilisateurs ne peuvent pas contourner les avertissements de certificat expiré, invalide ou non fiable, qui pourraient indiquer qu'ils se connectent via des canaux compromis.
Une fois activés, les navigateurs Web identifieront les violations de la politique HSTS et mettront rapidement fin aux connexions en réponse aux attaques de l'homme du milieu.
"HSTS n'ajoute pas seulement une protection contre les scénarios d'attaque courants, il contribue également à éliminer le besoin de la pratique courante (et désormais non sécurisée) consistant à rediriger les utilisateurs d'une URL HTTP vers une URL HTTPS", explique Microsoft.
"HSTS peut également être utilisé pour lutter contre les attaques réseau actives et passives. Cependant, HSTS ne résout pas les logiciels malveillants, le phishing ou les vulnérabilités du navigateur."
Microsoft fournit des informations détaillées sur la configuration de HSTS sur Exchange Server 2016 et 2019 via PowerShell ou le gestionnaire des services Internet (IIS) sur son site Web de documentation.
Les administrateurs peuvent également désactiver la prise en charge Exchange Server HSTS en annulant la configuration de chaque serveur.
"Veuillez lire attentivement la documentation car certains des paramètres fournis par l'implémentation IIS HSTS par défaut (par exemple, la redirection HTTP vers HTTPS) doivent être configurés d'une manière différente, car ils pourraient autrement interrompre la connectivité à Exchange Server", l'équipe Exchange. dit aujourd'hui.
"Exchange HealthChecker recevra bientôt une mise à jour qui vous aidera à savoir si la configuration HSTS sur votre serveur Exchange est comme prévu."
Cette semaine, Redmond a annoncé que la protection étendue de Windows serait activée par défaut sur Exchange Server 2019 à partir de cet automne.
La fonction de sécurité sera activée après l'installation de la mise à jour cumulative 2023 H2 (également connue sous le nom de CU14) et protégera également contre les attaques par relais d'authentification ou MitM.
Microsoft a également exhorté les administrateurs en janvier à mettre continuellement à jour leurs serveurs Exchange sur site en installant les dernières mises à jour cumulatives (CU) prises en charge afin d'être toujours prêts pour les correctifs de sécurité d'urgence.
Le conseil américain de cybersécurité va analyser le piratage des courriels gouvernementaux par Microsoft Exchange
Changement du navigateur Windows 11 : l'Europe applaudit, indignation partout ailleurs
Économisez 500 $ sur une tablette Windows avec une Microsoft Surface Pro remise à neuf
Offre Fête du Travail : obtenez Windows 11 Pro pour 32,97 $ jusqu'au 31 août
Microsoft impute les écrans bleus des « processeurs non pris en charge » aux fournisseurs OEM