Microsoft, Exchange Server 2016 ve 2019’un artık HTTP Strict Transport Security’yi (HSTS) desteklediğini duyurdu.
HSTS nedir?
Web sunucusuna yönerge veren bir web yönergesidir ve web sitelerine (Exchange Server için OWA veya ECP gibi) yalnızca HTTPS üzerinden bağlantılara izin verilmesini sağlar, böylece protokol düşürmeleri ve çerez ele geçirmeleri yoluyla tetiklenen araya girme (MitM – man-in-the-middle) saldırılarından korunur.
Aynı zamanda, kullanıcıların süresi dolmuş, geçersiz veya güvenilmeyen sertifika uyarılarını atlayamayacaklarından emin olur; bu uyarılar, kompromize edilmiş kanallar aracılığıyla bağlandıklarını gösterebilir.
Etkinleştirildiğinde, web tarayıcıları HSTS politikası ihlallerini tanımlayacak ve araya girme saldırılarına yanıt olarak bağlantıları derhal sonlandıracaktır.
Microsoft açıklamasında; “HSTS yalnızca yaygın saldırı senaryolarına karşı koruma sağlamakla kalmaz, aynı zamanda kullanıcıları HTTP URL’sinden HTTPS URL’sine yönlendirme yaygın (ve şu anda güvensiz) uygulamasına gerek olmadığını da belirtir,”
HSTS ayrıca aktif ve pasif ağ saldırılarına karşı kullanılabilir. Ancak HSTS, kötü amaçlı yazılımlar, kimlik avı veya tarayıcı güvenlik açıklarını ele almaz.
Exchange HSTS desteğini nasıl yapılandırabilirsiniz?
Microsoft, Exchange Server 2016 ve 2019’un HSTS’yi PowerShell veya Internet Information Services (IIS) Yöneticisi aracılığıyla nasıl yapılandırılacağına dair ayrıntılı bilgiyi yayınladı.
Yöneticiler ayrıca Exchange Server HSTS desteğini her sunucu için yapılandırmayı geri alarak devre dışı bırakabilirler.
Exchange Ekibi, “Lütfen belgeleri dikkatlice okuyun, çünkü varsayılan IIS HSTS uygulamasının sunduğu bazı ayarlar (örneğin, HTTP’den HTTPS’ye yönlendirme) aksi takdirde Exchange Server’a bağlantıyı bozabileceğinden farklı bir şekilde yapılandırılmalıdır,” açıklamasını yaptı.
“Exchange HealthChecker yakında bir güncelleme alacak ve Exchange Serverınızdaki HSTS yapılandırmasının beklenen şekilde olup olmadığını kontrol etmenize yardımcı olacaktır.”
Bu hafta Redmond, Windows Extended Protection’ın Exchange Server 2019’da bu sonbahardan itibaren varsayılan olarak etkinleştirileceğini duyurdu.
Bu güvenlik özelliği, 2023 H2 Birikimli Güncelleme (CU14) yüklendikten sonra devreye alınacak ve kimlik doğrulama rölelemesi veya araya girme saldırılarına karşı da koruma sağlayacaktır.
Microsoft ayrıca Ocak ayında, yerel sunucularda sürekli olarak en son desteklenen Birikimli Güncelleme’leri (CU) kurarak her zaman acil güvenlik yamalarına hazır olmalarını istedi.
kaynak: bleepingcomputer