Microsoft bugün Exchange Server 2016 ve 2019’un artık HTTP Katı Taşıma Güvenliği (HSTS olarak da biliniyor) desteğinin geldiğini duyurdu.
HSTS, web sitelerine (OWA veya Exchange Server için ECP gibi) yalnızca HTTPS aracılığıyla bağlantılara izin vermeleri talimatını veren ve onları protokol sürüm düşürme ve çerez ele geçirme yoluyla tetiklenen ortadaki adam (MitM) saldırılarından koruyan bir web sunucusu yönergesidir.
Ayrıca kullanıcıların, güvenliği ihlal edilmiş kanallar üzerinden bağlandıklarını gösteren süresi dolmuş, geçersiz veya güvenilmeyen sertifika uyarılarını atlatamamalarını da sağlar.
Bu özellik açıldığında, web tarayıcıları HSTS politika ihlallerini tespit edecek ve ortadaki adam saldırılarına yanıt olarak bağlantıları derhal sonlandıracaktır.
Microsoft, “HSTS yalnızca yaygın saldırı senaryolarına karşı koruma sağlamakla kalmıyor, aynı zamanda kullanıcıları bir HTTP URL’sinden bir HTTPS URL’sine yönlendirmeye yönelik yaygın (ve artık güvenli olmayan) uygulama ihtiyacını da ortadan kaldırmaya yardımcı oluyor” diye açıklıyor.
“HSTS aynı zamanda aktif ve pasif ağ saldırılarını engellemek için de kullanılabilir. Ancak HSTS, kötü amaçlı yazılım, kimlik avı veya tarayıcıdaki güvenlik açıklarını gidermez.”
Exchange HSTS desteği nasıl yapılandırılır?
Microsoft, dokümantasyon web sitesinde PowerShell veya Internet Information Services (IIS) Yöneticisi aracılığıyla Exchange Server 2016 ve 2019’da HSTS’nin yapılandırılmasına ilişkin ayrıntılı bilgi veriyor.
Yöneticiler ayrıca her sunucunun yapılandırmasını geri alarak Exchange Server HSTS desteğini devre dışı bırakabilirler.
Exchange Ekibi, “Varsayılan IIS HSTS uygulaması tarafından sağlanan bazı ayarların (örneğin, HTTP’den HTTPS’ye yönlendirme) farklı bir şekilde yapılandırılması gerektiğinden, yanlış bir yapılandırma Exchange Sunucusu bağlantısını kesebileceği için lütfen belgeleri dikkatlice okuyun.” uyarısında bulundu.
” Exchange HealthChecker yakında Exchange Sunucunuzdaki HSTS yapılandırmasının beklendiği gibi olup olmadığını öğrenmenize yardımcı olacak bir güncelleme alacak.”
Bu hafta Redmond, Windows Genişletilmiş Korumanın bu sonbahardan itibaren Exchange Server 2019’da varsayılan olarak etkinleştirileceğini duyurdu.
Güvenlik özelliği, 2023 H2 Toplu Güncelleme (CU14 olarak da biliniyor) yüklendikten sonra etkinleştirilecek ve ayrıca kimlik doğrulama aktarımına veya MitM saldırılarına karşı koruma sağlayacaktır.
Microsoft ayrıca Ocak ayında yöneticileri acil durum güvenlik yamalarına her zaman hazır olmak için desteklenen en son Toplu Güncelleştirmeleri (CU) yükleyerek şirket içi Exchange sunucularını sürekli olarak güncellemeye çağırdı.