背景圖片來源/Photo by Tobias van Schneider on Unsplash

微軟周一(8/28)宣布,自今年秋天釋出Exchange Server 2019的2023 H2累積更新(CU 14)之後,原本專為Windows所設計的身分驗證延伸保護(Extended Protection,EP)即會成為Exchange Server的預設功能。

EP是用來加強Windows Server上既有的身分驗證功能,以減緩身分驗證的中間人(MitM)攻擊,它允許於IIS中的Windows Authentication建立綁定,連結應用程式層的驗證資訊與較低通訊協定級別的TLS加密,另也藉由於連結中添加客戶正在存取的命名空間來補強,因此,倘若一個MitM並非代表伺服器所預期的命名空間,或是企圖竄改客戶端與伺服器端之間的TLS資訊,那麼綁定便會失效,而無法通過身分驗證。

微軟是在去年8月藉由安全更新於Exchange Server中新增EP功能,支援Exchange Server 2013、Exchange Server 2016及Exchange Server 2019,但必須手動啟用,不過,微軟現在打算透過CU 14讓EP成為Exchange Server的預設功能,不過,只有仍處主流支援階段的Exchange Server 2019才能接收CU 14,意謂著其它的Exchange Server版本皆需手動啟用EP。

儘管微軟建議所有的Exchange Server客戶都應該於自家環境中啟用EP,但也表示這只是個預設設定,管理人員仍能將它關閉。

微軟亦警告,那些並未安裝August 2022安全更新的舊版Exchange Server都被視為持續含有安全漏洞,皆應立即更新,此外,這些舊版Exchange Server也無法與那些啟用EP的新版伺服器正常通訊。

熱門新聞

Advertisement