Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Casa
Aug 31, 2023
Microsoft aggiunge il supporto HSTS a Exchange Server 2016 e 2019
Microsoft ha annunciato oggi che Exchange Server 2016 e 2019 sono ora dotati del supporto per HTTP Strict Transport Security (noto anche come HSTS). HSTS è una direttiva per server web che istruisce i siti web (ad esempio
Microsoft ha annunciato oggi che Exchange Server 2016 e 2019 sono ora dotati del supporto per HTTP Strict Transport Security (noto anche come HSTS).
HSTS è una direttiva per server Web che indica ai siti Web (come OWA o ECP per Exchange Server) di consentire solo connessioni tramite HTTPS, proteggendoli dagli attacchi man-in-the-middle (MitM) attivati tramite downgrade del protocollo e dirottamento dei cookie.
Garantisce inoltre che gli utenti non possano eludere gli avvisi di certificati scaduti, non validi o non attendibili, che potrebbero indicare che si connettono tramite canali compromessi.
Una volta attivati, i browser Web identificheranno le violazioni delle policy HSTS e interromperanno tempestivamente le connessioni in risposta agli attacchi man-in-the-middle.
"HSTS non solo aggiunge protezione contro scenari di attacco comuni, ma aiuta anche a eliminare la necessità della pratica comune (e ora non sicura) di reindirizzare gli utenti da un URL HTTP a un URL HTTPS", spiega Microsoft.
"HSTS può essere utilizzato anche per affrontare attacchi di rete attivi e passivi. Tuttavia, HSTS non affronta malware, phishing o vulnerabilità del browser."
Microsoft fornisce informazioni dettagliate sulla configurazione di HSTS su Exchange Server 2016 e 2019 tramite PowerShell o Gestione Internet Information Services (IIS) nel sito Web della documentazione.
Gli amministratori possono anche disabilitare il supporto HSTS di Exchange Server ripristinando la configurazione per ciascun server.
"Leggere attentamente la documentazione poiché alcune delle impostazioni fornite dall'implementazione IIS HSTS predefinita (ad esempio, reindirizzamento da HTTP a HTTPS) devono essere configurate in modo diverso poiché altrimenti potrebbero interrompere la connettività a Exchange Server," il team di Exchange detto oggi.
"Exchange HealthChecker riceverà presto un aggiornamento che ti aiuterà a scoprire se la configurazione HSTS sul tuo Exchange Server è quella prevista."
Questa settimana, Redmond ha annunciato che Windows Extended Protection sarà abilitato per impostazione predefinita su Exchange Server 2019 a partire da questo autunno.
La funzionalità di sicurezza verrà attivata dopo l'installazione dell'aggiornamento cumulativo H2 2023 (noto anche come CU14) e proteggerà anche dall'inoltro di autenticazione o dagli attacchi MitM.
Microsoft ha inoltre esortato gli amministratori a gennaio ad aggiornare continuamente i propri server Exchange locali installando gli ultimi aggiornamenti cumulativi (CU) supportati per essere sempre pronti per le patch di sicurezza di emergenza.
Il comitato statunitense per la sicurezza informatica analizzerà l'attacco hacker di Microsoft Exchange alle e-mail governative
Cambiamento del browser Windows 11: l'Europa applaude, il resto del mondo indignato
Risparmia $ 500 su un tablet Windows con un Microsoft Surface Pro ricondizionato
Offerta Labor Day: ottieni Windows 11 Pro a $ 32,97 fino al 31 agosto
Microsoft attribuisce la colpa delle schermate blu "processore non supportato" ai fornitori OEM