bencede
New member
Yerel olarak kurulan versiyondaki Exchange sunucusu da yeni güvenlik işlevleri alıyor. Microsoft, artık Exchange 2016 ve 2019 için HTTP Sıkı Aktarım Güvenliği (HSTS) ve Exchange 2019 için Genişletilmiş Koruma sunacağını duyurdu. İkincisi, Exchange 2019 için gelecek 2023-H2 güncellemesiyle varsayılan olarak etkinleştirilecek. Her iki mekanizma da, Exchange 2019 için Genişletilmiş Koruma’yı varsayılan olarak etkinleştirecek. Ortadaki Adam (MitM) saldırıları olarak da bilinen Ortadaki Düşman (AitM) saldırıları.
Duyuru
Outlook Web Access (OWA) veya Exchange Kontrol Paneli (ECP) için HSTS, TLS şifrelemesinin kullanımını zorunlu kılmayı amaçlamaktadır. Duyuruda Microsoft, mekanizmanın, kötü niyetli yazarların daha zayıf güvenli protokollerin kullanımını zorlamak istediği AitM saldırılarını tanıdığını ve bağlantıyı kestiğini yazıyor. Ayrıca tarayıcı kullanıcıları sertifika uyarılarını göz ardı edemez. Microsoft ayrıca BT yöneticilerinin Exchange sunucularında HSTS’yi nasıl etkinleştirebilecekleri konusunda da rehberlik sağlar.
Microsoft Exchange: Çoklu güvenlik mekanizmaları
“Genişletilmiş Koruma” (EP) koruma mekanizması aynı zamanda AitM saldırılarına karşı da koruma sağlamalıdır. CU14 olarak da bilinen Microsoft Exchange 2019 için yakında yayınlanacak olan 2023-H2 güncellemesiyle üretici bu özelliği varsayılan olarak etkinleştirir. Microsoft, duyuruda bu özelliği özet olarak şu şekilde açıklamaktadır: “IIS’deki Windows kimlik doğrulamasında, Genişletilmiş Güvenlik, uygulama katmanına aktarılan kimlik doğrulama bilgileri ile protokol yığınının daha düşük düzeylerinde TLS kapsülleme arasında bir bağ kurulmasına olanak tanır. Kimlik doğrulama bilgileri ayrıca şu şekilde desteklenir: bağlantıya eklenen istemci tarafından erişilen ad alanı.”
Bir AitM konumundaki saldırganlar, bağlantıları amaçlanan ad alanından ana bilgisayarlar aracılığıyla yönlendirmezse EP paketleri kabul etmeyecektir. Ad alanı, bilgisayarların ve sistemlerin tam etki alanı adlarından (FQDN) veya NetBIOS adlarından oluşan bir izin verilenler listesidir. Kötü niyetli kişilerin istemci ve sunucu arasındaki TLS bilgilerine müdahale etmesi durumunda ilişki geçersiz hale gelir ve kimlik doğrulama isteği başarısız olur. Genişletilmiş Koruma hakkında daha fazla ayrıntı ve açıklamalar bir Microsoft makalesinde mevcuttur.
Microsoft, Exchange 2019’dan Genişletilmiş Koruma’nın Ağustos 2022 SU yama düzeyiyle etkinleştirilmesini önerir. CU14 toplu güncellemesi göründüğünde, BT yöneticilerinin bunu EP etkinken aşırı yüklemeleri yeterlidir. Bu, gerekirse korumayı etkinleştirecektir. İstemiyorsanız kurulumun komut satırı sürümünü kullanmalı ve belirtilmemiş bir devre dışı bırakma parametresi kullanarak EP aktivasyonunu engellemelisiniz.
Daha eski Exchange kurulumları çalıştırıyorsanız, Microsoft çalışanları size düşüncelerini, dualarını ve sunucularınızı mevcut hizmet paketi durumuna yükseltmeniz için dostane ama kesin tavsiyelerini gönderir (“Sunucularınızı derhal yükseltmeniz için size düşünceler ve dualar ve çok güçlü ama nazik rehberlik gönderiyoruz) son SU’ya kadar.”). Microsoft güvenlik sorununu zorlamaya devam ediyor. Bu hafta Pazartesi günü, Microsoft’un, güvenli olmadığı düşünülen eski TLS 1.0 ve 1.1 varyantlarını Windows’un gelecek sürümlerinde hem masaüstü hem de sunucularda devre dışı bırakmayı planladığı açıklandı.
Duyuru
(Bilmiyorum)
Haberin Sonu
Duyuru
Outlook Web Access (OWA) veya Exchange Kontrol Paneli (ECP) için HSTS, TLS şifrelemesinin kullanımını zorunlu kılmayı amaçlamaktadır. Duyuruda Microsoft, mekanizmanın, kötü niyetli yazarların daha zayıf güvenli protokollerin kullanımını zorlamak istediği AitM saldırılarını tanıdığını ve bağlantıyı kestiğini yazıyor. Ayrıca tarayıcı kullanıcıları sertifika uyarılarını göz ardı edemez. Microsoft ayrıca BT yöneticilerinin Exchange sunucularında HSTS’yi nasıl etkinleştirebilecekleri konusunda da rehberlik sağlar.
Microsoft Exchange: Çoklu güvenlik mekanizmaları
“Genişletilmiş Koruma” (EP) koruma mekanizması aynı zamanda AitM saldırılarına karşı da koruma sağlamalıdır. CU14 olarak da bilinen Microsoft Exchange 2019 için yakında yayınlanacak olan 2023-H2 güncellemesiyle üretici bu özelliği varsayılan olarak etkinleştirir. Microsoft, duyuruda bu özelliği özet olarak şu şekilde açıklamaktadır: “IIS’deki Windows kimlik doğrulamasında, Genişletilmiş Güvenlik, uygulama katmanına aktarılan kimlik doğrulama bilgileri ile protokol yığınının daha düşük düzeylerinde TLS kapsülleme arasında bir bağ kurulmasına olanak tanır. Kimlik doğrulama bilgileri ayrıca şu şekilde desteklenir: bağlantıya eklenen istemci tarafından erişilen ad alanı.”
Bir AitM konumundaki saldırganlar, bağlantıları amaçlanan ad alanından ana bilgisayarlar aracılığıyla yönlendirmezse EP paketleri kabul etmeyecektir. Ad alanı, bilgisayarların ve sistemlerin tam etki alanı adlarından (FQDN) veya NetBIOS adlarından oluşan bir izin verilenler listesidir. Kötü niyetli kişilerin istemci ve sunucu arasındaki TLS bilgilerine müdahale etmesi durumunda ilişki geçersiz hale gelir ve kimlik doğrulama isteği başarısız olur. Genişletilmiş Koruma hakkında daha fazla ayrıntı ve açıklamalar bir Microsoft makalesinde mevcuttur.
Microsoft, Exchange 2019’dan Genişletilmiş Koruma’nın Ağustos 2022 SU yama düzeyiyle etkinleştirilmesini önerir. CU14 toplu güncellemesi göründüğünde, BT yöneticilerinin bunu EP etkinken aşırı yüklemeleri yeterlidir. Bu, gerekirse korumayı etkinleştirecektir. İstemiyorsanız kurulumun komut satırı sürümünü kullanmalı ve belirtilmemiş bir devre dışı bırakma parametresi kullanarak EP aktivasyonunu engellemelisiniz.
Daha eski Exchange kurulumları çalıştırıyorsanız, Microsoft çalışanları size düşüncelerini, dualarını ve sunucularınızı mevcut hizmet paketi durumuna yükseltmeniz için dostane ama kesin tavsiyelerini gönderir (“Sunucularınızı derhal yükseltmeniz için size düşünceler ve dualar ve çok güçlü ama nazik rehberlik gönderiyoruz) son SU’ya kadar.”). Microsoft güvenlik sorununu zorlamaya devam ediyor. Bu hafta Pazartesi günü, Microsoft’un, güvenli olmadığı düşünülen eski TLS 1.0 ve 1.1 varyantlarını Windows’un gelecek sürümlerinde hem masaüstü hem de sunucularda devre dışı bırakmayı planladığı açıklandı.
Duyuru
(Bilmiyorum)
Haberin Sonu