{"id":285423,"date":"2023-08-30T02:33:10","date_gmt":"2023-08-30T00:33:10","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285423"},"modified":"2023-09-01T11:40:23","modified_gmt":"2023-09-01T09:40:23","slug":"exchange-2016-2019-bekommen-hsts-support-extended-protection-wird-bald-aktiviert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/30\/exchange-2016-2019-bekommen-hsts-support-extended-protection-wird-bald-aktiviert\/","title":{"rendered":"Exchange 2016\/2019 bekommen HSTS-Support; Extended Protection wird bald aktiviert"},"content":{"rendered":"

\"Exchange[English<\/a>]Mit dem CU14 will Microsoft bei Exchange Server 2019 standardm\u00e4\u00dfig die Windows Server-Funktion Extended Protection zur verbesserten Absicherung aktivieren. Diese Funktion soll sich aber bei der Installation des CU14 bei Bedarf deaktivieren lassen. Das hat Redmond zum 28. August 2023 bekannt gegeben. Weiterhin gibt es die Ank\u00fcndigung, dass Exchange 2016\/2019 endlich Support f\u00fcr HTTP Strict Transport Security (HSTS) bekommen. Auch das hat Microsoft gerade in einem Techcommunity-Beitrag bekannt gegeben.<\/p>\n

<\/p>\n

Exchange 2019 CU14 aktiviert Extended Protection<\/h2>\n

\"\"Extended Protection<\/a> (EP) ist eine Windows-Funktion, die Server vor Angriffen vom Typ \"Man in the Middle\" (MiTM) sch\u00fctzen soll. EP erm\u00f6glicht innerhalb der Windows-Authentifizierung in IIS eine Bindung zwischen den auf der Anwendungsschicht \u00fcbergebenen Authentifizierungsinformationen und der TLS-Kapselung auf den unteren Ebenen des Protokollstapels. Die Authentifizierungsinformationen werden auch erg\u00e4nzt, indem der Namespace, auf den der Client zugreift, in die Verbindung aufgenommen wird. Wenn ein MiTM nicht den Namensraum repr\u00e4sentiert, den der Server erwartet, oder wenn er die TLS-Informationen zwischen Client und Server manipuliert, ist die Bindung ung\u00fcltig und die Authentifizierungsanfrage schl\u00e4gt fehl. Dies macht NTLM-Relay- und Ticket-Replay-Szenarien f\u00fcr b\u00f6swillige Akteure viel schwieriger.<\/p>\n

\"Exchange<\/p>\n

Gem\u00e4\u00df obigem Tweet und diesem Techcommunity-Artikel<\/a> vom 28. August 2023 hat Microsoft angek\u00fcndigt, dass ab dem kumulativen Update (CU) CU14 (Freigabe ist f\u00fcr das 2. Halbjahr 2023 geplant) f\u00fcr Exchange Server 2019 Extended Protection<\/a> (EP) standardm\u00e4\u00dfig aktiviert wird. Exchange Server 2019 befindet sich derzeit im Mainstream-Support und ist die einzige Version, die noch CUs erh\u00e4lt.<\/p>\n

Administratoren k\u00f6nnen diese Standardeinstellung jederzeit nach Installation des CU14 wieder deaktivieren, und ggf. zu einem sp\u00e4teren Zeitpunkt erneut aktivieren, schreibt Microsoft. Um EP zu deaktivieren, m\u00fcssen Administratoren die Befehlszeilenversion von Setup verwenden (die Details zum Aufruf will Microsoft zu einem sp\u00e4teren Zeitpunkt dokumentieren). Wird das CU14 \u00fcber die GUI-Version installiert, wird die EP-Option automatisch aktiviert. Wer das unbeaufsichtigte Setup oder Skripte zur Bereitstellung von CUs verwendet, muss diese so \u00e4ndern, dass der neue Setup-Parameter hinzugef\u00fcgt wird, um EP zu deaktivieren.<\/p>\n

Microsoft empfiehlt aber allen Kunden, EP in ihrer Umgebung zu aktivieren. Wenn auf Ihren Servern das SU vom August 2022 oder eine neuere SU installiert ist, wird EP bereits unterst\u00fctzt. Server, die auf einem Patchstand \u00e4lter als die SU vom August 2022 sind, gelten als dauerhaft anf\u00e4llig und sollten sofort aktualisiert werden. Wenn Sie au\u00dferdem Exchange-Server haben, die \u00e4lter sind als die SU vom August 2022, wird die Server-zu-Server-Kommunikation mit Servern, auf denen EP aktiviert ist, unterbrochen. Weitere Details sind in diesem Techcommunity-Artikel<\/a> zu finden.<\/p>\n

Exchange 2016\/2019 bekommen HSTS-Support<\/h2>\n

In einer weiteren Ank\u00fcndigung, siehe folgenden Tweet, hat Microsoft im Techcommunity-Beitrag Announcing support for HSTS on Exchange Server 2016 and 2019<\/a> angek\u00fcndigt, dass nun HTTP Strict Transport Security (HSTS) offiziell unterst\u00fctzt werde.<\/p>\n

\"HTTP<\/a><\/p>\n

HSTS ist ein Richtlinienmechanismus, der dazu beitr\u00e4gt, Websites (OWA oder ECP bei Exchange Server) vor Man-in-the-Middle-Angriffen wie Protokoll-Downgrade-Angriffen und Cookie-Hijacking zu sch\u00fctzen. Es handelt sich um einen weithin unterst\u00fctzten Standard, der in RFC 6797<\/a> definiert wurde. Die HSTS-Unterst\u00fctzung erm\u00f6glicht Webservern Browsern vorzugeben, dass Anfragen des Browsers nur \u00fcber HTTPS-Verbindungen erfolgen sollten. Dies stellt sicher, dass Verschl\u00fcsselung und Authentifizierung bei der \u00dcbertragung verwendet wird. HSTS verhindert, dass Benutzer Warnungen vor ung\u00fcltigen Zertifikaten (z. B. abgelaufene, ung\u00fcltige oder nicht vertrauensw\u00fcrdige Zertifikate, Namens\u00fcbereinstimmungen usw.) umgehen k\u00f6nnen. Versucht ein Angreifer einen Protokoll-Downgrade-Angriff oder einen Man-in-the-Middle-Angriff, erkennt der Browser die Verletzung der HSTS-Richtlinie und bricht die Verbindung ab.<\/p>\n

Microsoft hat diese Dokumentation<\/a> mit den notwendigen Schritten zur Konfiguration von HSTS auf Exchange Server 2016 und 2019 ver\u00f6ffentlicht. Der Exchange HealthChecker soll in K\u00fcrze ein Update erhalten, damit dieser anzeigen kann, ob die HSTS-Konfiguration auf dem Exchange Server wie erwartet eingerichtet wurde.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Mit dem CU14 will Microsoft bei Exchange Server 2019 standardm\u00e4\u00dfig die Windows Server-Funktion Extended Protection zur verbesserten Absicherung aktivieren. Diese Funktion soll sich aber bei der Installation des CU14 bei Bedarf deaktivieren lassen. Das hat Redmond zum 28. August 2023 … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,2557],"tags":[5359,4328],"class_list":["post-285423","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-windows-server","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285423","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=285423"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285423\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=285423"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=285423"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=285423"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}