Microsoft 宣布,Exchange Server 2016 和 2019 正式支持 HTTP 严格传输安全协议(也称为 HSTS)。
什么是 HSTS
在网络安全领域,HSTS(HTTP Strict Transport Security)是一项关键的网络安全机制,它有助于加强数据传输的安全性,可以有效保护网站(就 Exchange Server 而言,包括 OWA 或 ECP)免受多种攻击,包括协议降级攻击和 Cookie 劫持等。该机制在 RFC 6797 中得以定义和支持。
HSTS 机制让 Web 服务器能够声明,Web 浏览器在与其交互时应仅使用加密和身份验证的 HTTPS 连接。当浏览器接收到严格传输安全性(STS)头时,它将执行 HSTS,确保只使用安全的连接。
HSTS 能够有效防止用户忽略无效证书警告(如过期、无效或不受信任的证书,名称不匹配等),从而避免可能的连接破坏。即便攻击者尝试进行协议降级攻击或中间人攻击,浏览器也会及时侦测到 HSTS 策略违规情况,并立即中断连接。
在 Exchange Server 上配置 HSTS
Microsoft 发布了在 Exchange Server 2016 和 2019 上配置 HSTS 的文档,您可以点击这里访问。管理员也可以通过回滚服务器配置来禁用 Exchange Server 的 HSTS 支持。
Exchange HealthChecker 将很快得到更新,以帮助检查 Exchange Server 上的 HSTS 配置是否符合预期。
最新评论
需要管理员权限
直接降级 Windows10 一次性永久解决问题
我按照作者的方法成功了
使用PowerShell修改失败,禁止访问