之前將家中Exchange 2019 hybrid Server 安裝近期發佈的更新後,有跑了一次健康檢查,有看到一個CVE-2021-1730 漏洞沒有處理。
Security Vulnerability: Download Domains are not configured. You should configure them to be protected against CVE-2021-1730. Configuration instructions: https://aka.ms/HC-DownloadDomains
CVE-2021-1730 說明:
Microsoft Exchange Server 中存在欺騙漏洞,這可能會導致惡意行為者冒充使用者的攻擊。 為了防止此類攻擊,Microsoft 建議從與 OWA 其餘部分不同的 DNS 網域下載內嵌映像。
https://zh-tw.tenable.com/plugins/nessus/146330
解決方式:
微軟建議設定 Download Domains
新增 download domain to 內部 及 外部 DNS server canme 紀錄
| Name | Type | Value |
| download | Alias (Cname) | download.pmail.idv.tw |
由於我外部及內部都是使用windows server ( 內部就是dc)
外部dns
內部 dns
將download domins fqdn 新增至外部憑證
由於我是申請萬用憑證所以*.pmail.idv.tw 所以沒有另外再處理(依照每個環境不同而定)
接下來設定 exchange iis 虛擬目錄
Set-OwaVirtualDirectory -Identity “ex01\owa (Default Web Site)” -InternalDownloadHostName “download.pmail.idv.tw”
Set-OwaVirtualDirectory -Identity “ex01\owa (Default Web Site)” -ExternalDownloadHostName “download.pmail.idv.tw”
確認設定
get-OwaVirtualDirectory | ft Identity,*DownloadHostname
完成後重啟iis,就搞定囉
參考連結:
https://www.alitajran.com/cve-2021-1730-vulnerability/
本篇瀏覽人數: 528
