Exchange 2019設定download domain 解決CVE-2021-1730 漏洞

之前將家中Exchange 2019 hybrid Server 安裝近期發佈的更新後,有跑了一次健康檢查,有看到一個CVE-2021-1730 漏洞沒有處理。

Security Vulnerability: Download Domains are not configured. You should configure them to be protected against CVE-2021-1730.                                        Configuration instructions: https://aka.ms/HC-DownloadDomains

2023-10-25_230650

 

CVE-2021-1730 說明:

Microsoft Exchange Server 中存在欺騙漏洞,這可能會導致惡意行為者冒充使用者的攻擊。 為了防止此類攻擊,Microsoft 建議從與 OWA 其餘部分不同的 DNS 網域下載內嵌映像。

https://zh-tw.tenable.com/plugins/nessus/146330

解決方式:

微軟建議設定  Download Domains

新增 download domain to 內部 及 外部  DNS server   canme 紀錄
Name Type Value
download Alias (Cname) download.pmail.idv.tw

由於我外部及內部都是使用windows server  ( 內部就是dc)

外部dns

extenal

內部 dns

internal-dns

將download domins fqdn 新增至外部憑證

由於我是申請萬用憑證所以*.pmail.idv.tw  所以沒有另外再處理(依照每個環境不同而定)

接下來設定 exchange iis 虛擬目錄

Set-OwaVirtualDirectory -Identity “ex01\owa (Default Web Site)” -InternalDownloadHostName “download.pmail.idv.tw”

Set-OwaVirtualDirectory -Identity “ex01\owa (Default Web Site)” -ExternalDownloadHostName “download.pmail.idv.tw”

iis-virtual

確認設定

get-OwaVirtualDirectory | ft Identity,*DownloadHostname

check-iis

 

完成後重啟iis,就搞定囉

參考連結:

https://learn.microsoft.com/en-us/answers/questions/700888/exchange-2016-enable-download-domain-for-owa-ecp

https://www.alitajran.com/cve-2021-1730-vulnerability/



本篇瀏覽人數: 575
分類: Exchange 2019, 資訊安全相關。這篇內容的永久連結

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *