블로그

Aug 31, 2023

Microsoft는 Exchange Server 2016 및 2019에 HSTS 지원을 추가합니다.

Microsoft는 오늘 Exchange Server 2016 및 2019에 HTTP Strict Transport Security(HSTS라고도 함)를 지원한다고 발표했습니다. HSTS는 웹사이트(예:

Microsoft는 오늘 Exchange Server 2016 및 2019에 HTTP Strict Transport Security(HSTS라고도 함)를 지원한다고 발표했습니다.

HSTS는 웹사이트(Exchange Server용 OWA 또는 ECP 등)에 HTTPS를 통한 연결만 허용하도록 지시하는 웹 서버 지시문으로, 프로토콜 다운그레이드 및 쿠키 하이재킹을 통해 발생하는 중간자(MitM) 공격으로부터 웹사이트를 보호합니다.

또한 사용자가 손상된 채널을 통해 연결했음을 나타낼 수 있는 만료되거나 유효하지 않거나 신뢰할 수 없는 인증서 경고를 피할 수 없도록 보장합니다.

일단 켜면 웹 브라우저는 HSTS 정책 위반을 식별하고 중간자 공격에 대응하여 연결을 즉시 종료합니다.

"HSTS는 일반적인 공격 시나리오에 대한 보호 기능을 추가할 뿐만 아니라 사용자를 HTTP URL에서 HTTPS URL로 리디렉션하는 일반적이고 안전하지 않은 관행의 필요성을 제거하는 데도 도움이 됩니다."라고 Microsoft는 설명합니다.

"HSTS는 능동 및 수동 네트워크 공격을 해결하는 데에도 사용할 수 있습니다. 그러나 HSTS는 맬웨어, 피싱 또는 브라우저 취약성을 해결하지 않습니다."

Microsoft는 설명서 웹 사이트에서 PowerShell 또는 IIS(인터넷 정보 서비스) 관리자를 통해 Exchange Server 2016 및 2019에서 HSTS를 구성하는 방법에 대한 자세한 정보를 제공합니다.

관리자는 각 서버의 구성을 롤백하여 Exchange Server HSTS 지원을 비활성화할 수도 있습니다.

Exchange 팀은 "기본 IIS HSTS 구현에서 제공하는 일부 설정(예: HTTP에서 HTTPS로의 리디렉션)은 다른 방식으로 구성해야 하므로 설명서를 주의 깊게 읽어 보십시오. 그렇지 않으면 Exchange Server에 대한 연결이 끊어질 수 있습니다." 오늘 말했다.

"Exchange HealthChecker는 Exchange Server의 HSTS 구성이 예상대로인지 확인하는 데 도움이 되는 업데이트를 곧 받게 될 것입니다."

이번 주 Redmond는 올 가을부터 Exchange Server 2019에서 Windows 확장 보호가 기본적으로 활성화될 것이라고 발표했습니다.

보안 기능은 2023 H2 누적 업데이트(CU14라고도 함)를 설치한 후 활성화되며 인증 릴레이 또는 MitM 공격으로부터도 보호합니다.

또한 Microsoft는 지난 1월 관리자에게 지원되는 최신 누적 업데이트(CU)를 설치하여 온프레미스 Exchange 서버를 지속적으로 업데이트하여 항상 긴급 보안 패치에 대비할 것을 촉구했습니다.

미국 사이버안전위원회, 정부 이메일에 대한 마이크로소프트 익스체인지 해킹 분석

Windows 11 브라우저 변경: 유럽에서는 박수를 보내고 다른 곳에서는 분노합니다.

리퍼브된 Microsoft Surface Pro로 Windows 태블릿 구입 시 $500 할인

노동절 특가: 8월 31일까지 Windows 11 Pro를 32.97달러에 구매하세요

Microsoft는 OEM 공급업체의 '지원되지 않는 프로세서' 블루 스크린을 비난합니다.