Blog

Aug 31, 2023

Microsoft agrega soporte HSTS a Exchange Server 2016 y 2019

Microsoft anunció hoy que Exchange Server 2016 y 2019 ahora son compatibles con HTTP Strict Transport Security (también conocido como HSTS). HSTS es una directiva de servidor web que instruye a los sitios web (como

Microsoft anunció hoy que Exchange Server 2016 y 2019 ahora son compatibles con HTTP Strict Transport Security (también conocido como HSTS).

HSTS es una directiva de servidor web que indica a los sitios web (como OWA o ECP para Exchange Server) que solo permitan conexiones a través de HTTPS, protegiéndolos de ataques de intermediario (MitM) desencadenados mediante degradaciones de protocolo y secuestro de cookies.

También garantiza que los usuarios no puedan eludir las advertencias de certificados caducados, no válidos o que no son de confianza, lo que podría indicar que se conectan a través de canales comprometidos.

Una vez activado, los navegadores web identificarán violaciones de la política HSTS y finalizarán rápidamente las conexiones en respuesta a ataques de intermediario.

"HSTS no sólo agrega protección contra escenarios de ataques comunes, sino que también ayuda a eliminar la necesidad de la práctica común (y ahora insegura) de redirigir a los usuarios desde una URL HTTP a una URL HTTPS", explica Microsoft.

"HSTS también se puede utilizar para abordar ataques de red activos y pasivos. Sin embargo, HSTS no aborda malware, phishing o vulnerabilidades del navegador".

Microsoft proporciona información detallada sobre la configuración de HSTS en Exchange Server 2016 y 2019 a través de PowerShell o el Administrador de Internet Information Services (IIS) en su sitio web de documentación.

Los administradores también pueden deshabilitar la compatibilidad con Exchange Server HSTS deshaciendo la configuración de cada servidor.

"Lea atentamente la documentación, ya que algunas de las configuraciones proporcionadas por la implementación predeterminada de IIS HSTS (por ejemplo, redirección de HTTP a HTTPS) deben configurarse de una manera diferente, ya que de lo contrario podrían interrumpir la conectividad con Exchange Server", dijo el equipo de Exchange. dijo hoy.

"Exchange HealthChecker recibirá pronto una actualización que le ayudará a determinar si la configuración HSTS en su servidor Exchange es la esperada".

Esta semana, Redmond anunció que la Protección extendida de Windows estará habilitada de forma predeterminada en Exchange Server 2019 a partir de este otoño.

La función de seguridad se activará después de instalar la actualización acumulativa H2 de 2023 (también conocida como CU14) y también protegerá contra la retransmisión de autenticación o ataques MitM.

Microsoft también instó a los administradores en enero a actualizar continuamente sus servidores Exchange locales instalando las últimas actualizaciones acumulativas (CU) compatibles para estar siempre listos para parches de seguridad de emergencia.

La junta de seguridad cibernética de EE. UU. analizará el pirateo de correos electrónicos gubernamentales de Microsoft Exchange

Cambio de navegador de Windows 11: Europa aplaude, indignación en el resto del mundo

Ahorre $500 en una tableta Windows con un Microsoft Surface Pro reacondicionado

Oferta del Día del Trabajo: obtenga Windows 11 Pro por $ 32,97 hasta el 31 de agosto

Microsoft culpa a los proveedores OEM de las pantallas azules de 'procesador no compatible'