| Both sides previous revisionPrevious revisionNext revision | Previous revision |
| download_domains [2025/06/18 08:48] – jp | download_domains [2025/06/18 08:53] (current) – jp |
|---|
| Для закрытия //CVE-2021–1730// и других похожих уязвимостей, которые могут быть проэксплуатированы для CSRF-атак - //Microsoft// и [[скрипт Exchange HealthChecker]]\\ - рекомендуют настроить использование отдельного доменного имени для загрузки вложений через //OWA//. | Для закрытия //CVE-2021–1730// и других похожих уязвимостей, которые могут быть проэксплуатированы для CSRF-атак - //Microsoft// и [[скрипт Exchange HealthChecker]]\\ - рекомендуют настроить использование отдельного доменного имени для загрузки вложений через //OWA//. |
| |
| В html-отчёте сприкта это будет выглядеть так: | В html-отчёте упомянутого скрипта это будет выглядеть так: |
| |
| ;#; | ;#; |
| </WRAP> | </WRAP> |
| |
| :!: Для работы //download domains// требуется, чтобы SSL-сертификат содержал данное CNAME-имя. | :!: Для работы //download domains// требуется, чтобы SSL-сертификат содержал данное //CNAME//-имя. |
| |
| Если у нас есть wildcard-сертификат для //arasaka.local// - запись //download.exch1.arasaka.local// не будет валидной, т.к. wildcard-сертификат //*.arasaka.local// не покрывает домены следующего уровня. | Если у нас есть wildcard-сертификат для //arasaka.local// - запись //download.exch1.arasaka.local// не будет валидной, т.к. wildcard-сертификат //*.arasaka.local// не покрывает домены следующего уровня. |
| {{::download_dom_arasaka_cname_rec.jpg|}} | {{::download_dom_arasaka_cname_rec.jpg|}} |
| ;#; | ;#; |
| |
| |
| Проверить создание записи можно следующим образом: | Проверить создание записи можно следующим образом: |
| |
| Resolve-DnsName -type CNAME download.arasaka.local | Resolve-DnsName -type CNAME download.arasaka.local |
| После того, как в DNS распространились записи, необходимо задать настройки внешних и внутренних URL для виртуальных директорий OWA ВСЕХ серверов Exchange, к которым предполагается клиентский доступ. | После того, как в DNS распространились записи - необходимо задать настройки внешних и внутренних URL для виртуальных директорий //OWA// ВСЕХ серверов //Exchange//, к которым предполагается клиентский доступ. |
| |
| <WRAP prewrap> | <WRAP prewrap> |
| </WRAP> | </WRAP> |
| |
| Проверить настроенные значения можно следующей EMS командой: | Проверить настроенные значения можно следующей //EMS// командой: |
| |
| Get-OwaVirtualDirectory | Format-Table Identity,*DownloadHostName | Get-OwaVirtualDirectory | Format-Table Identity,*DownloadHostName |
| ;#; | ;#; |
| |
| | :!: В случае возникновения проблем (типичная проблема - не отображаются картинки) - откатить настройки обратно довольно просто - достаточно выполнить команду и перезапустить //IIS//: |
| | |
| | Set-OrganizationConfig -EnableDownloadDomains $false |
| | iisreset |
| | {{tag>Exchange Microsoft Mail PowerShell CSRF CVE}} |
