在 Exchange Server 中設定下載網域
概觀
此 Download Domains 功能會導致從與使用者用來存取 Outlook 網頁版的 URL 不同的 URL 載入附件 (OWA) 。 此跨網站呼叫會強制執行所謂的SameSite cookies瀏覽器標準,以提供更佳的保護來防範跨網站偽造要求 (CSRF) 攻擊。
功能所解決的 Download Domains 弱點是 CVE-2021-1730。
什麼是 Cookie,以及使用它們的時機
Cookie 是從網站傳送的文字字串,並由網頁瀏覽器儲存在電腦上。 它們用於驗證和個人化。 例如,Cookie 可用來重新叫用具狀態資訊、保留使用者設定、記錄瀏覽活動,以及顯示相關的廣告。 Cookie 一律會連結至特定網域,並由各種合作對象安裝。
在過去,這類 example.com 向其他網域提出 cross-origin 要求的網站,例如 contoso.com ,會導致瀏覽器在任何要求中傳送 example.com Cookie。
在大部分情況下,用戶的優點是能夠重複使用某些狀態 (例如,不論要求的來源為何,跨網站) 登入狀態。 不過,在 CSRF 攻擊中可能會濫用此行為。 元件 SameSite 可透過其在標頭中的實作和管理來 Set-Cookie 降低暴露程度。
SameSite Cookie 標準如何運作
定義 SameSite 為最上層網域 (TLD) 加上一個功能變數名稱。
例如:
| 配置 | 網域名稱 | TLD |
|---|---|---|
| https:// | contoso | .com |
URL 配置也會納入考慮。 來自 https://contoso.com 並移至 http://contoso.com (的要求,例如按兩下連結) ,會被視為跨網站要求。
SameSite cookies透過標準,網站或 Web 應用程式可以透過 Set-Cookie 標頭或使用 document.cookie JavaScript 屬性來設定 SameSite Cookie 上的 屬性,以限制傳送 Cookie 的情況。
此 SameSite cookies 規格是在Google Chrome 第51版中導入為選擇性屬性。 它是由適用於 Microsoft Edge 和 Internet Explorer 的 Windows 10 組建 17672 所引進。
支援三個值:
Strict- 瀏覽器不會在任何跨網站要求中傳送此 Cookie
Lax- 在某些情況下,瀏覽器會在跨網站要求中傳送此 Cookie (所有條件都必須套用) :
- 使用「安全」HTTP
GET方法 - 要求來自最上層導覽,例如,使用者 (按兩下連結)
- 使用「安全」HTTP
- 在某些情況下,瀏覽器會在跨網站要求中傳送此 Cookie (所有條件都必須套用) :
None- 瀏覽器會在任何跨網站要求中傳送 Cookie,因為此設定會停用
SameSite限制
- 瀏覽器會在任何跨網站要求中傳送 Cookie,因為此設定會停用
SameSite cookies所有主要網頁瀏覽器都支援此標準,如果SameSite發佈 Cookie 的網站或應用程式未明確設定屬性,則網頁瀏覽器會自動假設此標準,並依預設SameSite=Lax將它視為改善攻擊的安全性CSRF。
查看此Download Domains功能,從 owa.contoso.com 起始的呼叫attachments.owa.contoso.com會被視為跨網站要求,而且只有在符合值Lax所描述的條件時,才會傳送 Cookie。
在組織中啟用下載網域
您必須先執行幾個步驟,才能為您的組織開啟下載網域功能。 請遵循下列步驟來設定此功能:
建立 CNAME 類型的新 DNS 記錄 (別名) 。 記錄必須指向您用來存取 Outlook 網頁 (OWA) 網域。
例如:
名稱 Type 值 attachments.owa.contoso.com CNAME owa.contoso.com 注意事項
如果您針對內部和外部 OWA 存取使用不同的命名空間,則必須建立兩個 CNAME 記錄,並據以透過
InternalDownloadHostName和ExternalDownloadHostName參數加以設定,如步驟 3 中所述。重要事項
使用者 不得使用下載網域 來存取 Outlook 網頁版,因為這樣會消除下載網域功能所提供的保護。
請務必將新的子域新增至 Exchange Server 所使用的憑證,並系結至前端。 如需 Exchange Server 上憑證要求的詳細資訊,請參閱 Exchange Server 中的憑證程式一 文。
從提升許可權的 Exchange 管理命令介面 (EMS) 執行下列命令,將新的子域新增至 Outlook 網頁版設定:
Set-OwaVirtualDirectory -Identity "Contoso\OWA (Default Web Site)" -InternalDownloadHostName "attachments.owa.contoso.com" -ExternalDownloadHostName "attachments.owa.contoso.com"注意事項
如果您的 Exchange 設定使用不同的命名空間從內部和外部網路存取 OWA,請務必設定正確的主機名。 使用錯誤的命名空間可能會導致用戶體驗降低 (例如,內嵌影像是不可見的等 ) 。
準備好所有 OWA 虛擬目錄,並將新的憑證部署到所有 Exchange 伺服器之後,即可從提升許可權的 Exchange 管理命令介面執行下列命令來開啟此功能 (EMS) :
Set-OrganizationConfig -EnableDownloadDomains $true每個 Exchange 伺服器上都必須重新啟動
World Wide Web Publishing service和Windows Process Activation Service,才能啟用此功能。 從提升權限的 PowerShell 視窗執行下列命令,或重新啟動伺服器:Restart-Service -Name W3SVC, WAS -Force
確認已啟用下載網域
您可以遵循下列步驟來確認下載網域功能已啟用並如預期般運作:
- 將內嵌影像的電子郵件傳送至您的信箱。 從內部或外部信箱傳送電子郵件並不重要。
- 登入 OWA 並搜尋傳送至信箱的測試電子郵件。
- 請確定影像已載入並顯示在閱讀窗格中。
- 以滑鼠右鍵按兩下內嵌影像,然後選取
Copy Image link - 將連結貼入
Notepad.exe並檢查 URL。 它應該是設定的下載網域 (例如,attachments.owa.contoso.com) 。 此結果會確認下載網域功能為作用中且如預期般運作。
停用貴組織中的下載網域
下載網域功能是透過整個組織的設定來設定,因此只能在所有或沒有 Exchange 伺服器上啟用或停用。 如果您想要停用此功能,就足以從提升許可權的 Exchange 管理命令介面 (EMS) 執行下列命令:
Set-OrganizationConfig -EnableDownloadDomains $false
依照本文確認 已啟用下載網域 一節中所述的步驟,確認已停用此功能。