Redazione RHC : 30 Agosto 2023 18:40
Microsoft ha recentemente annunciato che Exchange Server 2016 e 2019 ora dispongono del supporto integrato per HTTP Strict Transport Security (HSTS), un meccanismo per applicare il protocollo HTTPS sicuro.
HTTP Strict Transport Security o HSTS è una procedura che implementa una politica di sicurezza per le comunicazioni web, necessaria a proteggere il canale HTTPS da attacchi di degrado della sicurezza (downgrade). Tale funzionalità è utile per la protezione dai dirottamenti di sessione. HSTS permette al server web di dichiarare che i browser e ogni altro tipo di client debbano comunicare con esso esclusivamente attraverso connessioni sicure su protocollo HTTPS e non sul semplice HTTP
Pertanto HSTS protegge le applicazioni Web di Exchange Server come OWA ed ECP dagli attacchi man-in-the-middle ( MitM ) e dall’intercettazione dei cookie forzando l’uso di una connessione HTTPS crittografata.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il meccanismo impedisce inoltre agli utenti di ignorare gli avvisi relativi a certificati scaduti, non validi o non verificati, che potrebbero indicare una connessione compromessa. Quando viene rilevata una violazione della politica HSTS, i browser interromperanno immediatamente tutte le connessioni sospette.
Secondo Microsoft, HSTS non solo aumenterà la protezione contro i tipi più comuni di attacchi, ma eliminerà anche la necessità di pratiche non sicure di reindirizzamento da HTTP a HTTPS.
Inoltre, con HSTS, gli attacchi di rete sia attivi che passivi saranno praticamente innocui per gli utenti (ad eccezione di malware, phishing e vulnerabilità del browser).
Informazioni dettagliate sulla configurazione di HSTS in Exchange Server 2016 e 2019 utilizzando PowerShell o Gestione IIS sono disponibili sul sito Web Microsoft. Gli amministratori possono anche disabilitare manualmente il supporto HSTS deselezionando le impostazioni appropriate server per server.
L’azienda consiglia di leggere attentamente la documentazione perché alcune impostazioni predefinite in IIS, come il reindirizzamento da HTTP a HTTPS, devono essere configurate in modo speciale per non interrompere il funzionamento di Exchange Server.
Exchange HealthChecker sarà presto in grado di verificare che HSTS sia configurato correttamente sul server. Lunedì, Microsoft ha anche annunciato che la protezione avanzata di Windows sarà abilitata per impostazione predefinita in Exchange Server 2019, a partire dall’aggiornamento H2 dell’autunno 2023 (CU14). Questa funzionalità proteggerà gli utenti dagli attacchi MitM e dagli attacchi di dirottamento dell’autenticazione.
A gennaio, la società ha fortemente raccomandato agli amministratori di occuparsi della protezione dei server Exchange. Microsoft incoraggia ad installare regolarmente gli aggiornamenti cumulativi supportati più recenti per assicurarti di essere sempre pronto per gli aggiornamenti di sicurezza urgenti.
RedazionePer tre giorni consecutivi, dal 19 al 22 ottobre, il Comune di Caponago è rimasto isolato dal web a causa di un insolito incidente: una volpe è finita in un pozzetto della rete telefonica, danneggia...
Un’allerta globale è stata lanciata dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, riguardante lo sfruttamento attivo di una falla critica di esecuzione di codice ...
Lunedì 20 ottobre, Channel 4 ha trasmesso un documentario completo condotto da un presentatore televisivo creativo integralmente dall’intelligenza artificiale. “Non sono reale. Per la prima volta...
L’ecosistema del cybercrimine russo è entrato in una fase di profonda mutazione, innescata da una combinazione di fattori: una pressione internazionale senza precedenti da parte delle forze dell’...
I ricercatori della sicurezza hanno scoperto delle vulnerabilità in un sito web della FIA che conteneva informazioni personali sensibili e documenti relativi ai piloti, tra cui il campione del mondo ...
