在 Exchange Server 上配置 HSTS

安全至关重要，大多数企业都需要更加重视。一是避免中间人 (MiTM) 攻击并在 Exchange Server 上配置 HSTS（HTTP 严格传输安全）。在本文中，您将了解如何使用 HTTP 响应标头在 Exchange Server 上配置 HSTS。

HTTP 严格传输安全

HTTP 严格传输安全 (HSTS) 是一种策略机制，有助于保护网站免受中间人攻击，例如协议降级攻击和 cookie 劫持。它允许 Web 服务器声明 Web 浏览器应仅使用 HTTPS 连接自动与其交互，HTTPS 连接提供传输层安全性 (TLS/SSL)，与单独使用的不安全 HTTP 不同。 HSTS 是 IETF 标准跟踪协议，在 RFC 6797 中指定。

HSTS 策略由服务器通过名为 Strict-Transport-Security 的 HTTP 响应标头字段传递给用户代理。 HSTS 策略指定用户代理只能以安全方式访问服务器的时间段。使用 HSTS 的网站通常不接受明文 HTTP，要么拒绝 HTTP 连接，要么系统地将用户重定向到 HTTPS。

如何在 Exchange Server 上配置 HSTS

要在 Exchange Server 上配置 HSTS，请按照下列步骤操作：

注意：您无需重新启动 IIS，更改将立即应用。

注意： 安装 Exchange Server CU/Exchange Server SU 将保留 HSTS 配置。

Windows Server 2019 及更高版本

在 Windows Server 2019 及更高版本上配置 HSTS：

1. 登录到 Exchange Server 并启动 Internet 信息服务 (IIS) 管理器。

2. 单击默认网站上的连接面板。

3. 单击 HSTS... 上的操作面板

4.选中复选框并填写Max-Age：31536000。单击确定。

注意：不要选中“将 Http 重定向到 Https”复选框。

Windows Server 2016 及更低版本

通过添加自定义 HTTP 响应标头在 Windows Server 2016 及更低版本上配置 HSTS：

1. 登录到 Exchange Server 并启动 Internet 信息服务 (IIS) 管理器。

2. 单击默认网站上的连接面板。

3.双击HTTP响应标头

4.点击操作面板中的添加...

5. 添加以下名称和值，然后单击确定。

• 名称：严格传输安全
• 值： max-age=31536000；包括子域；预载

6. 验证自定义 HTTP 响应标头是否出现在列表中。

检查 Exchange 服务器上的 HSTS

通过以下方法之一检查 HSTS 是否已成功配置：

使用检查器工具检查 HSTS HTTP 标头

1.启动您最喜欢的网络浏览器并转到Exchange Server OWA 地址。

2. 打开浏览器检查器工具>网络。

3. 单击刷新按钮或按F5重新加载页面。

4. 选择文档 HTML URL 并验证它是否显示标题：

严格传输安全：max-age=31536000；包括子域；预加载

使用 Qualys 检查 HSTS HTTP 标头

1.前往Qualys SSL Labs并填写Exchange Server OWA地址。点击提交。

2. 验证摘要是否显示以下内容：

在此服务器上部署了持续时间较长的 HTTP 严格传输安全 (HSTS)。

就是这样！您已成功在 Exchange Server 上配置 HSTS。

了解更多：配置 Exchange Server TLS 设置 »

结论

您学习了如何在 Exchange Server 上配置 HSTS。实施 HSTS 并保护 Exchange Server 免受中间人 (MiTM) 攻击至关重要。

您喜欢这篇文章吗？您可能还喜欢使用 Kemp 负载均衡器实现 Exchange HTTPS 高可用性。不要忘记关注我们并分享这篇文章。