Kaspersky security exchange servers настройка

Обновлено: 04.07.2024

Для того, чтобы задать пароль proxy-сервера для клиентских программ, необходимо изменить политику защиты клиента на сервере администрирования Касперского. Для этого открываем остнастку KSC, переходим на вкладку "управляемые компьютеры", далее вкладку "Политики". Правим политику защиты по-умолчанию. Параметры proxy-сервера указываются в разделе "параметры программы".

Создание автоматического установочного пакета для Антивируса Касперского 6.0

Способ установки Антивируса Касперского с автоматической настройкой и выбором лицензионного ключа.

Создание автоматического установочного пакета

  • Распаковать антивирус в папку, например, C:\KAV, но не устанавливать,
  • Сохранить конфигурационный файл с настроенного ПК в папку C:\KAV и назвать "install.cfg"
  • В папке C:\KAV создать или отредактировать файл "install.ini" со следующим содержанием:

Важно!: см. ниже как получить значение параметра Components.

  • В папке C:\KAV создать файл "install.cmd" со следующим содержанием:

<имя пакета>.msi в нашем случае было kav6ws.ru.msi в папке в "C:\KAV".

Пользователь должен будет выбрать в диалоговом перезагрузить ПК после установки антивируса или нет.

  • Скопировать файл лицензионного ключа (.key) в "C:\KAV",
  • Используя 7Zip добавить следующие файлы:

в архив с названием "kavarchive.7z",

  • Загрузить 7z Library, SFXs for installers, Plugin for FAR Manager с официального сайта. Открыть архив и скопировать файл "7zS.sfx" в папку "C:\KAV",
  • В папке "C:\KAV" создать новый файл с именем "sfxconfig.txt" со следующим содержанием:
  • В командной строке из папки "C:\KAV" выполнить следующую команду:
  • Файл "installer.exe" переименовать для последующего распростанения.

Параметр Components файла install.ini

  1. Имя - любое, например KAV6,
  2. Тип "Создать инсталляционный пакет для приложения "Лаборатория Касперского"". Кнопкой обхор выбрать в папке C:\KAV файл .kpd,
  3. Указать свой лицензионный ключ,
  4. Начать создание инсталляционного пакета.

Созданный пакет появится в разделе Удаленная установка, где можно изменить его свойства и указать файл с конфигурацией рабочего ПК и выбрать локальные задачи для установки. Папка пакета (по умолчанию):

В файле install.ini находится значение параметра Components, соответствующее настройкам инсталляционного пакета на прилагаемом скриншоте:

Settings.jpg


В данном окне необходимо выбрать компоненты (по вкусу) и роли для установки (все). Файл install.ini можно использовать при упаковке собственного дистрибутива.

Создание зеркала сервера обновлений антивируса Касперского

Когда антивирус Касперского устанавливается на всю сеть со старыми базами, в целях экономии трафика и разгрузки интернет канала днем вместо обновления через интернет рекомендуется создать зеркало сервера обновлений и настроить антивирусы на него.

Предлагаемый способ выгоден, когда в сети постоянно подключен к Интернет Linux сервер. Проверка актуальности выложенных на ftp Касперского баз и принятие решения качать или не качать возложено на команду wget.

На ftp Касперского выкладываются файлы архивов обновлений. Их всего три:

  • кумулятивный,
  • еженедельный,
  • ежедневный.

Рекомендации:

Сброс пароля у Антивируса Касперского 6.0

Антивирус Касперского версии 6.0 позволяет управление ограничением доступа к настройкам приложения с помощью пароля. Если Вы по какой-то причине забыли пароль, то управление настройками и работой используемой Вами програмы Лаборатории Касперского может стать невозможным. Для того, чтобы отключить защиту паролем Вам необходимо проделать следующее:

  • перезагрузите компьютер в режиме защиты от сбоев (Как перезагрузить компьютер в режиме защиты от сбоев)
  • зайдите в папку, в которую установлен Антивирус Касперского версии 6.0. По умолчанию данные продукты устанавливаются в следующие папки:
  • переименуйте файл avp.exe (например, в temp.exe)
  • перезагрузите Ваш компьютер в нормальном режиме
  • запустите переименованный Вами файл
  • откройте главное окно Антивируса Касперского версии 6.0
  • нажмите кнопку Настройка
  • в левой части окна выберите раздел Сервис
  • в правой части окна отключите опции Включить самозащиту и Включить защиту паролем
  • нажмите кнопку ОК
  • выгрузите Антивирус Касперского версии 6.0, щелкнув правой кнопкой мыши по его иконке в правом нижнем углу экрана и выбрав пункт Выход
  • зайдите в папку, в которую Вы установили Антивирус Касперского версии 6.0
  • переименуйте файл temp.exe обратно в avp.exe
  • запустите Антивирус Касперского версии 6.0
  • откройте главное окно Антивируса Касперского версии 6.0
  • нажмите кнопку Настройка
  • в левой части окна выберите раздел Сервис
  • в правой части окна поочередно включите опции Включить самозащиту и Включить защиту паролем
  • нажмите кнопку Настройка в блоке Самозащита
  • установите новый пароль
  • нажмите кноку ОК два раза

В данной статье приведены изображения диалоговых окон Kaspersky Internet Security 6.0 MP2. Для Антивируса Касперского 6.0 MP2, Антивируса Касперского 6.0 для Windows Workstations MP2, Антивируса Касперского 6.0 SOS и Антивируса Касперского 6.0 для Windows Servers MP2 отличия будут состоять только в названиях диалоговых окон, а также в количестве компонентов раздела Защита.

Устранение неполадок при установке Kaspersky Antivirus

Старый антивирус не удаляется

Например если Kaspersky 6.0.4 ищет дистрибутив по несуществующему сетевому пути

тогда переходим к инструкциям с официального сайта, а именно скачиваем утилиту kavremover, удаляем старый антивирус и заново приступаем к установке.

Kaspersky 6.0.4: "Ошибка 1934. Права на установку служб"

Данная ошибка может появиться в процессе установки Антивируса Касперского 6.0\Kaspersky Internet Security 6.0 версий 6.0.2.614 и 6.0.2.621 в случае, если на Вашем компьютере установлена операционная система Windows Vista, и ранее была предпринята попытка установить версию Антивируса Касперского 6.0\Kaspersky Internet Security 6.0, не совместимую с Windows Vista (версии 6.0.0.299-6.0.0.303, 6.0.1.411).

Для устранения данной неполадки Вам необходимо проделать следующие действия:

  • скачайте утилиту KisKav6remove.zip
  • перезагрузите компьютер в безопасном режиме
  • распакуйте архив KisKav6remove.zip
  • запустите файл KisKav6remove.exe
  • дождитесь окончания работы утилиты
  • перезагрузите компьютер
  • запустите установку версии 6.0.2.614 или 6.0.2.621 заново

Не применяются настройки сервера администрирования

Стразу после установки антивирус пытается обновиться не с сервера администрирования. Самый простой способ подождать. Политики сервера администрирования, как правило, применяются не сразу, а через некоторое непродолжительное время. Если время не терпит и необходимо обновить базы, можно в настройках антивируса указать в качестве источника обновлений «Сервер администрирования» вручную. Остальные ограничения подхватятся сами собой через некоторое время.

Kaspersky Network Agent: "Ошибка 1607: Install Shield script runtime."

Если при установке Kаspersky Antivirus 6.0.4 с помощью пакета автоматической установки возникает "Неустранимая ошибка" или при установке напрямую Kaspersky Administration Agent 8 выдает ошибку "Ошибка 1607: Install Shield script runtime.", это ошибка Windows и необходимо ознакомиться со следующей статьей на сайте Microsoft: Ошибка 1607 программы Windows Installer при установке Microsoft Office XP

О программе

Kaspersky Security Center – централизованная консоль управления, которая позволяет управлять безопасностью устройств в сети и автоматизировать защиту рабочих мест

Что нового

Новое в версии 12.0.0.7734 / 12.0.107 (Web Console) (15.03.2020):

  • Обновлён функционал и интерфейс Kaspersky Security Center Web Console.
  • Добавлено управление KasperskyOS for Thin Client 1.0.
  • Теперь вы можете использовать Kaspersky Security Center Cloud Console.
  • Добавлена поддержка новых программ «Лаборатории Касперского», операционных систем и программ сторонних производителей.

Системные требования

Kaspersky Security Center

  • Windows 10 / 8.1 / 8 / 7 (32/64-bit)
  • Windows Server 2019 / 2016 / 2012 (64-bit)

Kaspersky Security Center Web Console

  • Windows 10 / 8.1 / 8 / 7 (32/64-bit)
  • Windows Server 2019 / 2016 / 2012 / 2008 (32/64-bit)
  • macOS 10.10 - 10.14
  • Linux
    • Debian
    • Ubuntu Server/Desktop
    • CentOS
    • Red Hat Enterprise
    • SUSE Linux Enterprise Server/Desktop

    Поддерживаемые платформы виртуализации

    • VMware vSphere 4.1 / 5.0 / 5.1 / 6 / 6.5.
    • VMware Workstation Pro 14.
    • Microsoft Hyper-V Server 2008 (64-bit).
    • Microsoft Hyper-V Server 2008 R2 (64-bit).
    • Microsoft Hyper-V Server 2008 R2 SP1 и новее (64-bit).
    • Microsoft Hyper-V Server 2012 (64-bit).
    • Microsoft Hyper-V Server 2012 R2 (64-bit).
    • Microsoft Hyper-V Server 2016 (64-bit).

    Полезные ссылки

    Подробное описание

    Kaspersky Security Center - централизованное место для администрирования корпоративных версий защитного программного обеспечения Лаборатории Касперского. Приложение позволяет удалённо управлять всей сетью и отдельными рабочими местами, а также следить за их безопасностью и антивирусной защитой.

    Приложение Kaspersky Security Center значительно ускорит и автоматизирует внедрение и настройку программ безопасности на предприятии и облегчит их администрирование.


    Kaspersky Security Center обеспечивает удалённое управление работой следующих продуктов:

    • Kaspersky Endpoint Security 10 / 11 для Windows
    • Kaspersky Endpoint Security 10 / 11 для Linux
    • Kaspersky Endpoint Security 10 / 11 для Mac
    • Kaspersky Embedded Systems Security для Windows
    • Kaspersky Industrial Cybersecurity for Nodes: 2.5, 2.6
    • Kaspersky Industrial Cybersecurity for Networks: 2.7, 2.8, 2.9
    • Kaspersky Endpoint Security 10 для Android
    • Kaspersky Endpoint Security 10 / 11 для Windows (для файловых серверов)
    • Kaspersky Security 10 для Windows Server
    • Kaspersky Endpoint Security 10 / 11 для Linux
    • Kaspersky Security для виртуальных сред 5.x Легкий агент
    • Kaspersky Security для виртуальных сред 5.0 Защита без агента.
    • Kaspersky Security 8.0 для Linux Mail Server
    • Kaspersky Secure Mail Gateway 1.0
    • Kaspersky Security 9.0 для SharePoint Server
    • Kaspersky Security 9.0 для Microsoft Exchange Servers
    • Платформа Kaspersky Anti Targeted Attack 3.6.6
    • Kaspersky EDR Optimum: 1.0
    • Kaspersky Sandbox: 1.0, 1.1
    • KasperskyOS for Thin Client 1.0

    Возможности Kaspersky Security Center

    • Локальная консоль администрирования с дополнительным веб-интерфейсом.
    • Удалённое развёртывание защиты.
    • Централизованное управление защитой.
    • Поддержка иерархической структуры управления.
    • Мониторинт и отчётность.
    • Автоматизация безопасности рабочих мест.
    • Поддержка мультиплатформенных сред.
    • Поддержка виртуализированных сред.
    • Возможность установки на зараженные компьютеры.

    Оценка пользователей

    Другие программы

    Endpoint Security для Windows
    Комплексная защита для Windows и Windows Server

    Endpoint Security для Mac
    Комплексная защита корпоративных Mac устройств

    Endpoint Security для Linux
    Защита компьютеров и серверов под управлением Linux

    Рекомендуем

    рейтинг

    ПРОБНАЯ

    рейтинг

    ПРОБНАЯ

    рейтинг

    ПРОБНАЯ

    рейтинг

    ПРОБНАЯ

    рейтинг

    ПРОБНАЯ

    После установки в организации Exchange Server 2016 или Exchange 2019 необходимо настроить Exchange для потока обработки почты и клиентского доступа. Если этого не сделать, отправлять почту в Интернет будет невозможно, а внешние клиенты (например, Microsoft Outlook и устройства с Exchange ActiveSync) не смогут подключаться к организации Exchange.

    Действия, описанные в этом разделе, предполагают базовой развертывание Exchange с одним сайтом Active Directory и пространством имен SMTP.

    Дополнительные сведения о задачах управления, связанных с потоком обработки почты, клиентами и устройствами, см. в статьях Поток обработки почты и конвейер транспорта и Клиенты и мобильные устройства.

    Что нужно знать перед началом работы

    Предполагаемое время выполнения задачи: 50 минут.

    Вы можете получать предупреждения о сертификате при подключении к веб-сайту Центра администрирования Exchange, пока не настроите сертификат SSL на сервере почтовых ящиков. Как это сделать, будет показано далее в этом разделе.

    Сведения о том, как открыть Центр администрирования Exchange, см. в статье Центр администрирования Exchange в Exchange Server. Сведения о том, как открыть командную консоль Exchange, см. в статье Запуск командной консоли Exchange.

    Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

    Возникли проблемы? Попросите помощи на форумах Exchange. Перейти на форумы можно по следующим ссылкам: Exchange Server, Exchange Online или Exchange Online Protection.

    Шаг 1. Создание соединителя отправки в Интернет

    Чтобы отправлять почту в Интернет, необходимо создать соединитель отправки на сервере почтовых ящиков. Инструкции см. в статье Создание соединителя отправки в Exchange Server для отправки почты в Интернет.

    По умолчанию при установке Exchange создается соединитель получения под названием "Интерфейсный сервер <ServerName>_ по умолчанию". Этот соединитель принимает анонимные подключения SMTP с внешних серверов. Вам не требуется проводить какую-либо дополнительную настройку, если это вас устраивает. Если вы хотите ограничить входящие подключения с внешних серверов, измените соединитель получения Интерфейсный сервер <Mailbox server> по умолчанию на сервере почтовых ящиков. Дополнительные сведения см. в разделе Стандартные соединители получения, создаваемые при установке.

    Шаг 2. Добавление дополнительных обслуживаемых доменов

    Чтобы получать из Интернета почту для того или иного домена, в общедоступной службе DNS необходимо создать запись ресурса MX для этого домена. Каждая запись MX должна разрешаться в сервер с выходом в Интернет, получающий электронную почту для вашей организации.

    Шаг 3. Настройка политики электронных адресов по умолчанию

    Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье запись "Политики адресов электронной почты" в статье Разрешения для электронных адресов и адресных книг.

    Если вы добавили обслуживаемый домен на предыдущем этапе и хотите, чтобы он добавился для каждого получателя в организации, необходимо обновить политику электронных адресов по умолчанию. Инструкции см. в статьях Изменение политик адресов электронной почты и Применение политик адресов электронной почты к получателям.

    Рекомендуем настроить имя участника-пользователя, которое совпадает с основным адресом электронной почты каждого пользователя. Если не указать имя участника-пользователя, совпадающее с электронным адресом пользователя, пользователь будет вынужден вручную указать домен и имя пользователя или имя участника-пользователя в дополнение к электронному адресу. Если его UPN соответствует электронному адресу, Outlook в Интернете (прежнее название — Outlook Web App), ActiveSync и Outlook автоматически сопоставят электронный адрес с UPN.

    Шаг 4. Настройка внешних URL-адресов

    Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе "Настройки виртуального каталога <Service>" в статье Разрешения клиентов и мобильных устройств.

    Прежде чем клиенты смогут подключаться к новому серверу из Интернета, необходимо настроить внешние домены (или URL-адреса) в виртуальных каталогах во внешних службах клиентского доступа на сервере почтовых ящиков, а затем в общедоступных записях DNS. Ниже описана настройка одного и того же внешнего домена для внешних URL-адресов каждого виртуального каталога. Если вы хотите настроить другие внешние домены для одного или нескольких внешних URL-адресов виртуальных каталогов, необходимо настроить внешние URL-адреса вручную. Дополнительные сведения см. в статье Параметры по умолчанию для виртуальных каталогов Exchange.

    Откройте Центр администрирования Exchange и выберите Серверы > Серверы, укажите ваш сервер почтовых ящиков с выходом в Интернет, к которому будут подключаться клиенты, а затем нажмите Изменить .

    В открывшемся окне свойств сервера Exchange Server выберите вкладку Мобильный Outlook и настройте следующие параметры:

    По завершении нажмите кнопку Сохранить.

    Выберите Серверы > Виртуальные каталоги, а затем нажмите Настроить домен внешнего доступа .

    В открывшемся окне Настроить домен внешнего доступа настройте следующие параметры:

    Выберите серверы почтовых ящиков для использования с внешним URL-адресом. Нажмите Добавить

    В открывшемся диалоговом окне Выбор сервера выберите нужный сервер почтовых ящиков и нажмите Добавить. Добавив все нужные серверы почтовых ящиков, нажмите кнопку ОК.

    Вернитесь к разделу Серверы > Виртуальные каталоги, выберите owa (веб-сайт по умолчанию) на нужном сервере, а затем нажмите Изменить .

    Откроется окно owa (веб-сайт по умолчанию). На вкладке Общие введите в поле Внешний URL-адрес следующие сведения:

    По завершении нажмите кнопку Сохранить.

    Вернитесь к разделу Серверы > Виртуальные каталоги, выберите ecp (веб-сайт по умолчанию) на нужном сервере, а затем нажмите Изменить .

    Настроив внешний URL-адрес в виртуальных каталогах служб клиентского доступа на сервере почтовых ящиков, настройте общедоступные записи DNS для Outlook в Интернете, а также для автообнаружения и потока обработки почты. Эти записи должны указывать на внешний IP-адрес или имя FQDN сервера почтовых ящиков, подключенного к Интернету. Кроме того, они должны использовать доступные извне полные доменные имена, настроенные на сервере почтовых ящиков. В представленной ниже таблице описываются записи DNS, которые необходимо создать для обеспечения потока обработки почты и подключения внешних клиентов.

    Как убедиться, что все получилось?

    Чтобы убедиться, что вы успешно настроили внешние URL-адреса в виртуальных каталогах служб клиентского доступа на сервере почтовых ящиков, выполните указанные ниже действия.

    В Центре администрирования Exchange выберите Серверы > Виртуальные каталоги.

    В поле Выберите сервер укажите сервер почтовых ящиков с выходом в Интернет.

    Выберите виртуальный каталог, а затем в области сведений проверьте, содержит ли поле Внешний URL-адрес правильное полное доменное имя, как в приведенной ниже таблице.

    Чтобы убедиться, что общедоступные записи DNS успешно настроены, выполните указанные ниже действия.

    Откройте командную строку и запустите программу nslookup.exe .

    Измените значение на DNS-сервер, который может обращаться с запросами к общедоступной зоне DNS.

    Используя nslookup , найдите запись для всех созданных полных доменных имен. Убедитесь, что для каждого FQDN возвращается правильное значение.

    Используя nslookup , введите set type=mx и найдите обслуживаемый домен, добавленный на шаге 1. Убедитесь, что возвращенное значение соответствует FQDN сервера почтовых ящиков.

    Шаг 5. Настройка внутренних URL-адресов

    Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе "Настройки виртуального каталога <Service>" в статье Разрешения клиентов и мобильных устройств.

    Чтобы клиенты могли подключаться к новому серверу из внутренней сети, необходимо настроить внутренние домены (или URL-адреса) в виртуальных каталогах служб клиентского доступа (внешних) на сервере почтовых ящиков, а затем настроить внутренние записи DNS.

    Выполнив описанные ниже действия, вы сможете выбрать, нужно ли пользователям использовать один и тот же URL-адрес для доступа к серверу Exchange Server в интрасети и Интернете или разные URL-адреса. Это решение зависит от текущей схемы адресации или от схемы, которую вы хотите внедрить. Если внедряется новая схема адресации, рекомендуем использовать один и тот же URL-адрес для внутреннего и внешнего серверов. В случае применения одного URL-адреса пользователям будет проще получить доступ к серверу Exchange Server, так как им достаточно будет запомнить один адрес.

    Независимо от вашего решения необходимо настроить частную зону DNS для настраиваемого адресного пространства. Дополнительные сведения об администрировании зон DNS см. в статье Администрирование DNS-сервера.

    Дополнительные сведения о внутренних и внешних URL-адресах в виртуальных каталогах см. в статьях Параметры по умолчанию для виртуальных каталогов Exchange и Управление виртуальным каталогом.

    Настройка внутреннего URL-адреса, совпадающего с внешним

    Откройте консоль управления Exchange на сервере почтовых ящиков.

    Сохраните имя узла сервера почтовых ящиков в переменной, которая будет использоваться на следующем этапе. Пример: Mailbox01.

    Выполните все приведенные ниже команды в командной консоли Exchange, чтобы задать внутренние URL-адреса, соответствующие внешнему URL-адресу виртуального каталога.

    Настроив внутренний URL-адрес в виртуальных каталогах сервера почтовых ящиков, настройте частные записи DNS для Outlook в Интернете и других возможностей подключения. В зависимости от конфигурации нужно будет настроить эти записи так, чтобы они указывали на внутренний или внешний IP-адрес либо имя FQDN сервера почтовых ящиков. В представленной ниже таблице приведены примеры рекомендуемых записей DNS, которые следует создать.

    Как убедиться, что все получилось?

    Чтобы убедиться, что вы успешно настроили внутренний URL-адрес в виртуальных каталогах сервера почтовых ящиков, сделайте следующее:

    В Центре администрирования Exchange выберите Серверы > Виртуальные каталоги.

    В поле Выберите сервер укажите сервер почтовых ящиков с выходом в Интернет.

    Выберите виртуальный каталог и нажмите Изменить .

    Проверьте, указаны ли в поле Внутренний URL-адрес правильное полное доменное имя и служба, как показано в приведенной ниже таблице.

    Чтобы убедиться в том, что частные записи DNS успешно настроены, выполните следующие действия:

    Откройте командную строку и выполните nslookup.exe .

    Измените значение на DNS-сервер, который может обращаться с запросами к частной зоне DNS.

    Используя nslookup , найдите запись для всех созданных полных доменных имен. Убедитесь, что для каждого FQDN возвращается правильное значение.

    Настройка внутреннего URL-адреса, отличающегося от внешнего

    Откройте Центр администрирования Exchange и выберите Серверы > Виртуальные каталоги.

    На сервере почтовых ящиков с выходом в Интернет выберите нужный виртуальный каталог и нажмите Изменить .

    Когда закончите, нажмите кнопку Сохранить.

    Повторите предыдущие действия для каждого виртуального каталога, который требуется изменить.

    Внутренние URL-адреса виртуальных каталогов ECP и OWA должны быть одинаковыми. В виртуальном каталоге автообнаружения невозможно задать внутренний URL-адрес.

    Настроив внутренний URL-адрес в виртуальных каталогах сервера почтовых ящиков, настройте частные записи DNS для Outlook в Интернете и других подключений. В зависимости от конфигурации нужно будет настроить эти записи так, чтобы они указывали на внутренний или внешний IP-адрес либо имя FQDN сервера почтовых ящиков. В представленной ниже таблице приведены примеры рекомендуемых записей DNS, которые следует создать.

    Как убедиться, что все получилось?

    Чтобы убедиться, что вы успешно настроили внутренние URL-адреса в виртуальных каталогах служб клиентского доступа на сервере почтовых ящиков, выполните указанные ниже действия.

    В Центре администрирования Exchange выберите Серверы > Виртуальные каталоги.

    В поле Выберите сервер укажите сервер почтовых ящиков с выходом в Интернет.

    Выберите виртуальный каталог и нажмите Изменить .

    Чтобы убедиться, что частные записи DNS успешно настроены, выполните указанные ниже действия.

    Откройте командную строку и запустите программу nslookup.exe .

    Измените значение на DNS-сервер, который может обращаться с запросами к частной зоне DNS.

    Используя nslookup , найдите запись для всех созданных полных доменных имен. Убедитесь, что для каждого FQDN возвращается правильное значение.

    Шаг 6. Настройка SSL-сертификата

    Некоторые службы, такие как мобильный Outlook и Exchange ActiveSync, требуют настройки сертификатов на сервере Exchange Server. Ниже показано, как настроить SSL-сертификат от стороннего центра сертификации (ЦС).

    Сертификат следует запросить у стороннего ЦС, чтобы клиенты автоматически ему доверяли. Дополнительные сведения см. в статье Рекомендации для сертификатов Exchange.

    Как минимум, следует выбрать SMTP и IIS.

    При появлении предупреждения Перезаписать существующий SMTP-сертификат по умолчанию? нажмите кнопку Да.

    Как убедиться, что все получилось?

    Чтобы убедиться, что вы успешно добавили новый сертификат, выполните указанные ниже действия.

    В Центре администрирования Exchange последовательно выберите пункты Серверы > Сертификаты.

    Выберите новый сертификат и затем в области сведений убедитесь, что выполнены следующие условия:

    значение параметра Состояние равно Действительный;

    в поле Назначен службам указаны как минимум IIS и SMTP.

    Как убедиться, что это сработало?

    Чтобы убедиться, что вы настроили поток обработки почты и внешний клиентский доступ, выполните указанные ниже действия.

    Создайте новый профиль в приложении Outlook и/или на устройстве ActiveSync. Убедитесь, что новый профиль успешно создается в Outlook или на мобильном устройстве.

    Злоумышленники проникают в корпоративную сеть, эксплуатируя четыре опасных уязвимости в Microsoft Exchange.

    Корпорация Microsoft экстренно выпустила заплатки, закрывающие сразу несколько уязвимостей в Exchange Server. Четыре из них, по словам представителей компании, уже используются в целевых атаках, так что их стоит закрыть поскорее.

    Что за уязвимости и чем они опасны?

    Четыре самых опасных уязвимости, которые уже вовсю эксплуатируют злоумышленники, позволяют им провернуть трехступенчатую атаку. Сначала они получают доступ к серверу Exchange, затем создают веб-шелл для удаленного доступа к серверу, а затем используют его для кражи данных из сети организации. Вот эти уязвимости:

    • уязвимость CVE-2021-26855 может быть использована для подделки запросов со стороны сервера (server-side request forgery) что позволяет обойти аутентификацию на сервере Exchange и, как следствие, ведет к удаленному запуску произвольного кода; позволяет злоумышленникам выполнить произвольный код от имени системы (для ее использования требуются либо права администратора, либо эксплуатация предыдущей уязвимости; и CVE-2021-27065 используются для записи файла по любому пути на сервере.

    Злоумышленники используют эти четыре уязвимости в связке. Впрочем, если судить по данным Microsoft, иногда они пользуются похищенными учетными данными и аутентифицируются на сервере без применения уязвимости CVE-2021-26855.

    Патч, который закрывает все эти уязвимости, устраняет и еще несколько более мелких дыр в Exchange, не имеющих прямого отношения к активным целевым атакам (по крайней мере насколько нам это известно).

    Кто в группе риска?

    Облачная версия Exchange не подвержена данным уязвимостям, они представляют опасность только для развертываемых внутри инфраструктуры серверов. Изначально Microsoft выпустила патчи для Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 и Microsoft Exchange Server 2019, а также в рамках стратегии Defense in Depth было опубликовано обновление для Microsoft Exchange Server 2010. Впрочем, из-за массовой эксплуатации через некоторое время были закрыты и уязвимости в более старых версиях Exchange.

    По мнению исследователей из Microsoft, за атаками с использованием этих уязвимостей стоят хакеры из группировки Hafnium. В сферу их интересов входят американские индустриальные компании, исследователи инфекционных заболеваний, юридические фирмы, некоммерческие организации и политические аналитики. Их цель — похищение конфиденциальной информации. Точное количество жертв не известно, однако, по данным источников KrebsOnSecurity, как минимум 30 000 организаций в США, включая малый бизнес и городские администрации, были атакованы при помощи этих уязвимостей. По данным наших экспертов, цели злоумышленников находятся не только в Америке – они атакуют серверы Exchange по всему миру. Более подробную информацию по географии атак можно найти в публикации на сайте Securelist.

    Читайте также: