Impostazione della bandiera protetta sui cookie da Outlook Web Access

Sto eseguendo Exchange 2007 SP3 che sta esponendo l'accesso web di Outlook solo su HTTPS. Tuttavia il server offre il cookie di sessionid senza il set di flag secure . Anche se non ho la port 80 aperta, questo cookie è ancora vulnerabile a essere rubato sulla port 80 in caso di attacco uomo-in-mezzo. Contribuisce anche ad un errore PCI-DSS

Qualcuno sa se posso persuadere il server web / applicazione per impostare la bandiera protetta?

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.