Exchange Server-Notfallentschärfung (EM)-Dienst
Die Exchange Server-Notfallentschärfung (EM-Dienst) trägt dazu bei, Ihre Exchange Server-Instanzen zu schützen, indem Entschärfungen angewendet werden, um potenzielle Bedrohungen für Ihre Server zu beseitigen. Es verwendet den cloudbasierten Office-Konfigurationsdienst (Config Service, OCS), um nach verfügbaren Entschärfungen zu suchen, diese herunterzuladen und Diagnosedaten an Microsoft zu senden.
Der EM-Dienst wird als Windows Dienst auf einem Exchange-Postfachserver ausgeführt. Wenn Sie das CU vom September 2021 (oder höher) am Exchange Server 2016 oder Exchange Server 2019 installieren, wird der EM-Dienst automatisch auf Servern mit der Postfachrolle installiert. Der EM-Dienst wird nicht auf Edge-Transport-Servern installiert.
Die Verwendung des EM-Diensts ist optional. Wenn Sie nicht möchten, dass Microsoft automatisch Risikominderungen auf Ihre Exchange-Server anwendet, können Sie das Feature deaktivieren.
Entschärfungen
Eine Entschärfung ist eine Aktion oder eine Gruppe von Aktionen, die automatisch ausgeführt werden, um einen Exchange-Server vor einer bekannten Bedrohung zu schützen, die aktiv außerhalb der kontrollierten Umgebung ausgenutzt werden. Um Ihre Organisation zu schützen und Risiken zu mindern, kann der EM-Dienst Features oder Funktionen auf einem Exchange-Server automatisch deaktivieren.
Der EM-Dienst kann die folgenden Arten von Entschärfungen anwenden:
- IIS-URL-Rewriteregel-Entschärfung. Diese Entschärfung ist eine Regel, um bestimmte Muster bösartiger HTTP-Anforderungen zu blockieren, die einen Exchange-Server gefährden können.
- Migration eines Exchange-Dienstes. Durch diese Entschärfung wird ein anfälliger Dienst auf einem Exchange-Server deaktiviert.
- App-Pool-Entschärfung Durch diese Entschärfung wird ein anfälliger App-Pool auf einem Exchange-Server deaktiviert.
Mithilfe von Exchange PowerShell-Cmdlets und -Skripts haben Sie die Sichtbarkeit und Kontrolle über alle angewendeten Entschärfungen.
Wie es funktioniert
Wenn Microsoft von einer Sicherheitsbedrohung erfährt, können wir eine Entschärfung für das Problem erstellen und veröffentlichen. Wenn dies geschieht, wird die Entschärfung vom OCS an den EM-Dienst als signierte XML-Datei mit den Konfigurationseinstellungen, die für die Anwendung der Entschärfung erforderlich sind, übertragen.
Nachdem der EM-Dienst installiert wurde, überprüft er das OCS stündlich auf verfügbare Entschärfungen. Der EM-Dienst lädt dann die XML-Datei herunter und überprüft die Signatur, um zu überprüfen, ob die XML nicht manipuliert wurde. Der EM-Dienst überprüft den Aussteller, die erweiterte Schlüsselverwendung und die Zertifikatkette. Nach erfolgreicher Überprüfung wendet der EM-Dienst die Entschärfung an.
Jede Entschärfung ist ein temporärer, vorläufiger Fix, bis Sie das Sicherheitsupdate anwenden können, das die Sicherheitsanfälligkeit behebt. Der EM-Dienst ist kein Ersatz für Exchange-SUs. Es ist jedoch die schnellste und einfachste Möglichkeit, die größten Risiken für mit dem Internet verbundene, lokale Exchange-Server vor der Aktualisierung zu mindern.
Liste der veröffentlichten Entschärfungen
In der folgenden Tabelle wird das Repository aller freigegebenen Entschärfungen beschrieben.
| Seriennummer | Schadensbegrenzung-ID | Beschreibung | Niedrigste zutreffende Version | Höchste zutreffende Version | Zurücksetzungsprozedur |
|---|---|---|---|---|---|
| 1 | PING1 | EEMS-Taktsonde. Ändert keine Exchange-Einstellungen. | Exchange 2019: September 2021 CU Exchange 2016: September 2021 CU |
- | Keine Zurücksetzung erforderlich. |
| 2 | M1 | Entschärfung von CVE-2022-41040 über eine URL-Rewrite-Konfiguration. | Exchange 2019: RTM Exchange 2016: RTM |
Exchange 2019: Oktober 2022 SU Exchange 2016: Oktober 2022 SU |
Entfernen Sie die Regel EEMS M1.1 PowerShell – manuell eingehender Datenverkehr aus dem Modul zum erneuten Generieren von IIS-URL innerhalb der Standardwebsite. |
Voraussetzungen
Wenn diese Voraussetzungen noch nicht auf dem Windows Server vorhanden sind, auf dem Exchange installiert ist oder installiert werden soll, werden Sie während der Bereitschaftsprüfung vom Setup aufgefordert, diese Voraussetzungen zu installieren:
- IIS URL Rewrite Module
- Universal C Runtime in Windows (KB2999226) für Windows Server 2012 und Windows Server 2012 R2
Verbindung
Der EM-Dienst benötigt eine ausgehende Verbindung mit dem OCS, um nach Entschärfungen zu suchen und diese herunterzuladen. Wenn während der Installation von Exchange Server keine ausgehende Konnektivität mit dem OCS verfügbar ist, gibt setup während der Bereitschaftsprüfung eine Warnung aus.
Der EM-Dienst kann zwar ohne Verbindung mit dem OCS installiert werden, muss jedoch über eine Verbindung mit dem OCS verfügen, um die neuesten Entschärfungen herunterladen und anwenden zu können. Das OCS muss von dem Computer aus erreichbar sein, auf dem Exchange Server installiert ist, damit der EM-Dienst ordnungsgemäß funktioniert.
| Endpunkt | Address | Port | Beschreibung |
|---|---|---|---|
| Office-Konfigurationsdienst | officeclient.microsoft.com/* |
443 | Erforderlicher Endpunkt für den Exchange EM-Dienst |
Wichtig
Schließen Sie Verbindungen officeclient.microsoft.com mit von SSL-Überprüfungsworkflows aus, die von Firewalls oder Drittanbietersoftware wie AntiVirus durchgeführt werden, da dies die Zertifikatüberprüfungslogik, die in den EM-Dienst integriert ist, beeinträchtigen könnte.
Wenn ein Netzwerkproxy für ausgehende Verbindungen bereitgestellt wird, müssen Sie den Parameter InternetWebProxy auf dem Exchange-Server konfigurieren, indem Sie den folgenden Befehl ausführen:
Set-ExchangeServer -Identity <ServerName> -InternetWebProxy <http://proxy.contoso.com:port>
Außerdem müssen Sie die Proxyadresse zusätzlich in den WinHTTP-Proxyeinstellungen konfigurieren:
netsh winhttp set proxy <proxy.contoso.com:port>
Zusätzlich zur ausgehenden Konnektivität mit dem OCS benötigt der EM-Dienst ausgehende Konnektivität mit verschiedenen hier erwähnten Endpunkten der Zertifikatsperrliste (Certificate Revocation List, CRL).
Diese sind erforderlich, um die Echtheit von Zertifikaten zu überprüfen, die zum Signieren der XML-Datei zur Risikominderung verwendet werden.
Es wird dringend empfohlen, windows die Zertifikatvertrauensliste (Certificate Trust List, CTL) auf Ihrem Computer verwalten zu lassen. Andernfalls muss dies regelmäßig manuell gewartet werden. Damit Windows die CTL verwalten kann, muss die folgende URL von dem Computer aus erreichbar sein, auf dem Exchange Server installiert ist.
| Endpunkt | Address | Port | Beschreibung |
|---|---|---|---|
| Zertifikatvertrauensliste herunterladen | ctldl.windowsupdate.com/* |
80 | Herunterladen der Zertifikatvertrauensliste |
Test-MitigationServiceConnectivity-Skript
Sie können überprüfen, ob ein Exchange-Server über eine Verbindung mit dem OCS verfügt, indem Sie das Skript Test-MitigationServiceConnectivity.ps1 im Ordner V15\Scripts im Exchange-Server-Verzeichnis verwenden.
Wenn der Server über eine Verbindung verfügt, lautet die Ausgabe:
Result: Success.
Message: The Mitigation Service endpoint is accessible from this computer.
Wenn der Server über keine Verbindung verfügt, lautet die Ausgabe:
Result: Failed.
Message: Unable to connect to the Mitigation Service endpoint from this computer. To learn about connectivity requirements, see https://aka.ms/HelpConnectivityEEMS.
Deaktivieren der automatischen Anwendung von Entschärfungen über den EM-Dienst
Eine der EM-Dienstfunktionen besteht darin, Entschärfungen aus dem OCS herunterzuladen und automatisch auf den Exchange-Server anzuwenden. Wenn Ihre Organisation über eine alternative Möglichkeit zur Entschärfung einer bekannten Bedrohung verfügt, können Sie automatische Anwendungen von Entschärfungen deaktivieren. Sie können die automatische Entschärfung auf Organisationsebene oder Exchange-Serverebene aktivieren oder deaktivieren.
Um die automatische Entschärfung für Ihre gesamte Organisation zu deaktivieren, führen Sie den folgenden Befehl aus:
Set-OrganizationConfig -MitigationsEnabled $false
Standardmäßig ist MitigationsEnabled auf $truefestgelegt. Wenn diese Einstellung auf $falsefestgelegt ist, überprüft der EM-Dienst weiterhin stündlich nach Risikominderungen, wendet jedoch nicht automatisch Risikominderungen auf Exchange-Server im organization an, unabhängig vom Wert des MitigationsEnabled-Parameters auf Serverebene.
Um die automatische Entschärfung auf einem bestimmten Server zu deaktivieren, ersetzen Sie <ServerName> durch den Namen des Servers, und führen Sie dann den folgenden Befehl aus:
Set-ExchangeServer -Identity <ServerName> -MitigationsEnabled $false
Standardmäßig ist MitigationsEnabled auf $truefestgelegt. Bei Festlegung auf $falsesucht der EM-Dienst stündlich nach Risikominderungen, wendet sie aber nicht automatisch auf den angegebenen Server an.
Die Kombination aus der Organisationseinstellung und den Servereinstellungen bestimmt das Verhalten des EM-Diensts auf jedem Exchange-Server. Dieses Verhalten wird in der folgenden Tabelle beschrieben:
| Organisationseinstellung | Servereinstellung | Result |
|---|---|---|
| True | True | Der EM-Dienst wendet Entschärfungen automatisch auf den Exchange-Server an. |
| True | Falsch | Der EM-Dienst wendet nicht automatisch Risikominderungen auf einen bestimmten Exchange-Server an. |
| Falsch | Falsch | Der EM-Dienst wendet keine Automatischen Entschärfungen auf Exchange-Server an. |
Hinweis
Der Parameter MitigationsEnabled wird automatisch auf alle Server in einer Organisation angewendet. Dieser Parameter wird auf den Wert $true festgelegt, sobald der erste Exchange-Server in Ihrer Organisation auf das September 2021 CU (oder höher) aktualisiert wird. Es handelt sich hierbei um ein beabsichtigtes Verhalten. Erst nachdem die anderen Exchange-Server in der Organisation mit dem September 2021 CU (oder höher) aktualisiert wurden, wird der EM-Dienst den Wert des Parameters MitigationsEnabled berücksichtigen.
Anzeigen angewendeter Entschärfungen
Sobald Risikominderungen auf einen Server angewendet wurden, können Sie die angewendeten Risikominderungen anzeigen, indem Sie ServerName> durch den Namen des Servers ersetzen <und dann den folgenden Befehl ausführen:
Get-ExchangeServer -Identity <ServerName> | Format-List Name,MitigationsApplied
Beispiel für die Ausgabe:
Name : Server1
MitigationsApplied : {M01.1, M01.2, M01.3}
Führen Sie den folgenden Befehl aus, um die Liste der angewendeten Entschärfungen für alle Exchange Server in Ihrer Umgebung anzuzeigen:
Get-ExchangeServer | Format-List Name,MitigationsApplied
Beispiel für die Ausgabe:
Name : Server1
MitigationsApplied : {M01.1, M01.2, M01.3}
Name : Server2
MitigationsApplied : {M01.1, M01.2, M01.3}
Erneutes Zuweisen einer Entschärfung
Wenn Sie eine Entschärfung versehentlich rückgängig machen, wendet der EM-Dienst sie erneut an, wenn er seine stündliche Überprüfung auf neue Risikominderungen durchführt. Starten Sie den EM-Dienst auf dem Exchange-Server neu, indem Sie den folgenden Befehl ausführen, um eine Entschärfung manuell erneut anzuwenden:
Restart-Service MSExchangeMitigation
10 Minuten nach dem Neustart führt der EM-Dienst seine Überprüfung aus und wendet alle Abhilfemaßnahmen an.
Blockieren oder Entfernen von Entschärfungen
Wenn sich eine Entschärfung kritisch auf die Funktionalität Ihres Exchange-Servers auswirkt, können Sie die Entschärfung blockieren und manuell rückgängig machen.
Um eine Entschärfung zu blockieren, fügen Sie die Mitigation-ID im MitigationsBlocked-Parameter hinzu:
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @("M1")
Der vorherige Befehl blockiert die M1-Entschärfung, wodurch sichergestellt wird, dass der EM-Dienst diese Entschärfung im nächsten Stündchenzyklus nicht erneut anwendet.
Verwenden Sie die folgende Syntax, um mehrere Entschärfungen zu blockieren:
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @("M1","M2")
Das Blockieren einer Entschärfung wird nicht automatisch entfernt, aber nachdem Sie eine Entschärfung blockiert haben, können Sie sie manuell entfernen. Wie eine Entschärfung entfernt wird, hängt von ihrer Art ab. Wenn Sie z. B. eine IIS-URL-Rewriteregel-Entschärfung entfernen möchten, löschen Sie die Regel im IIS-Manager. Um eine Dienst- oder App-Pool-Entschärfung zu entfernen, starten Sie den Dienst- oder App-Pool manuell.
Sie können auch eine oder mehrere Entschärfungen aus der Liste der Blockierten entfernen, indem Sie die Mitigation-ID im Parameter MitigationsBlocked im selben Befehl entfernen.
Zum Beispiel:
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @()
Nachdem eine Entschärfung aus der Liste der blockierten Entschärfungen entfernt wurde, wird sie beim nächsten Ausführen erneut vom EM-Dienst angewendet. Führen Sie den folgenden Befehl aus, um den EM-Dienst zu beenden und neu zu starten und die Entschärfung manuell erneut anwenden zu können:
Restart-Service MSExchangeMitigation
10 Minuten nach dem Neustart führt der EM-Dienst seine Überprüfung aus und wendet alle Abhilfemaßnahmen an.
Wichtig
Nehmen Sie keine Änderungen am MitigationsApplied-Parameter vor, da er vom EM-Dienst zum Speichern und Nachverfolgen des Entschärfungsstatus verwendet wird.
Anzeigen angewendeter und blockierter Entschärfungen
Mit dem Get-ExchangeServer-Cmdlet können Sie sowohl angewendete als auch blockierte Entschärfungen für alle Exchange-Server in Ihrer Organisation anzeigen.
Führen Sie den folgenden Befehl aus, um die Liste der angewendeten und blockierten Entschärfungen für alle Exchange-Server anzuzeigen:
Get-ExchangeServer | Format-List Name,MitigationsApplied,MitigationsBlocked
Beispiel für die Ausgabe:
Name : Server1
MitigationsApplied : {M01.1, M01.3}
MitigationsBlocked : {M01.2}
Name : Server2
MitigationsApplied : {M01.1, M01.2}
MitigationsBlocked : {M01.3}
Um die Liste der angewendeten und blockierten Risikominderungen pro Server anzuzeigen, ersetzen Sie <ServerName> durch den Namen des Servers, und führen Sie dann den folgenden Befehl aus:
Get-ExchangeServer -Identity <ServerName> | fl name, *Mitigations*
Beispiel für die Ausgabe:
Name : Server1
MitigationsEnabled : True
MitigationsApplied : {M01.1, M01.3}
MitigationsBlocked : {M01.2}
Get-Mitigation-Skript
Sie können das Get-Mitigations.ps1-Skript verwenden, um die von Microsoft bereitgestellten Entschärfungen zu analysieren und nachzuverfolgen. Dieses Skript ist im Ordner V15\Scripts im Exchange Server Verzeichnis verfügbar.
Das Skript zeigt die ID, den Typ, die Beschreibung und den Status der einzelnen Entschärfungen an. Die Liste enthält alle angewendeten, blockierten oder fehlgeschlagenen Entschärfungen.
Um die Details eines bestimmten Servers anzuzeigen, geben Sie den Servernamen im Parameter Identity an. Beispiel: .\Get-Mitigations.ps1 -Identity <ServerName>. Um die status aller Server in Ihrem organization anzuzeigen, lassen Sie den Parameter Identity aus.
Beispiel: Exportieren Sie die Liste der angewendeten Entschärfungen und deren Beschreibungen mithilfe des „ExportCSV“-Parameters in eine CSV-Datei:
.\Get-Mitigations.ps1 -Identity <ServerName> -ExportCSV "C:\temp\CSVReport.csv"
Wichtig
Das Get-Mitigations-Skript benötigt PowerShell Version 4.0.
Entfernen von Entschärfungen nach dem SU- oder CU-Upgrade
Nachdem eine SU oder ein CU installiert wurde, muss ein Administrator alle Entschärfungen, die nicht mehr benötigt werden, manuell entfernen. Wenn beispielsweise eine Entschärfung mit dem Namen M1 nach der Installation einer SU nicht mehr relevant ist, wird sie vom EM-Dienst nicht mehr angewendet, und sie wird aus der Liste der angewendeten Entschärfungen entfernt. Je nach Art der Entschärfung kann sie bei Bedarf vom Server entfernt werden.
Hinweis
Der Exchange Emergency Mitigation-Dienst kann Risikominderungen für iis-URL-Rewrite-Regeln auf standortspezifischer/vDir-Ebene (z. B. oder Default Web Site nur auf dem OWA vDir in Default Web Site) sowie auf Serverebene hinzufügen. Entschärfungen auf Site-/vDir-Ebene werden der entsprechenden web.config Datei für den Standort/vDir hinzugefügt, während der Datei Entschärfungen auf Serverebene hinzugefügt applicationHost.config werden. Es wird erwartet, dass Risikominderungen auf Standortebene entfernt werden, nachdem ein CU installiert wurde. Die Risikominderungen auf Serverebene bleiben jedoch bestehen und müssen manuell entfernt werden, wenn sie nicht mehr benötigt werden.
Wenn eine Entschärfung für das neu installierte CU gilt, wird sie vom EM erneut angewendet.
Es kann eine Verzögerung zwischen der Veröffentlichung eines Exchange Server Sicherheitsupdates (SU) oder kumulativen Updates (CU) und einem Update der XML-Entschärfungsdatei geben, wobei die sicherheitsfixen Buildnummern von den angewendeten Risikominderungen ausgeschlossen sind. Dies ist zu erwarten und sollte keine Probleme verursachen. Wenn Sie eine zwischenzeitlich angewendete Entschärfung entfernen und blockieren möchten, können Sie die im Abschnitt Blockieren oder Entfernen von Entschärfungen beschriebenen Schritte ausführen.
Wir aktualisieren die Tabelle im Abschnitt Liste der veröffentlichten Entschärfungen mit dem Rollbackverfahren für die spezifische Entschärfung, sobald sie nicht mehr auf sicherheitsfixe Exchange-Builds angewendet wird.
Überwachung und Protokollierung
Alle von einem Administrator blockierten Entschärfungen werden im Windows-Anwendungsereignisprotokoll protokolliert. Zusätzlich zur Protokollierung blockierter Entschärfungen protokolliert der EM-Dienst auch Details zum Starten, Herunterfahren und Beenden des Diensts (wie alle Dienste, die unter Windows ausgeführt werden) sowie Details zu seinen Aktionen und Fehlern, die vom EM-Dienst auftreten. Beispielsweise werden die Ereignisse 1005 und 1006 mit der Quelle „MSExchange Mitigation Service“ für erfolgreiche Aktionen protokolliert, z. B. wenn eine Entschärfung angewendet wird. Ereignis 1008 mit der gleichen Quelle, wird für alle aufgetretenen Fehler protokolliert, z. B. wenn der EM-Dienst den OCS nicht erreichen kann.
Sie können Search-AdminAuditLog verwenden, um Aktionen zu überprüfen, die von Ihnen oder anderen Administratoren ausgeführt wurden, einschließlich des Aktivierens und Deaktivierens automatischer Entschärfungen.
Der EM-Dienst verwaltet eine separate Protokolldatei im Ordner \V15\Logging\MitigationService im Exchange Server-Installationsverzeichnis. In diesem Protokoll werden die vom EM-Dienst ausgeführten Aufgaben beschrieben, einschließlich abgerufener, analysierter und angewendeter Entschärfungen sowie Details zu den an das OCS gesendeten Informationen (wenn das Senden von Diagnosedaten aktiviert ist).
Diagnosedaten
Wenn die Datenfreigabe aktiviert ist, sendet der EM-Dienst Diagnosedaten an OCS. Diese Daten werden verwendet, um Bedrohungen zu identifizieren und zu entschärfen. Weitere Informationen dazu, welche Daten gesammelt werden und wie Sie die Datenfreigabe deaktivieren, finden Sie unter Diagnosedaten, die für Exchange Server gesammelt werden.