Servicio de mitigación de emergencia de Exchange (EM)
El servicio de mitigación de emergencia de Exchange (servicio EM) ayuda a proteger los servidores Exchange mediante la aplicación de mitigaciones para solucionar las posibles amenazas contra los servidores. Utiliza el servicio de configuración de Office (OCS) basado en la nube para buscar y descargar mitigaciones disponibles y enviar datos de diagnóstico a Microsoft.
El servicio EM se ejecuta como un servicio de Windows en un servidor de buzones de Exchange. Al instalar la CU de septiembre de 2021 (o posterior) en Exchange Server 2016 o Exchange Server 2019, el servicio EM se instala automáticamente en servidores con el rol Buzón de correo. El servicio EM no se instalará en los servidores de transporte perimetral.
El uso del servicio EM es opcional. Si no quiere que Microsoft aplique automáticamente mitigaciones a los servidores de Exchange, puede deshabilitar la característica.
Mitigaciones
Una mitigación es una acción o conjunto de acciones que se llevan a cabo automáticamente para proteger un servidor Exchange de una amenaza conocida que se está aprovechando activamente de las vulnerabilidades. Para ayudar a proteger su organización y mitigar los riesgos, el servicio EM podría deshabilitar automáticamente características o funcionalidades en un servidor Exchange.
El servicio EM puede aplicar los siguientes tipos de mitigaciones:
- Reescribir la mitigación de filtros en direcciones URL de IIS: esta mitigación es una regla que bloquea patrones específicos de solicitudes HTTP malintencionadas que pueden poner en peligro a un servidor Exchange.
- Intercambiar el servicio de mitigación: esta mitigación deshabilita un servicio vulnerable en un servidor Exchange.
- Mitigación del grupo de aplicaciones: esta mitigación deshabilita un grupo de aplicaciones vulnerable en un servidor Exchange.
Tiene visibilidad y control sobre cualquier mitigación aplicada mediante cmdlets y scripts de PowerShell de Exchange.
¿Cómo funciona?
Si Microsoft descubre una amenaza de seguridad, podría crear y publicar una mitigación para el problema. Si esto ocurre, la mitigación se envía desde el OCS al servicio EM como un archivo XML firmado que contiene las opciones de configuración necesarias para aplicar la mitigación.
Una vez instalado el servicio EM, comprueba el OCS en busca de mitigaciones disponibles una vez por hora. A continuación, el servicio EM descarga el archivo XML y valida la firma para comprobar que el XML no se ha alterado. El servicio EM comprueba el emisor, el uso mejorado de clave y la cadena de certificados. Después de la validación correcta, el servicio EM aplica la mitigación.
Cada mitigación es una corrección provisional temporal hasta que se pueda aplicar la actualización de seguridad que corrige la vulnerabilidad. El servicio EM no reemplaza a las unidades de servicio de Exchange. Sin embargo, es la forma más rápida y sencilla de mitigar los mayores riesgos para los servidores de Exchange locales y que estén conectados a Internet antes la actualización.
Lista de mitigaciones publicadas
La tabla siguiente describe el repositorio de todas las mitigaciones publicadas.
| Número de serie | Id. de mitigación | Descripción | Versión más baja aplicable | Versión más alta aplicable | Procedimiento de reversión |
|---|---|---|---|---|---|
| 1 | PING1 | Sondeo de latido de EEMS. No modifica ninguna configuración de Exchange. | Exchange 2019: CU de septiembre de 2021 Exchange 2016: CU de septiembre de 2021 |
- | No se requiere reversión. |
| 2 | M1 | Mitigación de CVE-2022-41040 a través de una configuración de reescritura de direcciones URL. | Exchange 2019: RTM Exchange 2016: RTM |
Exchange 2019: SU de octubre de 2022 Exchange 2016: Su de octubre de 2022 |
Quite la regla EEMS M1.1 PowerShell: entrante manualmente desde el módulo de reescritura de direcciones URL de IIS dentro del sitio web predeterminado. |
Requisitos previos
Si estos requisitos previos aún no están en Windows Server donde exchange está instalado o para instalarse, el programa de instalación le pedirá que instale estos requisitos previos durante la comprobación de preparación:
- Módulo de reescritura de direcciones URL de IIS
- Tiempo de ejecución C universal en Windows (KB2999226) para Windows Server 2012 y Windows Server 2012 R2
Conectividad
El servicio EM necesita conectividad saliente al OCS para comprobar y descargar mitigaciones. Si la conectividad saliente con OCS no está disponible durante la instalación de Exchange Server, el programa de instalación emite una advertencia durante la comprobación de preparación.
Aunque el servicio EM se puede instalar sin conectividad al OCS, sí que debe tener conectividad al OCS para poder descargar y aplicar las mitigaciones más recientes. El OCS debe ser accesible desde el equipo en el que está instalado Exchange Server para que el servicio EM funcione correctamente.
| Punto de conexión | Dirección | Puerto | Descripción |
|---|---|---|---|
| Servicio de configuración de Office | officeclient.microsoft.com/* |
443 | Punto de conexión necesario para el servicio EM de Exchange |
Importante
Asegúrese de excluir las conexiones a officeclient.microsoft.com desde flujos de trabajo de inspección SSL realizados por firewalls o software de terceros como AntiVirus, ya que esto podría interrumpir la lógica de validación de certificados, que se compila en el servicio EM.
Si se implementa un proxy de red para la conectividad saliente, debe configurar el parámetro InternetWebProxy en el servidor Exchange mediante la ejecución del siguiente comando:
Set-ExchangeServer -Identity <ServerName> -InternetWebProxy <http://proxy.contoso.com:port>
También debe configurar la dirección de proxy de forma adicional en la configuración del proxy WinHTTP :
netsh winhttp set proxy <proxy.contoso.com:port>
Además de la conectividad saliente con OCS, el servicio EM necesita conectividad saliente con varios puntos de conexión de lista de revocación de certificados (CRL) mencionados aquí.
Estos son necesarios para comprobar la autenticidad de los certificados usados para firmar el archivo XML de mitigaciones.
Se recomienda encarecidamente permitir que Windows mantenga la lista de confianza de certificados (CTL) en el equipo. De lo contrario, debe mantenerse manualmente periódicamente. Para permitir que Windows mantenga el CTL, debe ser accesible la siguiente dirección URL desde el equipo en el que está instalado Exchange Server.
| Punto de conexión | Dirección | Puerto | Descripción |
|---|---|---|---|
| Descarga de lista de confianza de certificados | ctldl.windowsupdate.com/* |
80 | Descarga de la lista de confianza de certificados |
Script Test-MitigationServiceConnectivity
Puede comprobar si un servidor Exchange tiene conectividad al OCS mediante el script Test-MitigationServiceConnectivity.ps1 de la carpeta V15\Scripts en el directorio de Exchange Server.
Si el servidor tiene conectividad, la salida será:
Result: Success.
Message: The Mitigation Service endpoint is accessible from this computer.
Si el servidor no tiene conectividad, la salida será:
Result: Failed.
Message: Unable to connect to the Mitigation Service endpoint from this computer. To learn about connectivity requirements, see https://aka.ms/HelpConnectivityEEMS.
Deshabilitar la aplicación automática de mitigaciones a través del servicio EM
Una de las funciones del servicio EM es descargar mitigaciones del OCS y aplicarlas automáticamente a Exchange Server. Si su organización dispone de un medio alternativo para mitigar una amenaza conocida, podría optar por deshabilitar las aplicaciones automáticas de mitigaciones. Puede habilitar o deshabilitar la mitigación automática a nivel de organización o a nivel de servidor Exchange.
Para deshabilitar la mitigación automática para toda la organización, ejecute el siguiente comando:
Set-OrganizationConfig -MitigationsEnabled $false
De forma predeterminada, MitigationsEnabled está establecido en $true. Cuando se establece $falseen , el servicio EM sigue buscando mitigaciones cada hora, pero no aplicará automáticamente mitigaciones a ningún servidor exchange de la organización, independientemente del valor del parámetro MitigationsEnabled en el nivel de servidor.
Para deshabilitar la mitigación automática en un servidor específico, reemplace <ServerName> por el nombre del servidor y, a continuación, ejecute el siguiente comando:
Set-ExchangeServer -Identity <ServerName> -MitigationsEnabled $false
De forma predeterminada, MitigationsEnabled está establecido en $true. Cuando se establece en $false, el servicio EM comprueba si hay mitigaciones por hora, pero no las aplicará automáticamente al servidor especificado.
La combinación de la configuración de la organización y la configuración del servidor determinan el comportamiento del servicio EM en cada servidor Exchange. En la siguiente tabla se describe este comportamiento:
| Configuración de la organización | Configuración del servidor | Resultado |
|---|---|---|
| True | True | El servicio EM aplicará automáticamente mitigaciones al servidor Exchange. |
| True | False | El servicio EM no aplicará automáticamente mitigaciones a un servidor de Exchange específico. |
| False | False | El servicio EM no aplicará automáticamente mitigaciones a ningún servidor de Exchange. |
Nota:
El parámetro MitigationsEnabled se aplica automáticamente a todos los servidores de una organización. El parámetro se establece en el valor $true tan pronto como el primer servidor Exchange de la organización se actualiza a la CU de septiembre de 2021 (o posterior). Este comportamiento es una característica del diseño de la aplicación. Después de que los otros servidores Exchange de la organización se actualicen con la CU de septiembre de 2021 (o posterior), el servicio EM respetará el valor del parámetro MitigationsEnabled.
Ver mitigaciones aplicadas
Una vez aplicadas las mitigaciones a un servidor, puede ver las mitigaciones aplicadas reemplazando <ServerName> por el nombre del servidor y, a continuación, ejecutando el siguiente comando:
Get-ExchangeServer -Identity <ServerName> | Format-List Name,MitigationsApplied
Ejemplo de resultado:
Name : Server1
MitigationsApplied : {M01.1, M01.2, M01.3}
Para ver la lista de mitigaciones aplicadas para todos los servidores Exchange de su entorno, ejecute el siguiente comando:
Get-ExchangeServer | Format-List Name,MitigationsApplied
Ejemplo de resultado:
Name : Server1
MitigationsApplied : {M01.1, M01.2, M01.3}
Name : Server2
MitigationsApplied : {M01.1, M01.2, M01.3}
Volver a aplicar una mitigación
Si invierte accidentalmente una mitigación, el servicio EM la vuelve a aplicar cuando realiza la comprobación por hora de nuevas mitigaciones. Para volver a aplicar manualmente cualquier mitigación, reinicie el servicio EM en el servidor Exchange mediante la ejecución del siguiente comando:
Restart-Service MSExchangeMitigation
10 minutos después de reiniciar, el servicio EM ejecutará su comprobación y aplicará las mitigaciones.
Bloqueo o eliminación de mitigaciones
Si una mitigación afecta críticamente a la funcionalidad del servidor exchange, puede bloquear la mitigación e invertirla manualmente.
Para bloquear cualquier mitigación, agregue el identificador de mitigación en el parámetro MitigationsBlocked:
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @("M1")
El comando anterior bloquea la mitigación M1, lo que garantiza que el servicio EM no volverá a aplicar esta mitigación en el siguiente ciclo por hora.
Para bloquear más de una mitigación, use la siguiente sintaxis:
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @("M1","M2")
El bloqueo de una mitigación no la quita automáticamente, pero después de bloquear una mitigación, puede quitarla manualmente. La forma de quitar una mitigación depende del tipo de mitigación que sea. Por ejemplo, para quitar una mitigación de regla de reescritura de IIS, elimine la regla en el Administrador de IIS. Para quitar una mitigación de un servicio o grupo de aplicaciones, inicie el servicio o el grupo de aplicaciones manualmente.
También puede quitar una o más mitigaciones de la lista de mitigaciones bloqueadas quitando el id. de mitigación en el parámetro MitigationsBlocked en el mismo comando.
Por ejemplo:
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @()
Después de quitar una mitigación de la lista de mitigaciones bloqueadas, el servicio EM volverá a aplicar la mitigación en su siguiente ejecución. Para volver a aplicar manualmente la mitigación, detenga y reinicie el servicio EM ejecutando el siguiente comando:
Restart-Service MSExchangeMitigation
10 minutos después de reiniciar, el servicio EM ejecutará su comprobación y aplicará las mitigaciones.
Importante
Abstenerse de realizar cambios en el parámetro MitigationsApplied, ya que el servicio EM lo usa para almacenar y realizar un seguimiento del estado de mitigación.
Ver mitigaciones aplicadas y bloqueadas
Puede ver las mitigaciones aplicadas y bloqueadas para todos los servidores Exchange de la organización mediante el cmdlet Get-ExchangeServer.
Para ver la lista de mitigaciones aplicadas y bloqueadas para todos los servidores Exchange, ejecute el siguiente comando:
Get-ExchangeServer | Format-List Name,MitigationsApplied,MitigationsBlocked
Ejemplo de resultado:
Name : Server1
MitigationsApplied : {M01.1, M01.3}
MitigationsBlocked : {M01.2}
Name : Server2
MitigationsApplied : {M01.1, M01.2}
MitigationsBlocked : {M01.3}
Para ver la lista de mitigaciones aplicadas y bloqueadas por servidor, reemplace <ServerName> por el nombre del servidor y, a continuación, ejecute el siguiente comando:
Get-ExchangeServer -Identity <ServerName> | fl name, *Mitigations*
Ejemplo de resultado:
Name : Server1
MitigationsEnabled : True
MitigationsApplied : {M01.1, M01.3}
MitigationsBlocked : {M01.2}
Script Get-Mitigation
Puede usar el script Get-Mitigations.ps1 para analizar y realizar un seguimiento de las mitigaciones proporcionadas por Microsoft. Este script está disponible en la carpeta V15\Scripts del directorio de Exchange Server.
El script muestra el identificador, el tipo, la descripción y el estado de cada mitigación. La lista incluye cualquier mitigación aplicada, bloqueada o con errores.
Para ver los detalles de un servidor específico, proporcione el nombre del servidor en el parámetro Identity. Por ejemplo, .\Get-Mitigations.ps1 -Identity <ServerName>. Para ver el estado de todos los servidores de la organización, omita el parámetro Identity .
Ejemplo: exporte la lista de mitigaciones aplicadas y sus descripciones a un archivo CSV mediante el parámetro ExportCSV:
.\Get-Mitigations.ps1 -Identity <ServerName> -ExportCSV "C:\temp\CSVReport.csv"
Importante
El script Get-Mitigations necesita PowerShell versión 4.0.
Eliminación de mitigaciones después de la actualización de SU o CU
Después de instalar una SU o una CU, un administrador debe quitar manualmente las mitigaciones que ya no sean necesarias. Por ejemplo, si una mitigación denominada M1 ya no es relevante después de instalar una SU, el servicio EM dejará de aplicarla y se quitará de la lista de mitigaciones aplicadas. En función del tipo de mitigación, se puede quitar del servidor si es necesario.
Nota:
El servicio de mitigación de emergencia de Exchange puede agregar mitigaciones de reglas de reescritura de direcciones URL de IIS en un nivel por sitio o por vDir (por ejemplo, en Default Web Site o solo en vDir OWA en Default Web Site), así como en el nivel de servidor. Las mitigaciones de nivel de sitio/vDir se agregan al archivo correspondiente web.config para el sitio o vDir, mientras que las mitigaciones en el nivel de servidor se agregan al applicationHost.config archivo. Se espera que las mitigaciones de nivel de sitio se quiten después de instalar un CU. Sin embargo, las mitigaciones en el nivel de servidor permanecen vigentes y se deben quitar manualmente si ya no son necesarias.
Si se aplica una mitigación para el CU recién instalado, el em lo volverá a aplicar.
Puede haber un retraso entre la versión de una actualización de seguridad de Exchange Server (SU) o una actualización acumulativa (CU) y una actualización del archivo XML de mitigación, excluyendo los números de compilación fijos de seguridad de las mitigaciones que se aplican. Se espera que esto no provoque ningún problema. Si desea quitar y bloquear una mitigación que se aplica mientras tanto, puede seguir los pasos descritos en la sección Bloqueo o eliminación de mitigaciones .
Actualizamos la tabla en la sección Lista de mitigaciones publicada con el procedimiento de reversión para la mitigación específica en cuanto ya no se aplica a las compilaciones fijas de Seguridad de Exchange.
Auditoría y registro
Las mitigaciones bloqueadas por un administrador se registrarán en el Registro de eventos de aplicación de Windows. Además de registrar mitigaciones bloqueadas, el servicio EM también registra detalles sobre el inicio, el apagado y la terminación del servicio (como todos los servicios que se ejecutan en Windows) y los detalles de sus acciones y los errores detectados por el servicio EM. Por ejemplo, los eventos 1005 y 1006 con un origen de "Servicio de mitigación de MSExchange" se registrarán para realizar las acciones correctas, por ejemplo, aplicar una mitigación. El evento 1008 con el mismo origen se registrará para los errores detectados, como cuando el servicio EM no puede llegar al OCS.
Puede usar Search-AdminAuditLog para revisar las acciones realizadas por usted mismo u otros administradores, incluida la habilitación y deshabilitación de mitigaciones automáticas.
El servicio EM mantiene un archivo de registro independiente en la carpeta \V15\Logging\MitigationService del directorio de instalación de Exchange Server. En este registro se detallan las tareas realizadas por el servicio EM, incluidas las mitigaciones recuperadas, analizadas y aplicadas y los detalles sobre la información enviada al OCS (si el envío de datos de diagnóstico está habilitado).
Datos de diagnóstico
Cuando se habilita el uso compartido de datos, el servicio EM envía datos de diagnóstico al OCS. Estos datos se usan para identificar y mitigar las amenazas. Para obtener más información sobre lo que se recopila y cómo deshabilitar el uso compartido de datos, vea Datos de diagnóstico recopilados para Exchange Server.