Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
SE APLICA A:
2016 2019 Subscription Edition
Información general
Es muy importante seguir actualizando los servidores exchange locales a un estado compatible. Los entornos locales siempre deben estar listos para realizar una actualización de seguridad de emergencia (esto se aplica a Exchange, Windows y cualquier otro producto que use en el entorno local). Dado que el panorama de amenazas evoluciona rápidamente, no se debe subestimar la importancia de mantener el entorno actual.
Mantenga los servidores de Exchange actualizados. Queremos seguir ayudándole a mantener su entorno seguro y esto significa que los servidores de Exchange deben estar actualizados. Se trata de un proceso continuo.
Exchange Server los tipos de actualización y la programación de la versión
Hay tres tipos de actualizaciones que Microsoft podría publicar para Exchange Server:
| Tipo de actualización | Frecuencia de lanzamiento | Requisito de Exchange | Contains |
|---|---|---|---|
| Actualización acumulativa (CU) | Dos veces al año (sin fechas específicas). | Exchange debe estar en soporte estándar. | Acumulativo. Contiene correcciones de todas las actualizaciones publicadas anteriormente. |
| Actualización de seguridad (SU) | Cuando sea necesario. Publicado normalmente en Microsoft "Patch Tuesday": segundo martes de cada mes (a menos que se publique de emergencia). | Exchange debe estar en soporte técnico extendido como mínimo. Publicado solo para la última CU (si Exchange está en soporte extendido) o para las dos últimas CPU (si Exchange está en soporte estándar). | Acumulativo. Contiene todas las actualizaciones de seguridad desde que se publicó la CU a la que se aplica. |
| Actualización de revisiones (HU) | Solo se publica si se necesitan actualizaciones de características más rápido que las versiones de CU. | Exchange debe estar en soporte estándar. | La actualización de características solo se aplica al CU para el que se publica. |
Actualizar procedimientos recomendados
En este proceso se da por supuesto que la Exchange Server sigue siendo compatible:
- Instale el cu más reciente. Use el Asistente para actualizaciones de Exchange para elegir el CU actual y el CU de destino para obtener instrucciones específicas. Puede encontrar información adicional en Actualización de Exchange a la actualización acumulativa más reciente.
- Haga un inventario de los servidores de Exchange para determinar qué actualizaciones son necesarias mediante el script Exchange Server Health Checker. La ejecución de este script le indicará si alguno de los servidores de Exchange está detrás de las actualizaciones (CPU, UNIDADES de usuario o acciones manuales).
- Instale la actualización de seguridad (SU) a medida que se publiquen.
- Vuelva a ejecutar Health Checker después de instalar un SU para ver si se necesitan más acciones. A veces, se requieren acciones adicionales.
- Si encuentra errores durante o después de la instalación de Exchange Server, ejecute el script SetupAssist. Si algo no funciona correctamente después de las actualizaciones, consulte Reparación de instalaciones con errores de actualizaciones acumulativas y de seguridad de Exchange.
Preguntas y respuestas
Hemos preparado un conjunto de preguntas y respuestas que cubren lo que escuchamos con más frecuencia sobre las actualizaciones de Exchange.
¡Actualizamos mis servidores exchange hace unos meses! ¿Por qué hoy no se admiten?
Para las versiones de Exchange que están dentro de la compatibilidad estándar (consulte ciclo de vida del producto), Microsoft admite (libera las correcciones de seguridad pertinentes para) las dos CPU más recientes. A veces, las dos unidades de certificación más recientes se conocen como "N y N-1". Como ejemplo actual, si el CU publicado más reciente es CU12 ('N') y la versión del servidor es Exchange Server 2019, Microsoft admite en este momento dos CPU de Exchange Server 2019, N y N-1 (CU12 y CU11). Cuando se libera CU13, la "ventana cu admitida" se deslizará hacia el CU13 recién publicado (y lo que solía ser el CU compatible con N-1, CU11, se convertirá en no compatible).
¿Por qué Microsoft publica actualizaciones con tanta frecuencia?
Es bueno que las actualizaciones se publiquen cuando se encuentren problemas. Microsoft (y otros publicadores de software) solo lanzan actualizaciones cuando son necesarias. Las CPU suelen contener resoluciones para presentar problemas que nos notificaron nuestros clientes (y pueden contener actualizaciones de seguridad de LAS anteriores) y se publican dos veces al año (en H1 y H2). Las unidades de servicio solo se publican cuando se encuentran y corrigen problemas de seguridad reales, y normalmente se publican en un "martes de revisión". Veamos un ejemplo del aspecto que tendría un flujo de versión típico para dos CPU y dos unidades de servicio que podríamos liberar:
- En un mes determinado (digamos marzo), podríamos lanzar CU4; CU4 es acumulativo e incluirá correcciones y actualizaciones de antes.
- Un mes más tarde publicamos CU4 SU1, una actualización de seguridad para CU4.
- En julio, publicamos CU4 SU2, una actualización de seguridad adicional para CU4. CU4 SU2 incluye también actualizaciones publicadas en CU4 SU1.
- En septiembre publicamos CU5, que contendrá todas las actualizaciones publicadas hasta ese momento.
Nuestros servidores de Exchange funcionan según lo previsto, ¿por qué actualizarlos?
Mantener Exchange Server actual le permite asegurarse de que sigue funcionando sin interrupciones importantes en la funcionalidad y le ayudará a garantizar que los datos de la empresa sean más seguros. Invertir tiempo en Exchange Server mantenimiento (según la programación planeada) le proporciona una ventaja a largo plazo del sistema de buen funcionamiento, con código lo más protegido posible frente a vulnerabilidades.
¿Cómo se puede actualizar Exchange Server cuando (inserte aquí el nombre de la aplicación de terceros) no admite las cpu de Exchange Server compatibles más recientes?
Trabaje con su proveedor de terceros para traer su software actual de forma oportuna. Tenga en cuenta que el entorno de Exchange contiene mucha información valiosa sobre el directorio de la empresa y la mensajería. Su prioridad debe ser mantener el entorno lo más seguro posible.
¿Cómo podemos mantenernos al día cuando somos una empresa 24x7 y no tenemos tiempo de quitar nuestros servidores para mantenimiento?
Muchos clientes requieren Exchange Server para trabajar 24x7. De hecho, nuestro proceso de actualización está diseñado para estas empresas de alta demanda. Debe usar grupos de disponibilidad de base de datos (DAG) y colocar los servidores que está actualizando en modo de mantenimiento para habilitar un proceso de actualización correcto y no disruptivo para los usuarios. Para obtener más información , consulte Realización del mantenimiento en miembros del DAG .
Si estamos en modo híbrido y no usamos activamente nuestro Exchange Server local, ¿todavía tenemos que mantenernos al día?
Incluso si solo usa Exchange Server local para administrar objetos relacionados con Exchange, debe mantener el servidor actualizado.
Hybrid Configuration Wizard (HCW) No es necesario volver a ejecutar después de instalar las actualizaciones.
Hemos examinado las versiones recientes de actualizaciones de seguridad y la gravedad de vulnerabilidades y exposiciones comunes (CVE) no era alta; ¿por qué actualizar?
Microsoft recomienda que aplique todas las actualizaciones de seguridad disponibles porque puede ser difícil comprender cómo incluso las vulnerabilidades de gravedad más bajas reveladas en un mes podrían interactuar con las vulnerabilidades divulgadas y corregidas un mes después. Un ataque solo puede desencadenar una funcionalidad específica de bajo impacto en un equipo de destino remoto y nada más, lo que hace que la puntuación del CVE sea baja un mes. Por ejemplo, en el mes siguiente se podría detectar un problema importante con esa funcionalidad, pero solo se podría desencadenar localmente y requerir una interacción significativa del usuario. Eso por sí solo también podría no ser puntuado altamente. Pero si el software está atrasado en las actualizaciones, estos dos problemas podrían combinarse en una cadena de ataques, con lo que se puntuarán en niveles críticos.
Hemos aplicado mitigaciones para una vulnerabilidad de seguridad reciente. ¿Por qué se deben instalar (posteriormente publicadas) actualizaciones para esas mismas vulnerabilidades?
Las mitigaciones son una forma temporal de protección que se debe usar hasta que se libere la corrección de código real. Dado que las mitigaciones no abordan la vulnerabilidad real que está presente en el código, los actores de amenazas que atacan sistemas que siguen siendo vulnerables pueden omitirlos (y a veces lo hacen). Microsoft recomienda instalar la corrección de código para cualquier vulnerabilidad en cuanto esté disponible. Las mitigaciones no deben considerarse una solución a largo plazo para el código vulnerable.
Nos resulta difícil actualizar porque las extensiones de esquema de Active Directory (AD) y las instalaciones de Exchange requieren que distintos equipos tomen medidas.
En los casos en los que distintos equipos necesitan realizar acciones independientes para prepararse para la instalación de Novedades acumulativas de Exchange (ya que pueden requerir la extensión de esquema de AD), se recomienda solicitar cambios en el esquema cuando se publiquen nuevas unidades de certificación que los requieran. Incluso si no necesita actualizar a la cu más reciente (porque las dos últimas CPU son compatibles con las versiones de Exchange que todavía están dentro de la duración del soporte técnico): el hecho de que el esquema de Active Directory esté actualizado significa que, si encuentra que necesita instalar la cu más reciente, el esquema de AD ya se actualizará. Publicamos las CPU dos veces al año y no todas requieren actualizaciones de esquema de AD. Puede realizar un seguimiento de esto aquí para Exchange Server 2016 y aquí para Exchange Server 2019.
Instalamos una CU anterior en nuestro servidor y, a continuación, aplicamos las UNIDADES disponibles. Hemos actualizado nuestro servidor a la cu más reciente disponible. ¿Es necesario aplicar también el SU ya publicado para el cu más reciente?
Después de instalar una nueva CU en el servidor, siempre debe instalar las SU más recientes disponibles para esa CU. Veamos un escenario hipotético de Exchange Server 2019:
- En mayo, instaló CU9 (la cu más reciente disponible en ese momento) y todas las unidades de servicio disponibles para CU9.
- En junio, publicamos CU10 para Exchange Server 2019
- En julio, lanzamos unidades de estado que se aplican tanto a CU9 como a CU10.
- En julio, instaló July SU en el servidor de Exchange 2019 CU9.
- En agosto, instaló CU10 (la última CU disponible en julio)
- Ahora debe aplicar la su versión más reciente disponible para Exchange Server 2019 CU10
Instalamos una SU para el cu actual el mes pasado. Este mes, hay una nueva SU disponible para la misma CU. ¿Es necesario desinstalar el SU del mes pasado antes de instalar uno más reciente para el mismo CU?
No, no es necesario desinstalar la SU del mes pasado. Instale la SU de este mes a medida que esté disponible. La su versión más reciente también contiene las correcciones de seguridad de las unidades de servicio del mes pasado.
Las unidades organizativas siempre son específicas de CU. En otras palabras: la instalación de una CU posterior requiere que cualquier SU disponible para ese CU también se instale, independientemente de si la SU para la CU más reciente y anterior se publicó el mismo día. Si hay unidades de servicio para la CU en ejecución del servidor, debe instalarla. Normalmente, las unidades organizativas se "inscribirán en la CU" en la próxima versión posterior de CU.
Hemos omitido algunas unidades de estado y queremos poner Exchange totalmente actualizado a la última SU. ¿Es necesario instalar todas las UNIDADES de estado para llegar a la versión más reciente?
Dado que las SU son acumulativas "desde la CU a la que son aplicables", solo es necesario instalar la su versión más reciente. Esto le proporciona todas las correcciones de seguridad publicadas desde que se publicó el CU.
¿Ha cambiado Microsoft la frecuencia con la que se publican las unidades de certificación de Exchange?
Sí, a partir de la Novedades acumulativa de 2022 H1, hemos pasado a una cadencia de lanzamiento de dos unidades de disco al año: lanzamiento en H1 y H2 de cada año natural, con fechas de lanzamiento de destino generales de marzo y septiembre. Pero nuestras fechas de lanzamiento se basan en la calidad, por lo que es posible que publiquemos actualizaciones en abril u octubre, o algún otro mes, en función de lo que entreguemos. Con estos cambios en el modelo de servicio, ser actual significa ejecutar la cu más reciente o la inmediatamente anterior (N o N-1), pero la "ventana de moneda" ahora se extiende de 6 meses a 1 año.
¿Es necesario instalar unidades de servicio en todos los servidores exchange de nuestra organización? ¿Qué ocurre con las máquinas "Solo herramientas de administración"?
Nuestra recomendación es instalar Novedades de seguridad en todos los servidores y servidores o estaciones de trabajo de Exchange que ejecutan solo Herramientas de administración de Exchange, lo que garantizará que no haya incompatibilidad entre los clientes y servidores de las herramientas de administración. Si está intentando actualizar las herramientas de administración de Exchange en el entorno sin servidores Exchange en ejecución, consulte este artículo.
Hemos instalado las versiones actuales de CU y SU y están totalmente actualizadas. ¿Hay algo más que debamos hacer?
En función del entorno determinado, para solucionar determinadas vulnerabilidades es posible que el administrador de Exchange realice acciones adicionales. Para asegurarse de que ha realizado todas las acciones necesarias después de instalar los Novedades de seguridad pertinentes, ejecute el script Exchange Server Health Checker. Asegúrese de actualizar el sistema operativo Windows en el que se ejecuta Exchange Server, ya que también se pueden usar vulnerabilidades en el sistema operativo como parte de la cadena de ataques.