Service d’atténuation d’urgence Exchange
Le service d'atténuation d'urgence Exchange (service EM) aide à assurer la sécurité de vos serveurs Exchange en appliquant des mesures d'atténuation pour faire face à toute menace potentielle contre vos serveurs. Il utilise le service de configuration Office (OCS) basé sur le cloud pour rechercher et télécharger les atténuations disponibles et pour envoyer des données de diagnostic à Microsoft.
Le service EM s’exécute en tant que service Windows sur un serveur de boîtes aux lettres Exchange. Lorsque vous installez la cu de septembre 2021 (ou version ultérieure) sur Exchange Server 2016 ou Exchange Server 2019, le service EM est installé automatiquement sur les serveurs dotés du rôle Boîte aux lettres. Le service EM n’est pas installé sur les serveurs de transport Edge.
L’utilisation du service EM est facultative. Si vous ne souhaitez pas que Microsoft applique automatiquement des atténuations à vos serveurs Exchange, vous pouvez désactiver la fonctionnalité.
Atténuations
Une atténuation est une action ou un ensemble d'actions qui sont prises automatiquement pour protéger un serveur Exchange contre une menace connue qui est activement exploitée dans la nature. Pour aider à protéger votre organisation et atténuer les risques, le service EM peut désactiver automatiquement des fonctionnalités ou des fonctionnalités sur un serveur Exchange.
Le service EM peut appliquer les types d'atténuation suivants :
- Atténuation de la règle de réécriture d'URL IIS : cette atténuation est une règle qui bloque des modèles spécifiques de requêtes HTTP malveillantes pouvant mettre en danger un serveur Exchange.
- Atténuation du service Exchange : cette atténuation désactive un service vulnérable sur un serveur Exchange.
- Atténuation du pool d'applications : cette atténuation désactive un pool d'applications vulnérable sur un serveur Exchange.
Vous disposez d'une visibilité et d'un contrôle sur toute atténuation appliquée à l'aide des cmdlets et des scripts Exchange PowerShell.
Comment cela fonctionne-t-il ?
Si Microsoft découvre une menace de sécurité, nous pouvons créer et publier une atténuation pour le problème. Si cela se produit, l'atténuation est envoyée de l'OCS au service EM sous la forme d'un fichier XML signé contenant les paramètres de configuration requis pour appliquer l'atténuation.
Une fois le service EM installé, il vérifie l’OCS pour connaître les atténuations disponibles toutes les heures. Le service EM télécharge ensuite le fichier XML et valide la signature pour vérifier que le code XML n’a pas été falsifié. Le service EM vérifie l'émetteur, l'utilisation étendue de la clé et la chaîne de certificats. Une fois la validation réussie, le service EM applique l’atténuation.
Chaque atténuation est un correctif provisoire temporaire, jusqu’à ce que vous puissiez appliquer la mise à jour de sécurité qui corrige la vulnérabilité. Le service EM ne remplace pas les unités de sécurité Exchange. Cependant, c'est le moyen le plus rapide et le plus simple d'atténuer les risques les plus élevés pour les serveurs Exchange sur site connectés à Internet avant la mise à jour.
Liste des atténuations publiées
Le tableau suivant décrit le référentiel de toutes les atténuations publiées.
| Numéro de série | ID d’atténuation | Description | Version la plus basse applicable | Version la plus élevée applicable | Procédure de restauration |
|---|---|---|---|---|---|
| 1 | PING1 | Sonde de pulsation EEMS. Ne modifie aucun paramètre Exchange. | Exchange 2019 : mise à jour cumulative de septembre 2021 Exchange 2016 : mise à jour cumulative de septembre 2021 |
- | Aucune restauration n’est requise. |
| 2 | M1 | Atténuation de CVE-2022-41040 via une configuration de réécriture d’URL. | Exchange 2019 : RTM Exchange 2016 : RTM |
Exchange 2019 : octobre 2022 SU Exchange 2016 : unité de service d’octobre 2022 |
Supprimez la règle EEMS M1.1 PowerShell - entrant manuellement du module de réécriture d’URL IIS à l’intérieur du site web par défaut. |
Conditions préalables
Si ces prérequis ne sont pas déjà présents sur le serveur Windows Server sur lequel Exchange est installé ou à installer, le programme d’installation vous invite à installer ces prérequis pendant la préparation case activée :
- Module de réécriture d’URL IIS
- Runtime C universel Windows (KB2999226) pour Windows Server 2012 et Windows Server 2012 R2
Connectivité
Le service EM a besoin d’une connectivité sortante à l’OCS pour rechercher et télécharger les atténuations. Si la connectivité sortante à ocs n’est pas disponible pendant l’installation de Exchange Server, le programme d’installation émet un avertissement pendant la préparation case activée.
Bien que le service EM puisse être installé sans connectivité à l’OCS, il doit disposer d’une connectivité à l’OCS pour télécharger et appliquer les dernières atténuations. L’OCS doit être accessible à partir de l’ordinateur sur lequel Exchange Server est installé pour que le service EM fonctionne correctement.
| Point de terminaison | Addresse | Port | Description |
|---|---|---|---|
| Service de configuration Office | officeclient.microsoft.com/* |
443 | Point de terminaison requis pour le service Exchange EM |
Importante
Veillez à exclure les connexions à officeclient.microsoft.com des flux de travail d’inspection SSL effectués par des pare-feu ou des logiciels tiers comme AntiVirus, car cela pourrait rompre la logique de validation de certificat, qui est intégrée au service EM.
Si un proxy réseau est déployé pour la connectivité sortante, vous devez configurer le paramètre InternetWebProxy sur le serveur Exchange en exécutant la commande suivante :
Set-ExchangeServer -Identity <ServerName> -InternetWebProxy <http://proxy.contoso.com:port>
Vous devez également configurer l’adresse du proxy dans les paramètres du proxy WinHTTP :
netsh winhttp set proxy <proxy.contoso.com:port>
En plus de la connectivité sortante à ocs, le service EM a besoin d’une connectivité sortante aux différents points de terminaison de liste de révocation de certificats (CRL) mentionnés ici.
Celles-ci sont nécessaires pour vérifier l’authenticité des certificats utilisés pour signer le fichier XML des atténuations.
Nous vous recommandons vivement de laisser Windows gérer la liste d’approbation de certificats (CTL) sur votre ordinateur. Dans le cas contraire, cette opération doit être conservée manuellement régulièrement. Pour permettre à Windows de conserver la CTL, l’URL suivante doit être accessible à partir de l’ordinateur sur lequel Exchange Server est installé.
| Point de terminaison | Addresse | Port | Description |
|---|---|---|---|
| Téléchargement de la liste d’approbation de certificats | ctldl.windowsupdate.com/* |
80 | Téléchargement de la liste d’approbation de certificats |
Script Test-MitigationServiceConnectivity
Vous pouvez vérifier qu'un serveur Exchange dispose d'une connectivité à l'OCS à l'aide du script Test-MitigationServiceConnectivity.ps1 dans le V15\Scripts dossier du répertoire du serveur Exchange.
Si le serveur dispose d’une connectivité, la sortie est la suivante :
Result: Success.
Message: The Mitigation Service endpoint is accessible from this computer.
Si le serveur n'a pas de connectivité, la sortie est :
Result: Failed.
Message: Unable to connect to the Mitigation Service endpoint from this computer. To learn about connectivity requirements, see https://aka.ms/HelpConnectivityEEMS.
Désactivation de l’application automatique des atténuations par le biais du service EM
L’une des fonctions de service EM consiste à télécharger les atténuations à partir de l’OCS et à les appliquer automatiquement à Exchange Server. Si votre organisation dispose d'un autre moyen d'atténuer une menace connue, vous pouvez choisir de désactiver les applications automatiques d'atténuation. Vous pouvez activer ou désactiver l'atténuation automatique au niveau de l'organisation ou au niveau du serveur Exchange.
Pour désactiver l'atténuation automatique pour l'ensemble de votre organisation, exécutez la commande suivante :
Set-OrganizationConfig -MitigationsEnabled $false
Par défaut, MitigationsEnabled est défini sur $true. Lorsqu’il est défini sur $false, le service EM recherche toujours les atténuations toutes les heures, mais n’applique pas automatiquement d’atténuations aux serveurs Exchange dans le organization, quelle que soit la valeur du paramètre MitigationsEnabled au niveau du serveur.
Pour désactiver l’atténuation automatique sur un serveur spécifique, remplacez ServerName> par <le nom du serveur, puis exécutez la commande suivante :
Set-ExchangeServer -Identity <ServerName> -MitigationsEnabled $false
Par défaut, MitigationsEnabled est défini sur $true. Lorsqu’il $falseest défini sur , le service EM vérifie les atténuations toutes les heures, mais ne les applique pas automatiquement au serveur spécifié.
La combinaison du paramètre d'organisation et des paramètres du serveur détermine le comportement du service EM sur chaque serveur Exchange. Ce comportement est décrit dans le tableau suivant :
| Paramètre d'organisation | Paramètre du serveur | Résultat |
|---|---|---|
| True | True | Le service EM appliquera automatiquement des atténuations au serveur Exchange. |
| Vrai | Faux | Le service EM n’applique pas automatiquement d’atténuations à un serveur Exchange spécifique. |
| Faux | Faux | Le service EM n’applique pas automatiquement d’atténuations à un serveur Exchange. |
Remarque
Le paramètre MitigationsEnabled s'applique automatiquement à tous les serveurs d'une organisation. Ce paramètre est défini sur la valeur $true dès que le premier serveur Exchange de votre organisation est mis à niveau vers la CU de septembre 2021 (ou une version ultérieure). Ce comportement est inhérent au produit. Une fois que les autres serveurs Exchange de l'organisation ont été mis à niveau avec la CU de septembre 2021 (ou une version ultérieure), le service EM honorera alors la valeur du paramètre MitigationsEnabled.
Affichage des atténuations appliquées
Une fois les atténuations appliquées à un serveur, vous pouvez afficher les atténuations appliquées en <remplaçant ServerName> par le nom du serveur, puis en exécutant la commande suivante :
Get-ExchangeServer -Identity <ServerName> | Format-List Name,MitigationsApplied
Exemple de sortie :
Name : Server1
MitigationsApplied : {M01.1, M01.2, M01.3}
Pour afficher la liste des atténuations appliquées pour tous les serveurs Exchange de votre environnement, exécutez la commande suivante :
Get-ExchangeServer | Format-List Name,MitigationsApplied
Exemple de sortie :
Name : Server1
MitigationsApplied : {M01.1, M01.2, M01.3}
Name : Server2
MitigationsApplied : {M01.1, M01.2, M01.3}
Réappliquement d’une atténuation
Si vous annulez accidentellement une atténuation, le service EM la réapplique lorsqu’il effectue sa case activée horaire pour de nouvelles atténuations. Pour réappliquer manuellement une atténuation, redémarrez le service EM sur le serveur Exchange en exécutant la commande suivante :
Restart-Service MSExchangeMitigation
10 minutes après le redémarrage, le service EM exécute son case activée et applique les mesures d’atténuation.
Blocage ou suppression des atténuations
Si une atténuation affecte de manière critique les fonctionnalités de votre serveur Exchange, vous pouvez bloquer l’atténuation et l’annuler manuellement.
Pour bloquer toute atténuation, ajoutez l’ID d’atténuation dans le paramètre MitigationsBlocked :
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @("M1")
La commande précédente bloque l’atténuation M1, ce qui garantit que le service EM ne réappliquera pas cette atténuation au cours du cycle horaire suivant.
Pour bloquer plusieurs mesures d'atténuation, utilisez la syntaxe suivante :
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @("M1","M2")
Le blocage d’une atténuation ne la supprime pas automatiquement, mais après avoir bloqué une atténuation, vous pouvez la supprimer manuellement. La suppression d’une atténuation dépend du type d’atténuation. Par exemple, pour supprimer une atténuation de règle de réécriture IIS, supprimez la règle dans le Gestionnaire des services Internet. Pour supprimer l’atténuation d’un service ou d’un pool d’applications, démarrez manuellement le service ou le pool d’applications.
Vous pouvez également supprimer une ou plusieurs atténuations de la liste des atténuations bloquées en supprimant l'ID d'atténuation dans le paramètre MitigationsBlocked dans la même commande.
Par exemple :
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @()
Une fois qu’une atténuation est supprimée de la liste des atténuations bloquées, l’atténuation sera réappliqué par le service EM lors de sa prochaine exécution. Pour réappliquer manuellement l'atténuation, arrêtez et redémarrez le service EM en exécutant la commande suivante :
Restart-Service MSExchangeMitigation
10 minutes après le redémarrage, le service EM exécute son case activée et applique les mesures d’atténuation.
Importante
Abstenez-vous d'apporter des modifications au paramètre MitigationsApplied, car il est utilisé par le service EM pour stocker et suivre l'état des mesures d'atténuation.
Affichage des atténuations appliquées et bloquées
Vous pouvez afficher les atténuations appliquées et bloquées pour tous les serveurs Exchange de votre organisation à l’aide de l’applet de commande Get-ExchangeServer.
Pour afficher la liste des atténuations appliquées et bloquées pour tous les serveurs Exchange, exécutez la commande suivante :
Get-ExchangeServer | Format-List Name,MitigationsApplied,MitigationsBlocked
Exemple de sortie :
Name : Server1
MitigationsApplied : {M01.1, M01.3}
MitigationsBlocked : {M01.2}
Name : Server2
MitigationsApplied : {M01.1, M01.2}
MitigationsBlocked : {M01.3}
Pour afficher la liste des atténuations appliquées et bloquées par serveur, remplacez ServerName> par <le nom du serveur, puis exécutez la commande suivante :
Get-ExchangeServer -Identity <ServerName> | fl name, *Mitigations*
Exemple de sortie :
Name : Server1
MitigationsEnabled : True
MitigationsApplied : {M01.1, M01.3}
MitigationsBlocked : {M01.2}
Script Get-Mitigation
Vous pouvez utiliser le script Get-Mitigations.ps1 pour analyser et suivre les atténuations fournies par Microsoft. Ce script est disponible dans le V15\Scripts dossier du répertoire Exchange Server.
Le script affiche l’ID, le type, la description et l’état de chaque atténuation. La liste inclut toutes les atténuations appliquées, bloquées ou ayant échoué.
Pour afficher les détails d'un serveur spécifique, indiquez le nom du serveur dans le paramètre Identity. Par exemple, .\Get-Mitigations.ps1 -Identity <ServerName>. Pour afficher les status de tous les serveurs de votre organization, omettez le paramètre Identity.
Example : Exporter la liste des atténuations appliquées et leurs descriptions dans un fichier CSV à l’aide du paramètre ExportCSV :
.\Get-Mitigations.ps1 -Identity <ServerName> -ExportCSV "C:\temp\CSVReport.csv"
Importante
Le script Get-Mitigations a besoin de PowerShell version 4.0.
Suppression des atténuations après la mise à niveau SU ou CU
Une fois qu’une unité de sécurité ou une mise à jour cumulative a été installée, un administrateur doit supprimer manuellement toutes les atténuations qui ne sont plus nécessaires. Par exemple, si une atténuation nommée M1 n’est plus pertinente après l’installation d’une SU, le service EM cessera de l’appliquer et sera supprimé de la liste des atténuations appliquées. Selon le type d’atténuation, il peut être supprimé du serveur si nécessaire.
Remarque
Le service d’atténuation des urgences Exchange peut ajouter des atténuations de règle de réécriture d’URL IIS à un niveau par site/par vDir (par exemple, sur ou Default Web Site uniquement sur le OWA vDir dans Default Web Site) ainsi qu’au niveau du serveur. Les atténuations au niveau site/vDir sont ajoutées au fichier correspondant web.config pour le site/vDir, tandis que les atténuations au niveau du serveur sont ajoutées au applicationHost.config fichier. Il est prévu que les atténuations au niveau du site soient supprimées après l’installation d’une cu. Toutefois, les atténuations au niveau du serveur restent en place et doivent être supprimées manuellement si elles ne sont plus nécessaires.
Si une atténuation est applicable pour la mise à jour cumulative nouvellement installée, elle est réappliquée par l’EM.
Il peut y avoir un délai entre la publication d’une mise à jour de sécurité Exchange Server (SU) ou d’une mise à jour cumulative (CU) et une mise à jour du fichier XML d’atténuation, à l’exclusion des numéros de build fixes de sécurité des atténuations appliquées. Cela est attendu et ne devrait pas entraîner de problèmes. Si vous souhaitez supprimer et bloquer l’application d’une atténuation en attendant, vous pouvez suivre les étapes décrites dans la section Blocage ou suppression d’atténuations .
Nous mettons à jour le tableau sous la section Liste des atténuations publiées avec la procédure de restauration pour l’atténuation spécifique dès qu’elle n’est plus appliquée aux builds Exchange fixes de sécurité.
Journalisation et Audit
Toutes les atténuations bloquées par un administrateur seront enregistrées dans le journal des événements d’application Windows. Outre la journalisation des atténuations bloquées, le service EM enregistre également des détails sur le démarrage, l’interruption, et l’arrêt du service (comme tous les services exécutés sur Windows), ainsi que les détails de ses actions et les éventuelles erreurs rencontrées par le service EM. Par exemple, les événements 1005 et 1006 avec une source de « Service d’atténuation MSExchange » sera journalisé pour les actions réussies, telles que l’application d’une atténuation. L’événement 1008 avec la même source sera journalisé pour toutes les erreurs rencontrées, par exemple lorsque le service EM ne peut pas atteindre l’OCS.
Vous pouvez utiliser Search-AdminAuditLog pour examiner les actions effectuées par vous-même ou d’autres administrateurs, notamment l’activation et la désactivation des atténuations automatiques.
Le service EM conserve un fichier journal distinct dans le \V15\Logging\MitigationService dossier du répertoire d'installation d'Exchange Server. Ce journal détaille les tâches effectuées par le service EM, y compris les atténuations extraites, analysées et appliquées, ainsi que les informations envoyées au service OCS (si l’envoi des données de diagnostic est activé).
Données de diagnostic
Lorsque le partage de données est activé, le service EM envoie les données de diagnostic à l’OCS. Ces données sont utilisées pour identifier et atténuer les menaces. Pour en savoir plus sur ce qui est collecté et sur la désactivation du partage de données, consultez Diagnostic Data collectées pour Exchange Server.