Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’APPLIQUE À :
2016 2019
Vue d’ensemble
Il est très important de continuer à mettre à jour vos serveurs Exchange locaux vers un état pris en charge. Vos environnements locaux doivent toujours être prêts à prendre une mise à jour de sécurité d’urgence (cela s’applique à Exchange, Windows et à tous les autres produits que vous utilisez localement). Avec l’évolution rapide du paysage des menaces, l’importance de maintenir votre environnement à jour ne doit pas être sous-estimée.
Maintenez vos serveurs Exchange à jour. Nous voulons continuer à vous aider à sécuriser votre environnement, ce qui signifie que vos serveurs Exchange doivent être à jour. Il s’agit d’un processus continu.
Exchange Server types de mise à jour et planification des mises à jour
Il existe trois types de mises à jour que Microsoft peut publier pour Exchange Server :
| Type de mise à jour | Fréquence de mise en production | Configuration requise pour Exchange | Contains |
|---|---|---|---|
| mise à jour cumulative | Deux fois par an (aucune date spécifique). | Exchange doit être pris en charge par le standard. | Cumulatif. Contient des correctifs de toutes les mises à jour publiées précédemment. |
| Mise à jour de sécurité (SU) | Si nécessaire. Publication généralement sur Microsoft « Patch Tuesday » - deuxième mardi de chaque mois (sauf mise en production d’urgence). | Exchange doit faire l’objet d’au moins un support étendu. Publication pour la dernière cu uniquement (si Exchange est en support étendu) ou pour les deux dernières unités de certification (si Exchange est pris en charge standard). | Cumulatif. Contient toutes les mises à jour de sécurité depuis la publication de la mise à jour cumulative à laquelle elle s’applique. |
| Mise à jour de correctif logiciel (HU) | Publication uniquement si les mises à jour des fonctionnalités sont nécessaires plus rapidement que les versions cu. | Exchange doit être pris en charge par le standard. | La mise à jour des fonctionnalités s’applique uniquement à l’uc pour laquelle elle est publiée. |
Bonnes pratiques de mise à jour
Ce processus suppose que votre Exchange Server est toujours pris en charge :
- Installez la dernière mise à jour de la mise à jour. Utilisez l’Assistant Mise à jour Exchange pour choisir votre cu actuel et votre cu cible afin d’obtenir des instructions spécifiques. Vous trouverez des informations supplémentaires dans Mettre à niveau Exchange vers la dernière mise à jour cumulative.
- Stockez vos serveurs Exchange pour déterminer les mises à jour nécessaires à l’aide du script Exchange Server Health Checker. L’exécution de ce script vous indique si l’un de vos serveurs Exchange est en retard sur les mises à jour (unités de configuration, unités de service ou actions manuelles).
- Installez la mise à jour de sécurité (SU) à mesure qu’elles sont publiées.
- Réexécutez le vérificateur d’intégrité après avoir installé une unité de su pour voir si d’autres actions sont nécessaires. Parfois, des actions supplémentaires sont nécessaires.
- Si vous rencontrez des erreurs pendant ou après l’installation de Exchange Server, exécutez le script SetupAssist. Si quelque chose ne fonctionne pas correctement après les mises à jour, consultez Réparer les installations ayant échoué des mises à jour cumulatives et de sécurité Exchange.
Q&R
Nous avons préparé un ensemble de questions et réponses qui couvrent ce que nous entendons le plus souvent sur les mises à jour Exchange.
Nous avons mis à jour mes serveurs Exchange il y a quelques mois ! Comment se fait-il qu’ils ne soient pas pris en charge aujourd’hui ?
Pour les versions d’Exchange qui font partie du support standard (voir cycle de vie du produit), Microsoft prend en charge (publie des correctifs de sécurité pertinents pour) les deux dernières unités de certification. Parfois, les deux dernières unités de certification sont appelées « N et N-1 ». À titre d’exemple actuel, si la dernière cu publiée est CU12 (« N »), et que la version du serveur est Exchange Server 2019, Microsoft prend actuellement en charge deux unités Exchange Server 2019, N et N-1 (CU12 et CU11). Lorsque CU13 est publié, la « fenêtre CU prise en charge » glisse vers la cu13 nouvellement publiée (et ce qui était auparavant la cu n-1 prise en charge, CU11, devient non prise en charge).
Pourquoi Microsoft publie-t-il si souvent des mises à jour ?
Il est bon que les mises à jour soient publiées lorsque des problèmes sont détectés. Microsoft (et d’autres éditeurs de logiciels) publient les mises à jour uniquement lorsqu’elles sont nécessaires. Les unités de configuration contiennent généralement des solutions aux problèmes de fonctionnalités qui nous ont été signalés par nos clients (et qui peuvent contenir des mises à jour de sécurité des unités de sécurité précédentes) et sont publiées deux fois par an (en S1 et H2). Les unités de sécurité sont publiées uniquement lorsque des problèmes de sécurité réels sont détectés et résolus, et sont généralement publiées sur un « correctif mardi ». Prenons un exemple de flux de mise en production classique pour deux unités de mise en production et deux unités de mise en production que nous pourrions publier :
- Sur un mois particulier (disons mars), nous pourrions publier CU4 ; CU4 est cumulatif et inclut des correctifs et des mises à jour antérieures.
- Un mois plus tard, nous publions CU4 SU1, une mise à jour de sécurité pour CU4.
- En juillet, nous publions ensuite CU4 SU2, une mise à jour de sécurité supplémentaire pour CU4. CU4 SU2 inclut également les mises à jour publiées dans CU4 SU1.
- En septembre, nous publions CU5, qui contiendra toutes les mises à jour publiées jusqu’à ce stade.
Nos serveurs Exchange fonctionnent comme prévu, pourquoi les mettre à jour ?
Le fait de maintenir Exchange Server à jour vous permet de vous assurer qu’il continue de fonctionner sans interruption majeure des fonctionnalités et vous aidera à garantir que les données de votre entreprise sont plus sûres. Investir du temps dans Exchange Server maintenance (selon votre planification) vous offre un avantage à long terme d’un système bien exécuté, avec du code aussi protégé que possible contre les vulnérabilités.
Comment mettre à jour Exchange Server lorsque (insérez le nom de l’application tierce ici) ne prend pas en charge les dernières Exchange Server unités de certification prises en charge ?
Collaborez avec votre fournisseur tiers pour mettre à jour son logiciel en temps voulu. Considérez que votre environnement Exchange contient de nombreuses informations précieuses sur l’annuaire et la messagerie de l’entreprise. Votre priorité doit être de maintenir votre environnement aussi sécurisé que possible.
Comment pouvons-nous rester à jour lorsque nous sommes une entreprise 24h/24 et 7 j/7 et que nous n’avons pas le temps de retirer nos serveurs pour la maintenance ?
De nombreux clients ont besoin Exchange Server pour travailler 24h/24, 7 j/7. En fait, notre processus de mise à jour est conçu pour ces entreprises à forte demande. Vous devez utiliser des groupes de disponibilité de base de données (DAG) et placer les serveurs que vous mettez à jour en mode maintenance afin d’activer un processus de mise à jour approprié et sans interruption pour vos utilisateurs. Pour plus d’informations, consultez Exécution d’une maintenance sur les membres du DAG .
Si nous sommes en mode hybride et que nous n’utilisons pas activement nos Exchange Server locales, devons-nous toujours rester à jour ?
Même si vous utilisez uniquement Exchange Server localement pour gérer des objets liés à Exchange, vous devez maintenir le serveur à jour. Le Hybrid Configuration Wizard (HCW) n’a pas besoin d’être réexécuté après l’installation des mises à jour.
Nous avons examiné les mises à jour de sécurité récentes et la gravité des vulnérabilités et des expositions courantes (CVE) n’était pas élevée. pourquoi mettre à jour ?
Microsoft vous recommande d’appliquer toutes les mises à jour de sécurité disponibles, car il peut être difficile de comprendre comment des vulnérabilités de gravité même inférieure divulguées en un mois peuvent interagir avec les vulnérabilités divulguées et corrigées un mois plus tard. Une attaque peut déclencher uniquement des fonctionnalités spécifiques à faible impact sur une machine cible distante et rien d’autre, ce qui entraîne un score faible d’un mois pour le CVE. Par exemple, au cours du mois suivant, un problème important avec cette fonctionnalité a pu être découvert, mais il peut être déclenché uniquement localement et nécessiter une interaction importante de l’utilisateur. Cela seul pourrait ne pas non plus être très bien noté. Toutefois, si votre logiciel est en retard dans les mises à jour, ces deux problèmes peuvent se combiner dans une chaîne d’attaque, ce qui permet de scorer aux niveaux critiques.
Nous avons appliqué des atténuations pour une vulnérabilité de sécurité récente. Pourquoi devrions-nous installer les mises à jour (publiées ultérieurement) pour ces mêmes vulnérabilités ?
Les atténuations sont une forme temporaire de protection qui doit être utilisée jusqu’à ce que le correctif de code réel soit publié. Étant donné que les atténuations ne traitent pas de la vulnérabilité réelle présente dans le code, elles peuvent (et parfois le font) être contournées par des acteurs de menace qui attaquent des systèmes qui sont encore vulnérables. Microsoft recommande d’installer le correctif de code pour toute vulnérabilité dès qu’il est disponible. Les atténuations ne doivent pas être considérées comme une solution à long terme au code vulnérable.
Nous avons du mal à mettre à jour, car les extensions de schéma Active Directory (AD) et les installations Exchange nécessitent que différentes équipes prennent des mesures.
Dans les cas où différentes équipes doivent effectuer des actions distinctes pour préparer l’installation des Mises à jour cumulatives Exchange (car celles-ci peuvent nécessiter une extension de schéma AD), nous vous recommandons de demander des modifications de schéma lorsque nous publions de nouvelles unités de configuration qui en ont besoin. Même si vous n’avez pas besoin d’effectuer une mise à jour vers la dernière cu (car les deux dernières unités de mise à jour sont prises en charge pour les versions Exchange qui sont encore dans la durée de vie du support), le fait que le schéma Active Directory soit à jour signifie que si vous constatez que vous devez installer la dernière cu, le schéma AD est déjà mis à jour. Nous publions des unités de certification deux fois par an et toutes ne nécessitent pas de mises à jour de schéma AD. Vous pouvez suivre cela ici pour Exchange Server 2016 et ici pour Exchange Server 2019.
Nous avons installé une cu précédente sur notre serveur, puis appliqué les unités de sécurité disponibles. Nous avons mis à jour notre serveur vers la dernière cu disponible. Devons-nous également appliquer la su déjà publiée pour la dernière mise à jour ?
Une fois qu’une nouvelle cu est installée sur le serveur, vous devez toujours installer les dernières unités de sécurité disponibles pour cette cu. Passons en revue un scénario hypothétique Exchange Server 2019 de ceci :
- En mai, vous avez installé CU9 (la dernière cu disponible à l’époque) et toutes les unités de sécurité disponibles pour CU9
- En juin, nous avons publié CU10 pour Exchange Server 2019
- En juillet, nous avons publié des unités de sécurité qui s’appliquent à la fois à CU9 et CU10
- En juillet, vous avez installé l’unité de su juillet sur votre serveur Exchange 2019 CU9
- En août, vous avez installé CU10 (la dernière cu disponible en juillet)
- Vous devez maintenant appliquer la dernière su disponible pour Exchange Server CU10 2019
Nous avons installé une unité de su pour la mise à jour actuelle le mois dernier. Ce mois-ci, une nouvelle unité de su est disponible pour la même cu. Devons-nous désinstaller l’unité de service du mois dernier avant d’en installer une plus récente pour la même unité de mise à jour ?
Non, la désinstallation de la su du mois dernier n’est pas nécessaire. Installez l’unité de service de ce mois-ci dès qu’elle devient disponible. Les nouvelles unités de su contiennent également les correctifs de sécurité des unités de sécurité du mois dernier.
Les unités de sécurité sont toujours spécifiques à cu. En d’autres termes, l’installation d’une mise à jour cumulative ultérieure nécessite que toutes les unités de su disponibles pour cette unité de mise à jour soient également installées, peu importe si l’unité de su de la dernière cu et précédente a été publiée le même jour. S’il existe des unités de sécurité pour l’uc que votre serveur exécute, vous devez l’installer. Les unités de sécurité sont généralement « roulées dans la mise à jour cumulative » lors de la prochaine version de la mise à jour cumulative suivante.
Nous avons ignoré quelques unités de service et souhaitons mettre Exchange à jour avec la dernière su. Avons-nous besoin d’installer toutes les unités de service pour accéder à la dernière version ?
Étant donné que les unités de service sont cumulatives « depuis la mise à jour cumulative à laquelle elles s’appliquent », vous devez uniquement installer la dernière unité de su. Cela vous donne tous les correctifs de sécurité publiés depuis la publication de la mise à jour cumulative.
Microsoft a-t-il modifié la fréquence de publication des unités de certification Exchange ?
Oui, à compter de la Mises à jour cumulative S1 2022, nous sommes passés à une cadence de publication de deux unités de publication par an, à partir du premier et du deuxième trimestre de chaque année civile, avec des dates de publication cibles générales de mars et septembre. Mais nos dates de publication étant basées sur la qualité, nous pouvons publier des mises à jour en avril ou octobre, ou un autre mois, en fonction de ce que nous fournissons. Avec ces changements de modèle de service, être actuel signifie toujours exécuter la dernière cu ou celle qui la précède immédiatement (N ou N-1), mais la « fenêtre monétaire » est maintenant étendue de 6 mois à 1 an.
Devons-nous installer des unités de sécurité sur tous les serveurs Exchange au sein de notre organization ? Qu’en est-il des machines « Outils de gestion uniquement » ?
Nous vous recommandons d’installer security Mises à jour sur tous les serveurs et tous les serveurs ou stations de travail Exchange exécutant uniquement les outils de gestion Exchange, ce qui garantit qu’il n’y a pas d’incompatibilité entre les clients et les serveurs des outils de gestion. Si vous essayez de mettre à jour les outils de gestion Exchange dans l’environnement sans serveur Exchange en cours d’exécution, consultez ceci.
Nous avons installé les versions cu et su actuelles et sont entièrement à jour. Y a-t-il autre chose que nous devrions faire ?
Selon l’environnement particulier, la résolution de certaines vulnérabilités peut nécessiter l’exécution d’actions supplémentaires par l’administrateur Exchange. Pour vous assurer que vous avez effectué toutes les actions nécessaires après l’installation des Mises à jour de sécurité appropriées, exécutez le script Exchange Server Health Checker. Veillez à mettre à jour le système d’exploitation Windows sur lequel Exchange Server s’exécute, car les vulnérabilités du système d’exploitation peuvent également être utilisées dans le cadre de la chaîne d’attaque.