Exchange Servizio di mitigazione di emergenza (EM)
Il servizio Emergency Mitigation (EM) di Exchange consente di proteggere i server Exchange applicando misure di mitigazione per affrontare eventuali minacce ai server. Usa il servizio di configurazione di Office (OCS) basato sul cloud per verificare e scaricare le mitigazioni disponibili e per inviare dati di diagnostica a Microsoft.
Il servizio EM funziona come un servizio di Windows su un server Exchange Mailbox. Quando si installa l'aggiornamento cumulativo di settembre 2021 (o versione successiva) in Exchange Server 2016 o Exchange Server 2019, il servizio EM viene installato automaticamente nei server con il ruolo Cassetta postale. Il servizio EM non verrà installato nei server Trasporto Edge.
L'uso del servizio EM è facoltativo. Se non si vuole che Microsoft applichi automaticamente mitigazioni ai server Exchange, è possibile disabilitare la funzionalità.
Mitigazioni
Una mitigazione è un'azione o una serie di azioni che vengono eseguite automaticamente per proteggere un server Exchange da una minaccia nota in circolazione che viene sfruttata attivamente. Per proteggere l'organizzazione e ridurre i rischi, il servizio EM potrebbe disabilitare automaticamente caratteristiche o funzionalità in un server Exchange.
Il servizio EM può applicare i tipi di mitigazione seguenti:
- Mitigazione delle regole di riscrittura URL IIS: si tratta di una regola che blocca modelli specifici di richieste HTTP dannose che possono mettere in pericolo un server Exchange.
- Mitigazione del servizio Exchange: questa mitigazione disabilita un servizio vulnerabile in un server Exchange.
- Mitigazione pool di app: questa mitigazione disabilita un pool di app vulnerabili in un server Exchange.
È possibile avere visibilità e controllo su qualsiasi mitigazione applicata usando i cmdlet e gli script di PowerShell per Exchange.
Come funziona
Se Microsoft viene a conoscenza di una minaccia per la sicurezza, potrebbe creare e rilasciare una mitigazione per il problema. In tal caso, la mitigazione verrebbe inviata dal servizio di configurazione di Office al servizio EM come file XML firmato contenente le impostazioni di configurazione necessarie per applicare la mitigazione.
Dopo aver installato il servizio EM, controlla l'OCS per individuare le mitigazioni disponibili ogni ora. Il servizio EM scarica quindi il file XML e convalida la firma per verificare che il codice XML non sia stato manomesso. Il servizio EM controlla l'autorità emittente, l'utilizzo chiave avanzato (EKU) e la catena di certificati. Dopo la convalida, il servizio EM applica la mitigazione.
Ogni mitigazione è una soluzione temporanea e provvisoria in attesa di poter applicare l'aggiornamento di sicurezza che risolve la vulnerabilità. Il servizio EM non sostituisce le unità SU di Exchange. Tuttavia, è il modo più rapido e semplice per ridurre i rischi più elevati per i server Exchange locali connessi a Internet prima dell'aggiornamento.
Elenco delle mitigazioni rilasciate
La tabella seguente descrive il repository di tutte le mitigazioni rilasciate.
| Numero di serie | ID mitigazione | Descrizione | Versione più bassa applicabile | Versione più alta applicabile | Procedura di rollback |
|---|---|---|---|---|---|
| 1 | PING1 | Probe heartbeat EEMS. Non modifica le impostazioni di Exchange. | Exchange 2019: Settembre 2021 CU Exchange 2016: Settembre 2021 CU |
- | Non è necessario eseguire il rollback. |
| 2 | M1 | Mitigazione di CVE-2022-41040 tramite una configurazione di riscrittura URL. | Exchange 2019: RTM Exchange 2016: RTM |
Exchange 2019: AGGIORNAMENTO di ottobre 2022 Exchange 2016: AGGIORNAMENTO di ottobre 2022 |
Rimuovere la regola EEMS M1.1 PowerShell - in ingresso manualmente dal modulo di riscrittura url IIS all'interno del sito Web predefinito. |
Prerequisiti
Se questi prerequisiti non sono già presenti in Windows Server in cui è installato Exchange o da installare, il programma di installazione richiede di installare questi prerequisiti durante il controllo di conformità:
- Modulo di riscrittura URL IIS
- Universal C Runtime in Windows (KB2999226) per Windows Server 2012 e Windows Server 2012 R2
Connettività
Il servizio EM necessita della connettività in uscita all'OCS per verificare e scaricare le mitigazioni. Se la connettività in uscita a OCS non è disponibile durante l'installazione di Exchange Server, durante il controllo dell'idoneità viene generato un avviso.
Anche se il servizio EM può essere installato senza connettività a OCS, deve avere la connettività a OCS per scaricare e applicare le mitigazioni più recenti. L'OCS deve essere raggiungibile dal computer in cui è installato Exchange Server per il corretto funzionamento del servizio EM.
| Endpoint | Indirizzo | Porta | Descrizione |
|---|---|---|---|
| Servizio di configurazione di Office | officeclient.microsoft.com/* |
443 | Endpoint obbligatorio per il servizio Exchange EM |
Importante
Assicurarsi di escludere le connessioni a officeclient.microsoft.com da flussi di lavoro di ispezione SSL eseguiti da firewall o software di terze parti come AntiVirus, in quanto ciò potrebbe interrompere la logica di convalida del certificato, che viene compilata nel servizio EM.
Se è distribuito un proxy di rete per la connettività in uscita, è necessario configurare il parametro InternetWebProxy nel server Exchange eseguendo il comando seguente:
Set-ExchangeServer -Identity <ServerName> -InternetWebProxy <http://proxy.contoso.com:port>
È anche necessario configurare l'indirizzo proxy anche nelle impostazioni proxy WinHTTP :
netsh winhttp set proxy <proxy.contoso.com:port>
Oltre alla connettività in uscita a OCS, il servizio EM richiede la connettività in uscita a vari endpoint CRL (Certificate Revocation List) indicati qui.
Questi sono necessari per verificare l'autenticità dei certificati usati per firmare il file XML delle mitigazioni.
È consigliabile consentire a Windows di mantenere l'elenco di attendibilità dei certificati (CTL) nel computer. In caso contrario, questo deve essere gestito manualmente regolarmente. Per consentire a Windows di mantenere l'elenco CTL, l'URL seguente deve essere raggiungibile dal computer in cui è installato Exchange Server.
| Endpoint | Indirizzo | Porta | Descrizione |
|---|---|---|---|
| Download dell'elenco di attendibilità dei certificati | ctldl.windowsupdate.com/* |
80 | Download dell'elenco di attendibilità dei certificati |
Script Test-MitigationServiceConnectivity
È possibile verificare che un server Exchange disponga di connettività a OCS utilizzando lo script Test-MitigationServiceConnectivity.ps1 disponibile nella cartella V15\Scripts nella directory del server Exchange.
Se il server dispone di connettività, l'output è:
Result: Success.
Message: The Mitigation Service endpoint is accessible from this computer.
Se il server non dispone di connettività, l'output è:
Result: Failed.
Message: Unable to connect to the Mitigation Service endpoint from this computer. To learn about connectivity requirements, see https://aka.ms/HelpConnectivityEEMS.
Disabilitazione dell'applicazione automatica delle mitigazioni tramite il servizio EM
Una delle funzioni del servizio EM consiste nel scaricare le mitigazioni da OCS e applicarle automaticamente a Exchange Server. Se l'organizzazione ha un mezzo alternativo per mitigare una minaccia nota, si può scegliere di disabilitare l'applicazione automatica delle mitigazioni. È possibile abilitare o disabilitare la mitigazione automatica a livello di organizzazione o di server Exchange.
Per disabilitare la mitigazione automatica per l'intera organizzazione, eseguire il comando seguente:
Set-OrganizationConfig -MitigationsEnabled $false
Per impostazione predefinita, MitigationsEnabled è impostato su $true. Se impostato su $false, il servizio EM verifica comunque la presenza di mitigazioni ogni ora, ma non applica automaticamente le mitigazioni a qualsiasi server Exchange nell'organizzazione, indipendentemente dal valore del parametro MitigationsEnabled a livello di server.
Per disabilitare la mitigazione automatica in un server specifico, sostituire <ServerName> con il nome del server e quindi eseguire il comando seguente:
Set-ExchangeServer -Identity <ServerName> -MitigationsEnabled $false
Per impostazione predefinita, MitigationsEnabled è impostato su $true. Se impostato su $false, il servizio EM verifica la presenza di mitigazioni ogni ora, ma non le applica automaticamente al server specificato.
La combinazione di impostazione dell'organizzazione e impostazioni del server determina il comportamento del servizio EM in ogni server Exchange. Questo comportamento è descritto nella tabella seguente:
| Impostazione dell'organizzazione | Impostazione del server | Risultato |
|---|---|---|
| True | True | Il servizio EM applicherà automaticamente le mitigazioni al server Exchange. |
| Vero | Falso | Il servizio EM non applica automaticamente le mitigazioni a un server Exchange specifico. |
| Falso | Falso | Il servizio EM non applica automaticamente le mitigazioni a nessun server Exchange. |
Nota
Il parametro MitigationsEnabled si applica automaticamente a tutti i server di un'organizzazione. Questo parametro viene impostato sul valore $true non appena il primo server Exchange dell'organizzazione viene aggiornato all'aggiornamento cumulativo di settembre 2021 (o versione successiva). Si tratta di un comportamento legato alla progettazione del prodotto. Soltanto dopo l'aggiornamento degli altri server Exchange nell'organizzazione con l'aggiornamento cumulativo di settembre 2021 (o versione successiva), il servizio EM inizia a rispettare il valore del parametro MitigationsEnabled.
Visualizzazione delle mitigazioni applicate
Dopo aver applicato le mitigazioni a un server, è possibile visualizzare le mitigazioni applicate sostituendo <ServerName> con il nome del server e quindi eseguendo il comando seguente:
Get-ExchangeServer -Identity <ServerName> | Format-List Name,MitigationsApplied
Output di esempio:
Name : Server1
MitigationsApplied : {M01.1, M01.2, M01.3}
Per vedere l'elenco delle mitigazioni applicate per tutti i server Exchange nell'ambiente, eseguire il comando seguente:
Get-ExchangeServer | Format-List Name,MitigationsApplied
Output di esempio:
Name : Server1
MitigationsApplied : {M01.1, M01.2, M01.3}
Name : Server2
MitigationsApplied : {M01.1, M01.2, M01.3}
Riapplicazione di una mitigazione
Se si inverte accidentalmente una mitigazione, il servizio EM lo riapplica quando esegue il controllo orario della presenza di nuove mitigazioni. Per riapplicare manualmente qualsiasi mitigazione, riavviare il servizio EM nel server Exchange eseguendo il comando seguente:
Restart-Service MSExchangeMitigation
10 minuti dopo il riavvio, il servizio EM eseguirà il controllo e applicherà eventuali mitigazioni.
Blocco o rimozione di mitigazioni
Se una mitigazione influisce in modo critico sulle funzionalità del server Exchange, è possibile bloccare la mitigazione e invertirla manualmente.
Per bloccare qualsiasi mitigazione, aggiungere l'ID mitigazione nel parametro MitigationsBlocked:
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @("M1")
Il comando precedente blocca la mitigazione M1, che garantisce che il servizio EM non riapplica questa mitigazione nel ciclo orario successivo.
Per bloccare più mitigazioni, usare la sintassi seguente:
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @("M1","M2")
Il blocco di una mitigazione non lo rimuove automaticamente, ma dopo aver bloccato una mitigazione, è possibile rimuoverla manualmente. La modalità di rimozione di una mitigazione dipende dal tipo di mitigazione. Ad esempio, per rimuovere una mitigazione della regola di riscrittura IIS, eliminare la regola in Gestione IIS. Per rimuovere una mitigazione del servizio o del pool di app, avviare manualmente il servizio o il pool di app.
È anche possibile rimuovere una o più mitigazioni dall'elenco delle mitigazioni bloccate rimuovendo l'ID mitigazione nel parametro MitigationsBlocked nello stesso comando.
Ad esempio:
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @()
Dopo la rimozione di una mitigazione dall'elenco delle mitigazioni bloccate, la mitigazione verrà riapplicata dal servizio EM alla successiva esecuzione. Per riapplicare manualmente la mitigazione, arrestare e riavviare il servizio EM eseguendo il comando seguente:
Restart-Service MSExchangeMitigation
10 minuti dopo il riavvio, il servizio EM eseguirà il controllo e applicherà eventuali mitigazioni.
Importante
Evitare di apportare modifiche al parametro MitigationsApplied, perché viene usato dal servizio EM per archiviare e tenere traccia dello stato di mitigazione.
Visualizzazione delle mitigazioni applicate e bloccate
Puoi visualizzare le mitigazioni applicate e bloccate per tutti i server Exchange dell'organizzazione utilizzando il cmdlet Get-ExchangeServer.
Per vedere l'elenco delle mitigazioni applicate e bloccate per tutti i server Exchange, eseguire il comando seguente:
Get-ExchangeServer | Format-List Name,MitigationsApplied,MitigationsBlocked
Output di esempio:
Name : Server1
MitigationsApplied : {M01.1, M01.3}
MitigationsBlocked : {M01.2}
Name : Server2
MitigationsApplied : {M01.1, M01.2}
MitigationsBlocked : {M01.3}
Per visualizzare l'elenco delle mitigazioni applicate e bloccate per ogni server, sostituire <ServerName> con il nome del server e quindi eseguire il comando seguente:
Get-ExchangeServer -Identity <ServerName> | fl name, *Mitigations*
Output di esempio:
Name : Server1
MitigationsEnabled : True
MitigationsApplied : {M01.1, M01.3}
MitigationsBlocked : {M01.2}
Get-Mitigation Script
È possibile utilizzare lo script Get-Mitigations.ps1 per analizzare e tenere traccia delle mitigazioni fornite da Microsoft. Questo script è disponibile nella cartella V15\Scripts nella directory di Exchange Server.
Lo script visualizza l'ID, il tipo, la descrizione e lo stato di ogni mitigazione. L'elenco include eventuali mitigazioni applicate, bloccate o non riuscite.
Per vedere i dettagli di un server specifico, fornire il nome del server nel parametro Identity. Ad esempio, .\Get-Mitigations.ps1 -Identity <ServerName>. Per visualizzare lo stato di tutti i server dell'organizzazione, omettere il parametro Identity .
Esempio: Esportare l'elenco delle mitigazioni applicate e le relative descrizioni in un file CSV usando il parametro ExportCSV:
.\Get-Mitigations.ps1 -Identity <ServerName> -ExportCSV "C:\temp\CSVReport.csv"
Importante
Lo script Get-Mitigations richiede PowerShell versione 4.0.
Rimozione delle mitigazioni dopo l'aggiornamento di unità di streaming o aggiornamento cumulativo
Dopo l'installazione di un'unità di registrazione o di un aggiornamento cumulativo, un amministratore deve rimuovere manualmente tutte le mitigazioni che non sono più necessarie. Ad esempio, se una mitigazione denominata M1 non è più rilevante dopo l'installazione di un'istanza di Su, il servizio EM smetterà di applicarla e verrà rimossa dall'elenco delle mitigazioni applicate. A seconda del tipo di mitigazione, può essere rimosso dal server, se necessario.
Nota
Il servizio Mitigazione emergenza di Exchange può aggiungere mitigazioni delle regole di riscrittura url IIS a livello di sito/per vDir (ad esempio, Default Web Site o solo in OWA vDir in Default Web Site) e a livello di server. Le mitigazioni a livello di sito/vDir vengono aggiunte al file corrispondente web.config per il sito/vDir, mentre le mitigazioni a livello di server vengono aggiunte al applicationHost.config file. Si prevede che le mitigazioni a livello di sito vengano rimosse dopo l'installazione di un cu. Tuttavia, le mitigazioni a livello di server rimangono in vigore e devono essere rimosse manualmente se non sono più necessarie.
Se è applicabile una mitigazione per la cu appena installata, verrà riapplicata dal em.
Potrebbe verificarsi un ritardo tra il rilascio di un aggiornamento della sicurezza di Exchange Server (SU) o un aggiornamento cumulativo (CU) e un aggiornamento al file XML di mitigazione, escludendo i numeri di build fissi di sicurezza dalle mitigazioni applicate. Questa operazione è prevista e non dovrebbe causare problemi. Se si vuole rimuovere e bloccare l'applicazione di una mitigazione nel frattempo, è possibile seguire i passaggi descritti nella sezione Mitigazioni di blocco o rimozione .
La tabella in Elenco delle mitigazioni rilasciate viene aggiornata con la procedura di rollback per la mitigazione specifica non appena non viene più applicata alle build di Exchange fisse per la sicurezza.
Audit and Logging
Eventuali mitigazioni bloccate da un amministratore verranno registrate nel registro eventi delle applicazioni di Windows. Oltre a registrare le mitigazioni bloccate, il servizio EM registra anche i dettagli sull'avvio, l'arresto e la chiusura del servizio (come tutti i servizi in esecuzione in Windows) e i dettagli delle azioni e degli eventuali errori riscontrati dal servizio EM. Ad esempio, gli eventi 1005 e 1006 con origine "Servizio di mitigazione di MSExchange" verranno registrati per le azioni riuscite, ad esempio quando viene applicata una mitigazione. L'evento 1008 con la stessa origine verrà registrato per eventuali errori rilevati, ad esempio quando il servizio EM non riesce a raggiungere ocs.
Puoi usare Search-AdminAuditLog per esaminare le azioni intraprese da te o da altri amministratori, tra cui l'abilitazione e la disabilitazione delle mitigazioni automatiche.
Il servizio EM gestisce un file di log separato nella cartella \V15\Logging\MitigationService all'interno della directory di installazione di Exchange Server. Questo registro contiene informazioni dettagliate sulle attività eseguite dal servizio EM, incluse le mitigazioni recuperate, analizzate e applicate e i dettagli sulle informazioni inviate all'OCS (se è abilitato l'invio di dati di diagnostica).
Dati di diagnostica
Quando la condivisione dei dati è abilitata, il servizio EM invia dati di diagnostica all'OCS. Questi dati vengono utilizzati per identificare e mitigare le minacce. Per altre informazioni sugli elementi raccolti e su come disabilitare la condivisione dei dati, vedi Dati di diagnostica raccolti per Exchange Server.