다음을 통해 공유


Exchange 긴급 완화(EM) 서비스

Exchange EM 서비스(Exchange 긴급 완화 서비스)는 서버에 대한 잠재적 위협을 해결하기 위해 완화를 적용하여 Exchange 서버를 안전하게 유지하는 데 도움이 됩니다. 클라우드 기반 OCS(Office 구성 서비스)를 사용하여 사용 가능한 완화를 확인 및 다운로드하고 진단 데이터를 Microsoft에 보냅니다.

EM 서비스는 Exchange 사서함 서버에서 Windows 서비스로 실행됩니다. Exchange Server 2016 또는 Exchange Server 2019에 2021년 9월 CU 이상을 설치하면 EM 서비스가 사서함 역할이 있는 서버에 자동으로 설치됩니다. EM 서비스는 Edge 전송 서버에 설치되지 않습니다.

EM 서비스 이용은 선택사항입니다. Microsoft가 Exchange 서버에 완화를 자동으로 적용하지 않도록 하려면 이 기능을 사용하지 않도록 설정할 수 있습니다.

완화

완화는 야생에서 적극적으로 악용되고 있는 알려진 위협으로부터 Exchange 서버를 보호하기 위해 자동으로 수행되는 작업 또는 일련의 작업입니다. 조직을 보호하고 위험을 완화하기 위해 EM 서비스는 Exchange 서버의 기능을 자동으로 비활성화할 수 있습니다.

EM 서비스는 다음 유형의 완화를 적용할 수 있습니다.

  • IIS URL 재작성 규칙 완화. 이 완화는 Exchange 서버를 위험에 빠뜨릴 수 있는 악성 HTTP 요청의 특정 패턴을 차단하는 규칙입니다.
  • Exchange 서비스 완화. 이 완화를 적용하면 Exchange 서버에서 취약한 서비스가 비활성화됩니다.
  • 앱 풀 완화 이 완화는 Exchange 서버에서 취약한 앱 풀을 비활성화합니다.

Exchange PowerShell cmdlet 및 스크립트를 사용하여 적용된 완화를 가시화하고 제어할 수 있습니다.

작동 방식

Microsoft가 보안 위협에 대해 알게 되면 문제에 대한 완화책을 만들고 릴리스할 수 있습니다. 이 경우 완화를 적용하는 데 필요한 구성 설정이 포함된 서명된 XML 파일로 OCS에서 EM 서비스로 완화가 전송됩니다.

EM 서비스가 설치된 후 매시간 사용 가능한 완화가 있는지 OCS를 확인합니다. 그런 다음 EM 서비스는 XML 파일을 다운로드하고 서명의 유효성을 검사하여 XML이 변조되지 않았는지 확인합니다. EM 서비스는 발급자, 확장 키 사용량 및 인증서 체인을 확인합니다. 유효성 검사에 성공하면 EM 서비스가 완화를 적용합니다.

각 완화는 취약점을 수정하는 보안 업데이트를 적용할 수 있을 때까지의 임시적인 중간 수정 사항입니다. EM 서비스는 Exchange SU를 대체하지 않습니다. 그러나 업데이트하기 전에 인터넷에 연결된 온-프레미스 Exchange 서버에 대한 가장 높은 위험을 완화하는 가장 빠르고 쉬운 방법입니다.

릴리스된 완화 목록

다음 표는 릴리스된 모든 완화의 리포지토리를 설명합니다.

일련 번호 완화 ID 설명 적용 가능한 최저 버전 적용 가능한 가장 높은 버전 롤백 프로시저
1 PING1 EEMS 하트비트 프로브입니다. Exchange 설정은 수정하지 않습니다. Exchange 2019: 2021년 9월 CU

Exchange 2016: 2021년 9월 CU

- 롤백이 필요하지 않습니다.
2 M1 URL 다시 쓰기 구성을 통한 CVE-2022-41040 완화 Exchange 2019: RTM

Exchange 2016: RTM

Exchange 2019: 2022년 10월 SU

Exchange 2016: 2022년 10월 SU

기본 웹 사이트 내의 IIS URL 다시 쓰기 모듈에서 EEMS M1.1 PowerShell - 인바운드 규칙을 수동으로 제거합니다.

필수 조건

Exchange가 설치되거나 설치될 Windows Server에 이러한 필수 구성 요소가 아직 없는 경우 설치 프로그램에서 준비 검사 중에 이러한 필수 구성 요소를 설치하라는 메시지를 표시합니다.

연결성

완화를 확인하고 다운로드하려면 EM 서비스에 OCS에 대한 아웃바운드 연결이 필요합니다. Exchange Server를 설치하는 동안 OCS에 대한 아웃바운드 연결을 사용할 수 없는 경우 준비 검사 중에 설치 프로그램에서 경고를 발생합니다.

EM 서비스는 OCS에 연결하지 않고 설치할 수 있지만 최신 완화를 다운로드하고 적용하려면 OCS에 연결되어 있어야 합니다. EM 서비스가 올바르게 작동하려면 Exchange Server가 설치된 컴퓨터에서 OCS에 연결할 수 있어야 합니다.

끝점 주소 포트 설명
Office 구성 서비스 officeclient.microsoft.com/* 443 Exchange EM 서비스에 필요한 끝점

중요

EM 서비스에 빌드되는 인증서 유효성 검사 논리를 손상시킬 officeclient.microsoft.com 수 있으므로 방화벽 또는 바이러스 백신과 같은 타사 소프트웨어에서 수행하는 SSL 검사 워크플로에서 에 대한 연결을 제외해야 합니다.

아웃바운드 연결을 위해 네트워크 프록시를 배포하는 경우 다음 명령을 실행하여 Exchange 서버에서 InternetWebProxy 매개 변수를 구성해야 합니다.

Set-ExchangeServer -Identity <ServerName> -InternetWebProxy <http://proxy.contoso.com:port>

또한 WinHTTP 프록시 설정에서 프록시 주소를 추가로 구성해야 합니다.

netsh winhttp set proxy <proxy.contoso.com:port>

EM 서비스는 OCS에 대한 아웃바운드 연결 외에도 여기에 언급된 다양한 CRL(인증서 해지 목록) 엔드포인트에 대한 아웃바운드 연결이 필요합니다.

이러한 인증서는 완화 XML 파일에 서명하는 데 사용되는 인증서의 신뢰성을 확인하는 데 필요합니다.

Windows가 컴퓨터에서 CTL(인증서 신뢰 목록) 을 유지하도록 하는 것이 좋습니다. 그렇지 않으면 정기적으로 수동으로 유지 관리해야 합니다. Windows에서 CTL을 유지 관리할 수 있도록 하려면 Exchange Server가 설치된 컴퓨터에서 다음 URL에 연결할 수 있어야 합니다.

끝점 주소 포트 설명
인증서 신뢰 목록 다운로드 ctldl.windowsupdate.com/* 80 인증서 신뢰 목록 다운로드

Test-MitigationServiceConnectivity 스크립트

Exchange 서버 디렉터리의 V15\Scripts 폴더에 있는 Test-MitigationServiceConnectivity.ps1 스크립트를 사용하여 Exchange 서버가 OCS에 연결되어 있는지 확인할 수 있습니다.

서버에 연결이 있는 경우 출력은 다음과 같습니다.

Result: Success.
Message: The Mitigation Service endpoint is accessible from this computer.

서버에 연결이 없는 경우 출력은 다음과 같습니다.

Result: Failed.
Message: Unable to connect to the Mitigation Service endpoint from this computer. To learn about connectivity requirements, see https://aka.ms/HelpConnectivityEEMS.

EM 서비스를 통한 완화 자동 적용 비활성화

EM 서비스 기능 중 하나는 OCS에서 완화를 다운로드하고 Exchange Server에 자동으로 적용하는 것입니다. 조직에 알려진 위협을 완화하는 대체 수단이 있는 경우 자동 완화 적용을 비활성화하도록 선택할 수 있습니다. 조직 수준 또는 Exchange 서버 수준에서 자동 완화를 사용하거나 사용하지 않도록 설정할 수 있습니다.

전체 조직에 대해 자동 완화를 사용하지 않도록 설정하려면 다음 명령을 실행합니다.

Set-OrganizationConfig -MitigationsEnabled $false

기본적으로 MitigationsEnabled 는 로 $true설정됩니다. 로 $false설정하면 EM 서비스는 여전히 매시간 완화를 확인하지만 서버 수준의 MitigationsEnabled 매개 변수 값에 관계없이 조직의 Exchange 서버에 완화를 자동으로 적용하지 않습니다.

특정 서버 <에서 자동 완화를 사용하지 않도록 설정하려면 ServerName> 을 서버 이름으로 바꾼 다음 다음 명령을 실행합니다.

Set-ExchangeServer -Identity <ServerName> -MitigationsEnabled $false

기본적으로 MitigationsEnabled 는 로 $true설정됩니다. 로 $false설정하면 EM 서비스는 매시간 완화를 확인하지만 지정된 서버에 자동으로 적용되지는 않습니다.

조직 설정과 서버 설정의 조합에 따라 각 Exchange 서버에서 EM 서비스의 동작이 결정됩니다. 이 동작은 다음 표에 설명되어 있습니다.

조직 설정 서버 설정 결과
True True EM 서비스는 Exchange 서버에 완화 기능을 자동으로 적용합니다.
True 거짓 EM 서비스는 특정 Exchange 서버에 완화를 자동으로 적용하지 않습니다.
거짓 거짓 EM 서비스는 Exchange 서버에 완화를 자동으로 적용하지 않습니다.

참고

MitigationsEnabled 매개 변수는 조직의 모든 서버에 자동으로 적용됩니다. 이 매개 변수는 조직의 첫 번째 Exchange 서버가 2021년 9월 CU(이상)로 업그레이드되는 즉시 $true 값으로 설정됩니다. 이것은 의도적으로 설계된 동작입니다. 조직의 다른 Exchange 서버가 2021년 9월 CU(이상)로 업그레이드된 후에만 EM 서비스는 MitigationsEnabled 매개 변수의 값을 적용합니다.

적용된 완화 보기

완화가 서버에 적용되면 ServerName>을 서버 이름으로 바꾼 <다음 다음 명령을 실행하여 적용된 완화를 볼 수 있습니다.

Get-ExchangeServer -Identity <ServerName> | Format-List Name,MitigationsApplied

출력 예제:

Name            :   Server1
MitigationsApplied  :   {M01.1, M01.2, M01.3}

사용자 환경의 모든 Exchange 서버에 적용된 완화 기능 목록을 보려면 다음 명령을 실행합니다.

Get-ExchangeServer | Format-List Name,MitigationsApplied

출력 예제:

Name            :   Server1
MitigationsApplied  :   {M01.1, M01.2, M01.3}

Name            :   Server2
MitigationsApplied  :   {M01.1, M01.2, M01.3}

완화 재적용

실수로 완화를 취소하는 경우 EM 서비스는 새 완화에 대한 매시간 검사를 수행할 때 다시 나타납니다. 완화를 수동으로 다시 적용하려면 다음 명령을 실행하여 Exchange 서버에서 EM 서비스를 다시 시작합니다.

Restart-Service MSExchangeMitigation

다시 시작한 후 10분 후에 EM 서비스가 검사를 실행하고 완화를 적용합니다.

완화 차단 또는 제거

완화가 Exchange 서버의 기능에 심각한 영향을 미치는 경우 완화를 차단하고 수동으로 되돌릴 수 있습니다.

완화를 차단하려면 MitigationsBlocked 매개 변수에 완화 ID를 추가합니다.

Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @("M1")

이전 명령은 M1 완화를 차단하여 EM 서비스가 다음 시간 주기에 이 완화를 다시 적용하지 않도록 합니다.

둘 이상의 완화를 차단하려면 다음 구문을 사용합니다.

Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @("M1","M2")

완화를 차단해도 자동으로 제거되지는 않지만 완화를 차단한 후에는 수동으로 제거할 수 있습니다. 완화 제거 방법은 완화 유형에 따라 다릅니다. 예를 들어 IIS 재작성 규칙 완화를 제거하려면 IIS 관리자에서 규칙을 삭제합니다. 서비스 또는 앱 풀 완화를 제거하려면 서비스 또는 앱 풀을 수동으로 시작하세요.

동일한 명령의 MitigationsBlocked 매개 변수에서 완화 ID를 제거하여 차단된 완화 목록에서 하나 이상의 완화를 제거할 수도 있습니다.

예를 들어:

Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @()

차단된 완화 목록에서 완화가 제거되면 다음 실행 시 EM 서비스에서 완화를 다시 적용합니다. 완화를 수동으로 다시 적용하려면 다음 명령을 실행하여 EM 서비스를 중지하고 다시 시작합니다.

Restart-Service MSExchangeMitigation

다시 시작한 후 10분 후에 EM 서비스가 검사를 실행하고 완화를 적용합니다.

중요

MitigationsApplied 매개 변수는 EM 서비스에서 완화 상태를 저장하고 추적하는 데 사용하므로 변경하지 마세요.

적용된 완화 및 차단된 완화 보기

Get-ExchangeServer cmdlet을 사용하여 조직의 모든 Exchange 서버에 대해 적용된 완화 및 차단된 완화를 모두 볼 수 있습니다.

모든 Exchange 서버의 적용된 완화 및 차단된 완화 기능 목록을 보려면 다음 명령을 실행합니다.

Get-ExchangeServer | Format-List Name,MitigationsApplied,MitigationsBlocked

출력 예제:

Name            :   Server1
MitigationsApplied  :   {M01.1, M01.3}
MitigationsBlocked  :   {M01.2}

Name            :   Server2
MitigationsApplied  :   {M01.1, M01.2}
MitigationsBlocked  :   {M01.3}

서버별로 <적용 및 차단된 완화 목록을 보려면 ServerName> 을 서버 이름으로 바꾼 다음 다음 명령을 실행합니다.

Get-ExchangeServer -Identity <ServerName> | fl name, *Mitigations*

출력 예제:

Name            :   Server1
MitigationsEnabled  :   True
MitigationsApplied  :   {M01.1, M01.3}
MitigationsBlocked  :   {M01.2}

완화 스크립트 가져오기

Get-Mitigations.ps1 스크립트를 사용하여 Microsoft에서 제공하는 완화를 분석하고 추적할 수 있습니다. 이 스크립트는 Exchange Server 디렉터리의 V15\Scripts 폴더에서 사용할 수 있습니다.

스크립트는 각 완화의 ID, 유형, 설명 및 상태를 표시합니다. 목록에는 적용, 차단 또는 실패한 완화가 포함됩니다.

특정 서버의 세부 정보를 보려면 Identity 매개 변수에 서버 이름을 입력합니다. 예를 들면 .\Get-Mitigations.ps1 -Identity <ServerName>와 같습니다. 조직의 모든 서버 상태를 보려면 Identity 매개 변수를 생략합니다.

예: ExportCSV 매개 변수를 사용하여 적용된 완화 목록 및 설명을 CSV 파일로 내보냅니다.

.\Get-Mitigations.ps1 -Identity <ServerName> -ExportCSV "C:\temp\CSVReport.csv"

중요

Get-Mitigations 스크립트에는 PowerShell 버전 4.0이 필요합니다.

SU 또는 CU 업그레이드 후 완화 제거

SU 또는 CU가 설치된 후 관리자는 더 이상 필요하지 않은 완화를 수동으로 제거해야 합니다. 예를 들어 M1이라는 완화가 SU를 설치한 후 더 이상 관련이 없으면 EM 서비스에서 적용을 중지하고 적용된 완화 목록에서 제거됩니다. 완화 유형에 따라 필요한 경우 서버에서 제거할 수 있습니다.

참고

Exchange 응급 완화 서비스는 사이트별/vDir 수준(예Default Web Site: 의 vDirDefault Web Site에만 OWA 해당)과 서버 수준에서 IIS URL 다시 쓰기 규칙 완화를 추가할 수 있습니다. 사이트/vDir 수준 완화는 사이트/vDir에 대한 해당 web.config 파일에 추가되는 반면 서버 수준의 완화는 파일에 추가 applicationHost.config 됩니다. CU가 설치된 후 사이트 수준 완화가 제거될 것으로 예상됩니다. 그러나 서버 수준의 완화는 그대로 유지되며 더 이상 필요하지 않은 경우 수동으로 제거해야 합니다.

새로 설치된 CU에 완화가 적용되는 경우 EM에 의해 다시 적용됩니다.

적용 중인 완화에서 보안 고정 빌드 번호를 제외하고 SU(Exchange Server Security Update) 또는 CU(누적 업데이트) 릴리스와 완화 XML 파일 업데이트 사이에 지연이 있을 수 있습니다. 이는 예상되며 문제를 일으키지 않아야 합니다. 그 동안 적용되는 완화를 제거하고 차단하려는 경우 완화 차단 또는 제거 섹션에 설명된 단계를 수행할 수 있습니다.

보안 고정 Exchange 빌드에 더 이상 적용되지 않는 즉시 특정 완화에 대한 롤백 프로시저를 사용하여 릴리스된 완화 목록 섹션 아래의 테이블을 업데이트합니다.

감사 및 로깅

관리자가 차단한 모든 완화는 Windows 애플리케이션 이벤트 로그에 기록됩니다. 차단된 완화를 기록하는 것 외에도 EM 서비스는 서비스 시작, 종료 및 종료(Windows에서 실행되는 모든 서비스와 같은)에 대한 세부 정보와 해당 작업 및 EM 서비스에서 발생한 오류에 대한 세부 정보도 기록합니다. 예를 들어 "MSExchange Mitigation Service" 소스가 있는 이벤트 1005 및 1006은 완화 적용과 같은 성공적인 작업에 대해 기록됩니다. 동일한 원본이 있는 이벤트 1008은 EM 서비스가 OCS에 도달할 수 없는 경우와 같이 발생한 오류에 대해 기록됩니다.

Search-AdminAuditLog를 사용하여 자동 완화 사용 및 비활성화를 포함하여 자신이나 다른 관리자가 수행한 작업을 검토할 수 있습니다.

EM 서비스는 Exchange Server 설치 디렉터리의 \V15\Logging\MitigationService 폴더에 별도의 로그 파일을 유지 관리합니다. 이 로그는 가져오기, 구문 분석 및 적용된 완화를 포함하여 EM 서비스에서 수행한 작업을 자세히 설명하고 OCS로 전송된 정보에 대한 세부 정보(진단 데이터 전송이 사용되는 경우)를 보여줍니다.

진단 데이터

데이터 공유가 사용되면 EM 서비스는 진단 데이터를 OCS로 보냅니다. 이 데이터는 위협을 식별하고 완화하는 데 사용됩니다. 수집되는 항목과 데이터 공유를 비활성화하는 방법에 대한 자세한 내용은 Exchange Server에 대해 수집된 진단 데이터를 참조하세요.