Serviço de Mitigação de Emergência do Microsoft Exchange (EM)
O Serviço de Mitigação de Emergência do Microsoft Exchange Server (serviço EM) ajuda a manter seus Exchange Servers seguros aplicando mitigações para lidar com possíveis ameaças contra seus servidores. Ele usa o Serviço de Configuração do Office (OCS) baseado em nuvem para verificar e baixar as mitigações que estão disponíveis e enviar dados de diagnóstico à Microsoft.
O serviço EM é executado como um serviço Windows em um servidor na Caixa de Correio do Exchange. Quando você instala a CU de setembro de 2021 (ou posterior) no Exchange Server 2016 ou Exchange Server 2019, o serviço EM é instalado automaticamente em servidores com a função Caixa de Correio. O serviço EM não será instalado em servidores de Transporte de Borda.
O uso do serviço EM é opcional. Se você não quiser que a Microsoft aplique automaticamente mitigações aos servidores do Exchange, poderá desabilitar o recurso.
Mitigações
Uma mitigação é uma ação ou um conjunto de ações que são executadas automaticamente para proteger um Exchange Server de uma ameaça conhecida que está sendo explorada ativamente na natureza. Para ajudar a proteger sua organização e reduzir riscos, o serviço EM pode desabilitar automaticamente recursos ou funcionalidades em um Exchange Server.
O serviço EM pode aplicar três tipos de mitigações:
- Mitigação da regra de Regravação da URL do IIS: Essa é uma regra que bloqueia padrões específicos das solicitações HTTP mal-intencionadas que podem prejudicar um Exchange Server.
- Mitigação de serviço do Exchange:: Essa mitigação desabilita um serviço vulnerável em um Exchange Server.
- Mitigação do Pool de Aplicativos: Essa mitigação desabilita um pool de aplicativos vulnerável em um Exchange Server.
Você tem visibilidade e controle sobre as mitigações aplicadas usando cmdlets e scripts do Exchange PowerShell.
Como funciona?
Se a Microsoft souber de uma ameaça à segurança, podemos criar e lançar uma mitigação para o problema. Nesse caso, a mitigação seria enviada do OCS ao serviço EM como um arquivo XML assinado contendo as definições de configuração usadas para aplicar a mitigação.
Depois de instalado, o serviço EM verifica o OCS em busca de mitigações disponíveis a cada hora. O serviço EM então baixa o arquivo XML e valida a assinatura para verificar se o XML não foi adulterado. O serviço EM verifica o emissor, o uso estendido de chave e a cadeia de certificados. Depois de validar com sucesso, o serviço EM aplica a mitigação.
Cada mitigação é uma correção temporária e provisória até que você possa aplicar a Atualização de Segurança que corrige a vulnerabilidade. O serviço EM não é um substituto para as SUs do Exchange. Entretanto, é a maneira mais rápida e fácil de mitigar os riscos mais graves aos Exchange Servers locais conectados à internet antes da atualização.
Lista de mitigações lançadas
A tabela a seguir descreve o repositório de todas as mitigações lançadas.
| Número de série | ID da mitigação | Descrição | Versão mais baixa aplicável | Versão mais alta aplicável | Procedimento da reversão |
|---|---|---|---|---|---|
| 1 | PING1 | Sonda de batimento cardíaco EEMS. Não modifica nenhuma configuração do Exchange. | Exchange 2019: CU de setembro de 2021 Exchange 2016: atualização cumulativa de setembro de 2021 |
- | Sem necessidade de reversão.. |
| 2 | M1 | Mitigação do CVE-2022-41040 por meio de uma configuração de Reescrita de URL. | Exchange 2019: RTM Exchange 2016: RTM |
Exchange 2019: SU de outubro de 2022 Exchange 2016: SU de outubro de 2022 |
Remova a regra EEMS M1.1 PowerShell – entrada manualmente do módulo de reescrita da URL do IIS no Site Padrão. |
Pré-requisitos
Se esses pré-requisitos ainda não estiverem no Windows Server em que o Exchange está instalado ou a ser instalado, a instalação solicitará que você instale esses pré-requisitos durante a preparação marcar:
- Módulo de regravação da URL do IIS
- Tempo de Execução C Universal no Windows (KB2999226) para Windows Server 2012 e Windows Server 2012 R2
Conectividade
O serviço EM precisa de conectividade de saída com o OCS para verificar e baixar as mitigações. Se a conectividade de saída com o OCS não estiver disponível durante a instalação do Exchange Server, a instalação emitirá um aviso durante o marcar de preparação.
Embora o serviço EM possa ser instalado sem a conectividade com o OCS, ele deve ter conectividade com o OCS para baixar e aplicar as mitigações mais recentes. O OCS deve ser acessível no computador onde o Exchange Server está instalado para que o serviço EM funcione corretamente.
| Ponto de extremidade | Endereço | Porta | Descrição |
|---|---|---|---|
| Serviço de Configuração do Office | officeclient.microsoft.com/* |
443 | Ponto de extremidade necessário para o serviço Exchange EM |
Importante
Exclua as conexões de officeclient.microsoft.com fluxos de trabalho de inspeção SSL executados por firewalls ou softwares de terceiros, como o AntiVírus, pois isso pode quebrar a lógica de validação de certificado, que é criada no serviço EM.
Se um proxy de rede for implantado para conectividade de saída, você precisará configurar o parâmetro InternetWebProxy no Exchange Server executando o seguinte comando:
Set-ExchangeServer -Identity <ServerName> -InternetWebProxy <http://proxy.contoso.com:port>
Você também deve configurar o endereço proxy adicionalmente nas configurações de proxy do WinHTTP :
netsh winhttp set proxy <proxy.contoso.com:port>
Além da conectividade de saída com o OCS, o serviço EM precisa de conectividade de saída para vários pontos de extremidade crl (Lista de Revogação de Certificado) mencionados aqui.
Eles são necessários para verificar a autenticidade dos certificados usados para assinar o arquivo XML de mitigações.
Recomendamos fortemente permitir que o Windows mantenha a CTL (Lista de Confiança de Certificado) em seu computador. Caso contrário, isso deve ser mantido manualmente regularmente. Para permitir que o Windows mantenha a CTL, a URL a seguir deve ser acessível no computador no qual Exchange Server está instalado.
| Ponto de extremidade | Endereço | Porta | Descrição |
|---|---|---|---|
| Download da Lista de Confiança de Certificado | ctldl.windowsupdate.com/* |
80 | Download da Lista de Confiança de Certificado |
Test-MitigationServiceConnectivity script
Você pode verificar se um Exchange Server possui conectividade com o OCS usando o script Test-MitigationServiceConnectivity.ps1 na pasta V15\Scripts no diretório do Exchange Server.
Se o servidor tiver conectividade, a saída será:
Result: Success.
Message: The Mitigation Service endpoint is accessible from this computer.
Se o servidor não tiver conectividade, a saída será:
Result: Failed.
Message: Unable to connect to the Mitigation Service endpoint from this computer. To learn about connectivity requirements, see https://aka.ms/HelpConnectivityEEMS.
Desabilita a aplicação automática de Mitigações com o Serviço EM
Uma das funções do serviço EM é baixar as mitigações do OCS e aplica-las automaticamente ao Exchange Server. Se sua organização tiver um meio alternativo de mitigar uma ameaça conhecida, você pode optar por desabilitar os aplicativos automáticos de mitigações. Você pode habilitar ou desabilitar a mitigação automática em um nível organizacional ou no Exchange Server.
Para desabilitar a mitigação automática da sua organização, execute o comando a seguir:
Set-OrganizationConfig -MitigationsEnabled $false
Por padrão, MitigaçõesEnabled é definido como $true. Quando definido como $false, o serviço EM ainda verifica mitigações por hora, mas não aplicará mitigações automaticamente a nenhum servidor exchange na organização, independentemente do valor do parâmetro MitigaçõesEnabled no nível do servidor.
Para desabilitar a mitigação automática em um servidor específico, substitua <ServerName> pelo nome do servidor e execute o seguinte comando:
Set-ExchangeServer -Identity <ServerName> -MitigationsEnabled $false
Por padrão, MitigaçõesEnabled é definido como $true. Quando definido como $false, o serviço EM verifica mitigações por hora, mas não as aplicará automaticamente ao servidor especificado.
A combinação da configuração da organização e as configurações do servidor determinam o comportamento do serviço EM em cada Exchange Server. Esse comportamento é descrito na tabela a seguir:
| Configuração da organização | Configuração do servidor | Resultado |
|---|---|---|
| Verdadeiro | Verdadeiro | O serviço EM aplicará mitigações automaticamente ao servidor Exchange. |
| Verdadeiro | Falso | O serviço EM não aplicará automaticamente mitigações a um servidor exchange específico. |
| Falso | Falso | O serviço EM não aplicará automaticamente mitigações a nenhum servidor do Exchange. |
Observação
O parâmetro MitigationsEnabled se aplica automaticamente a todos os servidores de uma organização. Esse parâmetro é definido como o valor $true assim que o primeiro Exchange Server em sua organização é atualizado para a CU de setembro de 2021 (ou posterior). Este é o comportamento padrão. Depois que os outros Exchange Servers na organização forem atualizados com a CU de setembro de 2021 (ou posterior), somente o serviço EM respeitará o valor do parâmetro MitigationsEnabled.
Exibindo as mitigações aplicadas
Depois que as mitigações forem aplicadas a um servidor, você poderá exibir as mitigações aplicadas substituindo <ServerName> pelo nome do servidor e executando o seguinte comando:
Get-ExchangeServer -Identity <ServerName> | Format-List Name,MitigationsApplied
Exemplo de saída:
Name : Server1
MitigationsApplied : {M01.1, M01.2, M01.3}
Para ver a lista de mitigações aplicadas para todos os Exchange Servers em seu ambiente, execute o seguinte comando:
Get-ExchangeServer | Format-List Name,MitigationsApplied
Exemplo de saída:
Name : Server1
MitigationsApplied : {M01.1, M01.2, M01.3}
Name : Server2
MitigationsApplied : {M01.1, M01.2, M01.3}
Reaplicando uma mitigação
Se você reverter acidentalmente uma mitigação, o serviço EM o reaplica quando ele executa seu marcar por hora para novas mitigações. Para reaplicar manualmente qualquer mitigação, reinicie o serviço EM no Exchange Server executando o seguinte comando:
Restart-Service MSExchangeMitigation
10 minutos após a reinicialização, o serviço EM executará seu marcar e aplicará quaisquer mitigações.
Bloqueando ou removendo mitigações
Se uma mitigação afetar criticamente a funcionalidade do servidor exchange, você poderá bloquear a mitigação e revertê-la manualmente.
Para bloquear uma mitigação, adicione a ID de Mitigação no parâmetro MitigationsBlocked:
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @("M1")
O comando anterior bloqueia a mitigação M1, o que garante que o serviço EM não reaplica essa mitigação no próximo ciclo por hora.
Para bloquear mais de uma mitigação, use a seguinte sintaxe:
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @("M1","M2")
Bloquear uma mitigação não a remove automaticamente, mas depois de bloquear uma mitigação, você pode removê-la manualmente. A maneira como uma mitigação é removida depende do tipo de mitigação. Por exemplo, para remover uma mitigação de regravação do IIS, exclua a regra no Gerenciador do IIS. Para remover a mitigação de um serviço ou pool de aplicativos, inicie o serviço ou pool de aplicativos manualmente.
Você também pode remover uma ou mais mitigações da lista de mitigações bloqueadas removendo a ID da Mitigação no parâmetro MitigationsBlocked no mesmo comando.
Por exemplo:
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @()
Depois que uma mitigação for removida da lista de mitigações bloqueadas, a mitigação será reaplicada pelo serviço EM na sua próxima execução. Para reaplicar a mitigação manualmente, interrompa e reinicie o serviço EM executando o comando a seguir:
Restart-Service MSExchangeMitigation
10 minutos após a reinicialização, o serviço EM executará seu marcar e aplicará quaisquer mitigações.
Importante
Evite fazer alterações no parâmetro MitigationsApplied, pois ele é usado pelo serviço EM para armazenar e acompanhar o status de mitigação.
Exibindo mitigações aplicadas e bloqueadas
Você pode exibir mitigações aplicadas e bloqueadas em todos os servidores Exchange na sua organização usando o cmdlet Get-ExchangeServer.
Para exibir a lista de mitigações aplicadas e bloqueadas para todos os Exchange Servers, execute o seguinte comando:
Get-ExchangeServer | Format-List Name,MitigationsApplied,MitigationsBlocked
Exemplo de saída:
Name : Server1
MitigationsApplied : {M01.1, M01.3}
MitigationsBlocked : {M01.2}
Name : Server2
MitigationsApplied : {M01.1, M01.2}
MitigationsBlocked : {M01.3}
Para exibir a lista de mitigações aplicadas e bloqueadas por servidor, substitua <ServerName> pelo nome do servidor e execute o seguinte comando:
Get-ExchangeServer -Identity <ServerName> | fl name, *Mitigations*
Exemplo de saída:
Name : Server1
MitigationsEnabled : True
MitigationsApplied : {M01.1, M01.3}
MitigationsBlocked : {M01.2}
Script Get-Mitigation
Você pode usar o script Get-Mitigations.ps1 para analisar e acompanhar as mitigações fornecidas pela Microsoft. Esse script está disponível na pasta V15\Scripts no diretório do Exchange Server.
O script exibe a ID, o tipo, a descrição e o status de cada mitigação. A lista inclui as mitigações aplicadas, bloqueadas ou com erro.
Para exibir os detalhes de um servidor específico, forneça o nome do servidor no parâmetro Identity. Por exemplo, .\Get-Mitigations.ps1 -Identity <ServerName>. Para exibir o status de todos os servidores da sua organização, omita o parâmetro Identidade.
Exemplo: exporte a lista de mitigações aplicadas e suas descrições para um arquivo CSV usando o parâmetro ExportCSV:
.\Get-Mitigations.ps1 -Identity <ServerName> -ExportCSV "C:\temp\CSVReport.csv"
Importante
O script Get-Mitigations precisa da versão 4.0 do PowerShell.
Removendo mitigações depois de atualizar SU ou CU
Depois que uma SU ou uma CU tiver sido instalada, um administrador deve remover manualmente todas as mitigações que não forem mais necessárias. Por exemplo, se uma Mitigação chamada M1 não for mais relevante depois de instalar uma SU, o serviço EM interromperá a aplicação e ela será removida da lista de mitigações aplicadas. Dependendo do tipo de mitigação, ele pode ser removido do servidor, se necessário.
Observação
O serviço de Mitigação de Emergência do Exchange pode adicionar mitigações de regra de reescrita de URL do IIS em um nível por site/por vDir (por exemplo, no Default Web Site ou somente no OWA vDir em Default Web Site) bem como no nível do servidor. Mitigações de nível de site/vDir são adicionadas ao arquivo correspondente web.config para o site/vDir, enquanto mitigações no nível do servidor são adicionadas ao applicationHost.config arquivo. Espera-se que as mitigações do nível do site sejam removidas após a instalação de uma CU. No entanto, as mitigações no nível do servidor permanecem em vigor e devem ser removidas manualmente se não forem mais necessárias.
Se uma mitigação for aplicável à CU recém-instalada, ela será reaplicada pelo EM.
Pode haver um atraso entre a versão de um SU (Atualização de Segurança) Exchange Server ou CU (Atualização Cumulativa) e uma atualização para o arquivo XML de Mitigação, excluindo os números de build fixos de segurança das Mitigações que estão sendo aplicadas. Isso é esperado e não deve causar problemas. Se você quiser remover e bloquear uma Mitigação que está sendo aplicada enquanto isso, você poderá seguir as etapas descritas na seção Bloquear ou Remover Mitigações .
Atualizamos a tabela em Lista de mitigações lançada com o procedimento de reversão para a Mitigação específica assim que ela não for mais aplicada a builds de Exchange fixos de segurança.
Auditoria e registro em log
Todas as mitigações bloqueadas por um administrador serão registradas no Log de Eventos do Aplicativo do Windows. Além das mitigações bloqueadas em log, o serviço EM também registra detalhes sobre inicialização, desligamento e encerramento do serviço (como todos os serviços em execução no Windows), assim como detalhes das suas ações e dos erros encontrados pelo serviço EM. Por exemplo, os Eventos 1005 e 1006 com uma fonte de "Serviço de Mitigação do MSExchange" serão registrados como ações bem-sucedidas, a exemplo de quando uma mitigação é aplicada. O evento 1008 com a mesma origem será registrado para quaisquer erros encontrados, como quando o serviço EM não pode alcançar o OCS.
Você pode usar Search-AdminAuditLog para revisar as ações executadas por você ou por outros administradores, incluindo a habilitação e a desabilitação das mitigações automáticas.
O serviço EM mantém um arquivo de log separado na pasta \V15\Logging\MitigationService no diretório de instalação do Exchange Server. Esse log detalha as tarefas executadas pelo serviço EM, incluindo mitigações buscadas, analisadas e aplicadas, assim como os detalhes sobre as informações enviadas ao OCS (se o envio de dados de diagnóstico estiver habilitado).
Dados do diagnóstico
Quando o compartilhamento de dados estiver habilitado, o serviço EM envia dados de diagnóstico ao OCS. Esses dados são usados para identificar e mitigar ameaças. Para saber mais sobre o que é coletado e como desabilitar o compartilhamento de dados, consulte Dados de Diagnóstico coletados para o Exchange Server.