Serviço de Mitigação de Emergência do Microsoft Exchange (EM)
O Serviço de Mitigação de Emergência do Microsoft Exchange Server (serviço EM) ajuda a manter seus Exchange Servers seguros aplicando mitigações para lidar com possíveis ameaças contra seus servidores. Ele usa o Serviço de Configuração do Office (OCS) baseado em nuvem para verificar e baixar as mitigações que estão disponíveis e enviar dados de diagnóstico à Microsoft.
O serviço EM é executado como um serviço Windows em um servidor na Caixa de Correio do Exchange. Quando instala a de setembro de 2021 (ou posterior) no Exchange Server 2016 ou Exchange Server 2019, o serviço EM é instalado automaticamente em servidores com a função Caixa de Correio. O serviço EM não será instalado nos servidores de Transporte edge.
O uso do serviço EM é opcional. Se não quiser que a Microsoft aplique automaticamente mitigações aos seus servidores exchange, pode desativar a funcionalidade.
Mitigações
Uma mitigação é uma ação ou um conjunto de ações que são executadas automaticamente para proteger um Exchange Server de uma ameaça conhecida que está sendo explorada ativamente na natureza. Para ajudar a proteger sua organização e reduzir riscos, o serviço EM pode desabilitar automaticamente recursos ou funcionalidades em um Exchange Server.
O serviço EM pode aplicar três tipos de mitigações:
- Mitigação da regra de Regravação da URL do IIS: Essa é uma regra que bloqueia padrões específicos das solicitações HTTP mal-intencionadas que podem prejudicar um Exchange Server.
- Mitigação de serviço do Exchange:: Essa mitigação desabilita um serviço vulnerável em um Exchange Server.
- Mitigação do Pool de Aplicativos: Essa mitigação desabilita um pool de aplicativos vulnerável em um Exchange Server.
Você tem visibilidade e controle sobre as mitigações aplicadas usando cmdlets e scripts do Exchange PowerShell.
Como funciona?
Se a Microsoft souber de uma ameaça à segurança, podemos criar e lançar uma mitigação para o problema. Nesse caso, a mitigação seria enviada do OCS ao serviço EM como um arquivo XML assinado contendo as definições de configuração usadas para aplicar a mitigação.
Depois de instalado, o serviço EM verifica o OCS em busca de mitigações disponíveis a cada hora. Em seguida, o serviço EM transfere o ficheiro XML e valida a assinatura para verificar se o XML não foi adulterado. O serviço EM verifica o emissor, o uso estendido de chave e a cadeia de certificados. Depois de validar com sucesso, o serviço EM aplica a mitigação.
Cada mitigação é uma correção temporária e provisória até que você possa aplicar a Atualização de Segurança que corrige a vulnerabilidade. O serviço EM não substitui as SUs do Exchange. Entretanto, é a maneira mais rápida e fácil de mitigar os riscos mais graves aos Exchange Servers locais conectados à internet antes da atualização.
Lista de mitigações lançadas
A tabela a seguir descreve o repositório de todas as mitigações lançadas.
| Número de série | ID da mitigação | Descrição | Versão mais baixa aplicável | Versão mais alta aplicável | Procedimento da reversão |
|---|---|---|---|---|---|
| 1 | PING1 | Sonda de batimento cardíaco EEMS. Não modifica quaisquer definições do Exchange. | Exchange 2019: CU de setembro de 2021 Exchange 2016: atualização cumulativa de setembro de 2021 |
- | Sem necessidade de reversão.. |
| 2 | M1 | Mitigação do CVE-2022-41040 através de uma configuração de Reescrita de URL. | Exchange 2019: RTM Exchange 2016: RTM |
Exchange 2019: SU de outubro de 2022 Exchange 2016: SU de outubro de 2022 |
Remova a regra EEMS M1.1 PowerShell – entrada manual do módulo de reescrita de URLs do IIS no Web Site Predefinido. |
Pré-requisitos
Se estes pré-requisitos ainda não estiverem no Windows Server onde o Exchange está instalado ou a ser instalado, a Configuração pede-lhe para instalar estes pré-requisitos durante a verificação de preparação:
- Módulo de regravação da URL do IIS
- Tempo de Execução C Universal no Windows (KB2999226) para Windows Server 2012 e Windows Server 2012 R2
Conectividade
O serviço EM precisa de conectividade de saída com o OCS para verificar e baixar as mitigações. Se a conectividade de saída ao OCS não estiver disponível durante a instalação do Exchange Server, a Configuração emitirá um Aviso durante a verificação de preparação.
Embora o serviço EM possa ser instalado sem a conectividade com o OCS, ele deve ter conectividade com o OCS para baixar e aplicar as mitigações mais recentes. O OCS deve ser acessível no computador onde o Exchange Server está instalado para que o serviço EM funcione corretamente.
| Ponto de extremidade | Endereço | Porta | Descrição |
|---|---|---|---|
| Serviço de Configuração do Office | officeclient.microsoft.com/* |
443 | Ponto de extremidade necessário para o serviço Exchange EM |
Importante
Certifique-se de que exclui as ligações dos officeclient.microsoft.com fluxos de trabalho de inspeção SSL efetuadas por firewalls ou software de terceiros, como o AntiVírus, uma vez que tal pode interromper a lógica de validação do certificado, que é incorporada no serviço EM.
Se um proxy de rede for implantado para conectividade de saída, você precisará configurar o parâmetro InternetWebProxy no Exchange Server executando o seguinte comando:
Set-ExchangeServer -Identity <ServerName> -InternetWebProxy <http://proxy.contoso.com:port>
Também tem de configurar o endereço proxy adicionalmente nas definições de proxy WinHTTP :
netsh winhttp set proxy <proxy.contoso.com:port>
Além da conectividade de saída ao OCS, o serviço EM precisa de conectividade de saída para vários pontos finais da Lista de Revogação de Certificados (CRL) mencionados aqui.
Estes são necessários para verificar a autenticidade dos certificados utilizados para assinar o ficheiro XML de mitigações.
Recomendamos vivamente que o Windows mantenha a Lista de Confiança de Certificados (CTL) no seu computador. Caso contrário, tem de ser mantido manualmente regularmente. Para permitir que o Windows mantenha a CTL, o seguinte URL tem de estar acessível a partir do computador no qual o Exchange Server está instalado.
| Ponto de extremidade | Endereço | Porta | Descrição |
|---|---|---|---|
| Transferência da Lista de Fidedignidade do Certificado | ctldl.windowsupdate.com/* |
80 | Transferência da Lista de Fidedignidade de Certificados |
Test-MitigationServiceConnectivity script
Você pode verificar se um Exchange Server possui conectividade com o OCS usando o script Test-MitigationServiceConnectivity.ps1 na pasta V15\Scripts no diretório do Exchange Server.
Se o servidor tiver conectividade, a saída será:
Result: Success.
Message: The Mitigation Service endpoint is accessible from this computer.
Se o servidor não tiver conectividade, a saída será:
Result: Failed.
Message: Unable to connect to the Mitigation Service endpoint from this computer. To learn about connectivity requirements, see https://aka.ms/HelpConnectivityEEMS.
Desabilita a aplicação automática de Mitigações com o Serviço EM
Uma das funções do serviço EM é baixar as mitigações do OCS e aplica-las automaticamente ao Exchange Server. Se sua organização tiver um meio alternativo de mitigar uma ameaça conhecida, você pode optar por desabilitar os aplicativos automáticos de mitigações. Você pode habilitar ou desabilitar a mitigação automática em um nível organizacional ou no Exchange Server.
Para desabilitar a mitigação automática da sua organização, execute o comando a seguir:
Set-OrganizationConfig -MitigationsEnabled $false
Por predefinição, MitigationsEnabled está definido como $true. Quando definido como $false, o serviço EM continua a verificar a existência de mitigações por hora, mas não aplicará automaticamente mitigações a qualquer servidor exchange na organização, independentemente do valor do parâmetro MitigationsEnabled ao nível do servidor.
Para desativar a mitigação automática num servidor específico, substitua <ServerName> pelo nome do servidor e, em seguida, execute o seguinte comando:
Set-ExchangeServer -Identity <ServerName> -MitigationsEnabled $false
Por predefinição, MitigationsEnabled está definido como $true. Quando definido como $false, o serviço EM verifica a existência de mitigações por hora, mas não as aplica automaticamente ao servidor especificado.
A combinação da configuração da organização e as configurações do servidor determinam o comportamento do serviço EM em cada Exchange Server. Esse comportamento é descrito na tabela a seguir:
| Configuração da organização | Configuração do servidor | Resultado |
|---|---|---|
| Verdadeiro | Verdadeiro | O serviço EM aplicará mitigações automaticamente ao servidor Exchange. |
| Verdadeiro | Falso | O serviço EM não aplicará automaticamente mitigações a um servidor Exchange específico. |
| Falso | Falso | O serviço EM não aplicará automaticamente mitigações a nenhum servidor Exchange. |
Observação
O parâmetro MitigationsEnabled se aplica automaticamente a todos os servidores de uma organização. Esse parâmetro é definido como o valor $true assim que o primeiro Exchange Server em sua organização é atualizado para a CU de setembro de 2021 (ou posterior). Este é o comportamento padrão. Depois que os outros Exchange Servers na organização forem atualizados com a CU de setembro de 2021 (ou posterior), somente o serviço EM respeitará o valor do parâmetro MitigationsEnabled.
Exibindo as mitigações aplicadas
Assim que as mitigações forem aplicadas a um servidor, pode ver as mitigações aplicadas ao substituir <ServerName> pelo nome do servidor e, em seguida, executar o seguinte comando:
Get-ExchangeServer -Identity <ServerName> | Format-List Name,MitigationsApplied
Exemplo de saída:
Name : Server1
MitigationsApplied : {M01.1, M01.2, M01.3}
Para ver a lista de mitigações aplicadas para todos os Exchange Servers em seu ambiente, execute o seguinte comando:
Get-ExchangeServer | Format-List Name,MitigationsApplied
Exemplo de saída:
Name : Server1
MitigationsApplied : {M01.1, M01.2, M01.3}
Name : Server2
MitigationsApplied : {M01.1, M01.2, M01.3}
Reaplicando uma mitigação
Se reverter acidentalmente uma mitigação, o serviço EM reapõe-a quando executa a verificação horária para novas mitigações. Para reaplicar manualmente qualquer mitigação, reinicie o serviço EM no Exchange Server executando o seguinte comando:
Restart-Service MSExchangeMitigation
10 minutos após o reinício, o serviço EM executará a verificação e aplicará quaisquer mitigações.
Bloqueando ou removendo mitigações
Se uma mitigação afetar criticamente a funcionalidade do seu servidor Exchange, pode bloquear a mitigação e revertê-la manualmente.
Para bloquear uma mitigação, adicione a ID de Mitigação no parâmetro MitigationsBlocked:
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @("M1")
O comando anterior bloqueia a mitigação M1, que garante que o serviço EM não reaplica esta mitigação no próximo ciclo de hora a hora.
Para bloquear mais de uma mitigação, use a seguinte sintaxe:
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @("M1","M2")
Bloquear uma mitigação não a remove automaticamente, mas depois de bloquear uma mitigação, pode removê-la manualmente. A maneira como uma mitigação é removida depende do tipo de mitigação. Por exemplo, para remover uma mitigação de regravação do IIS, exclua a regra no Gerenciador do IIS. Para remover a mitigação de um serviço ou pool de aplicativos, inicie o serviço ou pool de aplicativos manualmente.
Você também pode remover uma ou mais mitigações da lista de mitigações bloqueadas removendo a ID da Mitigação no parâmetro MitigationsBlocked no mesmo comando.
Por exemplo:
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @()
Depois que uma mitigação for removida da lista de mitigações bloqueadas, a mitigação será reaplicada pelo serviço EM na sua próxima execução. Para reaplicar a mitigação manualmente, interrompa e reinicie o serviço EM executando o comando a seguir:
Restart-Service MSExchangeMitigation
10 minutos após o reinício, o serviço EM executará a verificação e aplicará quaisquer mitigações.
Importante
Evite fazer alterações no parâmetro MitigationsApplied, pois ele é usado pelo serviço EM para armazenar e acompanhar o status de mitigação.
Exibindo mitigações aplicadas e bloqueadas
Você pode exibir mitigações aplicadas e bloqueadas em todos os servidores Exchange na sua organização usando o cmdlet Get-ExchangeServer.
Para exibir a lista de mitigações aplicadas e bloqueadas para todos os Exchange Servers, execute o seguinte comando:
Get-ExchangeServer | Format-List Name,MitigationsApplied,MitigationsBlocked
Exemplo de saída:
Name : Server1
MitigationsApplied : {M01.1, M01.3}
MitigationsBlocked : {M01.2}
Name : Server2
MitigationsApplied : {M01.1, M01.2}
MitigationsBlocked : {M01.3}
Para ver a lista de mitigações aplicadas e bloqueadas por servidor, substitua <ServerName> pelo nome do servidor e, em seguida, execute o seguinte comando:
Get-ExchangeServer -Identity <ServerName> | fl name, *Mitigations*
Exemplo de saída:
Name : Server1
MitigationsEnabled : True
MitigationsApplied : {M01.1, M01.3}
MitigationsBlocked : {M01.2}
Script Get-Mitigation
Você pode usar o script Get-Mitigations.ps1 para analisar e acompanhar as mitigações fornecidas pela Microsoft. Esse script está disponível na pasta V15\Scripts no diretório do Exchange Server.
O script exibe a ID, o tipo, a descrição e o status de cada mitigação. A lista inclui as mitigações aplicadas, bloqueadas ou com erro.
Para exibir os detalhes de um servidor específico, forneça o nome do servidor no parâmetro Identity. Por exemplo, .\Get-Mitigations.ps1 -Identity <ServerName>. Para ver o estado de todos os servidores na sua organização, omita o parâmetro Identidade .
Exemplo: exporte a lista de mitigações aplicadas e suas descrições para um arquivo CSV usando o parâmetro ExportCSV:
.\Get-Mitigations.ps1 -Identity <ServerName> -ExportCSV "C:\temp\CSVReport.csv"
Importante
O script Get-Mitigations precisa da versão 4.0 do PowerShell.
Removendo mitigações depois de atualizar SU ou CU
Depois que uma SU ou uma CU tiver sido instalada, um administrador deve remover manualmente todas as mitigações que não forem mais necessárias. Por exemplo, se uma Mitigação chamada M1 não for mais relevante depois de instalar uma SU, o serviço EM interromperá a aplicação e ela será removida da lista de mitigações aplicadas. Consoante o tipo de mitigação, pode ser removido do servidor, se necessário.
Observação
O serviço de Mitigação de Emergência do Exchange pode adicionar mitigações de regras de reescrita de URL do IIS ao nível de um site/por vDir (por exemplo, no Default Web Site ou apenas no OWA vDir no Default Web Site) e ao nível do servidor. As mitigações ao nível do site/vDir são adicionadas ao ficheiro correspondente web.config para o site/vDir, enquanto as mitigações ao nível do servidor são adicionadas ao applicationHost.config ficheiro. Espera-se que as mitigações ao nível do site sejam removidas após a instalação de uma. No entanto, as mitigações ao nível do servidor permanecem no local e têm de ser removidas manualmente se já não forem necessárias.
Se for aplicável uma mitigação para a recentemente instalada, será reaplicada pelo EM.
Pode haver um atraso entre o lançamento de uma Atualização de Segurança (SU) do Exchange Server ou uma Atualização Cumulativa () e uma atualização para o ficheiro XML de Mitigação, excluindo os números de compilação fixos de segurança das Mitigações que estão a ser aplicadas. Isto é esperado e não deve causar problemas. Se pretender remover e bloquear a aplicação de uma Mitigação, pode seguir os passos descritos na secção Bloquear ou Remover Mitigações .
Atualizamos a tabela na secção Lista de mitigações lançadas com o procedimento de reversão para a Mitigação específica assim que já não for aplicada a compilações fixas de segurança do Exchange.
Auditoria e registro em log
Todas as mitigações bloqueadas por um administrador serão registradas no Log de Eventos do Aplicativo do Windows. Além das mitigações bloqueadas em log, o serviço EM também registra detalhes sobre inicialização, desligamento e encerramento do serviço (como todos os serviços em execução no Windows), assim como detalhes das suas ações e dos erros encontrados pelo serviço EM. Por exemplo, os Eventos 1005 e 1006 com uma fonte de "Serviço de Mitigação do MSExchange" serão registrados como ações bem-sucedidas, a exemplo de quando uma mitigação é aplicada. O evento 1008 com a mesma origem será registado para quaisquer erros encontrados, como quando o serviço EM não consegue aceder ao OCS.
Você pode usar Search-AdminAuditLog para revisar as ações executadas por você ou por outros administradores, incluindo a habilitação e a desabilitação das mitigações automáticas.
O serviço EM mantém um arquivo de log separado na pasta \V15\Logging\MitigationService no diretório de instalação do Exchange Server. Esse log detalha as tarefas executadas pelo serviço EM, incluindo mitigações buscadas, analisadas e aplicadas, assim como os detalhes sobre as informações enviadas ao OCS (se o envio de dados de diagnóstico estiver habilitado).
Dados do diagnóstico
Quando o compartilhamento de dados estiver habilitado, o serviço EM envia dados de diagnóstico ao OCS. Esses dados são usados para identificar e mitigar ameaças. Para saber mais sobre o que é coletado e como desabilitar o compartilhamento de dados, consulte Dados de Diagnóstico coletados para o Exchange Server.