Служба экстренного устранения рисков (EM) для Exchange
Служба экстренного устранения рисков для Exchange (служба EM) помогает защитить безопасность серверов Exchange Server, применяя меры по устранению любых потенциальных угроз для ваших серверов. Она использует облачную службу конфигурации Office (OCS) для проверки и загрузки доступных средств защиты, а также для отправки диагностических данных в корпорацию Майкрософт.
Служба EM работает как служба Windows на сервере почтовых ящиков Exchange. При установке накопительного пакета обновления за сентябрь 2021 г. (или более поздней версии) Exchange Server 2016 г. или Exchange Server 2019 г. служба EM автоматически устанавливается на серверах с ролью почтовых ящиков. Служба EM не будет установлена на пограничных транспортных серверах.
Использование службы EM является необязательным. Если вы не хотите, чтобы корпорация Майкрософт автоматически применяла меры по устранению рисков к серверам Exchange, эту функцию можно отключить.
Устранение рисков
Устранение рисков — это действие или набор действий, выполняющихся автоматически для защиты сервера Exchange от известной угрозы, которая активно используется. Чтобы защитить организацию и снизить риски, служба EM может автоматически отключать те или иные функции или компоненты сервера Exchange Server.
Служба EM может применять следующие типы мер по устранению рисков:
- Устранение рисков правила перезаписи URL-адресов IIS — эта мера по устранению рисков представляет собой правило, блокирующее определенные шаблоны вредоносных HTTP-запросов, которые могут поставить под угрозу сервер Exchange Server.
- Устранение рисков службы Exchange — эта мера по устранению рисков отключает уязвимую службу на сервере Exchange Server.
- Устранение рисков пула приложений — эта мера по устранению рисков отключает уязвимый пул приложений на сервере Exchange Server.
Вы можете просматривать все примененные меры по устранению рисков и управлять ими с помощью командлетов PowerShell Exchange и сценариев.
Как это работает
Если корпорация Майкрософт узнает об угрозе безопасности, мы можем создать и выпустить меру по устранению рисков. В этом случае мера по устранению рисков будет отправлена из OCS в службу EM в виде подписанного XML-файла, содержащего параметры конфигурации, необходимые для применения этой меры по устранению рисков.
После установки службы EM она каждый час проверяет OCS на наличие доступных мер по устранению рисков. Затем служба EM скачивает XML-файл и проверяет подпись, чтобы убедиться, что XML-файл не был изменен. Служба EM проверяет издателя файла, расширенное использование ключа и цепочку сертификатов. После успешной проверки служба EM применяет меру по устранению рисков.
Каждая мера по устранению рисков является временным решением, пока не будет применено обновление безопасности, устраняющее уязвимость. Служба EM не является заменой для SU Exchange. Тем не менее, это самый быстрый и удобный способ устранить наиболее опасные риски для подключенных к Интернету серверов Exchange Server в локальной среде перед обновлением.
Список выпущенных мер по устранению рисков
В следующей таблице описывается репозиторий для выпущенных мер по устранению рисков.
| Серийный номер | Идентификатор мер по устранению рисков | Описание | Минимальная применимая версия | Максимальная применимая версия | Процедура отката |
|---|---|---|---|---|---|
| 1 | PING1 | Проба пульса EEMS. Не изменяет параметры Exchange. | Exchange 2019 г.: CU за сентябрь 2021 г. Exchange 2016 г.: CU за сентябрь 2021 г. |
- | Откат не требуется. |
| 2 | M1 | Устранение рисков CVE-2022-41040 с помощью конфигурации перезаписи URL-адресов. | Exchange 2019: RTM Exchange 2016: RTM |
Exchange 2019: октябрь 2022 г. Exchange 2016: октябрь 2022 г. |
Удалите правило EEMS M1.1 PowerShell — входящий вручную из модуля перезаписи URL-адресов IIS на веб-сайте по умолчанию. |
Предварительные требования
Если эти предварительные требования еще не установлены на сервере Windows Server, где установлен Exchange, программа установки предложит вам установить эти необходимые компоненты во время проверка готовности:
- Модуль перезаписи URL-адресов IIS
- Универсальная среда выполнения C в Windows (KB2999226) для Windows Server 2012 и Windows Server 2012 R2
Соединение
Службе EM требуется исходящее соединение с OCS для проверки и загрузки мер по устранению рисков. Если исходящее подключение к OCS недоступно во время установки Exchange Server, программа установки выдает предупреждение во время проверка готовности.
Хотя служба EM может быть установлена без подключения к OCS, она должна иметь подключение к OCS, чтобы загрузить и применить последние меры по устранению рисков. OCS должен быть доступен с компьютера, на котором установлен Exchange Server, чтобы служба EM работала правильно.
| Конечная точка | Адрес | Порт | Описание |
|---|---|---|---|
| Служба конфигурации Office | officeclient.microsoft.com/* |
443 | Необходимая конечная точка для службы Exchange EM |
Важно!
Обязательно исключите подключения к officeclient.microsoft.com из рабочих процессов проверки SSL, выполняемых брандмауэрами или сторонним программным обеспечением, таким как AntiVirus, так как это может нарушить логику проверки сертификатов, которая встраивается в службу EM.
Если сетевой прокси-сервер развернут для исходящих подключений, администраторам необходимо настроить параметр InternetWebProxy на сервере Exchange Server, выполнив следующую команду:
Set-ExchangeServer -Identity <ServerName> -InternetWebProxy <http://proxy.contoso.com:port>
Необходимо также дополнительно настроить адрес прокси-сервера в параметрах прокси-сервера WinHTTP :
netsh winhttp set proxy <proxy.contoso.com:port>
Помимо исходящего подключения к OCS, службе EM требуется исходящее подключение к различным конечным точкам списка отзыва сертификатов (CRL), упомянутым здесь.
Они необходимы для проверки подлинности сертификатов, используемых для подписи XML-файла устранения рисков.
Настоятельно рекомендуется разрешить Windows поддерживать список доверия сертификатов (CTL) на компьютере. В противном случае это необходимо регулярно поддерживать вручную. Чтобы разрешить Windows поддерживать CTL, следующий URL-адрес должен быть доступен с компьютера, на котором установлена Exchange Server.
| Конечная точка | Адрес | Порт | Описание |
|---|---|---|---|
| Скачивание списка доверия сертификатов | ctldl.windowsupdate.com/* |
80 | Скачивание списка доверия сертификатов |
Сценарий Test-MitigationServiceConnectivity
Можно убедиться, что сервер Exchange Server подключен к OCS, с помощью сценария Test-MitigationServiceConnectivity.ps1 в папке V15\Scripts в каталоге сервера Exchange Server.
Если у сервера есть подключение, вывод будет следующим:
Result: Success.
Message: The Mitigation Service endpoint is accessible from this computer.
Если у сервера нет подключения, выходные данные будут такими:
Result: Failed.
Message: Unable to connect to the Mitigation Service endpoint from this computer. To learn about connectivity requirements, see https://aka.ms/HelpConnectivityEEMS.
Отключение автоматического применения мер по устранению рисков через службу EM
Одна из функций службы EM — это загрузка мер по устранению рисков от OCS и их автоматическое применение к серверу Exchange Server. Если в организации есть другие способы устранения известных угроз, можно отключить автоматическое устранение рисков. Можно включить или отключить автоматическое устранение рисков на уровне организации или на уровне сервера Exchange Server.
Чтобы отключить автоматическое устранение рисков во всей организации, выполните следующую команду:
Set-OrganizationConfig -MitigationsEnabled $false
По умолчанию для mitigationsEnabled задано значение $true. Если задано значение $false, служба EM по-прежнему ежечасно проверяет устранение рисков, но не будет автоматически применять их к любому серверу Exchange в организации, независимо от значения параметра MitigationsEnabled на уровне сервера.
Чтобы отключить автоматическое устранение рисков на определенном сервере, замените <serverName> именем сервера, а затем выполните следующую команду:
Set-ExchangeServer -Identity <ServerName> -MitigationsEnabled $false
По умолчанию для mitigationsEnabled задано значение $true. Если задано значение $false, служба EM проверяет на устранение рисков ежечасно, но не будет автоматически применять их к указанному серверу.
Сочетание параметров организации и параметров сервера определяет поведение службы EM на каждом сервере Exchange Server. Это поведение описано в следующей таблице:
| Параметр организации | Параметр сервера | Result |
|---|---|---|
| Да | Да | Служба EM автоматически применяет меры по устранению рисков для сервера Exchange. |
| Верно. | Неверно. | Служба EM не будет автоматически применять меры по устранению рисков к определенному серверу Exchange. |
| Неверно. | Неверно. | Служба EM не будет автоматически применять меры по устранению рисков к любому серверу Exchange Server. |
Примечание.
Параметр MitigationsEnabled автоматически применяется ко всем серверам в организации. Для этого параметра устанавливается значение $true сразу же после обновления первого сервера Exchange Server в вашей организации до накопительного пакета обновления за сентябрь 2021 г. (или более поздней версии). Такое поведение является особенностью данного продукта. Служба EM будет учитывать значение параметра MitigationsEnabled только после обновления остальных серверов Exchange Server до накопительного пакета обновления за сентябрь 2021 г. (или более поздней версии).
Просмотр примененных мер по устранению рисков
После применения мер по устранению рисков к серверу можно просмотреть примененные меры по устранению рисков, заменив <ServerName> именем сервера, а затем выполнив следующую команду:
Get-ExchangeServer -Identity <ServerName> | Format-List Name,MitigationsApplied
Пример выходных данных:
Name : Server1
MitigationsApplied : {M01.1, M01.2, M01.3}
Чтобы просмотреть список всех примененных мер по устранению рисков для всех серверов Exchange Server, выполните следующую команду:
Get-ExchangeServer | Format-List Name,MitigationsApplied
Пример выходных данных:
Name : Server1
MitigationsApplied : {M01.1, M01.2, M01.3}
Name : Server2
MitigationsApplied : {M01.1, M01.2, M01.3}
Повторное применение мер по устранению рисков
Если вы случайно отменили устранение рисков, служба EM повторно применяет его при выполнении почасового проверка для новых мер. Чтобы вручную повторно применить любую меру по устранению рисков, перезапустите службу EM на сервере Exchange Server, выполнив следующую команду:
Restart-Service MSExchangeMitigation
Через 10 минут после перезапуска служба EM запустит свою проверка и применит все меры по устранению рисков.
Блокировка или удаление мер по устранению рисков
Если устранение рисков критически влияет на функциональность сервера Exchange Server, вы можете заблокировать эту меру и вручную отменить ее.
Чтобы заблокировать любые меры по устранению рисков, добавьте идентификатор мер по устранению рисков в параметр MitigationsBlocked:
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @("M1")
Предыдущая команда блокирует устранение рисков M1, что гарантирует, что служба EM не будет повторно применить эту меру в следующем ежечасном цикле.
Чтобы заблокировать несколько мер по устранению рисков, используйте следующий синтаксис:
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @("M1","M2")
Блокировка устранения рисков не удаляет его автоматически, но после блокировки устранения рисков вы можете удалить его вручную. Способ устранения рисков зависит от типа устранения рисков. Например, чтобы удалить меру по устранению рисков правил перезаписи IIS, удалите правило в диспетчере IIS. Чтобы удалить меры по устранению рисков пула служб или приложений, запустите пул службы или приложений вручную.
Также можно удалить одну или несколько мер по устранению рисков из списка заблокированных. Для этого удалите идентификатор меры по устранению рисков в параметре MitigationsBlocked в этой же команде.
Например.
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @()
После удаления меры по устранению рисков из списка заблокированных мер по устранению рисков, они будут повторно применены службой EM при следующем запуске. Чтобы вручную повторно применить устранение рисков, остановите и перезапустите службу EM, выполнив следующую команду:
Restart-Service MSExchangeMitigation
Через 10 минут после перезапуска служба EM запустит свою проверка и применит все меры по устранению рисков.
Важно!
Не изменяйте параметр MitigationsApplied, поскольку он используется службой EM для хранения и отслеживания состояния устранения рисков.
Просмотр примененных и заблокированных мер по устранению рисков
Вы можете просматривать как примененные, так и заблокированные меры по устранению рисков для всех серверов Exchange в организации с помощью командлета Get-ExchangeServer.
Чтобы просмотреть список всех примененных и заблокированных мер по устранению рисков для всех серверов Exchange Server, выполните следующую команду:
Get-ExchangeServer | Format-List Name,MitigationsApplied,MitigationsBlocked
Пример выходных данных:
Name : Server1
MitigationsApplied : {M01.1, M01.3}
MitigationsBlocked : {M01.2}
Name : Server2
MitigationsApplied : {M01.1, M01.2}
MitigationsBlocked : {M01.3}
Чтобы просмотреть список примененных и заблокированных мер для каждого сервера, замените <ServerName> именем сервера, а затем выполните следующую команду:
Get-ExchangeServer -Identity <ServerName> | fl name, *Mitigations*
Пример выходных данных:
Name : Server1
MitigationsEnabled : True
MitigationsApplied : {M01.1, M01.3}
MitigationsBlocked : {M01.2}
Сценарий Get-Mitigation
Вы можете использовать сценарий Get-Mitigations.ps1 для анализа и отслеживания мер по устранению рисков, предоставляемых корпорацией Майкрософт. Этот сценарий находится в папке V15\Scripts в каталоге установки Exchange Server.
Сценарий отображает идентификатор, тип, описание и состояние каждой меры по устранению рисков. Список включает все примененные, заблокированные или неудачные меры по устранению рисков.
Чтобы просмотреть сведения о конкретном сервере, укажите имя сервера в параметре Identity. Например, .\Get-Mitigations.ps1 -Identity <ServerName>. Чтобы просмотреть состояние всех серверов в организации, опустите параметр Identity .
Пример: экспорт списка примененных мер по устранению рисков и их описаний в CSV-файл с помощью параметра ExportCSV:
.\Get-Mitigations.ps1 -Identity <ServerName> -ExportCSV "C:\temp\CSVReport.csv"
Важно!
Сценарию Get-Mitigations требуется PowerShell версии 4.0.
Удаление мер по устранению рисков после обновления SU или CU
После установки SU или CU администратор должен вручную удалить все меры по устранению рисков, которые больше не нужны. Например, если мера по устранению рисков M1 больше не актуально после установки SU, служба EM перестанет его применять, и оно будет удалено из списка примененных мер по устранению рисков. В зависимости от типа устранения рисков, при необходимости его можно удалить с сервера.
Примечание.
Служба аварийного устранения рисков Exchange может добавлять методы устранения рисков для правил перезаписи URL-адресов IIS на уровне каждого сайта или каждого vDir (например, на Default Web Site уровне или только на OWA vDir в Default Web Site), а также на уровне сервера. Устранение рисков на уровне site/vDir добавляется в соответствующий web.config файл для site/vDir, тогда как средства устранения рисков на уровне сервера добавляются в applicationHost.config файл. Ожидается, что устранение рисков на уровне сайта будет удалено после установки накопительного пакета обновления. Однако средства устранения рисков на уровне сервера остаются на месте и должны быть удалены вручную, если они больше не нужны.
Если мера защиты применима к только что установленному cu-пакету обновления, оно будет применено em-em.
Может возникнуть задержка между выпуском Exchange Server обновления для системы безопасности (SU) или накопительного обновления (CU) и обновлением XML-файла устранения рисков, за исключением фиксированных номеров сборки безопасности из применяемых мер. Это ожидаемо и не должно вызывать никаких проблем. Если вы хотите удалить и заблокировать применяемый метод устранения рисков, можно выполнить действия, описанные в разделе Блокировка или удаление мер.
Мы обновим таблицу в разделе Список выпущенных мер по устранению рисков процедурой отката для конкретной защиты, как только она больше не будет применена к сборкам Exchange с исправлением безопасности.
Аудит и ведение журнала
Любые меры по устранению рисков, заблокированные администратором, будут регистрироваться в журнале событий приложения Windows. Помимо регистрации заблокированных мер по устранению рисков, служба EM также регистрирует сведения о запуске и завершении работы (как и все службы, работающие в Windows), а также сведения о своих действиях и любых ошибках, которые произошли в службе EM. Например, события 1005 и 1006 с источником "Служба устранения рисков MSExchange" будут регистрироваться для успешных действий, например при применении меры по устранению рисков. Событие 1008 с тем же источником будет регистрироваться для любых возникших ошибок, например, если служба EM не может связаться с OCS.
Вы можете использовать Search-AdminAuditLog для просмотра действий, предпринятых вами или другими администраторами, включая включение и отключение автоматических мер по устранению рисков.
Служба EM ведет отдельный файл журнала в папке \V15\Logging\MitigationService в каталоге установки Exchange Server. В этом журнале подробно описаны задачи, выполняемые службой EM, включая полученные, проанализированные и примененные меры по устранению рисков, а также сведения об информации, отправляемой в OCS (если отправка диагностических данных включена).
Диагностические данные
Когда доступ к данным включен, служба EM отправляет диагностические данные в OCS. Эти данные используются для выявления и устранения угроз. Дополнительные сведения о том, какие данные собираются и как отключить совместное использование данных, см. в разделе Диагностические данные, собранные для Exchange Server.