适用于:
2016 2019 订阅版
概述
将 本地 Exchange Server 更新为受支持的状态非常重要。 本地环境应 始终 准备好采用紧急安全更新, (这适用于 Exchange、Windows 和本地) 使用的任何其他产品。 随着威胁形势的迅速发展,不应低估保持环境最新的重要性。
使 Exchange Server 保持最新状态。 我们希望继续帮助您保护环境安全,这意味着您的 Exchange 服务器需要保持最新状态。 这是一个 连续的过程。
Exchange Server更新类型和发布计划
Microsoft可能针对Exchange Server发布三种类型的更新:
| 更新类型 | 发布频率 | Exchange 要求 | Contains |
|---|---|---|---|
| 累积更新 (CU) | 一年两次 (没有特定日期) 。 | Exchange 必须处于 主流支持中。 | 累积。 包含以前发布的所有更新的修补程序。 |
| SECURITY Update (SU) | 需要时。 通常在Microsoft“补丁星期二”发布 - 每月第二个星期二 (除非紧急发布) 。 | Exchange 必须至少受 外延支持。 仅当 Exchange 处于扩展支持) (,或对于最后两个 CU (如果 Exchange 处于主流支持) ,则仅针对最后两个 CU 发布。 | 累积。 包含自它应用于的 CU 已发布以来的所有安全更新。 |
| 修补程序更新 (胡) | 仅当需要比 CU 版本更快的功能更新时发布。 | Exchange 必须处于 主流支持中。 | 功能更新仅适用于发布该功能的 CU。 |
更新最佳做法
此过程假定仍支持Exchange Server:
- 安装最新的 CU。 使用 Exchange 更新助手 选择当前 CU 和目标 CU 以获取特定方向。 可以在 将 Exchange 升级到最新的累积更新中找到其他信息。
- 使用 Exchange Server 运行状况检查器脚本清点 Exchange Server 以确定需要哪些更新。 运行此脚本将告知是否有任何 Exchange Server 在更新 (SU 或手动作) 落后。
- 在发布时安装安全更新 (SU) 。
- 安装 SU 后,重新运行运行状况检查器,以查看是否需要执行任何进一步的作。 有时,需要执行额外的作。
- 如果在安装 Exchange Server 期间或之后遇到错误,请运行 SetupAssist 脚本。 如果更新后某些内容无法正常工作,请参阅 修复 Exchange 累积更新和安全更新安装失败。
问答
我们准备了一组问题和解答,涵盖了我们最常听到的有关 Exchange 更新的内容。
几个月前更新了 Exchange Server! 为什么他们今天“不支持”?
对于处于主流支持 (请参阅 产品生命周期) 的 Exchange 版本,Microsoft支持 (版本,) 两个最新 CU 的相关安全修补程序。 有时,最新的两个库称为“N 和 N-1”。 例如,如果最新发布的 CU 为 CU12 ('N') ,并且服务器版本为 2019 Exchange Server,则此时Microsoft支持两个 Exchange Server 2019 CU,N 和 N-1 (CU12 和 CU11) 。 发布 CU13 后,“支持的 CU 窗口”将滑向新发布的 CU13 (,而以前是 N-1 支持的 CU,CU11 将变为不受支持) 。
为什么Microsoft经常发布更新?
发现问题时发布更新是很好的。 Microsoft (和其他软件发布者仅在需要更新时才) 发布更新。 TU 通常包含客户 (向我们报告的功能问题的解决方法,并且可以包含以前 SU) 的安全更新,并且每年在 H1 和 H2) (发布两次。 仅当发现并修复了实际安全问题时,才会释放 SU,并且通常在“补丁星期二”上发布。 我们以可能发布的两个 CU 和两个 SU 的典型发布流为例:
- 在特定月份 (假设 3 月) 日,我们可能会发布 CU4;CU4 是累积的,将包括以前的修补程序和更新。
- 一个月后,我们发布了 CU4 SU1,这是 CU4 的安全更新。
- 在 7 月,我们发布了 CU4 SU2,这是 CU4 的附加安全更新。 CU4 SU2 还包括 CU4 SU1 中发布的更新。
- 在 9 月,我们发布了 CU5,其中包含截至该时间点之前发布的所有更新。
Exchange Server 按预期工作,为什么要更新它们?
通过保持Exchange Server最新,可以确保它继续工作,而不会对功能造成重大中断,并有助于确保公司数据更安全。 将时间投入到Exchange Server维护 (计划) ,可带来运行良好的系统的长期优势,并尽可能保护代码免受漏洞的影响。
当 (在此处插入第三方应用程序名称) 不支持最新的Exchange Server库时,如何更新Exchange Server?
与第三方供应商合作,及时更新其软件。 请考虑 Exchange 环境包含许多有价值的公司目录和消息信息。 你的首要任务应是尽可能确保环境安全。
当我们是全天候业务并且没有时间关闭服务器进行维护时,如何保持最新状态?
许多客户需要Exchange Server全天候工作。 事实上,我们的更新过程是为这些高需求企业设计的。 应使用数据库可用性组 (DAG) ,并将要更新的服务器置于维护模式下,以便为用户启用正常且无中断的更新过程。 有关详细信息 ,请参阅对 DAG 成员执行维护 。
如果我们处于混合模式并且未主动使用本地Exchange Server,我们是否需要保持最新状态?
即使仅使用本地Exchange Server来管理与 Exchange 相关的对象,也需要使服务器保持最新状态。
Hybrid Configuration Wizard (HCW)安装更新后,无需重新运行 。
我们查看了最近的安全更新版本,并且 CVE) 严重性不高 (常见漏洞和风险;为什么要更新?
Microsoft建议应用所有可用的安全更新,因为很难理解一个月内披露的低严重性漏洞如何与一个月后披露和修复的漏洞进行交互。 攻击只能在远程目标计算机上触发特定的低影响功能,而不能触发其他任何功能,从而导致 CVE 的评分在一个月内降低。 例如,在下个月中,可能会发现该功能的一个重要问题,但它可能仅在本地触发,并且需要大量的用户交互。 这本身可能也没有得分高。 但是,如果你的软件在更新中落后,这两个问题可能会合并成一个攻击链,从而在关键级别得分。
我们针对最近的安全漏洞应用了缓解措施。 为什么我们应安装 (以后发布的) 这些漏洞的更新?
缓解是一种临时形式的保护,应在发布实际代码修复之前使用。 由于缓解措施无法解决代码中存在的实际漏洞,因此它们可能会 (,有时) 威胁参与者绕过攻击仍然脆弱的系统。 Microsoft建议在漏洞可用时立即安装代码修补程序。 缓解不应被视为针对易受攻击代码的长期解决方案。
我们发现很难更新,因为 Active Directory (AD) 架构扩展和 Exchange 安装需要不同的团队采取措施。
如果不同的团队需要执行单独的作来准备安装 Exchange 累积汇报 (,因为这些团队可能需要 ad 架构扩展) - 我们建议在发布需要这些扩展的新 CU 时请求架构更改。 即使你不需要更新到最新的 CU (,因为最后两个 CU 仍支持在支持生存期内的 Exchange 版本) - Active Directory 架构是最新的,这意味着如果你确实发现需要安装最新的 CU,AD 架构将已更新。 我们每年发布两次 CU,并非所有 CU 都需要 AD 架构更新。 可在此处跟踪 2016 Exchange Server和 2019Exchange Server。
我们在服务器上安装了以前的 CU,然后应用了可用的 SU。 我们已将服务器更新为可用的最新 CU。 我们是否需要为最新 CU 应用已发布的 SU?
在服务器上安装新 CU 后,始终需要安装可用于该 CU 的最新 SU。 让我们演练一个假设的Exchange Server 2019 年方案:
- 在 5 月,你安装了 CU9 () 时的最新可用 CU,以及 CU9 的所有可用 SU
- 6 月,我们为 2019 Exchange Server发布了 CU10
- 7 月,我们发布了同时适用于 CU9 和 CU10 的 SU
- 在 7 月,你向 Exchange 2019 CU9 服务器安装了 7 月 SU
- 在 8 月,你安装了 CU10 (7 月的最新可用 CU)
- 现在需要应用适用于 Exchange Server 2019 CU10 的最新 SU
我们上个月为当前 CU 安装了 SU。 本月,同一 CU 提供新的 SU。 在为同一 CU 安装较新的 SU 之前,是否需要卸载上个月的 SU?
否,不需要卸载上个月的 SU。 安装本月的 SU,因为它可用。 较新的 SU 也包含上个月的 SU 安全修补程序。
SU 始终特定于 CU。 换句话说, 安装更高版本的 CU 需要同时安装任何可用于该 CU 的 SU,而不管最新和以前的 CU 的 SU 是否在同一天发布。 如果服务器正在运行的 CU 存在 SU,则应安装它。 SU 通常会在下一个后续 CU 版本中“滚入 CU”。
我们跳过了几个 SU,并希望将 Exchange 完全更新到最新的 SU。 是否需要安装所有 SU 才能获取最新?
由于 SU 是累积的“因为它们适用的 CU”,因此只需安装最新的 SU。 这提供了自 CU 发布以来发布的所有安全修补程序。
Microsoft是否更改了 Exchange 库的发布频率?
是的,从 2022 年 H1 累积汇报开始,我们已进入每年两个 CU 的发布节奏 - 在每个日历年的 H1 和 H2 中发布,一般目标发布日期为 3 月和 9 月。 但是,我们的发布日期取决于质量,因此我们可能会在 4 月、10 月或其他月份发布更新,具体取决于我们提供的内容。 随着这些服务模型更改,当前仍意味着运行最新的 CU 或紧靠前的 CU (N 或 N-1) ,但“货币窗口”现在已从 6 个月延长到 1 年。
是否需要在组织内的所有 Exchange 服务器上安装 SU? “仅限管理工具”的计算机呢?
我们的建议是在仅运行 Exchange 管理工具的所有 Exchange Server 和服务器或工作站上安装安全汇报,这将确保管理工具客户端和服务器之间没有不兼容。 如果尝试在没有运行 Exchange 服务器的环境中更新 Exchange 管理工具, 请参阅此内容。
我们安装了当前的 CU 和 SU 版本,并且是完全最新的。 我们还有其他什么应该做的吗?
根据特定环境,解决某些漏洞可能需要 Exchange 管理员执行额外的作。 若要确保已在安装相关安全汇报后执行了所有必要的作,请运行 Exchange Server 运行状况检查器脚本。 确保更新运行Exchange Server的 Windows作系统,因为 OS 中的漏洞也可以用作攻击链的一部分。