Microsoft Exchange 緊急風險降低 (EM) 服務
Exchange 緊急風險降低 (EM 服務) 透過套用風險降低以解決任何對伺服器的潛在威脅,來協助保護您的 Exchange Server 安全。 它會使用雲端式 Office Config 服務 (OCS),檢查及下載可用的風險降低,並將診斷資料傳送給 Microsoft。
EM 服務是以 Exchange 信箱伺服器上的 Windows 服務執行。 當您在 Exchange Server 2016 或 Exchange Server 2019 上安裝 2021 年 9 月 CU (或更新版本) 時,EM 服務會自動安裝在具有信箱角色的伺服器上。 EM 服務不會安裝在Edge Transport Server 上。
EM 服務的使用是選擇性的。 如果您不想Microsoft自動將風險降低套用至 Exchange 伺服器,您可以停用此功能。
風險降低
風險降低是自動採取的一項或一組動作,可保護 Exchange 伺服器免於受到在自然環境中遭到主動利用的已知威脅影響。 為協助保護組織並降低風險,EM 服務可能會自動停用 Exchange 伺服器上的特性或功能。
EM 服務可以套用下列類型的風險降低:
- IIS URL Rewrite 規則風險降低。此風險降低是一項規則,會封鎖可能危害 Exchange 伺服器的惡意 HTTP 要求的特定模式。
- Exchange 服務風險降低:此風險降低會停用 Exchange 伺服器上易受攻擊的服務。
- 應用程式集區風險降低:此風險降低會停用 Exchange 伺服器上易受攻擊的應用程式集區。
您可以透過使用 Exchange PowerShell Cmdlet 和指令碼,查看並控制任何已套用的風險降低。
運作方式
如果 Microsoft 得知某個安全性威脅,我們可能會建立並釋出該問題的風險降低。 如果發生此情況,風險降低會以已簽署的 XML 檔案形式,從 OCS 傳送至 EM 服務,該檔案包含要套用風險降低所需的組態設定。
安裝 EM 服務之後,它會每小時檢查 OCS 的可用風險降低。 EM 服務接著會下載 XML 檔案並驗證簽章,以確認 XML 未遭到竄改。 EM 服務會檢查核發者、延伸金鑰使用方式和憑證鏈。 驗證成功後,EM 服務會套用風險降低。
每個風險降低都是暫時性的臨時修正,直到您可以套用修正此弱點的安全性更新為止。 EM 服務無法取代 Exchange SU。 不過,在更新之前,這是降低連接網際網路、內部部署 Exchange 伺服器最高風險的最快速且最簡單的方法。
已發行的風險降低清單
下表說明所有已發行風險降低的存放庫。
| 序號 | 風險降低識別碼 | 描述 | 適用的最低版本 | 適用的最高版本 | 復原程序 |
|---|---|---|---|---|---|
| 1 | PING1 | EEMS 活動訊號探查。 不會修改任何 Exchange 設定。 | Exchange 2019:2021 年 9 月 CU Exchange 2016:2021 年 9 月 CU |
- | 不需要復原。 |
| 2 | M1 | 透過 URL 重寫組態降低 CVE-2022-41040 的風險。 | Exchange 2019:RTM Exchange 2016:RTM |
Exchange 2019:2022 年 10 月 SU Exchange 2016:2022 年 10 月 SU |
從默認網站內的 IIS URL 重寫模組中,移除規則 EEMS M1.1 PowerShell - 手動輸入。 |
先決條件
如果安裝或安裝 Exchange 的 Windows Server 上還沒有這些必要條件,安裝程式會提示您在整備檢查期間安裝這些必要條件:
- IIS URL Rewrite 模組
- 適用於 Windows Server 2012 及 Windows Server 2012 R2 的 Windows (KB2999226) 的通用 C 執行階段
連線能力
EM 服務需要與 OCS 的輸出連線能力,才能檢查及下載風險降低。 如果在安裝 Exchange Server 期間無法使用 OCS 的輸出連線,安裝程式會在整備檢查期間發出警告。
雖然 EM 服務可以在沒有與 OCS 連線能力的情況下安裝,但它必須有與 OCS 連線的能力,才能下載並套用最新的風險降低。 您必須從安裝 Exchange Server 的電腦連線至 OCS,EM 服務才能夠正確運作。
| 端點 | 位址 | 連接埠 | 描述 |
|---|---|---|---|
| Office 設定服務 | officeclient.microsoft.com/* |
443 | Exchange EM 服務的必要端點 |
重要事項
請務必從防火牆或防病毒軟體等第三方軟體執行的 SSL 檢查工作流程中排除 與 的連線 officeclient.microsoft.com ,因為這可能會破壞建置到 EM 服務中的憑證驗證邏輯。
如果某個網路 Proxy 是針對輸出連線部署,您必須執行下列命令,在 Exchange 伺服器上設定 InternetWebProxy 參數:
Set-ExchangeServer -Identity <ServerName> -InternetWebProxy <http://proxy.contoso.com:port>
您也必須在 WinHTTP Proxy 設定中另外設定 Proxy 位址:
netsh winhttp set proxy <proxy.contoso.com:port>
除了 OCS 的輸出連線能力之外,EM 服務還需要對各種證書吊銷清單的輸出連線 (CRL) 端點。
這些是驗證用來簽署風險降低 XML 檔案之憑證的真確性所需。
強烈建議讓 Windows 在您的電腦上維護 憑證信任清單 (CTL) 。 否則,必須定期手動維護。 若要允許 Windows 維護 CTL,必須從安裝 Exchange Server 的電腦連線到下列 URL。
| 端點 | 位址 | 連接埠 | 描述 |
|---|---|---|---|
| 憑證信任清單下載 | ctldl.windowsupdate.com/* |
80 | 憑證信任清單下載 |
Test-MitigationServiceConnectivity 指令碼
您可以使用 Exchange 伺服器目錄 V15\Scripts 資料夾中的 Test-MitigationServiceConnectivity.ps1 指令碼,來驗證 Exchange 伺服器對 OCS 的連線能力。
如果伺服器具備連線能力,則輸出為:
Result: Success.
Message: The Mitigation Service endpoint is accessible from this computer.
如果伺服器不具備連線能力,則輸出為:
Result: Failed.
Message: Unable to connect to the Mitigation Service endpoint from this computer. To learn about connectivity requirements, see https://aka.ms/HelpConnectivityEEMS.
透過 EM 服務停用自動套用風險降低
其中一項 EM 服務功能正在從 OCS 下載風險降低,並自動將它們套用至 Exchange Server。 如果組織有其他方法可以緩解已知的威脅,您可以選擇將自動套用風險降低停用。 您可以在組織層級或 Exchange 伺服器層級啟用或停用自動風險降低。
若要停用整個組織的自動風險降低,請執行下列命令:
Set-OrganizationConfig -MitigationsEnabled $false
根據預設, MitigationsEnabled 會設定為 $true。 設定為 $false時,EM 服務仍會每小時檢查防護功能,但不會自動將風險降低套用至組織中的任何 Exchange 伺服器,無論伺服器層級的 MitigationsEnabled 參數值為何。
若要在特定伺服器上停用自動防護功能,請將 ServerName> 取代<為伺服器名稱,然後執行下列命令:
Set-ExchangeServer -Identity <ServerName> -MitigationsEnabled $false
根據預設, MitigationsEnabled 會設定為 $true。 當設定為 $false時,EM 服務會每小時檢查防護功能,但不會自動套用至指定的伺服器。
組織設定與伺服器設定兩者的組合會決定每部 Exchange 伺服器上 EM 服務的行為。 下表描述此行為:
| 組織設定 | 伺服器設定 | 結果 |
|---|---|---|
| True | True | EM 服務會自動套用風險降低至 Exchange 伺服器。 |
| True | False | EM 服務不會自動將風險降低套用至特定 Exchange 伺服器。 |
| False | False | EM 服務不會自動將風險降低套用至任何 Exchange 伺服器。 |
注意事項
MitigationsEnabled 參數會自動套用至組織中的所有伺服器。 此參數會在組織的第一部 Exchange 伺服器升級至 2021 年 9 月 CU (或更新版本) 時設定為值 $true 產生此錯誤是系統刻意為之。 只有在組織中的其他 Exchange 伺服器都使用 2021 年 9 月 CU (或更新版本) 升級時,EM 服務才能採用 MitigationsEnabled 參數的值。
檢視已套用的風險降低
將防護功能套用至伺服器之後,您可以使用伺服器名稱取代 <ServerName> ,然後執行下列命令,以檢視已套用的防護功能:
Get-ExchangeServer -Identity <ServerName> | Format-List Name,MitigationsApplied
範例輸出:
Name : Server1
MitigationsApplied : {M01.1, M01.2, M01.3}
若要查看環境中所有 Exchange 伺服器已套用的風險降低清單,請執行下列命令:
Get-ExchangeServer | Format-List Name,MitigationsApplied
範例輸出:
Name : Server1
MitigationsApplied : {M01.1, M01.2, M01.3}
Name : Server2
MitigationsApplied : {M01.1, M01.2, M01.3}
重新套用風險降低
如果您不小心反轉防護功能,EM 服務會在執行每小時檢查新的防護功能時重新套用它。 若要手動重新套用任何風險降低,請執行下列命令,在 Exchange 伺服器上將 EM 服務重新啟動:
Restart-Service MSExchangeMitigation
重新啟動 10 分鐘後,EM 服務會執行其檢查並套用任何防護功能。
封鎖或移除風險降低
如果風險降低會嚴重影響 Exchange Server 的功能,您可以封鎖風險降低,並手動將其反轉。
若要封鎖任何風險降低,請在 MitigationsBlocked 參數中新增風險降低識別碼:
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @("M1")
先前的命令會封鎖 M1 防護功能,以確保 EM 服務不會在下一個每小時週期中重新套用此防護功能。
若要封鎖多個風險降低,請使用下列語法:
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @("M1","M2")
封鎖風險降低不會自動移除它,但在封鎖風險降低之後,您可以手動移除它。 移除風險降低的方式取決於風險降低的類型。 例如,若要移除 IIS URL Rewrite 規則風險降低,請刪除 IIS 管理員中的規則。 若要移除服務或應用程式集區風險降低,請手動啟動服務或應用程式集區。
您也可以在封鎖的風險降低清單移除一個或多個風險降低,方式是透過移除相同命令中 MitigationsBlocked 參數的風險降低識別碼。
例如:
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @()
從遭封鎖的風險降低清單中移除風險降低之後,此風險措施將在下一次運作時,透過 EM 服務重新套用。 若要手動重新套用風險降低,請執行下列命令,停止並重新啟動 EM 服務:
Restart-Service MSExchangeMitigation
重新啟動 10 分鐘後,EM 服務會執行其檢查並套用任何防護功能。
重要事項
避免對 MitigationsApplied 參數進行任何變更,因為 EM 服務會使用該參數來存放和追蹤風險降低狀態。
檢視已套用和已封鎖的風險降低
您可以透過使用 Get-ExchangeServer Cmdlet,檢視貴組織中所有 Exchange 伺服器的已套用和已封鎖的風險降低。
若要檢視所有 Exchange 伺服器已套用和封鎖的風險降低清單,請執行下列命令:
Get-ExchangeServer | Format-List Name,MitigationsApplied,MitigationsBlocked
範例輸出:
Name : Server1
MitigationsApplied : {M01.1, M01.3}
MitigationsBlocked : {M01.2}
Name : Server2
MitigationsApplied : {M01.1, M01.2}
MitigationsBlocked : {M01.3}
若要檢視每部伺服器上已套用和封鎖的防護功能清單,請將 ServerName> 取代<為伺服器名稱,然後執行下列命令:
Get-ExchangeServer -Identity <ServerName> | fl name, *Mitigations*
範例輸出:
Name : Server1
MitigationsEnabled : True
MitigationsApplied : {M01.1, M01.3}
MitigationsBlocked : {M01.2}
Get-Mitigation 指令碼
您可以使用 Get-Mitigations.ps1 指令碼以分析和追蹤 Microsoft 所提供的風險降低。 此指令碼可在 Exchange Server 目錄的 V15\Scripts 資料夾中取得。
指令碼會顯示每個風險降低的識別碼、類型、描述及狀態。 此清單包含任何已套用、遭封鎖或失敗的風險降低。
若要檢視特定伺服器的詳細資料,請在 Identity 參數中提供伺服器名稱。 例如,.\Get-Mitigations.ps1 -Identity <ServerName>。 若要檢視組織中所有伺服器的狀態,請省略 Identity 參數。
範例: 透過使用 ExportCSV 參數將已套用的風險降低及其描述清單匯出為 CSV 檔案:
.\Get-Mitigations.ps1 -Identity <ServerName> -ExportCSV "C:\temp\CSVReport.csv"
重要事項
Get-Mitigations 指令碼需要 PowerShell 版本 4.0。
在 SU 或 CU 升級後移除風險降低
安裝 SU 或 CU 之後,系統管理員必須手動移除任何不再需要的緩解。 例如,如果名稱為 M1 的風險降低在安裝 SU 之後不再相關,EM 服務將會停止套用,並將它從已套用的風險降低清單中移除。 視風險降低的類型而定,您可以視需要從伺服器中移除。
注意事項
Exchange 緊急風險降低服務可以在每個月臺/每一 vDir 層級上新增 IIS URL 重寫規則防護功能 (例如,Default Web Site在 或僅在) 中的 vDir Default Web Site 上,以及在伺服器層級上OWA。 月臺/vDir 層級防護功能會新增至月臺/vDir 的對應 web.config 檔案,而伺服器層級的防護功能則會新增至 applicationHost.config 檔案。 在安裝 CU 之後,預期會移除月臺層級防護功能。 不過,伺服器層級的防護功能會保持就緒狀態,如果不再需要,則必須手動移除。
如果風險降低適用於新安裝的 CU,EM 將會重新套用它。
Exchange Server 安全性更新 (SU) 或累積更新 (CU) 的發行與風險降低 XML 檔案的更新之間可能會有延遲,但要套用的緩和措施中排除安全性固定組建編號。 這是預期的,不應該造成任何問題。 如果您想要移除並封鎖同時套用的風險降低,您可以遵循 封鎖或移除風險 降低一節中所述的步驟。
我們會在不再套用至安全性固定 Exchange 組建時,使用特定風險降低的復原程式,更新 [釋出的風險降低 清單 ] 區段下的數據表。
稽核和記錄
遭系統管理員封鎖的任何風險降低都會記錄在 Windows 應用程式事件記錄檔中。 除了記錄遭封鎖的風險降低之外,EM 服務也會記錄有關服務啟動、關機和終止 (例如在 Windows 上執行的所有服務) 以及 EM 服務所遇到之動作和任何錯誤的詳細資訊。 例如,來源為 "MSExchange Mitigation Service" 的事件 1005 和 1006 會記錄為成功的動作,例如套用風險低的時間。 具有相同來源的事件 1008 將會針對任何遇到的錯誤記錄,例如 EM 服務無法連線到 OCS 時。
您可以使用 Search-AdminAuditLog 以檢視自行採取或由其他系統管理員採取的動作,包括啟用和停用自動化風險降低。
EM 服務會在 Exchange Server 安裝目錄的 \V15\Logging\MitigationService 資料夾內維護個別的記錄檔案。 此記錄會詳細說明由 EM 服務執行的工作,包括已擷取、剖析和套用的風險降低,以及已傳送至 OCS 的資訊詳細資料 (若已啟用傳送診斷資料)。
診斷資料
啟用資料共用時,EM 服務會將診斷資料傳送到 OCS。 這種資料是用來識別及緩解威脅。 若要深入了解已收集的內容,以及如何停用資料共用,請參閱 Exchange Server 收集的診斷資料。