Quelle: techcommunity.microsoft.com (Englisch)
Wir haben es schon früher gesagt, wir sagen es jetzt, und wir werden es immer wieder sagen: Es ist wichtig, dass Ihre Exchange-Server auf dem neuesten Stand sind. Das bedeutet, dass Sie die neuesten verfügbaren kumulativen Updates (CU) und Sicherheitsupdates (SU) auf allen Exchange-Servern (und in einigen Fällen auch auf den Arbeitsstationen mit den Exchange-Verwaltungstools) installieren und gelegentlich manuelle Aufgaben zur Härtung der Umgebung durchführen, wie z. B. die Aktivierung des erweiterten Schutzes und die Aktivierung der Zertifikatsignierung von PowerShell-Serialisierungsnutzdaten.
Angreifer, die versuchen, ungepatchte Exchange-Server auszunutzen, werden nicht verschwinden. Es gibt zu viele Aspekte ungepatchter lokaler Exchange-Umgebungen, die für böswillige Akteure, die Daten exfiltrieren oder andere böswillige Handlungen begehen wollen, wertvoll sind. Erstens enthalten die Postfächer der Benutzer oft wichtige und sensible Daten. Zweitens enthält jeder Exchange-Server eine Kopie des Unternehmensadressbuchs, das viele Informationen enthält, die für Social-Engineering-Angriffe nützlich sind, einschließlich Organisationsstruktur, Titel, Kontaktinformationen und mehr. Und drittens verfügt Exchange über tiefgreifende Verknüpfungen und Berechtigungen innerhalb von Active Directory und in einer hybriden Umgebung auch über Zugriff auf die verbundene Cloud-Umgebung.
Um Ihre Exchange-Server vor Angriffen zu schützen, die bekannte Schwachstellen ausnutzen, müssen Sie die neueste unterstützte CU (zum Zeitpunkt dieses Schreibens CU12 für Exchange Server 2019, CU23 für Exchange Server 2016 und CU23 für Exchange Server 2013) und die neueste SU (zum Zeitpunkt dieses Schreibens die SU vom Januar 2023) installieren. Exchange Server CUs und SUs sind kumulativ, sodass Sie nur die neueste verfügbare CU installieren müssen. Sie installieren die neueste CU und sehen dann nach, ob nach der Veröffentlichung der CU noch weitere SUs veröffentlicht wurden. Wenn dies der Fall ist, installieren Sie die aktuellste (neueste) SU.
Nach der Installation eines Updates kann es manuelle Aufgaben geben, die ein Administrator durchführen muss. Führen Sie daher nach der Installation eines Updates immer den Health Checker aus, um solche Aufgaben zu überprüfen. Der Health Checker enthält Links zu Artikeln, die Schritt-für-Schritt-Anleitungen enthalten.
Vor der Freigabe einer SU kann eine Abschwächung für eine bekannte Sicherheitsanfälligkeit veröffentlicht werden, die automatisch durch den Exchange Emergency Mitigation Service oder manuell mit dem Exchange On-Premises Mitigation Tool auf Server angewendet werden kann. Wie bereits erwähnt, sollen die Abschwächungen einen vorübergehenden Schutz bieten, bis eine SU verfügbar ist und installiert werden kann. In einigen Fällen können die Abschwächungsmaßnahmen nicht ausreichen, um vor allen Varianten eines Angriffs zu schützen. Daher ist die Installation einer geeigneten SU die einzige Möglichkeit, Ihre Server zu schützen.
Die Aktualisierung Ihrer Exchange-Server ist ganz einfach:
- Lesen Sie stets unsere Blog-Posts, in denen bekannte Probleme und empfohlene oder erforderliche manuelle Maßnahmen aufgeführt sind. Befolgen Sie bei CUs stets unsere Anleitungen und Best Practices, und verwenden Sie bei SUs den Security Update Guide, um relevante Informationen zu finden.
- Lesen Sie unbedingt unsere FAQ zu Updates im Artikel Warum Exchange Server-Updates wichtig sind.
- Verwenden Sie den Exchange Server Health Checker, um Ihre Server zu inventarisieren und festzustellen, welche Exchange-Server Updates benötigen (CUs oder SUs) und ob manuelle Maßnahmen ergriffen werden müssen.
- Sobald Sie wissen, welche Updates erforderlich sind, verwenden Sie die Schritt-für-Schritt-Anleitung für Exchange-Updates (auch bekannt als Exchange-Update-Assistent), um die derzeit ausgeführte CU und die Ziel-CU auszuwählen und Anweisungen für die Aktualisierung Ihrer Umgebung zu erhalten.
- Wenn während der Update-Installation Fehler auftreten, kann das SetupAssist-Skript bei der Fehlerbehebung helfen. Und wenn etwas nach dem Update nicht richtig funktioniert, werfen Sie einen Blick in den Update Troubleshooting Guide, der die häufigsten Probleme und deren Behebung behandelt.
- Stellen Sie sicher, dass Sie alle erforderlichen Updates für Windows Server und andere Software installieren, die möglicherweise auf Ihren Exchange-Servern ausgeführt werden.
- Stellen Sie sicher, dass Sie alle erforderlichen Updates für abhängige Server installieren, einschließlich Active Directory, DNS und andere von Exchange verwendete Server.
Wir wissen, dass der Schutz Ihrer Exchange-Umgebung von entscheidender Bedeutung ist, und wir wissen, dass er nie endet. Wir sind hier, um unsere Kunden in jeder Hinsicht zu unterstützen. Wir suchen ständig nach Möglichkeiten, den Exchange Server-Aktualisierungsprozess zu verbessern, und wir haben eine Umfrage zu diesem Thema veröffentlicht, an der Sie unter https://forms.office.com/r/kfLyqAe3Q8 teilnehmen können.
In der Zwischenzeit aktualisieren Sie bitte Ihre Exchange Server!