31 lipca 2021

Poprawki czerwiec-lipiec do Microsoft Exchange

UPDATED

Tuż przed moim urlopem Microsoft opublikował kwartalne pakiety Cumulative Updates, a niedługo potem również dodatkowe poprawki bezpieczeństwa. Dlatego też uwzględnię je wspólnie, bo jedne i drugie powinny zostać zainstalowane. Tak więc po kolei:

Najważniejszą zmianą w tych poprawkach była integracja z interface'em antimalware systemów Windows Server 2016/2019 (AMSI). Więcej o integracji Exchange z AMSI można przeczytać w oddzielnych artykułach na blogu zespołu produktowego - News About the June 2021 Cumulative Update for Exchange Server oraz More about AMSI integration with Exchange Server. Pakiety poprawek wymagają również aktualizacji schematu, co warto wcześniej zaplanować, zwłaszcza w dużych organizacjach.
Poprawka bezpieczeństwa została udostępniona również dla Exchange 2013, dla którego nie ma już Cumulative Updates, ale dziury bezpieczeństwa łatać trzeba. I tak po kolei:
  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU20 and CU21
  • Exchange Server 2019 CU9 and CU10
Warto pamiętać, że instalacja poprawek bezpieczeństwa w tym miesiącu wymaga również aktualizacji schematu - w Exchange 2016 i 2019, jest ona realizowana w najnowszej paczce CU, ale jeżeli ktoś instaluje dla N-1, to powinien taką aktualizację również uwzględnić. Więcej informacji na blogu zespołu produktowego - Released: July 2021 Exchange Server Security Updates.

Kilkukrotnie dotarły do mnie informacje o problemach wydajnościowych po instalacji Exxchange 2016 CU21 lub Exchange 2019 CU10 - problem dotyczy wolnej pracy Outlooka, a nawet problemów z jego uruchamianiem, nie dotyczy natomiast innych usług dostępowych - OWA, Activesync czy EWS. Związane jest to z nieprawidłowo działającą integracją ADSI przy obsłudze niektórych dostawców narzędzi AV, jak na razie problem potwierdzono dla McAfee Endpoint Security oraz Sophos Central Server Protection. Czekając na rozwiązanie problemu, możemy po zauważeniu takich problemów wyłączyć integrację po stronie konsoli zarządzającej dane oprogramowanie (przykłady w powyższych artykułach), edytując na serwerach Exchange pliki web.config, albo definiując wyjątek konfiguracji (oczywiście przy użyciu powłoki Exchange Management Shell):
New-SettingOverride -Name "DisablingAMSIScan" -Component Cafe -Section HttpRequestFiltering -Parameters ("Enabled=False") -Reason "Testing"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force