Poprawki do Exchange albo ich brak

Trochę czasu minęło od ostatniego postu na temat Exchange'a i poprawek do niego. Trochę się działo, a moje codzienne zajęcia dosyć mocno odsunęły się od poczty elektronicznej. W ostatnich miesiącach Microsoft skupił się na wydawaniu co miesiąc poprawek bezpieczeństwa na pojawiające się kolejne (niestety) mniej lub bardziej krytyczne zagrożenia. Miesiąc temu wykryto krytyczne podatności (tzw. zero-day) CVE-2022-41040 oraz CVE-2022-41082), na którą nie udało się przygotować od razu poprawki, zamiast tego opublikowano tylko informację o obejściu problemu, poprawka pojawiła się dopiero kilka dni temu. Poniżej linki do pbrania:

• Exchange Server 2013 CU23 (wsparcie dla tej wersji wygasa w Kwietniu 2023)
• Exchange Server 2016 CU22 oraz CU23
• Exchange Server 2019 CU11 oraz CU12

Więcej informacji można znaleźć na blogu zespołu produktowego - Released: November 2022 Exchange Server Security Updates.

Teraz Microsoft ogłosił, że w tym roku nie będzie kolejnego pakietu poprawek skumulowanych, ze względu na zbyt krótki czas, jaki pozostał do końca roku. No cóż, z jednej strony jest to prawda, opublikowaną w zeszłym tygodniu poprawkę większość firm pewnie będzie wdrażać dopiero w nadchodzących tygodniach, a w grudniu ze względu na zamknięcie roku i święta lepiej nie wdrażać zbyt dużych zmian. Z drugiej strony może po prostu nie mieli pomysłu na kolejne usprawnienia?  Biorąc pod uwagę, że Cumulative Update (nomen omen o numerze 13) przysługuje tylko Exchange 2019 (bo pozostałe wersje już dostają tylko poprawki bezpieczeństwa), zespół produktowy chyba bardziej skoncentrował się na łataniu podatności i rozwoju usług chmurowych. Firmy posiadające Exchange 2013 powinny również zastanowić się, czy kupować nowe licencje i aktualizować do Exchange 2019, czy też migrować do chmury. 

Nowości w Exchange

Drugiego czerwca zespół produktowy Exchange opublikował kolejną odsłonę informacji na temat ścieżki rozwoju systemu Exchange. Już kilkukrotnie wspominałem o braku konsekwencji w polityce informacyjnej zespołu produktowego Exchange, tym razem jednak zespół wytłumaczył się z braku informacji o nowej wersji systemu, która przecież była zapowiadana na jesień zeszłego roku, wskazując na wiele koniecznych usprawnień w obszarze bezpieczeństwa, które trzeba było poczynić w ostatnim roku (np. integracja z AMSI, czy też dodanie do Exchange 2016 i 2019 Emergency Mitigation Service).

Poznaliśmy jednak trochę szczegółów na temat planowanej daty wydania kolejnej wersji - 14 października 2025. Microsoft będzie dążył do możliwości aktualizacji in-place serwerów (już teraz Exchange 2019 jest wspierany na platformie Windows 2022), a na razie namawia wszystkich klientów do aktualizacji serwerów właśnie do wersji Exchange 2019, tak żeby skorzystać z już udostępnionych w tej wersji produktu innowacji, ale również skorzystać z nowych funkcji, które są w przygotowaniu (np. wsparcie dla TLS 1.3, planowane na przyszły rok). Kolejnym ciekawym uzupełnieniem konfiguracji hybrydowej będzie bez wątpienia rozszerzenie konsoli administracyjnej Microsoft 365 o informację na temat poziomu aktualizacji serwerów Exchange po stronie on-premises. Nawet jeżeli zmigrujemy skrzynki pocztowe do Exchange Online, warto pamiętać o pozostawionych lokalnie serwerach (nie zawsze możemy się ich pozbyć) i zwracać uwagę na wersję poprawek na nich zainstalowanych. Więcej informacji na temat nowości ma być przedstawionych we wrześniu na wznowionej po latach konferencji MEC (Microsoft Exchange Conference). Już nie mogę się doczekać.

Majowe aktualizacje bezpieczeństwa do Exchange

Już niebawem kolejny patch tuesday, ale dla porządku wspomnę o opublikowanych w maju poprawkach bezpieczeństwa dla Exchange:

• Exchange Server 2013 CU23
• Exchange Server 2016 CU22 and CU23
• Exchange Server 2019 CU11 and CU12

Warto wspomnieć, że od tego pakietu Microsoft zmienia sposób instalacji poprawek - zamiast paczki msp, która musiała być instalowana w kontekście administratora, teraz dostarczana jest paczka w formacie exe, z automatyczną eskalacją uprawnień, co powinno pomóc nawet zapominalskim adminom.

Ponadto Microsoft dodatkowo po zainstalowaniu poprawek każe uruchomić ponownie setup.exe z opcją przygotowania wszystkich domen (jednorazowo). Więcej informacji na blogu zespołu produktowego.

Majowe Mrozy i K@SSK 2022 - warsztaty z PowerApps

W tym roku po raz kolejny miałem okazję uczestniczyć w konferencji Majowe Mrozy i K@SSK, tym razem w edycji 2022, prowadząc warsztaty, zarówno z bezpieczeństwa Azure AD jak i z Power Apps. Warsztat z bezpieczeństwa Azure AD, podobnie jak zeszłoroczny (do którego opis i uzupełnienie przedstawiłem w osobnym poście na tym blogu), dotyczyły głównie aspektów, które można poprawić nawet w planie licencyjnym A1 (dwa konta administracyjne, użycie MFA, sprawdzanie zaleceń Secure Score i Compliance Managera).

Na warsztacie z Power Apps, pokazywałem jak można przygotować prostą aplikację do inwentaryzacji komputerów - kod takiej przykładowej aplikacji, którą można zaimportować do swojego środowiska można znaleźć na GitHubie.

Przykład jest bardzo prosty, jako źródło danych wykorzystuje tabelę z danymi przechowywaną w pliku Excel, ale działa poprawnie i został stworzony zaledwie w kilka godzin (większość czasu to dopieszczanie wyglądu i nawigacji). Działający przykład udało się stworzyć na warsztatach w kilka minut. Źródło danych w postaci tabeli Excel, bardzo prosto można zastąpić listą Sharepoint. Użycie listy jako źródła danych pozwoli nam również w prosty sposób ograniczyć widoczność wprowadzanych w aplikacji danych. Wystarczy tylko we właściwościach listy ograniczyć widoczność danych, tylko to tych tworzonych przez użytkownika, jak pokazuje poniższy obrazek.

O czym należy pamiętać i wiedzieć, próbując wykorzystać platformę Power Apps do prostych, a nawet bardziej rozbudowanych aplikacji, tworzonych bez użycia kodu. Nawet plan A1 zawiera licencje na Power Apps i Power Automate dla Office 365. Pozwala to tworzyć aplikacje typu Canvas, z użyciem właśnie takich źródeł danych jak tabele w Excelu oraz listy Sharepoint, a także kilka innych standardowych źródeł danych chmurowych. Łączenie innych źródeł danych (oznaczanych jako Premium) lub definiowanie własnych, wymaga dodatkowo płatnych licencji Power Apps, których niestety nie ma ani w planie A3 ani nawet w planie A5 Office 365. Podobnie wygląda sytuacja, gdybyśmy chcieli utworzyć aplikację typu Model Driven lub Portal.

Nawet jednak ograniczając się do aplikacji typu Canvas, ze standardowymi źródłami danych mamy spore możliwości. Przykłady gotowych aplikacji, udostępnionych w ramach społeczności Power Apps, możemy znaleźć tutaj - Community App Samples - Power Platform Community.

Dużą pomocą jest również portal Microsoft Learn, gdzie możemy znaleźć wiele ścieżek i modułów szkoleniowych dotyczących tworzenia i architektury Power Apps.

Pakiety poprawek dla Exchange po nowemu

Zespół produktowy Exchange opublikował poprawki zbiorcze dla Exchange 2016 i 2019, ogłaszając jednocześnie sporo zmian. Chociaż nie są wg. mnie rewolucyjne, jednak warto o nich wiedzieć. Po raz kolejny i prawdopodobnie ostatni ogłoszono, że obecny pakiet aktualizacji dla Exchange 2016 - CU23 będzie już ostatnim dla tej wersji systemu, w przyszłości mają już być dostępne tylko poprawki bezpieczeństwa. 

Ale wracając do istotnych zmian - ze względu na dużą ilość wykrytych podatności w ubiegłym roku, Microsoft intensywnie monitorował wdrażanie pakietów poprawek przez klientów on-premises, a nawet dyskutował z klientami na temat powodów związanych z opóźnieniami w ich instalacji. Ostatecznie podjęto decyzję o zmianie modelu serwisowego - zamiast kwartalnych pakietów, kolejne pakiety CU dla Exchange 2019 będą wydawane w cyklu półrocznym (H1 i H2), przeważnie w marcu i wrześniu. Obecna paczka poprawek została przypisana jako H1.

Kolejne zmiany dotyczą funkcjonalności i licencjonowania w środowisku hybrydowym - po pierwsze serwer hybrydowy Exchange 2019 pobiera automatycznie bezpłatną licencję (aplikowaną prze Hybrid Configuration Wizard), tak jak działało to w Exchange 2016 i starszych wersjach. Po drugie zaktualizowane zostały narzędzia administracyjne dla Exchange 2019, tak że do zarządzania właściwościami mailowymi kont użytkowników ze skrzynkami pocztowymi nie potrzebujemy zostawiać lokalnych serwerów Exchange, wystarczy stacja zarządzająca z narzędziami administracyjnymi. Narzędzia te również zostały zaktualizowane, tak żeby działały cmdlety dla agentów hybrydowych przy użyciu MFA.

Następną opublikowaną zmianą jest dodanie wsparcia dla Windows Server 2022, co przy nowych wdrożeniach lub migracjach może być istotną kwestią (oczywiście tylko dla Exchange 2019).

Ostatnim ogłoszeniem jest uruchomienie programu nagradzania za znalezione podatności w Exchange, gdzie można zgłaszać znalezione problemy i uzyskiwać nagrody pieniężne. 

Opis poprawek i linki do pobrania:

• Exchange Server 2019 Cumulative Update 12 (KB5011156), VLSC Download, Download
• Exchange Server 2016 Cumulative Update 23 (KB5011155), Download, UM Lang Pack

Marcowe aktualizacje zabezpieczeń dla Exchange

Kolejny "patch Tuesday" i kolejna łatka na zabezpieczenia serwerów Exchange. W tym miesiącu aktualizacja adresuje dwa problemy opisane w artykułach CVE-2022-23277 (Remote Code Execution) oraz CVE-2022-24463 (Spoofing). Chociaż nie znaleziono jeszcze aktywnych exploitów, wykorzystujących te podatności, to Microsoft zaleca niezwłoczną instalację poprawki. W zależności od wersji należy pobrać odpowiednią paczkę:

• Exchange Server 2013 CU23
• Exchange Server 2016 CU21 and CU22
• Exchange Server 2019 CU10 and CU11

Poprawkę należy instalować ręcznie, w kontekście administratora, ale mam nadzieję, że do tego wszyscy się już przyzwyczaili. Więcej informacji na blogu zespołu produktowego.

Kolekcja skryptów Powershell

Przez wiele lat moje skrypty ułatwiające konfigurację czy też dokumentowanie organizacji serwerów Exchange wisiały w galerii Technet i mogę powiedzieć z dumą, że większość z nich było pobieranych ponad 1000 razy i doczekały się wielu pozytywnych opinii. Niestety, galeria została w zeszłym roku zamknięta, co nie oznacza jednak, że skrypty zniknęły z internetu. Przeniosłem je na swoje konto GitHub, a ostatnio nawet zacząłem je nieco odświeżać, tak żeby np. działały poprawnie z serwerami Exchange 2019.  Na tym samym koncie w trakcie pandemii pojawiły się również skrypty, pomagające zarządzać środowiskami Office 365 w edukacji, ale oczywiście można je również wykorzystać w tenantach komercyjnych.

Dla przypomnienia przedstawiam poniżej listę skryptów dla edukacji:

1. addusersfromfile.ps1 - opisany w artykule na moim blogu
2. bulkpasswordreset.ps1 - opisany w artykule na moim blogu
3. zmianaDisplayName.ps1 - opisany w artykule na moim blogu

A tutaj lista skryptów dla Exchange:

1. set-allvdirs.ps1 - skrypt ustawia wszystkie (lub tylko wybrane przez nas) wirtualne katalogi wszystkich serwerów Exchange lub tylko lokalnego oraz SCP usługi autodiscover.
2. get-allvdirs.ps1 - sprawdza i zapisuje w pliku informacje o wszystkich wirtualnych katalogach na serwerach Exchange w organizacji.
3. get-ExDocs.ps1 - zapisuje w plikach parametry konfiguracyjne wszystkich usług Exchange naszej organizacji.
4. remove-oldaliases.ps1 - kasuje dla wszystkich odbiorców poczty wybrany alias
5. reenableExServices.ps1 - W przypadku niepoprawnej instalacji poprawki Exchange, może nastąpić sytuacja, gdy usługi Exchange pozostają w stanie disabled. Skrypt naprawia taki problem.
6. list-mobiledevsforallmailboxes.ps1 - prosty skrypt do wyświetlania listy urządzeń mobilnych, skonfigurowanych dla użytkowników Exchange.

Antimalware w Exchange raz jeszcze

Noworoczny problem z aktualizacją silnika Antimalware w serwerach Exchange wywołał sporo dyskusji, które pokazały mi, że nie wszyscy dobrze rozumieją tematy związane z powyższym zagadnieniem. Dodatkowe zamieszanie spowodowała wprowadzona w czerwcu 2021 integracja z AMSI systemu operacyjnego. Należy pamiętać o jednej podstawowej różnicy - starszy mechanizm poprzez agenta transportowego, skanuje pod kątem malware treść i załączniki przesyłanych maili w warstwie transportowej serwera. Integracja z AMSI pozwala poprzez moduł http proxy skanować zapisywane w skrzynce pocztowej wiadomości w trakcie zapisywania/odczytu z użyciem mechanizmów ochrony animalware działających w systemie operacyjnym i również korzystających z AMSI. Uzupełnienie szczególnie istotne dla firm, które nie mają zbyt dobrej ochrony na stacjach roboczych - dostęp do skrzynki zarówno z Outlooka jak i OWA jest dodatkowo weryfikowany.

Problemy z aktualizacjami Antimalware pojawiały się już wielokrotnie - pisałem o tym kilkukrotnie w kontekście Exchange 2013 jak i Exchange 2016. Ale powtórzę raz jeszcze kilka podstawowych kwestii.

Sam komponent od momentu dodania do systemu Exchange specjalnie się nie zmienił, jednak pomimo faktu, że jest dostępny już ponad 8 lat, to nadal część administratorów powtarza ten sam błąd. Po zainstalowaniu serwerów Exchange nie zwraca uwagi na komunikaty generowane przez usługę antimalware (systemowy log aplikacyjny serwera Windows, źródło zdarzeń - usługa FIPFS). Najczęstszym problemem, jaki spotykam, to brak aktualizacji - przeważnie spowodowany brakiem komunikacji z internetem. Warto pamiętać, że usługa Antimalware ma oddzielny moduł powershell do zarządzania i niezależną od systemu operacyjnego i Exchange definicję serwera proxy, który musimy włączyć oddzielnie:

Add-PsSnapin Microsoft.Forefront.Filtering.Management.Powershell

Set-ProxySettings -Enabled <$true | $false> -Server <Name or IP address of proxy server> -Port <TCP port of proxy server>

Więcej informacji można znaleźć w dokumentacji - Download antimalware engine and definition updates.

Jeżeli nie chcemy korzystać z aktualizacji poprzez proxy, możemy pobierać aktualizacje silnika i sygnatur antimalware skryptem update-engines.ps1, udostępnionym na stronach pomocy technicznej, a następnie wskazać usłudze inną niż domyślna ścieżkę aktualizacji. Mając pobrany skrypt oraz utworzony folder (przykładowa nazwa ScanEngineUpdates) na serwerze plikowym FileServer01, który ma służyć jako udział sieciowy do aktualizacji serwerów Exchange uruchamiamy skrypt:
Update-Engines.ps1 -EngineDirPath C:\ScanEngineUpdates\

A następnie na wszystkich serwerach Exchange korzystającym z ochrony antimalware, wywołujemy standardowy skrypt, dostarczony z systemem Exchange

& $env:ExchangeInstallPath\Scripts\Update-MalwareFilteringServer.ps1 -Identity mailbox01.pepug.org -EngineUpdatePath \\FileServer01\ScanEngineUpdates

W ten sposób również osiągniemy aktualizację silnika i sygnatur na naszych serwerach, nawet przy całkowitej blokadzie dostępu tych maszyn do internetu. Oczywiście, jeżeli chcemy, żeby przy kolejnej próbie aktualizacji serwer sięgnął do naszego udziału sieciowego, dobrze jest zmienić podstawową lokalizację aktualizacji komendą:
Set-MalwareFilteringServer mailbox01.pepug.org -PrimaryUpdatePath \\FileServer01\ScanEngineUpdates

Podsumowanie roku

 Zaczął się nowy rok, więc jak zwykle pora na małe podsumowanie.

Z jednej strony rok 2021 był dla mnie bardzo ciężki - sporo chorób w domu, wszechobecny Covid i moje własne problemy ze zdrowiem, z drugiej strony miał również sporo pozytywów - starsza córka była na Erazmusie we Włoszech (okazja do rodzinnej wycieczki) i obroniła licencjat, młodsza zdała maturę i rozpoczęła ciekawe studia.

Ja co prawda nie rozpocząłem studiów, ale realizowałem ciekawe projekty chmurowe i on-premises, nieco mniej ale jednak udało mi się napisać kilka artykułów na blogu i poprowadzić kilka warsztatów online. Zdałem 5 egzaminów (743, SC-300, SC-400, MS-500, PL-900) oraz odnowiłem dwie certyfikacje - Azure Administrator Associate i Messaging Administrator Associate). Odnowiłem również uprawnienia trenera MCT. Czyli coś się udało. I to prawie bezkosztowo (w większości przypadków wykorzystałem vouchery egzaminacyjne za udział w cloud skills challenge, organizowanych przy okazji różnych konferencji). Przeczytałem również sporo ciekawych książek, największe wrażenie wywarła na mnie chyba "Projekt Hail Mary" Andy Weira. Nie mówiąc o filmach i serialach, które również staram się śledzić. Chociaż zachwyty nad niektórymi tytułami trudno mi zrozumieć.

Nie odważę się prognozować tego co przyniesie rok 2022, jak na razie przyszłość nie wygląda różowo (kolejne fale Covid, inflacja, etc.). Ale nie chcę tu pisać o polityce. Jak śpiewał Młynarski - "Róbmy swoje".

Noworoczna niespodzianka dla serwerów Exchange

 Poprzedni rok dla grupy produktowej Exchange nie był dobry - słynna marcowa dziura i wiele serwerów zaatakowanych tą podatnością (pisałem o tym na blogu w marcu aż trzykrotnie - art. 1, art. 2, art. 3), później pojawiły się kolejne problemy bezpieczeństwa, choć nie tak spektakularne, konieczne do łatania prawie w każdym miesiącu. No i ciągle brak nawet słowa o kolejnej wersji systemu, mimo, że miał zostać wydany w 2021 roku.

Ten rok zaczął się od poważnego zgrzytu wkrótce po północy. Silnik animalware - pamiątka po produkcie Forcepoint Protection for Exchange, zaczął szwankować po przekręceniu się licznika na rok 2022. Na wielu serwerach Exchange 2016 i 2019 pojawił się w aplikacyjnym logu systemowym komunikat (Usługa FIPFS, EventID 1106) “The FIP-FS Scan Process failed initialization. Error: 0x80004005. Error Details: Unspecified error”, ewentualnie podobny w treści o numerze 5300, a w kolejkach transportowych zaczęły się gromadzić maile. 

Zespół produktowy zidentyfikował problem i opublikował na swoim blogu opis problemu oraz skrypt do jego rozwiązania - https://aka.ms/ResetScanEngineVersion, który tak naprawdę czyści folder z aktualną wersją silnika Antimalware. Można to zrobić również ręcznie, wykonując poniższe kroki:

1. Zatrzymaj usługę Microsoft Filtering Management service.  Zostaniesz poproszony również o zatrzymanie Microsoft Exchange Transport service, potwierdź "Yes".
2. Sprawdź w Task Managerze, czy updateservice.exe nie jest uruchomiony.
3. Skasuj folder:
    %ProgramFiles%\Microsoft\Exchange Server\V15\FIP-FS\Data\Engines\amd64\Microsoft.
4. Skasuj wszystkie pliki z folderu:
    %ProgramFiles%\Microsoft\Exchange Server\V15\FIP-FS\Data\Engines\metadata.

Teraz tylko ponowne uruchomienie usług, wymuszenie aktualizacji silnika poprzez uruchomienie skryptu z folderu standardowych skryptów Exchange Update-MalwareFilteringServer.ps1 <server FQDN> i powinno działać poprawnie. Kolejki transportowe Exchange zaczną przetwarzać się normalnie.

Ciekawe, ile firm  w poniedziałkowy poranek zauważy ze zgrozą, że ich kolejki transportowe stoją...