[English]Mit den Sicherheitsupdates vom August 2022 für Microsoft Exchange (On-Premises-Lösung) ist es erforderlich, Extended Protection (EP) zu aktivieren, um alle Schwachstellen zu schließen. Die Aktivierung erfolgt per Script, welches Microsoft bereitgestellt hat – was aber zu Problemen führte. Nun hat Microsoft ein aktualisierte Script als Update veröffentlicht. Allerdings gibt es auch in diesem Script Fehler, eine Korrektur soll mit dem "nächsten Update" erfolgen.
Anzeige
Windows Extended Protection in Exchange Server
Microsoft hat zum 9. August Sicherheitsupdates für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese Updates sollen Schwachstellen beseitigen, die von externen Sicherheitspartnern an Microsoft gemeldet und durch die internen Prozesse von Microsoft gefunden wurden. Ich hatte über Sicherheitsupdates für Exchange im Blog-Beitrag Exchange Server Sicherheitsupdates (9. August 2022) berichtet.
Im Rahmen dieses Updates wies Microsoft darauf hin, dass Administratoren den erweiterten Windows-Schutz (Windows Extended protection) auf Ihren Exchange-Servern (in IIS) aktivieren müssen. Nur dann würden alle gepatchten Schwachstellen auch wirklich geschlossen. Zur Aktivierung dieser Funktion wurde von Microsoft ein Skript bereitgestellt (siehe hier).
Vor der Aktivierung der Extended Protection (EP) auf Produktivsystemen sollte geprüft werden, ob die Voraussetzungen auch erfüllt sind. Die Aktivierung von Extended Protection (EP) wird nur von bestimmten Exchange-Versionen unterstützt. Ein Blog-Leser hat beispielsweise hier berichtet, dass er Windows Extended Protection per PS-Script nicht aktivieren kann, weil das SU den Exchange Server 2019 Build anstatt auf 15.02.1118.012 nur auf 15.02.1118.010 angehoben hat, das Script das aber als nicht kompatibel ansieht. Hintergrund war, dass Microsoft eine veraltete Version des CUs veröffentlicht hatte. Zum Problem wurden auch die zahlreichen "Known Issues" werden, die in den Voraussetzungen genannt werden. In den Kommentaren zum Beitrag Exchange Server Sicherheitsupdates (9. August 2022) finden sich einige Leserrückmeldungen.
Ein Update des Scripts
Blog-Leser DW hat sich in diesem Kommentar zum Blog-Beitrag Exchange: Extended Protection, Checkliste und Probleme gemeldet (danke dafür), und weist auf den neuen Techcommunity-Beitrag An update to the Exchange Server Extended Protection script is now available vom 15. September hin. Die Botschaft lautet, dass Microsoft ein Update für das Skript zur Aktivierung des erweiterten Schutzes (Extended Protection) auf Exchange-Servern veröffentlich habe. Denn das Script sei nach der Installation der Exchange Server-Sicherheitsupdates vom August 2022 erforderlich, um EP zu aktivieren.
Anzeige
Im Beitrag heißt es, dass dieses Script-Update eine Zwischenlösung enthält, um ein bekanntes Problem mit Archivpostfächern bei der Verwendung von Aufbewahrungs-Tags zu beheben. Kunden, die eine Aufbewahrungsrichtlinie (Retention Policy) mit Aufbewahrungs-Tags (Retention Tags) verwenden, die eine Verschiebung ins Archiv durchführen, können jetzt mit diesem Script-Update den erweiterten Schutz "Extended Protection, EP) konfigurieren.
Microsoft schreibt im Techcommunity-Beitrag, dass man an einer dauerhaften Lösung arbeite, um dieses Problem zu beheben. Sobald diese Lösung bereitsteht, müssen Administratoren dieses Skript erneut ausführen und die Änderungen rückgängig machen.
Mit dem bereitgestellten Script ExchangeEPScript sollten die von bekannten Problemen betroffenen Kunden den erweiterten Schutz aktivieren können. Allerdings hat sich bereits ein Nutzer gemeldet, und berichtet, dass das Script einen Fehler:
This script requires to be run inside of Exchange Management Shell. Please run on an Exchange Management Server or an Exchange Server with Exchange Management Shell.
wirft. Das Script scheitert, weil im Code ein nicht initialisiertes Objekt $exchangeShell geprüft wird, wodurch die Ausführung mit einem Fehler endet. Microsoft will diesen Bug mit dem "nächsten Update des Scripts" ausbügeln. Also: Neues Spiel, neues Glück.
Ähnliche Artikel:
Exchange Server Sicherheitsupdates (9. August 2022)
Exchange: Extended Protection, Checkliste und Probleme
Anzeige
Gestern gab es ein Update und das Skript funktioniert wieder. Der Fehler, dass das Skript nicht in einer Microsoft Exchange Shell ausgeführt wird, ist behoben. Das Skript hat folglich auch funktioniert.
Was man bedenken sollte: Wenn man auf seiner Firewall und auf dem Exchange jeweils eigene ein Letsencrypt Zertifikat bezieht und die EP einschaltet, dann funktioniert Outlook Anywhere nicht mehr, da dies als Man-In-The-Middle gewertet wird.
Man muss künftig das exakt gleiche Zertifikat nutzen, getrennt dasselbe zu generieren funktioniert nicht.
@Tobias
Steht auch so in den Artikel von Microsoft.