2023 年 1 月 Exchange Server 安全更新

Microsoft 发布了多个 Microsoft Exchange Server 安全更新 (SU) 以解决漏洞。由于这些漏洞的严重性，我们建议客户立即对受影响的系统应用更新以保护环境。

注意：这些漏洞影响 Microsoft Exchange Server。 Exchange Online 不受影响。

Exchange 服务器安全更新

Microsoft 已针对以下位置中发现的漏洞发布了安全更新：

• 交换服务器 2013
• 交换服务器 2016
• 交换服务器 2019

这些安全更新适用于以下特定版本的 Exchange：

• Exchange 服务器 2013 (CU23)
• Exchange 服务器 2016 (CU23)
• Exchange 服务器 2019（CU11、CU12）

阅读有关如何安装 Exchange 安全更新的更多信息。

如果您使用的不是这些 Exchange Server CU 版本，请立即更新并应用上述补丁。

阅读有关如何安装 Exchange 累积更新的更多信息。

2023 年 1 月安全更新中解决的漏洞由安全合作伙伴负责任地报告，并通过 Microsoft 的内部流程发现。尽管我们尚未发现任何活跃的漏洞，但我们建议立即安装这些更新以保护您的环境。

纵深防御：启用 PowerShell 序列化负载的证书签名

序列化是将对象的状态转换为可以持久保存或传输到内存、数据库或文件的形式（字节流）的过程。例如，PowerShell 在会话之间传递对象时使用序列化（及其对应的反序列化）。

为了保护 Exchange 服务器免受序列化数据的攻击，我们在 2023 年 1 月的 SU 中添加了基于证书的 PowerShell 序列化负载签名。在第一个推出阶段，由于功能依赖性，此新功能必须由 Exchange Server 管理员手动启用。

本文详细介绍了在 Exchange Server 中启用基于证书的序列化数据签名的步骤。我们还发布了一个脚本，您可以使用它来验证/创建组织中所需的身份验证证书，或者您也可以手动执行此操作。

重要提示：如果您的环境中有 Exchange Server 2013，则打开序列化负载功能签名可能会导致多个问题，从而影响您组织中的管理。我们建议暂时不要打开此功能。我们将在未来的更新中解决这个问题。使用 Exchange Server 2016/2019 的客户只能继续使用 PowerShell 序列化负载功能的证书签名。

此版本的已知问题

• 如果在 Windows Server 2012 R2 上安装 Exchange Server 2016，则安装 2023 年 1 月 SU 后，AD 拓扑服务可能不会自动启动，从而导致依赖于它的服务也不会自动启动。要解决此问题，请手动启动 Exchange 服务。请参阅安装 2023 年 1 月安全更新后，某些 Exchange 服务不会自动启动。
• 在 Exchange Server 2016 或 2019 上安装更新后，OWA 中共享的 URL 的网页预览将无法正确呈现。我们将在未来的更新中解决这个问题。
• 在 RecoverServer 模式下安装 Exchange Server 时出现版本错误。
• 启用 PowerShell 序列化负载的证书签名后，Exchange 工具箱和队列查看器失败。

常见问题解答

我们应该何时启用 PowerShell 序列化负载功能的新证书签名？
只有在您将所有 Exchange 服务器更新到 2023 年 1 月（或更新版本）SU 后，才应启用此功能。在更新所有服务器之前启用该功能可能会导致管理组织时出现故障和错误。

为什么我们需要手动启用新证书签名？为什么 Microsoft 不自动启用该功能？
我们的目的是在未来的更新中默认启用 PowerShell 序列化负载的证书签名。该功能依赖于组织中存在的有效身份验证证书，因此我们希望管理员有机会在启用依赖于该证书的功能之前验证其证书（如果通过以下方式启用该功能，证书问题可能会导致意外结果和错误）默认值。）我们已经发布了一个脚本，您可以使用它来验证/创建此证书。

此 SU 与扩展保护功能有何关系？
如果您已在服务器上启用了扩展保护，请照常安装 SU。如果您尚未启用扩展保护，我们建议您在安装一月（或任何以后）的 SU 后启用它。运行运行状况检查器脚本将始终帮助您准确验证 SU 安装后可能需要执行的操作。

Windows 扩展保护是应用 SU 之前或之后需要激活的先决条件，还是可选但强烈推荐的活动？
扩展保护不是此安全更新的先决条件。您无需激活扩展保护功能即可安装它。但是，强烈建议配置扩展保护，这可以帮助您保护您的环境免受身份验证中继或“中间人”(MITM) 攻击。

我们安装的最后一个 SU 是（几个月前的）。我们是否需要按顺序安装所有 SU 才能安装最新的 SU？
Exchange Server 安全更新是累积性的。如果您正在运行可安装 SU 的 CU，则无需按顺序安装所有 SU，而只需安装最新的 SU。

我的组织处于与 Exchange Online 的混合模式。我需要做什么吗？
虽然 Exchange Online 客户已受到保护，但仍需要在本地 Exchange 服务器上安装 2023 年 1 月安全更新，即使它们仅用于管理目的。如果您在安装 2023 年 1 月 SU 后更改身份验证证书，则应重新运行混合配置向导。

我需要在“仅 Exchange 管理工具”工作站上安装更新吗？
在所有 Exchange 服务器以及仅运行 Exchange 管理工具的服务器或工作站上安装安全更新，这将确保管理工具客户端和服务器之间不存在不兼容性。

更多信息

• 交换团队博客
• CVE-2023-21745
• CVE-2023-21761
• CVE-2023-21762
• CVE-2023-21763
• CVE-2023-21764