Exchange 安全更新 2022 年 8 月

---

2022 年 8 月 9 日，Microsoft 发布了 Exchange 2013、Exchange 2016 和 Exchange 2019 的重要安全更新，这些更新被评为“严重”（权限提升）和“重要”（信息泄露）。

此安全更新汇总解决了 Microsoft Exchange Server 中发现的漏洞。要了解有关这些漏洞的更多信息，请参阅以下常见漏洞和披露 (CVE)：

• CVE-2022-21979 - Microsoft Exchange 信息泄露漏洞
• CVE-2022-21980 - Microsoft Exchange Server 权限提升漏洞
• CVE-2022-24477 - Microsoft Exchange Server 权限提升漏洞
• CVE-2022-24516 - Microsoft Exchange Server 权限提升漏洞
• CVE-2022-30134 - Microsoft Exchange Server 权限提升漏洞

此安全更新引入了对扩展保护的支持。扩展保护增强了身份验证，以减轻“中间人”攻击。最新版本的 Exchange 2016 和 Exchange 2019 (2022H1) 以及 2022 年 8 月安全更新（此更新）支持扩展保护，因此使您的 Exchange 服务器保持最新状态至关重要。

请注意以下限制：

• 仅当前版本和以前版本的 Exchange（即 Exchange 2016 CU21/CU21 和 Exchange 2019 CU12/CU11）以及安装了 2022 年 8 月 SU 的 Exchange 2013 CU23 支持扩展保护
• 具有混合代理的混合服务器不支持扩展保护。
• SSL 卸载不支持扩展保护。只要负载平衡器上的 SSL 证书与 Exchange 服务器上的 SSL 证书相同，就支持 SSL 重新加密（也称为 SSL 桥接）。
• 如果您的环境中仍然有 Exchange 2013，并且您正在使用公用文件夹，请确保您的公用文件夹托管在 Exchange 2016 或 Exchange 2019 上。

笔记。确保您的 Exchange 服务器已正确配置所有相关的安全设置。使用最新的 HealthChecker.ps1 脚本查找 Exchange 配置中的任何异常情况。如果您不这样做，启用扩展保护的脚本将失败并显示大量错误消息。

启用扩展保护

首先，确保您在所有 Exchange 服务器上安装了最新的累积更新，并在所有服务器（包括 Exchange 2013 服务器）上安装 2022 年 8 月安全更新。

另一件重要的事情是，您必须确保所有 Exchange 服务器上的 TLS 设置相同。您可以使用 healthchecker.ps1 脚本来确定是否属于这种情况。就我个人而言，我花了相当长的时间才把这件事做好。

配置扩展保护的最简单方法是使用 ExchangeExtendedProtectionManagement.ps1 脚本（可以在 github 上找到）。此脚本可以在组织中的所有 Exchange 服务器上启用扩展保护，但通过使用 -SkipExchangeServerNames 选项，您可以排除某些 Exchange 服务器（例如，Exchange 2013 服务器或运行混合代理的服务器）。还有 -ExchangeServerNames 选项，可让您指定要在哪些服务器上启用扩展保护。

更多信息和下载可以在这里找到：

Exchange versionDownloadKB articleExchange 2013 CU23https://www.microsoft.com/en-us/download/details.aspx?id=104482KB5015321Exchange 2016 CU22https://www.microsoft.com/en-us/download/details.aspx?id=104481KB5015322Exchange 2016 2022H1https://www.microsoft.com/en-us/download/details.aspx?id=104480KB5015322Exchange 2019 CU11https://www.microsoft.com/en-us/download/details.aspx?id=104479KB5015322Exchange 2019 2022H1https://www.microsoft.com/en-us/download/details.aspx?id=104478KB5015322Exchange Protection Scripthttps://aka.ms/ExchangeEPScriptHealthchecker scriptshttps://aka.ms/ExchangeHealthChecker

一些重要的注意事项：

• 与往常一样，请确保在实验室环境中对此进行彻底测试，尤其是启用扩展保护。
• 您可以从命令提示符或 Windows 资源管理器启动 SU，不再需要使用提升的权限从命令提示符启动。
• 此 SU 包含以前 SU 中针对此特定 Exchange 版本的所有安全更新。