在 Exchange Server 中启用 PowerShell 序列化负载签名

从 Microsoft Exchange Server 2023 年 1 月安全更新 (SU) 开始，Microsoft 引入了一项新功能，使管理员能够配置 PowerShell 序列化负载的基于证书的签名。但是，在所有基于 Exchange 的服务器上安装 SU 后，必须手动启用此功能。在本文中，您将了解如何在 Exchange Server 中启用基于证书的 PowerShell 序列化数据签名。

PowerShell 序列化有效负载签名

PowerShell 序列化负载的基于证书的签名是一项深度防御安全功能，可防止恶意操纵 Exchange Management Shell (EMS) 会话中交换的序列化数据。

序列化数据签名功能是随 2023 年 1 月 Exchange Server 安全更新 (SU) 引入的，可用于：

• 交换服务器2013

• 交换服务器 2016

• 交换服务器 2019

注意：此功能需要由 Exchange Server 管理员手动启用。这可以通过遵循下面列出的步骤来完成。

PowerShell 序列化有效负载签名先决条件

在开始启用 PowerShell 序列化有效负载签名之前，请确保满足以下先决条件。

安装 Exchange Server 2023 年 1 月 SU 或更高版本

确保环境中的所有 Exchange 服务器（Exchange Server 2019、2016 和 2013）运行 2023 年 1 月 SU（或更高版本）。

在打开该功能之前执行此操作。在更新所有服务器之前启用该功能可能会导致管理组织时出现故障和错误。

重要提示：不要忘记使 Exchange 服务器保持最新的 Exchange 累积更新和 Exchange 安全更新。订阅新闻通讯，不要错过 Exchange Server 更新。

检查 Microsoft Exchange Server 身份验证证书

此功能使用 Exchange Server 身份验证证书对序列化数据进行签名。因此，配置为身份验证证书的证书必须有效（未过期）并且在组织内的所有 Exchange 服务器（边缘传输角色和 Exchange 管理工具角色除外）上可用，这一点非常重要。

选项 1：检查 Microsoft Exchange Server 身份验证证书是否存在且有效。

选项 2：下载 MonitorExchangeAuthCertificate.ps1 PowerShell 脚本并检查 Microsoft Exchange Server 身份验证证书是否存在且有效。

注意：要运行该脚本，您必须是组织管理角色组的成员。该脚本必须在运行邮箱角色的 Exchange Server 上从提升的 Exchange 命令行管理程序 (EMS) 命令提示符运行。该脚本无法在仅使用 Exchange 管理工具的计算机上运行。

在我们的示例中，我们将脚本放置在文件夹 C:\scripts 中并运行以下命令。

[PS] C:\>cd C:\scripts

[PS] C:\scripts>.\MonitorExchangeAuthCertificate.ps1
Monitor Exchange Auth Certificate script version 23.03.03.1320
The script was run without parameter therefore, only a check of the Auth Certificate configuration is performed and no change will be made

Current Auth Certificate thumbprint: 91A2B6CBB1BEB5B5E8F2F56F0CEE06F2575D1K74
Current Auth Certificate is valid for 1571 day(s)
Exchange Hybrid was detected in this environment

Test result: No renewal action is required

Log file written to: C:\Program Files\Microsoft\Exchange Server\V15\Logging\AuthCertificateMonitoring\AuthCertificateMonitoringLog_20230324194706.txt

检查 PowerShell 序列化有效负载签名状态

运行 Exchange 运行状况检查器脚本并在报告中搜索已启用 SerializedDataSigning。

[PS] C:\scripts>Get-ExchangeServer | ?{$_.AdminDisplayVersion -Match "^Version 15"} | %{.\HealthChecker.ps1 -Server $_.Name}; .\HealthChecker.ps1 -BuildHtmlServersReport; .\ExchangeAllServersReport.html

在我们的示例中，该值为False。这意味着它没有启用，我们必须启用它。

注意：如果您尚未安装 Microsoft Exchange Server 2023 年 1 月安全更新 (SU) 或更高版本，您将不会在运行状况检查器中看到已启用 SerializedDataSigning 数据和值报告。

如何启用 PowerShell 序列化有效负载签名

要启用 PowerShell 序列化有效负载签名，请按照以下步骤操作：

交换服务器 2016/2019

运行 Exchange 命令行管理程序并运行以下命令。

注意：此 cmdlet 可在所有 Exchange 服务器上启用签名验证，您不必在每个 Exchange 服务器上运行该 cmdlet。

设置新的设置覆盖。

New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"

刷新 VariantConfiguration 参数。

Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

重新启动万维网发布服务和 Windows 进程激活服务 (WAS) 以应用新设置。

注意：在进行更改的 Exchange Server 上重新启动服务就足够了。

Restart-Service -Name W3SVC, WAS -Force

交换服务器2013

创建一个注册表项。

New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String

重新启动万维网发布服务和 Windows 进程激活服务 (WAS) 以应用新设置。

注意：每当更新注册表值时，都需要在所有 Exchange 2013 服务器上重新启动这些服务。

Restart-Service -Name W3SVC, WAS -Force

验证您的工作

运行 Exchange 运行状况检查器脚本。

[PS] C:\scripts>Get-ExchangeServer | ?{$_.AdminDisplayVersion -Match "^Version 15"} | %{.\HealthChecker.ps1 -Server $_.Name}; .\HealthChecker.ps1 -BuildHtmlServersReport; .\ExchangeAllServersReport.html

验证SerializedDataSigning Enabled 的值为True。

就是这样！

了解更多：Exchange Server 的防病毒排除项 »

结论

您了解了如何在 Exchange Server 中启用 PowerShell 序列化负载签名。首先，确保您安装了 Exchange Server 2023 年 1 月安全更新 (SU) 或更高版本。接下来，验证 Microsoft Exchange Server 身份验证证书的有效性。最后，启用 PowerShell 序列化有效负载签名并使用 Exchange 运行状况检查器脚本验证其是否显示为已启用。

您喜欢这篇文章吗？您可能还喜欢在 Exchange Server 上配置 HSTS。不要忘记关注我们并分享这篇文章。