Microsoft Exchange Server 漏洞检查

由于存在漏洞、新功能和错误修复，您的 Exchange Server 基础结构需要保持最新状态。进行 Exchange Server 安全测试的最佳方法是运行运行状况检查器 PowerShell 脚本。它将扫描 Exchange 服务器并在存在任何漏洞时创建报告。在本文中，您将了解如何进行 Microsoft Exchange Server 漏洞检查。

Exchange Server 运行状况检查器脚本是一个 PowerShell 工具，可扫描 Exchange Server 2013/2016/2019 组织并根据一系列最佳实践和常见配置问题对其进行评估。

Exchange 服务器累积更新

您通常会下载最新的 Exchange Server CU 并进行安装。例如，您正在运行 Exchange 2019 CU7，并且下载了 Exchange Server 2019 CU8，这是当时的最新版本。这并不意味着您可以免受所有已知漏洞的影响。这就是安全更新发挥作用的时候。

对于每个 Exchange CU 版本，您都将拥有所有安全修复、新功能、错误修复和更改。有时，Microsoft 不会等待下一个 CU，因为安全性至关重要。这就是他们发布安全更新的原因。

Microsoft 最终将在下一个 CU 中添加这些安全更新。如果安装新的 Exchange Server，则应始终安装最新的 CU 并检查是否有可供安装的安全更新。

注意： Exchange Server 累积更新是累积的。您无需按顺序安装所有 CU，只需安装最新的 CU。

Exchange 服务器安全更新

Microsoft 安全更新也称为 Microsoft 周二补丁。每个月的第二周，微软都会发布所有微软产品的补丁。这些产品之一是 Exchange Server。如果当时没有可用的 Microsoft Exchange 安全更新，则意味着一切正常，您无需修补。

注意： Exchange Server 安全更新是累积的。如果您正在运行可安装 SU 的 CU，则无需按顺序安装所有 SU，而只需安装最新的 SU。

请转至 Microsoft 安全更新指南以获取所有安全更新。根据 Exchange Server 产品系列进行筛选。

Microsoft 安全响应中心 (MSRC) 调查所有影响 Microsoft 产品和服务的安全漏洞报告。它在此处提供的信息是帮助您管理安全风险并帮助保护您的系统的持续努力的一部分。

立即修补 Exchange Server

立即在 Exchange 服务器上下载并安装安全更新。如果你等待或不等待，很有可能会发生现场攻击。稍后检查您是否受到威胁。

重要提示：您必须先修补 Exchange Server，然后再进行调查。不要反其道而行之。

只要不是 Microsoft 365 - Exchange Online，您就需要安装累积更新和安全更新。 Exchange 服务器可以是：

• 本地交换

• 交换混合

• Azure 中的交换

现在您已经掌握了累积更新和安全更新的最新信息，让我们看看如何检查 Exchange Server 是否存在漏洞或是否已打补丁。

Exchange服务器漏洞检查

您很可能想知道是否所有 Exchange 服务器都已打补丁。您不希望 Exchange Server 容易受到攻击（处于风险状态）。最好的方法是运行 Exchange 运行状况检查器 Powershell 脚本并生成报告。请阅读文章中的更多内容，让自己熟悉该脚本。

作者在 Health Checker 脚本发布后添加了 Microsoft 安全漏洞。每次您想要检查 Exchange Server 安全检查和最佳实践时，请记住下载最新的脚本版本。

在撰写本文时，运行状况检查器脚本的最新版本是版本 3.3.2。在此版本中，他们将安全漏洞结果添加到 HTML 报告中以进行快速检测，这是对脚本的出色补充。

下载运行状况检查器 PowerShell 脚本

下载 HealthChecker.ps1 PowerShell 脚本并将其放置在 Exchange Server C:\scripts 文件夹中。如果您没有脚本文件夹，请创建一个。

确保该文件未被阻止，以防止运行脚本时出现任何错误。请阅读文章运行 PowerShell 脚本时出现未数字签名错误来了解更多信息。

创建 Exchange 服务器报告

以管理员身份运行 Exchange 命令行管理程序。更改脚本文件夹的路径。

[PS] C:\>cd C:\scripts
[PS] C:\scripts>

在使用 Get-AuthenticodeSignature cmdlet 运行脚本之前验证签名。

[PS] C:\scripts>Get-AuthenticodeSignature -FilePath ".\HealthChecker.ps1" | ft -AutoSize


    Directory: C:\scripts


SignerCertificate                        Status Path
-----------------                        ------ ----
AFBF0B8B6A18F7E23CCA1DDCD0AC1A55B4035173 Valid  HealthChecker.ps1

运行 cmdlet 为所有 Exchange 服务器创建报告。它将运行 HTML 报告并自动打开它。

[PS] C:\scripts>Get-ExchangeServer | ?{$_.AdminDisplayVersion -Match "^Version 15"} | %{.\HealthChecker.ps1 -Server $_.Name}; .\HealthChecker.ps1 -BuildHtmlServersReport; .\ExchangeAllServersReport.html

如果报告没有自动打开，您可以在 C:\scripts 文件夹中找到该报告。

检查 Exchange Server 报告是否存在漏洞

HTML 报告将显示如下屏幕。一切看起来都很棒，因为环境中有两台具有邮箱角色的 Exchange 服务器。它们都在 Exchange 2019 CU12 上并已修补。 安全漏洞列将两台 Exchange 服务器显示为无。

如果您没有更新或未打补丁，就会表明您很容易受到攻击。您可以做的是下载并使用适当的安全更新修补漏洞。 Exchange 团队很可能只会发布最新或最近两次累积更新的安全补丁。

您是否在 Exchange Server 报告中看到红色或黄色警告？调查一下并修复它！

让 Exchange 服务器保持最新状态非常重要，因为这将简化推送安全更新的过程。当新的安全补丁推出时，您不必更新到最新的 CU 和补丁，这比立即修补需要更多的时间，因为您已经使用了最新的 CU。

了解更多：2021 年 3 月 Exchange Server 安全更新 »

结论

您了解了如何使用 PowerShell HealthChecker.ps1 脚本检查 Microsoft Exchange Server 漏洞。最新的累积更新和安全更新发布后，请使用它们来保护 Exchange Server。之后，检查您是否违反了 Microsoft 提供的指南。

您喜欢这篇文章吗？您可能还喜欢检查 Exchange 健康邮箱。不要忘记关注我们并分享这篇文章。