2023 年 10 月 Exchange Server 安全更新
Microsoft 发布了多个 Microsoft Exchange Server 安全更新 (SU) 以解决漏洞。由于这些漏洞的严重性,我们建议客户立即将 2023 年 10 月 Exchange Server 安全更新应用到受影响的系统,以保护环境。
笔记:这些漏洞影响 Microsoft Exchange Server。 Exchange Online 不受影响。
Microsoft 已针对以下位置中发现的漏洞发布了安全更新:
- 交换服务器 2016
- 交换服务器 2019
这些安全更新适用于以下特定版本的 Exchange:
阅读有关如何安装 Exchange 安全更新的更多信息。
如果您使用的不是这些 Exchange Server CU 版本,请立即更新并应用上述补丁。
阅读有关如何安装 Exchange 累积更新的更多信息。
2023 年 10 月安全更新中解决的漏洞由安全合作伙伴负责任地报告,并通过 Microsoft 内部流程发现。尽管我们尚未发现任何活跃的漏洞,但我们建议立即安装这些更新以保护您的环境。
有关的:2023 年 6 月 Exchange Server 安全更新
安装 CVE-2023-36434 的更新
在 2023 年 8 月 SU 发布期间,我们建议使用手动或脚本解决方案并禁用 IIS 令牌缓存模块作为解决问题的方法CVE-2023-21709。今天,Windows团队针对该漏洞的根本原因发布了IIS修复程序,以修复CVE-2023-36434。我们建议安装 IIS 修复程序,然后您可以在 Exchange 服务器上重新启用令牌缓存模块。
如果您尚未采取任何措施来解决 CVE-2023-21709:
- 安装更新CVE-2023-36434在您所有的 Exchange 服务器上。
如果您遵循我们 2023 年 8 月的建议并禁用了令牌缓存模块(通过使用单行命令或我们的CVE-2023-21709.ps1 脚本),或者想要解决禁用该模块后可能出现的性能问题,请执行以下操作:
- 在所有 Exchange 服务器上安装 CVE-2023-36434 的更新。
- 通过执行以下操作之一重新启用 IIS 令牌缓存模块:
要仅在单个服务器上启用令牌缓存模块,请从提升的 PowerShell 窗口运行以下命令:
New-WebGlobalModule -Name "TokenCacheModule" -Image "%windir%System32inetsrvcachtokn.dll"要在组织中的所有服务器上启用令牌缓存模块(安装 Windows 更新后),您可以在 Exchange Management Shell (EMS) 中以管理员身份使用我们的 CVE-2023-21709.ps1:
.CVE-2023-21709.ps1 -Rollback本次更新中的已知问题
- 此更新没有已知问题
本次更新修复的问题
本次更新解决了以下问题:
- 扩展保护导致 Outlook for Mac 不更新 OAB
- 详细信息模板编辑器失败并返回 BlockedDeserializeTypeException
- 安装 2023 年 8 月 SU 后,帐户林中的用户无法在多林 Exchange 部署中的 OWA 中更改过期密码
常见问题解答
此 SU 与扩展保护功能有何关系?
如果您已在服务器上启用扩展保护,请照常安装 SU。如果您尚未启用扩展保护,我们建议您在安装一月(或任何以后)的 SU 后启用它。运行运行状况检查器脚本将始终帮助您准确验证 SU 安装后可能需要执行的操作。
Windows 扩展保护是应用 SU 之前或之后需要激活的先决条件,还是可选但强烈推荐的活动?
扩展保护不是此安全更新的先决条件。您无需激活扩展保护功能即可安装它。但是,强烈建议配置扩展保护,这可以帮助您保护您的环境免受身份验证中继或“中间人”(MITM) 攻击。
我们安装的最后一个 SU 是(几个月前的)。我们是否需要按顺序安装所有 SU 才能安装最新的 SU?
Exchange Server 安全更新是累积的。如果您正在运行可安装 SU 的 CU,则无需按顺序安装所有 SU,而只需安装最新的 SU。
我的组织采用 Exchange Online 的混合模式。我需要做些什么吗?
虽然 Exchange Online 客户已受到保护,但仍需要在本地 Exchange 服务器上安装 2023 年 10 月安全更新,即使它们仅用于管理目的。应用更新后,您无需重新运行混合配置向导 (HCW)。
我是否需要在“仅限 Exchange 管理工具”工作站上安装更新?
在所有 Exchange 服务器以及仅运行 Exchange 管理工具的服务器或工作站上安装安全更新,这将确保管理工具客户端和服务器之间不存在不兼容性。
