Microsoft Exchange — платформа обмена документами. Включает в себя:
Список значений слова или словосочетания со ссылками на соответствующие статьи. Если вы попали сюда из другой статьи Википедии, пожалуйста, вернитесь и уточните ссылку так, чтобы она указывала на статью.
Смотреть что такое «Microsoft Exchange» в других словарях:
Microsoft Exchange — Server Microsoft Exchange Server est un logiciel collaboratif pour serveur de messagerie électronique créé par Microsoft, pour concurrencer Lotus Notes / Domino Server d IBM, Mdaemon d Alt N et plus récemment des logiciels sous Linux tels que… … Wikipédia en Français
Microsoft Exchange — can refer to: Microsoft Exchange Server, an email server software product from Microsoft Microsoft Exchange Client, the former companion client software for Exchange Server that was embedded into some versions of Microsoft Windows This… … Wikipedia
Microsoft Exchange — puede referirse a: Microsoft Exchange Server, un producto de software de servidor de correo electrónico de Microsoft. Microsoft Exchange Client, el software de cliente de ex compañero para Exchange Server que se ha incrustado en algunas versiones … Wikipedia Español
Microsoft Exchange — Microsoft Exchange, Exchange … Universal-Lexikon
Microsoft Exchange — Dieser Artikel oder Abschnitt bedarf einer Überarbeitung. Näheres ist auf der Diskussionsseite angegeben. Hilf mit, ihn zu verbessern, und entferne anschließend diese Markierung. Der Exchange Server ist ein Groupware und Nachrichtensystem der… … Deutsch Wikipedia
Microsoft Exchange Server — Developer(s) Microsoft Corporation Initial release June 11, 1996 (1996 06 11) Stable release Microsoft Exchange Server 2010 SP1[1] / A … Wikipedia
Microsoft Exchange Server — est un Groupware (logiciel de groupe de travail) pour serveur de messagerie électronique créé par Microsoft, pour concurrencer Lotus Domino d IBM. Microsoft Exchange est très utilisé dans les entreprises. Selon Nicolas Petit (Directeur de la… … Wikipédia en Français
Microsoft Exchange Server — Desarrollador Microsoft Corporation www.microsoft.com/exchange en español Información general Última versión estable … Wikipedia Español
Microsoft Exchange Client — was a multi purpose messaging product useful for managing e mail.[1] It was the native and bundled client for Microsoft Exchange Server up to version 5.0, later superseded by Microsoft Outlook. The original Windows 95 Inbox client also used MAPI… … Wikipedia
Microsoft Exchange Server — Логотип Exchange 2010 Microsoft Exchange Server программный продукт для обмена сообщениями и совместной работы. Основные функции Microsoft Exchange: Обработка и пересылка почтовых сообщений … Википедия
Получаем полную версию Microsoft Exchange. Исследуем, как мир ставит обновления
Пролог
Перед тем, как я расскажу о своем исследовании, объясню, чем оно было обусловлено. В мае мы запустили альфа-версию сканера интернета – Netlas.io. Этот сервис – наша собственная разработка, которой мы занимались последние месяцы.
В двух словах о том, что это. Netlas.io — это своеобразный технический атлас всей сети Интернет, который включает сертификаты, данные по доменам и поддоменам, ответы серверов по популярным портам и много другой полезной информации для исследователей безопасности. Иными словами — это российский аналог Shodan или Censys.
Альфа-тестирование продлится еще несколько месяцев, поэтому, кому интересно – ждем. На этот период сервис полностью бесплатный, но уже содержит много «плюшек» для тех, кто решит продолжить его использовать после альфы. Например, доступ к платному аккаунту на несколько месяцев.
На этой ноте вступительную часть объявляю закрытой, переходим к исследованию.
В начале мая на один из моих ханипотов попался запрос, позволяющий определить точную версию Microsoft Exchange (с небольшой корректировкой, но об этом потом).
В середине мая мы запустили Netlas.io (о чем я написал в самом начале) с результатами сканирования всего интернета. Тут я решил, что пора провести маленькое исследование того, как обстоят дела с безопасностью Exchange и дать свою цифру уязвимых хостов (хотя меня больше интересуют проценты, так честнее на большой выборке).
Как мы раньше определяли версию Microsoft Exchange
Во многих тестах на проникновение на периметре организации торчит Microsoft Exchange (иногда это единственный доступный снаружи ресурс). Посмотрев на исходный код страницы /owa/auth/logon.aspx, легко найти версию. Увы, прошли славные времена Exchange 2010 и по этой версии уже ничего не понять.
Мы часто видим версию 15.00.1497, но что с ней делать, какие эксплойты применять — вообще загадка. Можно посмотреть описание выхода версии или на официальном сайте (менее удобно)
По этим данным мы можем понять, что данная версия от июня 2019 до мая 2021. Что применять для взлома не понятно (или надо ли что-то применять вообще). Ситуация сильно усложняется, если есть любое защитное средство (начиная от антивируса, который удалит наш шелл, заканчивая NGFW, который не пропустит наш запрос).
Короче, знать версию очень полезно в нашем непростом деле!
Что нашлось
На ханипот пришёл запрос к
Запрос был мне незнаком, и я его кинул на стенд с Exchange. К моему удивлению, сервер ответил мне диалогом на скачку файла, в файле xml, а в ней текущая запущенная версия Exchange!
Нахождение версии Exchange позволит сэкономить чуть-чуть времени при тестах на проникновение, а это приятно. Кидаю запрос на стенд с Exchange 2016 и тоже получаю версию! Кидаю на Exchange 2013 и ничего не получаю(
Разбираемся с версией Exchange 2013
Смотрим на запрос и видим слово “Current”. Логично предположить, что Microsoft с 2016 года ввело алиас на версию. Пробуем кидать верхнеуровневую версию (которую мы получили со страницы OWA) и ничего не получаем.
Версия Exchange 2010 и ниже
У меня нет стенда с такой версией Exchange, и она там не нужна. Как я писал выше, в таких версиях полная версия билда пишется на страничке /owa.
Получаем список Microsoft Exchange
Все знают, что чаще всего сервер с Exchange перекидывает обращение к / на /owa/. Поищем редирект на /owa, запрос для Netlas:
Я получил 2,8 миллиона результатов и очевидно такого количества Exchange не может быть, а, значит, там много дубликатов (мы во время сканирования ходим по различным редиректам и результатов для одного адреса может быть больше одного, иногда прям сильно больше одного). Так же в изначальном запросе мы просто ищем слово “owa”, а оно может встречаться где угодно, например, редирект с /owa/ на /owa/auth/logon.aspx
Оптимизируем запрос, чтобы редирект был с /:
Получили 1.7 миллиона результатов, что тоже не правдоподобно много, смотрим в них и видим, что очень много результатов приходится на “MICROSOFT-CORP-MSN-AS-BLOCK”, это подсеть облака 365 от Microsoft. Когда я готовил данные для исследования, я думал, что облака нам не интересны, там же точно всё обновлено (я ошибался, но об этом дальше).
В итоге, я исключил из запроса эту подсеть и итоговый запрос был:
Я получил 677 тысяч результатов и это число меня устроило (на самом деле оно маловато и после следующего скана, оно должно увеличиться, так как мы добавили почти 2 миллиарда доменов, но еще не успели их отсканировать).
Качаем эти 677к результатов. Можно удобно скачать только нужные поля (меня интересовали: ip, домен, порт и страна).
Сканирование интернета
После удаление дублей в таргетах осталось 550к целей. Если кто-то когда-то сканировал 550к хостов в интернете, то он понимает, что сканить это синхронными методами (например, python с requests) будет очень долго (дней 10 примерно, при таймауте в 1 секунду). Поэтому я взял наш сканер (написан на Golang), написал в него модуль (когда-нибудь мы напишем отдельную большую статью про то, как мы сканируем интернет), который отдавал мне следующую информацию:
хост (ip, домен, порт)
версию на страничке /owa
версию Exchange (из файла microsoft.exchange.ediscovery.exporttool.application)
страну (копировал из исходного файла)
В результате получили около 400к результатов, за 2 часа работы, которые дальше будем анализировать.
Анализ результатов
При любом виде джойна получались хосты, у которых есть несколько версий (как оказалось, довольно часто у людей есть Exchange 2010 и Exchange 2016). В статистику по версии я занесу обе версии (таких хостов 557, версий около 600), максимально на одном хосте 4 разные версии.
Также есть 25к ip-адресов, для которых не удалось получить полную версию по нескольким причинам:
Заблокирован доступ ко всему сайту /ecp (или вообще выключен).
Для 2013 Exchange моя брутилка неэффективна (большинство без версий именно таких), об этом дальше будет подробнее (не настолько она неэффективна, надо просто больше данных).
Ошибка “нет места на жёстком диске” (тут наши полномочия всё, не думаю, что такое часто будет встречаться в бою).
В итоге, получилось следующий график по патчам:
Рисунок – распределение по патчам.
Уязвимых к Proxylogon (не имеющих мартовского, апрельского или майского патча) – почти 12% (или 14.5к), при этом очень грустно, что за месяц с выхода майского обновления обновилось только 35%, ещё более грустно, что апрельского патча (который закрыл CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483) не имеют более 45% серверов (45% это очень много, Карл).
Давайте теперь посмотрим какие версии вообще используются:
Тут я был сильно удивлён. Я знал, что 2016 Exchange много, но что его больше 50% —это удивительно (станет, пожалуй, основным стендом в тестировании). Однако то, что 2013 больше, чем 2019 — прям шок).
Сейчас будет ужасная диаграмма, она показывает распределение по всем версиям.
Забавно, что на 6 версий приходится более 50% (50.1, что конечно более 50)))). Также шокирует, что ни одна версия 2019 Exchange, которые продвигаются уже 2.5 года (с октября 2018), не попали в эти 50%. Но радует, что 2 самые популярные версии — это майский апдейт, и в топ 50 нет ни одной уязвимой версии к ProxyLogon.
В этот момент очень внимательный читатель (если ты такой, то я снимаю шляпу) должен сказать, что у меня ошибка! На версию 15.2.858.9 приходится 1.6% результатов, но такой версии Exchange не существует (по ссылкам с версиями)! Апрельский апдейт имеет номер 15.2.858.10, а по URL с XML нам отдаётся версия именно 15.2.858.9, её я и занёс в табличку, таких аномалий (тут тоже вопросик к майкрософт и к тому, как они собирают релизы. Я не представляю себе CI/CD процесс, в котором происходят такие косяки с версиями). Такая же проблема есть 15.1.2242.5 (4.4%!) результатов, тут вероятнее всего 15.1.2242.8 (другие версии в этом билде присутствует корректно). Разумеется, я поправил эти косяки от Майкрософт, когда делал распределение по апдейтам.
Также, возможно, именно с этим связано то, что для 2013 Exchange моя брутилка работала неэффективно. Я допускаю пропуск какого-то релиза, который почему-то назван иначе, хотя, вероятнее всего, я просто не дожидался ответов на бруте, так как файл microsoft.exchange.ediscovery.exporttool.application (смотри причину ошибки «нехватка места на жёстком диске») генерится при запросе заново, а я ждал всего 1 секунду. Если буду делать рескан для следующей громкой уязвимости в Exchange, то увеличу таймаут в бруте до 2 секунд.
Давайте посмотрим, как обстоят дела по странам. Для начала общее распределение по хостам, где удалось получить версию:
Тут из удивительного — 2 место у Германии с небольшим отставанием от Америки и то, что Австрия выше России. Попросили бы меня сказать топ 5 стран, я бы их и назвал (возможно, забыл бы Францию).
Теперь посмотрим на страны, которые проигнорировали мартовский патч:
Замечательный график, в котором мы (Россия) вырвались уже на 3 место, но справедливости ради он мало информативен, потому что показывает проценты в штуках, а не относительно количества Exchange в этой стране. Давайте перерисуем (уберём страны где меньше 100 Exchange, чтобы не получить пугающий результат) и построим табличку с долей уязвимых Exchange:
Нет ничего сложного в администрировании Windows инфраструктуры говорили они. Все эти ваши окошки и далее-далее, проприетарщина…
Ничего не предвещало каких-либо изменений. Обычный рабочий день. В один прекрасный день: конец года, бюджетирование, давайте уже переходить на актуальные версии Windows. Принимаем решение: будем обновлять наши домен контроллеры 2012R2 до 2019. Всё бы просто, поднял рядом, перенёс роли и живи припеваючи. Но те, кто работал с Windows знают, что всё обычно не так радужно и стоит учитывать все подводные камни.
Имея у себя Exchange и пачку других сервисов от M$ понимаешь, что нужно садиться и читать. Открывая странички рекомендаций, форумы и прочие интересности, становится ясно, что предстоит обновление Exchange 2013 до актуальных версий.
Поняв ограничения, которые накладывают новые версии:
Работа Outlook по MAPI – минус старые клиенты
Подключение к серверу по TLS 1.2 – минус старые ОС
Начинаем планирование обновления Exchange c 2013 на 2019. Имея довольно простую архитектуру системы, начинаешь задумываться о том, как бы всё не сломать и что получится в итоге.
Первоначальная конфигурация Exchange
Почтовый шлюз в виде кластера от известного вендора из верхнего правого угла magic quadrant gartner
CAS-ы без дополнительных балансировщиков. Простой DNS Round Robin
Почтовая база в DAG-е на паре MBX серверов
Пользователи подключаются к CAS-ам, с той лишь разницей, что для внешних подключений используется WAP на базе Server 2019.
Поскольку в Exchange 2019 роль CAS-а отдельно не существует, а является службой на сервере Exchange понимаем, что мы получим минус 2 севера (ура экономия). Решаем запускать процесс. Не будет излишним указать план, который получился в итоге:
Установка Windows Server 2019
Установка предварительного софта (.Net, Visual C++ и т.д.)
Получить права Enterprise Administrator (в моём случае хватает и его, но M$ по этому случаю говорит «Your account needs to be a member of both the Schema Admins and Enterprise Admins security groups» )
Выпуск сертификата для Exchange c именами новых серверов
Подготовка AD и схемы леса (изменится SCP) – здесь почта перестаёт работать на почтовых клиентах
Установка Exchange на новые сервера по далее-далее, выбираем роль почтового сервера, ставим инструменты управления
Настройка SCP, указывающую на старые сервера Exchange – здесь почта начинает работать на почтовых клиентах
Импорт сертификатов со старых серверов на новые, биндинг их для служб, перенастройка VirtualDirectory на новых серверах Exchange
Меняем на WAP для клиентов IP CAS на новые сервера
Устанавливаем SCP на новые сервера – по факту ящики будут хранится в старой базе, но точкой подключения станут новые сервера
Организация DAG из новых серверов
Создание нового пользователя в новой DAG. Тесты с новым пользователем, миграция между DAG-ами, проверка отказоустойчивости новой DAG
Подготовка и рассылка информационного письма о смене почтового сервера администраторам пользователей Exchange
Миграция всех служебных почтовых ящиков Exchange
Миграция нескольких рабочих пользователей в новую DAG. Определить время миграции 10 ящиков
Миграция всех в новую DAG группами по 10 почтовых ящиков
Удаляем Exchange со старых серверов, тушим VM
Разбиваем всё на этапы, подготавливаем скрипты для автоматизации процессов, согласовываем время простоя. Решено – установку проводим в субботу, а дальше разберёмся. На всё про всё закладываем месяц.
Приступаем к установке:
Windows Server 2019 (не буду повторять пост одного человека, как он LAMP устанавливал)
Установить Visual C++ Redistributable Package for Visual Studio 2012.
Установить Visual C++ Redistributable Package for Visual Studio 2013.
Установить компонент Server Media Foundation:
Установить Microsoft Unified Communications Managed API 4.0, Core Runtime 64-bit
Не забываем сохранить текущую конфигурацию Exchange
Установка Exchange. Здесь действительно далее-далее. Получаем предупреждение о том, что будет изменена схема леса, как следствие меньше, чем 2019й Exchange больше не станет – далее. В консоли администрирования отрастают новые сервера, но у части пользователей (внутренних) ломается подключение к Exchange. Хотелось бы объяснить, что произошло.
Для понимающих можно пойти дальше, всё одно мы это пофиксим при правке биндингов. А интересующимся опишу порядок подключения почтового клиента (читай Outlook) к Exchange.
Сама процедура поиска сервера отличается в зависимости от версии Outlook, но если брать современные (2013+) происходит по следующим этапам:
Поиск сервера через Service Control Point (SCP)
Поиск сервера через DNS запись autodiscover
Поиск сервера через DNS SRV запись
После завершения данных настроек мы получаем работающую инфраструктуру, где пользователи подключаются к почте как через новые, так и через старые сервера.
Промежуточная конфигурация Exchange
Наступила рабочая неделя, пошли отлавливать косяки. Поскольку с конечными пользователями работают администраторы на филиалах, то первыми о сбоях сообщают им. Как ни странно, проблем почти нет. Начинаем менять DNS для переключения точек входа пользователей на новые сервера. И практически сразу находим несколько очень интересных кейсов:
Пользователи с 2007 офисом не подключаются к новым серверам
Пользователи под Windows 7 не подключаются к новым серверам
Не работает OWA через новые сервера (после ввода кредов крутится сообщение owa still working on it)
Начинаем решение по мере появления проблем:
Администраторам ещё раз сообщаем – офис минимум 2010 с KB2899591
Windows 7 – пока не очевидно, приписываем локальные hosts, указывающие на старые сервера
OWA – проблема решилась путём простого поиска по запросу wap exchange 2019 still working on it. Как оказалось нужно было добавить вот такой ключик в реестре на WAP: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\EnableDefaultHttp2 Value: 0
Проблема с Windows 7 в качестве клиента решалась практически неделю, но оказалась в самом очевидном месте. После установки тестовой машины, и прогона кучи тестов было выяснено, что сервер отфутболивает попытки подключения, а Wireshark помог разобраться почему. Оказалось, что Exchange Server 2019 по умолчанию работает с TLS 1.2, в то время как Windows 7 такое может только после патчей. Ставим на клиенты KB3140245 и Microsoft EasyFix 51044, удаляем старые записи в hosts файле – профит.
Следующим этапом будет разворачивание новой DAG. Мануалов миллион. Процедура выглядит следующим образом:
По факту на данном этапе мы готовы к миграции. Начинаем тестирование, проверки отказоустойчивости и прочие полезные вещи. Не забываем начать добавить новые сервера в резервное копирование. Всё проходит успешно.
Запускаем миграцию. Ввиду того, что у нас лес с кучей доменов, а глобальный каталог растянут по всем контроллерам в лесу, то необходимо использовать конкретный домен контроллер, а через web данная операция невозможна. Выбираем десяток пользователей и идём в Shell.
Мигрируем потихоньку пользователей, смотрим как оно идёт, периодически ловим сбои при миграции. Очень помогает интересный синтаксис.
Возникла проблема с зависанием миграции. Всё что гуглилось, попадало под запрос Move Exchange mailbox FailedOther stops at 95%. И решение, которое никак не задокументировано, но работает
У пользователя после миграции появились пустые папки, которые он раньше удалял, повторил операцию – всё продолжило работать.
Итоговоая конфигурация Exchange
Вот так прошёл наш переезд. В целом на всё про всё ушло 2 недели. Плюс неделя на подготовку. Из неучтённого – возникла проблема с календарями. Пользователи, находящиеся в старой базе Exchange, не видели календари пользователей в новой базе. Разбираться не стали, просто завершили миграцию и по окончании у всех всё заработало. По завершении миграции просто удалили Exchange со старых серверов через установку/удаление программ и потушили VM.
Из полезного. Изменился формат хранения индексов БД Exchange, они сейчас хранятся в самой БД, что обеспеченивает лучшее быстродействие (читай поиск), а также исчезает необходимость проверки данных индексов, поскольку используется другая ифраструктура. Увеличилась безоасность подключения клиентов, ввиду использования TLS 1.2. Появился интерфейс OWA оптимизированный для мобильных устрйоств.
На IKEA обрушились фишинговые атаки через взломанные серверы Microsoft Exchange
В конце ноября 2021 года на IKEA обрушились фишинговые атаки через взломанные серверы Microsoft Exchange. Злоумышленники рассылают вредоносные электронные письма дочерним организациям ритейлера, а также его партнерам. Подробнее здесь.
Использование в атаках иранских группировок
ФБР разрешили взламывать серверы Microsoft Exchange для устранения уязвимостей
В середине апреля 2021 года суд США санкционировал удаленное вмешательство ФБР в работу сотен американских серверов для устранения последствий хакерской атаки на Microsoft Exchange Server.
В марте 2021 года Microsoft обнаружила хакерские атаки, проводимые группировкой Hafnium. Четыре уязвимости в программе Microsoft Exchange Server позволили злоумышленникам проникнуть на сервера и похитить конфиденциальные данные. Microsoft удалось устранить уязвимости, но выпущенные компанией патчи не убрали бэкдоры на тех серверах, которые были взломаны хакерами. В результате другие хакерские группировки начали использовать уязвимые сервера, чтобы внедрять в них вирусы-вымогатели.
Количество зараженных серверов снижалось по мере установки исправлений. Но сотни серверов Exchange долгое время оставались уязвимыми, поскольку эти бэкдоры трудно найти и устранить, говорится в заявлении Министерства юстиции США. Ситуация могла стать критической, поэтому суд города Хьюстон разрешил ФБР удаленно подключиться к сотням американских серверов, чтобы вручную удалить оставшиеся от хакеров веб-оболочки.
В ходе сегодняшней операции были удалены веб-оболочки, которые могли быть использованы для установления постоянного неавторизованного доступа к сетям США, — сообщил представитель Министерства юстиции США.
Он также заявил, что в ходе операции спецслужба удалила только бэкдоры, но не стала исправлять уязвимости, используемые хакерами, и не удаляла оставшееся вредоносное ПО.
Считается, что это первый известный случай, когда ФБР эффективно вмешалось в работу частных серверов для устранения последствий кибератак. В 2016 году Верховный суд разрешил судьям США выдавать ордера на обыск и изъятие за пределами своего округа. В то время критики выступили против этого шага, опасаясь, что ФБР может обратиться в дружественный суд с просьбой разрешить кибероперации в любой точке мира. [1]
Взлом 60 тыс. компаний из-за уязвимости в Microsoft Exchange Server
В марте 2021 года стало известно о взломе компьютерных систем не менее 60 тыс. компаний в разных странах из-за уязвимости в программном обеспечении Microsoft Exchange Server.
Как сообщает Bloomberg со ссылкой на бывшего высокопоставленного чиновника в правительстве США, большинство пострадавших — представители малого и среднего бизнеса. По словам собеседника информагентства, хакеры уже развернули широкую сеть зараженных компьютеров к тому моменту, когда Microsoft работала над устранением последствий атаки.
О кибернападении на Exchange Server компания Microsoft сообщила в начале марта 2021 года. Она обвинила в атаке хакерскую группировку Hafnium, за которой, по мнению Microsoft, стоят власти Китае. Тогда американская корпорация воздержалась от раскрытия деталей инцидента и лишь отметила, что злоумышленники пытались получить информацию от исследователей инфекционных заболеваний, юридических фирм, вузов, неправительственных учреждений, аналитических центров и ряда других организаций.
В компании уточнили, что хакеры получили доступ к серверу с помощью украденных паролей или уязвимостей в работе программного обеспечения, о которых ранее не было известно.
2 марта 2021 года Microsoft выпустила экстренное обновление для Exchange Server, которое должно исправить уязвимость. Однако к 5 марта его установили только 10% скомпрометированных организаций, и, как утверждает Reuters, взломы продолжились.
Представитель властей США сообщил 7 марта 2021 года Bloomberg, что на всех уровнях американского правительства принимаются меры с целью «оценить и устранить последствия» действий хакеров.
Угроза сохраняется и развивается, и мы призываем операторов интернет-сетей относиться к ней со всей серьезностью, – приводит издание слова неназванного представителя Белого дома. [2]
2019: Исправление уязвимостей в Exchange Server 2019, 2016 и 2013
11 января 2019 года компания Microsoft сообщила, что исправила в Microsoft Exchange Server 2019, 2016 и 2013 две уязвимости, позволяющие удаленно выполнить код и раскрыть информацию.
По информации компании, согласно уведомлению безопасности, уязвимость удаленного выполнения кода (CVE-2019-0586) существует из-за неправильной обработки Exchange Server объектов в памяти. Ее успешная эксплуатация даст возможность атакующему запускать код в контексте пользователя системы и в результате устанавливать ПО, просматривать, модифицировать и удалять данные, а также создавать учетные записи.
Для эксплуатации уязвимости атакующий должен отправить на уязвимый сервер особым образом сконфигурированное электронное письмо. Проблема была исправлена производителем путем изменения процесса обработки объектов в памяти.
Уязвимость раскрытия информации (CVE-2019-0588) связана с тем, что PowerShell API сервера предоставляет календарю больше разрешений, чем требуется. Для ее эксплуатации атакующий должен получить от администратора доступ к календарю через PowerShell. В таком случае ему будет видна информация о календаре, которая в обычных условиях должна быть скрыта.
Обновления безопасности, исправляющие обе уязвимости, отмечены производителем как «важные». Их можно установить автоматически через «Центр обновления Windows» или загрузить вручную с сайта Microsoft. [3]
Microsoft Exchange Server 2016
Exchange интегрируется с Outlook, SharePoint и OneDrive для бизнеса, открывая возможности для совместной работы, включая обмен, редактирование и получение документов без необходимости покидать Outlook. Для папок входящих сообщений Outlook 2016 и веб-версии Outlook реализованы встроенные превью ссылок и видео, они помогут сфокусироваться на приоритетах. Расширены возможности и результативность поиска.
Расширен функционал предотвращения потери данных (DLP). Ускорен и усилен механизм функции eDiscovery, она поможет организациям соответствовать всем требованиям законодательства. Exchange 2016 предоставляет платформу будущего для сообщений, с встроенными гибридными возможностями и опциями перехода в облако клиентам on-premise.
Стабильная версия Exchange Server 2016
Несмотря на попытки избавиться от электронной почты, как предпочтительного средства бизнес-коммуникаций, для многих пользователей почтовый ящик остается неотъемлемым элементом рабочего дня. По мнению Microsoft, здесь есть возможности для совершенствования посредством интеграции некоторых имеющихся в Office функций совместной работы.
Поиск переработан для выдачи «более точных и полных результатов», отмечается в заявлении корпорации: «Outlook 2016 оптимизирован для использования серверной мощи Exchange 2016, чтобы помочь вам быстрее находить нужное в старых и новых сообщениях. Кроме того, поиск стал более интеллектуальным благодаря предлагаемым вариантам поиска, вариантам имен людей, уточнению поисковых критериев и возможности искать события в календаре».
Представление Exchange Server 2016 (2015)
Скриншот окна программы (2015)
Проекты, связанные с интенсивным выявлением электронных данных, должны получить выигрыш благодаря более быстрому и более надежному каналу связи. Новая асинхронная и распределенная архитектура поиска обладает повышенной устойчивостью к сбоям за счет распределения нагрузки между несколькими серверами.
В дополнение к более современному интерфейсу пользователя и набору инструментов в этом сервере электронной почты улучшены администрирование и управление.
Согласно утверждениям разработчиков Exchange, архитектура Exchange 2016 отражает способ развертывания Exchange в Office 365, она является эволюцией и улучшением Exchange 2013. Комбинированный почтовый ящик и роль сервера клиентского доступа облегчают планирование и масштабирование системы при развертывании на собственной площадке и в гибридном варианте. Упрощено совместное ее использование с Exchange 2013, облегчилось планирование пространства имен.
Снижена вероятность сбоев и отказов. Возможности автоматического исправления базы данных, включая обнаружение расхождения различных баз, наряду с повышенной стабильностью и производительностью решения создали более надежную программную основу системы электронной почты организации, утверждают в Microsoft.
Система доступна для загрузки с сайта Microsoft Download Center. Клиенты могут тестировать полнофункциональный продукт в течение 180 дней.
Предварительная версия Exchange Server 2016
Система Exchange Server 2016 предназначена для работы на площадке заказчика (on-premise). Однако в ней используются облачные технологии.
Базовый блок архитектуры Exchange Server 2016, 2015
Пользователи нередко выражали недовольство, когда получили разные результаты при поиске через Outlook и Outlook Web App. В новой версии Exchange эта проблема решена, и оба клиента показывают одинаковые результаты. В Exchange и в Outlook используется усовершенствованная архитектура поисковой системы.
Расширены возможности защиты от утечек данных (Data Loss Prevention, DLP) — добавлено 30 типов конфиденциальной информации и средства для создания цифровых отпечатков документов (document fingerprinting).
В Exchange Server 2016 восстановление после отказа происходит на 33% быстрее, чем в предыдущей версии, утверждают в компании, посредством чтения пассивной копии базы данных и другим усовершенствованиям.
Улучшены средства автоматического исправления ошибок за счет добавления средств обнаружения расхождений, которые проактивно выявляют поврежденные экземпляры баз данных, позволяя ИТ-специалистам устранить сбои до того, как их заметят пользователи.
Внедрение облачных технологий упростило использование Exchange Server 2016 в гибридной облачной среде. Microsoft уделила этому повышенное внимание, так как поддержка гибридной модели позволяет компании дифференцировать свою почтовую систему на фоне конкурирующих облачных продуктов. Для объединения облачных и онпремисных почтовых компонентов предназначен мастер гибридной конфигурации Hybrid Configuration Wizard, который позволяет синхронизировать данные в Exchange и в Office 365.
Согласно Microsoft, возможности Exchange Server 2016 позволяют пользователям Office 365 хранить свои почтовые ящики на своей площадке, т.е. по онпремисной модели, продолжая использовать функционал Office 365, такой как шифрование сообщений и защиту от угроз.
Предварительная версия Exchange Server 2016 совместима с Exchange 2010 SP3 и Exchange 2013, но не совместима с Exchange 2007.
2014: Продукты Microsoft System Center 2012 R2, Dynamics CRM 2013, Exchange Server 2013 и SharePoint Server 2013 получили сертификат ФСТЭК России
В октябре 2014 года ФГУП «Предприятие по поставкам продукции Управления делами Президента Российской Федерации» и ООО «Сертифицированные информационные системы» получили сертификаты Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на программные продукты Microsoft System Center 2012 R2, Dynamics CRM 2013, Exchange Server 2013 и SharePoint Server 2013.
Как указано в сертификатах соответствия ФСТЭК России, программные продукты System Center 2012 R2 (сертификат №3226), Dynamics CRM 2013 (сертификат №3228), Exchange Server 2013 (сертификат №3229), SharePoint Server 2013 (сертификат №3231), разработанные Microsoft Corporation, является прикладным программным обеспечением со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну, реализующим функции управления доступом субъектов доступа к объектам доступа и регистрации событий безопасности, соответствует требованиям технических условий, при условии установки всех актуальных обязательных сертифицированных обновлений безопасности и выполнения указаний по эксплуатации, приведенных в соответствующих формулярах.
2013: Накопительное обновление Exchange Server 2013 Cumulative Update 3
В конце ноября 2013 года Microsoft выпустила обновление почтовой платформы Exchange Server 2013 Cumulative Update 3. Согласно планам корпорации, оно должно устранить проблему, возникающую при восстановлении данных.
В числе исправлений, внесенных Microsoft в это обновление, устраняется проблема, не позволяющая восстановить данные Exchange из архивных копий.
Компания в корпоративном блоге указала: «Cumulative Update 3 содержит исправление проблемы, которая могла случайным образом препятствовать корректному восстановлению заархивированной информации Exchange Server 2013». Влияние это распространялось, как на Windows Server Backup, так и на сторонние продукты, отмечено в статье базы знаний KB2888315, где приведено описание ошибки.
Обновление вероятно избавит от неприятностей, сопровождающихся сообщениями об ошибках:
Microsoft рекомендует пользователям, регулярно использующим функциональность Exchange Backup and Recovery, «установить Cumulative Update 3 и приступить к архивированию своих данных для полной гарантии, что данные, записанные в архивах, впоследствии можно будет корректно восстановить».
Обновление устраняет три критические уязвимости, потенциально позволяющие хакерам получить контроль над сервером Exchange, или, в терминах компании, использовать «Remote Code Execution».
В бюллетене по безопасности MS13-061 Microsoft предупредила: «эти уязвимости делают возможным удаленное выполнение кода в контексте безопасности службы перекодировки на сервере Exchange, если пользователь осуществляет предварительный просмотр специально созданного файла с помощью Outlook Web App (OWA)». Уязвимости в Exchange влияют на программные компоненты WebReady Document и Data Loss Prevention в версиях Exchange 2013, 2010 и 2007.
Помимо исправлений, обновление содержит «связанные с Exchange обновления схемы и конфигурации Active Directory», а также «новые усовершенствования существующей функциональности». Среди них Microsoft сделал акцент на:
В планах компании выпуск Exchange Server 2013 Cumulative Update 4 в виде Exchange Server 2013 Service Pack 1. Согласно рекомендации Microsoft, пользователи, ожидающие очередного пакета исправлений и усовершенствований, «должны считать Service Pack 1 эквивалентом Cumulative Update 4 и развертывать этот пакет обычным способом».
Microsoft Exchange 2013
На июль 2012 года усовершенствования Microsoft Exchange 2013 включают улучшенные возможности расширения функций, а также поддержку командных почтовых ящиков для интеграции с порталами SharePoint. В рамках поддержки автономного режима в web-клиенте OWA, пользователи теперь могут автоматически синхронизировать письма и действия с сервером, как только подключение к сети будет вновь доступно. Почтовые ящики для групп и сайтов позволяют работать с письмами Exchange и документами SharePoint как с единым массивом информации.
Модуль Outlook Web App (OWA) теперь предлагает три разных режима интерфейса, оптимизированных для ПК, планшетов и телефонов. Заказчики могут дорабатывать внешний вид стандартного Outlook и модуля OWA за счет интеграции собственных приложений в магазин расширений для Office – Office Store. Для создания расширений компания Microsoft рекомендует использовать свой новый инструмент Napa и/или HTML5.
Прежняя консоль Exchange Management Console заменена web-интерфейсом EAC (Exchange Administrative Center). Кроме того, разработчики сообщают о поддержке дисков емкостью до 8 Тб и нескольких баз данных на каждом диске за счет их группировки с помощью новой технологии DAG (Data Availability Group). В новой версии Exchange реализована встроенная базовая защита от вредоносного ПО – ее параметры регулируются через консоль EAC. Эту базовую защиту можно отключать, заменять или комбинировать с дополнительными платными сервисами, например, Exchange Online Protection для многоуровневой защиты.
Новые функции предотвращения утечки данных помогают определять и защищать конфиденциальную информацию. Политики охраны персональных и секретных данных опираются на законодательные стандарты, включая PII и PCI. Кроме того, в Outlook 2013 теперь есть предупреждения о потенциальном нарушении политик, если пользователь попробует передать во внешнюю среду важную информацию. Кроме того, поддерживается единое обследование сетевых ресурсов в режиме eDiscovery для всех серверов Exchange, SharePoint и Lync через общий интерфейс.
Число ролей сервера сокращено до двух: сервер клиентского доступа Client Access Server и сервер почты Mailbox Server. Поисковый механизм FAST Search теперь встроен в управляемое хранилище Exchange 2013, обеспечивая эффективное индексирование серверов Microsoft и быстрый поиск данных. Процедуры хранения сообщений в управляемом хранилище Managed Store полностью написаны на языке C#. Кроме того, огромное внимание уделено интеграции с другими серверными платформами Microsoft.
Сертификация Exchange Server 2010 с SP1 и System Center Service Manager 2010 с SP1
2 апреля 2012 года компания Майкрософт, ФГУП «Предприятие по поставкам продукции Управления делами Президента РФ» и ООО «Сертифицированные информационные системы» объявили о сертификации Федеральной службой по техническому и экспортному контролю (ФСТЭК России) новых продуктов Майкрософт – сервера почтовых сообщений Exchange Server 2010 с Service Pack 1 (SP1) и сервера управления информационной структурой System Center Service Manager 2010 с Service Pack 1 (SP1).
Как указано в сертификатах на Exchange Server 2010 c SP1 (№2553 от 26.01.2012) и System Center Service Manager 2010 с SP1 (№2555 от 26.01.2012), эти продукты корпорации Майкрософт являются программными средствами общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну, и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.
Объектом сертификации стали не только сами продукты, но также система учета и распространения сертифицированных обновлений, организованная для данных продуктов ФГУП «Предприятие по поставкам продукции Управления делами Президента РФ» и ООО «Сертифицированные информационные системы». Это означает, что заказчики смогут получать любое количество необходимых им сертифицированных продуктов в течение всего срока действия сертификата. Кроме этого, покупатели сертифицированных версий продуктов будут получать сертифицированные обновления, что позволит им постоянно соответствовать требованиям российского законодательства.
Microsoft Exchange Server 2010
Основные функции Microsoft Exchange:
Главная особенность сервера — тесная интеграция с Active Directory: большая часть пользовательских данных хранится в Active Directory (связь учётных записей пользователей и почтовых ящиков, списки контактов). Отдельно от Active Directory хранятся только сами почтовые ящики (в связи с существенным размером). Благодаря механизму репликации Active Directory в случае использования нескольких серверов Microsoft Exchange Server сохраняется актуальность данных на всех серверах. Так же «автоматически» поддерживается иерархическая система доверительных отношений между доменами.
Для работы с OMA/OWA используются возможности IIS.
MAPI — Основной протокол взаимодействия клиентов с Exchange Server, обладает наиболее широкой поддержкой функций обмена почтовыми сообщениями и совместной работы над документами, в календарях и адресных книгах. Начиная с Exchange Server 2007 — также основной протокол обмена данными между ролью Cервера хранения почты (Mailbox role) и прочими ролями Exchange Server 2007. * SMTP — основной протокол пересылки почтовых сообщений в интернете и внутри организации Exchange. * POP3 — один из клиентских протоколов доступа к Exchange Server. * IMAP4 — один из клиентских протоколов доступа к Exchange Server. * HTTP/HTTPS — один из клиентских протоколов доступа к Exchange Server, кроме того используется для доступа мобильных устройств к Exchange Server, а также для пересылки и распространения адресных книг и календарей клиентам организации Exchange Server. * LDAP/LDAPS SSL — протокол обмена данными между Exchange Server и Службой Каталогов Microsoft Windows Active Directory. * DAVEx — в Exchange 2003, протокол обмена данными между Exchange подсистемами и IIS, основан на базе WebDAV.
С Microsoft Exchange Server могут работать следующие клиенты
Microsoft Outlook (из состава Microsoft Office) — основной клиент MAPI для работы с сервером с рабочих станций, поддерживает также POP3/SMTP, IMAP4/SMTP, HTTPS, RSS, ATOM. * Outlook Express (OE) — бесплатный упрощенный клиент Outlook, входящий в поставку Microsoft Windows, вплоть до версии Windows XP. Поддерживает все протоколы полной версии, кроме MAPI. * Windows Mail — преемник OE в Windows Vista, обладает теми же характеристиками. * Outlook Web Access (OWA) — веб-клиент Exchange (поддерживается почти полная функциональность outlook за исключением возможности редактировать задания из планировщика и локального спам-фильтра). * Outlook Mobile Access (OMA) — (только в Exchange 2000, 2003) предельно упрощённый интерфейс для доступа с мобильных устройств различных производителей (интерфейс потребляющий минимальный трафик и оптимизированный под экраны различного разрешения). Упразднен в Exchange Server 2007, в связи с глобальным распространением ActiveSync. * ActiveSync — мобильный клиент, аналог Microsoft Outlook для коммуникаторов и смартфонов различных производителей. Для Exchange 2000 Server мобильных клиентов (только Windows Mobile ActiveSync) поддерживал Microsoft Mobile Information Server; в Exchange 2003 Server эти функции были интегрированы, в виде Exchange ActiveSync (EAS); для Exchange Server 2007, Microsoft открыла и передала исходные коды клиентского ActiveSync консорциуму Symbian, производителю Palm, и Apple для iPhone, в связи с чем ActiveSync для мобильных устройств был реализован не только для платформы Windows Mobile, но и для SymbianOS, PalmOS, iPhone OS и прочих. * Outlook Voice Access (OVA) — Система голосового доступа к функциям почты, календарей, адресной книги, задачам (начиная с Exchange Server 2007). Поддерживает преобразование текстовой информации в голос (text-to-speech) в чтении текстовых почтовых сообщений и расписания событий в календаре, а также преобразование голоса в текст (speech-to-text). Поддерживает прослушивание записанных телефонных голосовых сообщений, надиктовку ответных сообщений, пометок в календаре, с пересылкой сообщений всем приглашенным, а так же управление текстовыми, голосовыми сообщениями и событиями в календаре, в почтовом ящике пользователя Exchange 2007. Не требует клиентского ПО, доступ к OVA возможен с любых телефонов, поддерживающих тоновый набор. Управление содержимым почтового ящика может осуществляться как голосовыми командами, так и клавишами телефона. Поддерживается 16 языков доступа и распознавания. Поддержка русского языка реализована в разрабатываемой в настоящее время, следующей версии Exchange 14. * Произвольные почтовые клиенты — по любым вышеуказанным протоколам, так как все они являются открытыми.
Microsoft Exchange Server, до версии 2003, при установке дополняет стандартный инструмент архивации Windows — NTBackup — поддержкой хранилищ Exchange. Если есть необходимость резервного копирования/ восстановления не только почтовых хранилищ, но и персональных почтовых ящиков, то можно использовать инструменты резервного копирования сторонних производителей, например Symantec Backup Exec, или штатную функцию «Restore-Mailbox». В Microsoft Windows Server 2008 инструмент NTBackup отсутствует, а его аналог непригоден для архивации баз данных Exchange, вместо этого Microsoft рекомендует использовать для резервного копирования почтовых баз данных Exchange, а также служебной информации Active Directory — серверное приложение Microsoft System Center Data Protection Manager (Microsoft SC DPM), либо альтернативные решения одобренных вендоров. Ситуация была исправлена с выходом Service Pack 2 для Exchange 2007, в этом выпуске существуют компоненты для архивирования разделов с базами Exchange в среде Windows Server 2008.
Кроме этого, Microsoft также публикует список серверных приложений для архивации, производства компаний-партнеров, для архивации хранилищ Exchange Server. Резервное копирование хранилищ в «пофайловом виде», только при условии отключения хранилищ на время резервного копирования — крайне не рекомендуется. Механизм теневого копирования поддерживается, и возможность его применения зависит от выбранного продукта для архивации.
Microsoft Exchange Server 2007
На апрель 2010 года в рамках модели Exchange 2007 для серверов выделяются следующие серверные роли (аналогично ролям сервера Windows 2003/2008):
За исключением роли пограничного сервера, все остальные роли могут совмещаться в произвольной комбинации на каждом из серверов. Во всей почтовой организации Exchange или отдельном сайте Active Directory обязательно должны быть проинсталлированы, как минимум в одном экземпляре, роли Cервера почтовых ящиков, Сервера клиентского доступа и Транспортного концентратора. Также как и для предыдущих версий, Exchange Server 2007 крайне не рекомендуется совмещать с Контроллером Домена Active Directory.
Все роли Exchange Server 2007 должны располагаться на:
за исключением Пограничного транспортного сервера, который устанавливается в Демилитаризованную Зону (DMZ) сети.
Exchange Server 2007 полностью совместим, в пределах леса Active Directory/организации Exchange с серверами Exchange 2003 и 2000, и полностью несовместим с Exchange 5.5 или более ранними версиями. [править] Версии Exchange 2007
Версии, используемые в практической работе — только 64-битные, хотя существует тестовая 32-битная версия. Существует два издания Exchange 2007: Standard Edition и Enterprise Edition. Издания различаются стоимостью, максимальным количеством поддерживаемых хранилищ и групп хранилищ, поддержкой кластеризации. Ограничения на размер хранилищ для изданий Standard и Enterprise составляют 16ТБ на базу, с целью распределения нагрузки между хранилищами. Standard и Enterprise издания серверов могут свободно (в рамках ограничений для Standard в пределах выполняемых сервером обязанностей) сосуществовать вместе.
