Recommandation MS : Protéger vos serveurs Exchange !

Article Original : https://techcommunity.microsoft.com/t5/exchange-team-blog/protect-your-exchange-servers/ba-p/3726001

Des petites recommandations que vous devriez lire si vous avez des serveurs Exchange On Premise. Cela pourrait non pas vous sauvez la vie mais vous évitez quelques ennuis 😉
Laurent TERUIN

Nous l’avons déjà dit, nous le disons maintenant et nous continuerons à le dire : il est essentiel de maintenir vos serveurs Exchange à jour. Cela signifie qu’il faut installer les dernières mises à jour cumulatives (CU) et mises à jour de sécurité (SU) disponibles sur tous vos serveurs Exchange (et dans certains cas, sur vos postes de travail Exchange Management Tools), et effectuer occasionnellement des tâches manuelles pour renforcer l’environnement, comme l’activation de la protection étendue et la signature de certificats pour les charges utiles de sérialisation PowerShell.

Les attaquants qui cherchent à exploiter des serveurs Exchange non corrigés ne vont pas disparaître. Trop d’aspects des environnements Exchange sur site non patchés sont précieux pour les mauvais acteurs qui cherchent à exfiltrer des données ou à commettre d’autres actes malveillants.

Premièrement, les boîtes aux lettres des utilisateurs contiennent souvent des données critiques et sensibles.
Deuxièmement, chaque serveur Exchange contient une copie du carnet d’adresses de l’entreprise, qui fournit de nombreuses informations utiles pour les attaques d’ingénierie sociale, notamment la structure organisationnelle, les titres, les informations de contact, etc. Et troisièmement, Exchange dispose d’accès profonds et de permissions dans Active Directory et, dans un environnement hybride, d’un accès à l’environnement cloud connecté.

Pour défendre vos serveurs Exchange contre les attaques qui exploitent les vulnérabilités connues, vous devez installer la dernière CU prise en charge (à ce jour, CU12 pour Exchange Server 2019, CU23 pour Exchange Server 2016 et CU23 pour Exchange Server 2013) et le dernier SU (à ce jour, le SU de janvier 2023). Les CU et SU d’Exchange Server sont cumulatives, vous devez donc installer uniquement la dernière disponible. Vous installez la dernière CU, puis vous vérifiez si des SU ont été publiées après la publication de la CU. Si c’est le cas, installez l’UC la plus récente (dernier SU).

Après l’installation d’une mise à jour, il peut y avoir des tâches manuelles qu’un administrateur doit effectuer, c’est pourquoi il faut toujours exécuter Health Checker après l’installation d’une mise à jour pour vérifier ces tâches. Health Checker vous fournit des liens vers des articles qui vous guident pas à pas.

Avant de publier une SU, nous pouvons publier une atténuation pour une vulnérabilité connue qui peut être appliquée aux serveurs automatiquement par le service d’atténuation d’urgence d’Exchange ou manuellement à l’aide de l’outil d’atténuation sur site d’Exchange. Comme indiqué précédemment, les mesures d’atténuation sont conçues pour fournir une protection temporaire jusqu’à ce qu’un SU soit disponible et puisse être installé. Dans certains cas, les mesures d’atténuation peuvent devenir insuffisantes pour protéger contre toutes les variantes d’une attaque. Ainsi, l’installation d’un SU applicable est la seule façon de protéger vos serveurs

La mise à jour de vos serveurs Exchange est simple :

• Veillez à toujours lire les annonces de nos articles de blog, qui signalent les problèmes connus et les actions manuelles recommandées ou requises. Pour les UC, suivez toujours nos conseils et nos meilleures pratiques, et pour les SU, utilisez le Guide de mise à jour de sécurité pour trouver les informations pertinentes.
• N’oubliez pas de consulter notre FAQ sur les mises à jour dans l’article Pourquoi les mises à jour d’Exchange Server sont importantes.
• Utilisez le vérificateur de santé du serveur Exchange pour inventorier vos serveurs et voir quels serveurs Exchange ont besoin de mises à jour (CU ou SU), et si une action manuelle doit être effectuée.
• Une fois que vous savez quelles mises à jour sont nécessaires, utilisez le guide étape par étape des mises à jour d’Exchange (alias l’assistant de mise à jour d’Exchange) pour choisir votre CU en cours d’exécution et votre CU cible et obtenir des instructions pour mettre à jour votre environnement.
• Si vous rencontrez des erreurs pendant l’installation de la mise à jour, le script SetupAssist peut vous aider à les résoudre. Et si quelque chose ne fonctionne pas correctement après les mises à jour, jetez un coup d’œil au Guide de dépannage des mises à jour, qui couvre les problèmes les plus courants et la façon de les résoudre.
• Veillez à installer toutes les mises à jour nécessaires pour Windows Server et les autres logiciels qui pourraient être exécutés sur votre ou vos serveurs Exchange.
• Assurez-vous d’installer toutes les mises à jour nécessaires sur les serveurs de dépendance, y compris Active Directory, DNS et les autres serveurs utilisés par Exchange.

Nous savons que la protection de votre environnement Exchange est essentielle, et nous savons que c’est un travail sans fin. Nous sommes là pour soutenir nos clients de toutes les manières possibles. Nous sommes constamment à la recherche de moyens d’améliorer le processus de mise à jour des serveurs Exchange, et nous avons publié un sondage à ce sujet auquel nous vous invitons à répondre à l’adresse https://forms.office.com/r/kfLyqAe3Q8.
En attendant, veuillez mettre à jour vos serveurs Exchange !