In diesem Blog-Artikel werfen wir einen Blick auf das im ersten Halbjahr 2024 veröffentlichte kumulative Update (CU) für Exchange Server 2019. Die wichtigsten Punkte dieses Updates umfassen verschiedene Verbesserungen und Sicherheitsupdates, einschließlich:
- Wichtig: Erweiterten Schutz (EP): Mit CU14 wird der Windows Extended Protection (EP) standardmäßig aktiviert, um die Sicherheit zu erhöhen. Nutzer haben die Möglichkeit, diese Funktion bei der Installation zu deaktivieren, falls ihre Systeme noch nicht dafür vorbereitet sind. Es wird dringend geraten, EP zu aktivieren.
- .NET Framework 4.8.1 Unterstützung: CU14 führt Unterstützung für das .NET Framework 4.8.1 ein, allerdings gilt dies nur für Windows Server 2022.
- Verschiebung der TLS 1.3 Unterstützung: Die Unterstützung für TLS 1.3 wird auf CU15 verschoben, um die Qualität und Kompatibilität sicherzustellen.
- CVE-2024-21410: Dieses Sicherheitsupdate behebt spezifische Sicherheitslücken und wird dringend empfohlen.
Zudem wird betont, dass CU14 bestimmte Voraussetzungen erfüllen muss, insbesondere wenn es um den erweiterten Schutz und SSL-Offloading geht. Es ist wichtig, dass Organisationen ihre Systeme entsprechend vorbereiten, um Probleme zu vermeiden.
Extended Protection enabled by default
Wenn Ihre Server noch nicht für die Verwendung von Extended Protection (EP) bereit sind, z.B. wegen SSL-Offloading oder Konfigurationsunterschieden bei TLS zwischen Client und Server, und Sie sich während der Einrichtung nicht gegen die EP-Aktivierung entscheiden, kann es nach der Installation von CU14 zu Funktionsstörungen kommen. In solchen Fällen müssen Sie entweder die notwendigen Konfigurationsänderungen vornehmen, um die Voraussetzungen für EP zu erfüllen (empfohlen), oder EP mit einem Skript nach der Einrichtung deaktivieren. Exchange Server unterstützt EP seit August 2022; falls noch nicht aktiviert, wird empfohlen, dies nun zu tun, um die Sicherheit zu erhöhen. Es gibt weitere Informationen in der Dokumentation sowie einen Entscheidungsflussdiagramm zur Vorgehensweise.
CVE-2024-21410 Information
Um die Schwachstelle CVE-2024-21410 zu beheben– aktivieren Sie bitte die Extended Protection (EP) auf Ihren Exchange 2019 Servern. Bei allen anderen Versionen von Exchange, die EP unterstützen, hilft die Aktivierung von EP gegen diese CVE. Weitere Informationen finden Sie unter Konfigurieren von Windows Extended Protection im Exchange Server.
Für Server, die die Voraussetzungen für Extended Protection (EP) nicht erfüllen, gelten folgende Maßnahmen:
| Szenarien, welche EP nicht unterstützen: | Maßnahmen |
| SSL-Offloading für Outlook Anywhere | Muss deaktiviert werden. Bei Aktivierung von EP über Exchange Server CU14 wird die Installation SSL-Offloading für Outlook Anywhere deaktivieren. |
| SSL-Offloading auf Load Balancern | Wird nicht unterstützt. Stattdessen soll SSL-Bridging mit dem gleichen SSL-Zertifikat wie auf dem Exchange Server IIS-Frontend verwendet werden. |
| Öffentliche Ordner auf Exchange Server 2013, 2016 CU22 (oder älter) oder 2019 CU11 (oder älter) | Alle öffentlichen Ordner müssen auf aktuell unterstützte Versionen verschoben und Exchange Server 2013, der nicht mehr unterstützt wird, außer Betrieb genommen werden. |
| Modern Hybrid Agent zur Veröffentlichung des Exchange Servers im Internet in einem Hybrid-Szenario: | Identifizieren Sie die Server, die über den Modern Hybrid Agent veröffentlicht werden, und führen Sie das CU14-Setup im unbeaufsichtigten Modus durch, wobei der Schalter /DoNotEnableEPFEEWS verwendet wird, um EP für das EWS-Frontend nicht zu aktivieren. |
Beachten Sie, dass CVE 2024-21410 auch für Exchange Server 2016 gilt. Für Exchange 2016-Server folgen Sie der Konfiguration von Windows Extended Protection in Exchange Server, falls EP in Ihrer Organisation noch nicht aktiviert ist.
Dieses Update markiert auch den Übergang von Exchange Server 2019 in den erweiterten Support, wobei nur noch ein weiteres CU (CU15) geplant ist. Microsoft empfiehlt allen Nutzern, Updates in einer Testumgebung zu evaluieren, bevor sie in einer Produktionsumgebung implementiert werden, und unterstreicht die Bedeutung des Aktualisierens auf die neueste Version, um weiterhin Sicherheitsupdates zu erhalten.
Insgesamt zielt das CU darauf ab, die Sicherheit und Zuverlässigkeit von Exchange Server 2019 zu verbessern und gleichzeitig die Grundlage für zukünftige Updates und Supportrichtlinien zu legen.