Exchange Emergency Mitigation (EM) サービス
Exchange Emergency Mitigation サービス (EM サービス) は、サーバーに対する潜在的な脅威に対処するために軽減策を適用し、Exchange Server がセキュリティで保護された状態を保つのに役立ちます。 クラウドベースの Office 構成サービス (OCS) を使用して、利用可能な軽減策をチェックしてダウンロードし、診断データを Microsoft に送信します。
EM サービスは、Exchange メールボックス サーバー上で Windows サービスとして実行されます。 Exchange Server 2016 または Exchange Server 2019 に 2021 年 9 月 CU (またはそれ以降) をインストールすると、EM サービスはメールボックスの役割を持つサーバーに自動的にインストールされます。 EM サービスはエッジ トランスポート サーバーにはインストールされません。
EM サービスの使用は省略可能です。 Microsoft が Exchange サーバーに軽減策を自動的に適用したくない場合は、この機能を無効にすることができます。
軽減策
軽減策とは、実際に積極的に悪用されている既知の脅威から Exchange サーバーを保護するために自動的に実行されるアクションまたはアクションのセットです。 組織を保護し、リスクを軽減するために、EM サービスは Exchange サーバーの機能を自動的に無効にする場合があります。
EM サービスは、次の種類の軽減策を適用できます。
- IIS URL 書き換えルール軽減策。この軽減策は、Exchange サーバーを危険にさらす可能性のある悪意のある HTTP 要求の特定のパターンをブロックするルールです。
- Exchange サーバー軽減策。この軽減策により、Exchange サーバー上の脆弱なサービスが無効になります。
- アプリ プールの軽減策 この軽減策は、Exchange サーバー上の脆弱なアプリ プールを無効にします。
Exchange PowerShell コマンドレットとスクリプトを使用して、適用される軽減策の状況把握および制御ができます。
動作のしくみ
Microsoft がセキュリティの脅威について知ると、問題の軽減策を作成してリリースする場合があります。 このような場合、軽減策は、軽減策の適用に必要な構成設定を含む署名済み XML ファイルとして OCS から EM サービスに送信されます。
EM サービスがインストールされると、OCS は 1 時間ごとに利用可能な軽減策がないかどうかをチェックします。 その後、EM サービスは XML ファイルをダウンロードし、署名を検証して XML が改ざんされていないことを確認します。 EM サービスは、発行者、拡張キー使用法、および証明書チェーンをチェックします。 検証に成功したら、EM サービスは軽減策を適用します。
各軽減策は、脆弱性を修正するセキュリティ更新プログラムを適用できるようになるまでの一時的かつ暫定的な修正です。 EM サービスは Exchange SU に代わるサービスではありません。 ただし、インターネットに接続されたオンプレミスの Exchange サーバーに対する非常に高いリスクを更新の前に軽減するための最も速く簡単な方法です。
リリースされた軽減策の一覧
次の表は、リリースされたすべての軽減策のリポジトリを示します。
| シリアル番号 | 軽減策 ID | 説明 | 適用可能な最小バージョン | 適用可能な最大バージョン | ロールバック手順 |
|---|---|---|---|---|---|
| 1 | PING1 | EEMS ハートビート プローブ。 Exchange 設定は変更されません。 | Exchange 2019: 2021 年 9 月 CU Exchange 2016: 2021 年 9 月 CU |
- | ロールバックは必要ありません。 |
| 2 | M1 | URL 書き換え構成を使用した CVE-2022-41040 の軽減策。 | Exchange 2019: RTM Exchange 2016: RTM |
Exchange 2019: 2022 年 10 月 SU Exchange 2016: 2022 年 10 月 SU |
既定の Web サイト内の IIS URL 書き換えモジュールから、 規則 EEMS M1.1 PowerShell - 受信 を手動で削除します。 |
前提条件
Exchange がインストールされている Windows Server にこれらの前提条件がまだ存在しない場合、またはインストールする場合は、準備チェック中にこれらの前提条件をインストールするように求められます。
- IIS URL 書き換えモジュール
- Windows Server 2012 および Windows Server 2012 R2 用のUniversal C ランタイム (KB2999226)
接続
EM サービスが軽減策を確認してダウンロードするには、OCS への送信接続が必要です。 Exchange Server のインストール中に OCS への送信接続を使用できない場合は、準備チェック中に警告が発行されます。
EM サービスは OCS に接続せずにインストールできますが、最新の軽減策をダウンロードして適用するには OCS への接続が必要です。 EM サービスが正しく機能するには、Exchange Server がインストールされているコンピューターが OCS にアクセスできる必要があります。
| エンドポイント | アドレス | ポート | 説明 |
|---|---|---|---|
| Office 構成サービス | officeclient.microsoft.com/* |
443 | Exchange EM サービスの必須エンドポイント |
重要
これにより、EM サービスに組み込まれている証明書検証ロジックが破損する可能性があります。ファイアウォールまたは AntiVirus などのサードパーティ製ソフトウェアによって実行される SSL 検査ワークフローから、 officeclient.microsoft.com への接続を除外してください。
送信接続用にネットワーク プロキシが展開されている場合は、Exchange サーバー上で次のコマンドを実行して InternetWebProxy パラメーターを構成する必要があります。
Set-ExchangeServer -Identity <ServerName> -InternetWebProxy <http://proxy.contoso.com:port>
また、WinHTTP プロキシ設定でプロキシ アドレスも構成する必要があります。
netsh winhttp set proxy <proxy.contoso.com:port>
EM サービスには、OCS への送信接続に加えて、ここで説明するさまざまな証明書失効リスト (CRL) エンドポイントへの送信接続が必要 です。
これらは、軽減策 XML ファイルの署名に使用される証明書の信頼性を確認するために必要です。
Windows がコンピューター上で 証明書信頼リスト (CTL) を維持することを強くお勧めします。 それ以外の場合は、手動で定期的に管理する必要があります。 Windows が CTL を維持できるようにするには、Exchange Server がインストールされているコンピューターから次の URL に到達できる必要があります。
| エンドポイント | アドレス | ポート | 説明 |
|---|---|---|---|
| 証明書信頼リストのダウンロード | ctldl.windowsupdate.com/* |
80 | 証明書信頼リストのダウンロード |
Test-MitigationServiceConnectivity スクリプト
Exchange サーバー ディレクトリの V15\Scripts フォルダーで Test-MitigationServiceConnectivity.ps1 スクリプトを使用して、Exchange サーバーが OCS に接続していることを確認できます。
サーバーが接続している場合、出力は次のようになります。
Result: Success.
Message: The Mitigation Service endpoint is accessible from this computer.
サーバーが接続していない場合、出力は次のようになります。
Result: Failed.
Message: Unable to connect to the Mitigation Service endpoint from this computer. To learn about connectivity requirements, see https://aka.ms/HelpConnectivityEEMS.
EM サービスによる軽減策の自動適用を無効にする
EM サービスの機能の 1 つは、OCS から軽減策をダウンロードし、Exchange Server に自動的に適用することです。 組織に既知の脅威を軽減する代替の手段がある場合は、軽減策の自動適用を無効にすることもできます。 自動軽減策は、組織レベルまたは Exchange サーバー レベルで有効または無効にできます。
自動軽減策を組織全体で無効にするために、次のコマンドを実行します。
Set-OrganizationConfig -MitigationsEnabled $false
既定では、 MitigationsEnabled は $true に設定されています。
$falseに設定すると、EM サービスは引き続き 1 時間ごとに軽減策をチェックしますが、サーバー レベルの MitigationsEnabled パラメーターの値に関係なく、組織内のすべての Exchange サーバーに軽減策を自動的に適用することはありません。
特定のサーバーで自動軽減策を無効にするには、 <ServerName> をサーバーの名前に置き換え、次のコマンドを実行します。
Set-ExchangeServer -Identity <ServerName> -MitigationsEnabled $false
既定では、 MitigationsEnabled は $true に設定されています。
$falseに設定すると、EM サービスは 1 時間ごとに軽減策をチェックしますが、指定したサーバーに自動的に適用されることはありません。
組織の設定とサーバー設定の組み合わせにより、各 Exchange サーバー上の EM サービスの動作が決定されます。 この動作については、次の表で説明します。
| 組織の設定 | サーバー設定 | 結果 |
|---|---|---|
| True | True | EM サービスは Exchange サーバーに自動的に軽減策を適用します。 |
| True | False | EM サービスは、特定の Exchange サーバーに軽減策を自動的に適用しません。 |
| False | False | EM サービスは、どの Exchange サーバーにも軽減策を自動的に適用しません。 |
注:
MitigationsEnabled パラメーターは、組織内のすべてのサーバーに自動的に適用されます。 このパラメーターは、組織内の最初の Exchange サーバーが 2021 年 9 月以降のCU にアップグレードされると同時に、値 $true に設定されます。 この動作は仕様です。 組織内の他の Exchange サーバーが 2021 年 9 月以降のCU にアップグレードされた後にのみ、EM サービスは MitigationsEnabled の値を優先します。
適用された軽減策の表示
軽減策がサーバーに適用されたら、 <ServerName> をサーバーの名前に置き換え、次のコマンドを実行することで、適用された軽減策を表示できます。
Get-ExchangeServer -Identity <ServerName> | Format-List Name,MitigationsApplied
出力例:
Name : Server1
MitigationsApplied : {M01.1, M01.2, M01.3}
環境内のすべての Exchange サーバーに適用された軽減策の一覧を表示するには、次のコマンドを実行します。
Get-ExchangeServer | Format-List Name,MitigationsApplied
出力例:
Name : Server1
MitigationsApplied : {M01.1, M01.2, M01.3}
Name : Server2
MitigationsApplied : {M01.1, M01.2, M01.3}
軽減策の再適用
誤って軽減策を取り消した場合、EM サービスは、新しい軽減策の時間単位のチェックを実行するときに再び発生します。 軽減策を手動で再適用するには、次のコマンドを実行することにより、Exchange サーバーで EM サービスを再起動します。
Restart-Service MSExchangeMitigation
再起動から 10 分後、EM サービスはチェックを実行し、軽減策を適用します。
軽減策のブロックまたは削除
軽減策が Exchange サーバーの機能に重大な影響を与える場合は、軽減策をブロックし、手動で元に戻すことができます。
軽減策をブロックするには、軽減策 ID を MitigationsBlocked パラメーターに追加します。
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @("M1")
前のコマンドは M1 軽減策をブロックします。これにより、EM サービスが次の 1 時間のサイクルでこの軽減策を再適用しないようにします。
複数の軽減策をブロックするには、次の構文を使用します。
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @("M1","M2")
軽減策をブロックしても自動的には削除されませんが、軽減策をブロックした後は手動で削除できます。 軽減策の削除方法は、軽減策の種類によって異なります。 たとえば、IIS 書き換えルールの軽減策を削除するには、IIS マネージャーでルールを削除します。 サービスまたはアプリ プールの軽減策を削除するには、サービスまたはアプリ プールを手動で起動します。
同じコマンド内の MitigationsBlocked パラメーターで軽減策 ID を削除して、ブロックされた軽減策リストから 1 つ以上の軽減策を削除することもできます。
次に例を示します。
Set-ExchangeServer -Identity <ServerName> -MitigationsBlocked @()
ブロックされた軽減策リストから軽減策が削除されると、EM サービスの次の実行時に軽減策が再適用されます。 軽減策を手動で再適用するには、以下のコマンドを実行することにより、EM サービスを停止して再起動します。
Restart-Service MSExchangeMitigation
再起動から 10 分後、EM サービスはチェックを実行し、軽減策を適用します。
重要
EM サービスで軽減策の状態を保存および追跡するために使用されるため、MitigationsApplied パラメーターは変更しないでください。
適用された軽減策とブロックされた軽減策の表示
Get-ExchangeServer コマンドレットを使用して、組織内のすべての Exchange サーバーに適用された軽減策とブロックされた軽減策の両方を表示できます。
すべての Exchange サーバーに適用された軽減策とブロックされた軽減策の一覧を表示するには、次のコマンドを実行します。
Get-ExchangeServer | Format-List Name,MitigationsApplied,MitigationsBlocked
出力例:
Name : Server1
MitigationsApplied : {M01.1, M01.3}
MitigationsBlocked : {M01.2}
Name : Server2
MitigationsApplied : {M01.1, M01.2}
MitigationsBlocked : {M01.3}
適用された軽減策とブロックされた軽減策の一覧をサーバーごとに表示するには、 <ServerName> をサーバーの名前に置き換え、次のコマンドを実行します。
Get-ExchangeServer -Identity <ServerName> | fl name, *Mitigations*
出力例:
Name : Server1
MitigationsEnabled : True
MitigationsApplied : {M01.1, M01.3}
MitigationsBlocked : {M01.2}
Get-Mitigation スクリプト
Get-Mitigations.ps1 スクリプトを使用して、Microsoft が提供する軽減策を分析および追跡できます。 このスクリプトは、Exchange Server ディレクトリの V15\Scripts フォルダーで利用できます。
スクリプトには、各軽減策の ID、種類、説明、状態が表示されます。 リストには、適用、ブロック、または失敗した軽減策が含まれます。
特定のサーバーの詳細を表示するには、ID パラメーターにサーバー名を指定します。 たとえば、.\Get-Mitigations.ps1 -Identity <ServerName> などです。 組織内のすべてのサーバーの状態を表示するには、 Identity パラメーターを省略します。
例: ExportCSV パラメーターを使用して、適用された軽減策とその説明のリストを CSV ファイルにエクスポートします。
.\Get-Mitigations.ps1 -Identity <ServerName> -ExportCSV "C:\temp\CSVReport.csv"
重要
Get-Mitigations スクリプトには PowerShell バージョン 4.0 が必要です。
SU または CU のアップグレード後の軽減策の削除
SU または CU がインストールさると、管理者は不要になった軽減策を手動で削除する必要があります。 たとえば、SU のインストール後に M1 という名前の軽減策が不要になった場合、EM サービスは適用を停止し、適用された軽減策のリストから削除されます。 軽減策の種類に応じて、必要に応じてサーバーから削除できます。
注:
Exchange 緊急対応サービスでは、サイトごとまたは vDir ごとのレベル (たとえば、Default Web SiteまたはDefault Web SiteのOWA vDir のみ) とサーバー レベルで IIS URL 書き換えルールの軽減策を追加できます。 Site/vDir レベルの軽減策は、site/vDir の対応する web.config ファイルに追加されますが、サーバー レベルの軽減策は applicationHost.config ファイルに追加されます。 CU がインストールされた後、サイト レベルの軽減策が削除されることが予想されます。 ただし、サーバー レベルの軽減策は維持され、不要になった場合は手動で削除する必要があります。
新しくインストールされた CU に軽減策が適用される場合は、EM によって再適用されます。
Exchange Server セキュリティ更新プログラム (SU) または累積的な更新プログラム (CU) のリリースと軽減 XML ファイルの更新の間に遅延が生じる可能性があります。適用されている軽減策からセキュリティ固定ビルド番号は除外されます。 これは予想されるため、問題は発生しません。 その間に適用されている軽減策を削除してブロックする場合は、「軽減 策のブロックまたは削除 」セクションで説明されている手順に従うことができます。
セキュリティ固定 Exchange ビルドに適用されなくなったらすぐに、特定の軽減策のロールバック手順を使用して、「 リリースされた軽減策の一覧 」セクションの表を更新します。
監査とログ
管理者によってブロックされた軽減策は、Windows アプリケーション イベント ログに記録されます。 EM サービスは、ブロックされた軽減策をログに記録することに加えて、サービスの起動、シャットダウン、終了に関する詳細 (Windows で実行されているすべてのサービスなど)、そのアクションの詳細、EM サービスによって発生したエラーもログに記録します。 たとえば、"MSExchange 軽減策サービス" のソースを持つイベント 1005 と 1006 は、軽減策が適用された場合などの正常なアクションに対してログに記録されます。 同じソースを持つイベント 1008 は、EM サービスが OCS に到達できない場合など、発生したエラーについてログに記録されます。
Search-AdminAuditLog を使用して、自動軽減策の有効化と無効化を含め、自分または他の管理者が実行したアクションを確認できます。
EM サービスは、Exchange Server インストール ディレクトリの \V15\Logging\MitigationService フォルダーに別のログ ファイルを保持します。 このログでは、フェッチ、解析、適用された軽減策などを含め、EM サービスによって実行されるタスクの詳細と、OCS に送信される情報に関する詳細について詳しく説明します (診断データの送信が有効な場合)。
診断データ
データ共有が有効な場合、EM サービスは診断データを OCS に送信します。 このデータは、脅威の特定と軽減に使用されます。 収集される情報とデータ共有を無効にする方法の詳細については、「Exchange Server について収集される診断データ」を参照してください。