Resumo
A partir da atualização de segurança (SU) de janeiro de 2023 para Microsoft Exchange Server, introduzimos uma nova funcionalidade que permite aos administradores configurar a assinatura baseada em certificados de payloads de serialização do PowerShell. Esta funcionalidade tem de ser ativada manualmente por um administrador Exchange Server após a SU instalada em todos os servidores baseados no Exchange. Este artigo fornece os passos para ativar a assinatura baseada em certificado dos dados de serialização do PowerShell no Exchange Server.
Pré-requisitos
Pré-requisitos para ativar esta funcionalidade:
-
Certifique-se de que todos os servidores baseados no Exchange no seu ambiente têm a SU de janeiro de 2023 ou uma SU posterior instalada. Se ativar esta funcionalidade antes de atualizar todos os servidores, poderão ocorrer falhas de desserialização e acionar outros problemas.
-
Certifique-se de que um certificado de autenticação Exchange Server válido está configurado e disponível em todos os servidores baseados no Exchange (exceto nos servidores de Transporte edge) antes e depois de ativar a assinatura de certificados.
Pode executar o script MonitorExchangeAuthCertificate.ps1 para verificar a existência de um certificado de autenticação válido em servidores de bases do Exchange no seu ambiente. O script também verifica se o certificado de autenticação irá expirar em menos de 60 dias e pode ajudá-lo a rodar o certificado. Para obter mais informações sobre MonitorExchangeAuthCertificate.ps1, consulte Monitorizar o Exchange AuthCertificate
Para verificar manualmente a disponibilidade e validade do certificado de autenticação, veja Disponibilidade e Validade do Certificado de Autenticação.
Recomendamos vivamente que utilize o script MonitorExchangeAuthCertificate.ps1 (ou crie um novo, se for necessário). Isto acontece porque o script também pode renovar um certificado de autenticação expirado. O script inclui um modo de execução manual (verifique a disponibilidade do certificado de autenticação ou verifique e tome medidas, se for necessário). O script também inclui um modo de automatização que funciona com o Programador de Tarefas do Windows.
Resolução
Para servidores com Exchange Server 2019 ou Exchange Server 2016 (atualizado para a SU de janeiro de 2023 ou posterior)
-
Execute o seguinte cmdlet no Exchange Management Shell (EMS) num servidor que esteja a executar Exchange Server no seu ambiente:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
Este cmdlet permite a todos os servidores com Exchange Server 2019, 2016 ou 2013 no seu ambiente para assinatura de certificados do payload de serialização do PowerShell. Não tem de executar o cmdlet em todos os servidores. -
Atualize o argumento VariantConfiguration ao executar o seguinte cmdlet:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Para aplicar as novas definições, reinicie o serviço World Wide Web Publishing e o Serviço de Ativação de Processos do Windows (WAS). Para tal, execute o seguinte cmdlet:
Restart-Service -Name W3SVC, WAS -ForceNota: Reinicie estes serviços apenas no servidor baseado em Exchange Server no qual o cmdlet de substituição de definições é executado.
Para servidores com Exchange Server 2013
Se tiver servidores com Microsoft Exchange Server 2013 no seu ambiente, tem de configurar uma chave de registo em cada servidor. Especifique as seguintes definições.
Chave do registo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Valor:EnableSerializationDataSigning
Tipo: Cadeia
Dados: 1
Para criar o valor de registo num servidor baseado em Exchange Server 2013, execute o seguinte cmdlet:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
Para aplicar as novas definições, reinicie o serviço World Wide Web Publishing e o Serviço de Ativação de Processos do Windows (WAS). Para tal, execute o seguinte cmdlet:
- Restart-Service -Name W3SVC, WAS -Force
Nota: Reinicie estes serviços em todos os servidores baseados em Exchange Server 2013 no seu ambiente no qual são feitas alterações de registo.
Problemas conhecidos
-
Se a capacidade de assinar dados de serialização estiver ativada, um certificado de autenticação expirado impede que o cmdlet Get-ExchangeCertificate devolva os detalhes do certificado.
-
Após a atualização de segurança de janeiro de 2023 ou de fevereiro de 2023 para Microsoft Exchange Server 2019, 2016 ou 2013, e a Assinatura de Certificados do Payload de Serialização do PowerShell está ativada, a Caixa de Ferramentas do Exchange e o Visualizador de Filas não iniciam. Para obter mais informações, veja A Caixa de Ferramentas do Exchange e o Visualizador de Filas falha após a Assinatura de Certificados do Payload de Serialização do PowerShell estar ativada (KB5023352).
-
Se a capacidade de assinar dados de serialização estiver ativada, o cmdlet Get-ExchangeCertificate não devolve um valor visível quando é executado num computador com as Ferramentas de Gestão do Exchange instaladas, mas não tem outra função Exchange Server. Isto ocorre independentemente de o certificado de autenticação ser válido.
-
Alguns dos scripts incluídos com Exchange Server (por exemplo, RedistributeActiveDatabases.ps1) não funcionam corretamente se as seguintes condições forem verdadeiras:
-
A funcionalidade Assinatura do Payload de Serialização do PowerShell está ativada.
-
Não utiliza os grupos de segurança predefinidos fornecidos pelo RBAC do Exchange.
-
O utilizador que executa o script não é membro do grupo de funções Gestão da Organização.
-
