Recientemente Microsoft liberó nuevos parches de seguridad para Exchange. Estos aplican a las siguientes versiones:
- Exchange Server 2013
- Exchange Server 2016
- Exchange Server 2019
Uno de los cambios introducidos con estos parches es el mecanismo de instalación, ahora tenemos 2 opciones:
- Archivo con extensión MSP (requiere ejecución como Administrador, con elevación: «Run as Administrator»)
- Archivo con extensión EXE que incluye auto elevación (es necesario contar con permisos al igual que el caso anterior pero no es necesario hacer el «Run As Administrator»)
Microsoft recomienda la aplicación de estas actualizaciones de forma inmediata, lo que implica estar al día a nivel de CU de Exchange. En el caso específico de Exchange 2016 / 2019 es posible estar un Cumulative Update atrás (2016 CU22 o 2019 CU11).
En la siguiente imagen obtenida del sitio de Microsoft se detallan los requerimientos acorde a la versión instalada:
Una vez instalado el parche es necesaria la preparación de todos los dominios del bosque, para esto abrir un CMD como administrador, ir a la ruta «Program Files\Microsoft\Exchange Server\v15\Bin» y ejecutar:
- Exchange 2016 / 2019: Setup.exe /PrepareAllDomains /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff
- Exchange 2013: Setup.exe /PrepareAllDomains /IAcceptExchangeServerLicenseTerms
Descarga de parches de seguridad:
Las recomendaciones y consideraciones para la instalación de los parches son las mismas que las realizadas en artículos anteriores, por ejemplo “Marzo 2021 | Vulnerabilidad en Exchange”. Por fuera de esto como siempre es ideal validar las actualizaciones en ambiente de laboratorio antes de pasar a producción.
JoseG. San Luis says
Hola. Buen día.
Para comentarles:
Security Update for Exchange Server 2016 CU22 (KB5014261). LLegó directamente a mi servidor de Exchange a través de Windows Update.
Pienso autorizar la instalación de este parche de seguridad así. (por medio de Windows Update).
Mi duda es la siguiente:
Una vez que Windows Update haya instalado el parche. ¿Seguirá siendo necesario que ejecute el comando para la preparación de todos los dominios del bosque?
(Setup.exe /PrepareAllDomains /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff).
Gracias por su respuesta. Saludos a todo el equipo de Aprendiendo Exchange.com
Daniel Núñez Banega says
Buenas JoseG, independientemente del modo en el que vayas a instalar el parche es necesario correr la preparación luego de la instalación
Javier G says
Hola Daniel,
He actualizado un Exchange 2016 CU23 con este ultimo parche de seguridad, (y la preparacion) y aunque se ha completado correctamente todo, cuando veo la version, sigue poniendo la anterior Build 2507.6 y no el .9.
He reiniciado controladores y servers, pero sin cambio. ¿ Que falla ?
Daniel Núñez Banega says
Buenas Javier, si vas a las propiedades del archivo «setup.exe» dentro de la carpeta «bin» vas a encontrar que dice 15.01.2507.009
JoseG San Luis says
He descargado el archivo .exe del Security Update for Exchange Server 2016 CU22 (KB5014261). Lo apliqué, se completó correctamente y después hice la preparación del dominio.
Desde entonces, las consultas a los LOGS de auditoria administrativa de Exchange me muestran los objetos que fueron modificados hasta antes de la instalación de este parche de seguridad. Después de la fecha de instalación: ¡NADA!
¿QUE PASÓ? ¿ALGUNA EXPLICACIÓN?
JoseG San Luis says
Esta es la explicación:
Get-Mailbox -ResultSize Unlimited -Filter «RecipientTypeDetails -eq ‘UserMailbox'» | Format-List Name,Audit*
Name : ********
AuditEnabled : False
AuditLogAgeLimit : 90.00:00:00
AuditAdmin : {Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, Create}
AuditDelegate : {Update, SoftDelete, HardDelete, SendAs, Create}
AuditOwner : {}
Name : *******
AuditEnabled : False
AuditLogAgeLimit : 90.00:00:00
AuditAdmin : {Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, Create}
AuditDelegate : {Update, SoftDelete, HardDelete, SendAs, Create}
AuditOwner : {}
Name : *******
AuditEnabled : False
AuditLogAgeLimit : 90.00:00:00
AuditAdmin : {Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, Create}
AuditDelegate : {Update, SoftDelete, HardDelete, SendAs, Create}
AuditOwner : {}