Exchange Server Certificate Signing of PowerShell Serialization Payload Etkinleştirme

Microsoft, Exchange Server için Ocak 2023 Güvenlik Güncellemesini yayınladı. Bu güncelleme, önemli bir özellik olan Serialization Payload için gereken sertifika imzalamayı içermektedir. Bu özelliği etkinleştirebilmek için, ortamınızdaki tüm sunucuların güncellemesi gerekmektedir.

Exchange Server Serialization Payload Gereksinimleri

Serialization Payload özelliğini başarıyla etkinleştirebilmek için aşağıdaki önkoşulların yerine getirilmesi gerekmektedir:

  1. Sunucu Güncellemeleri: Ortamınızdaki tüm Exchange sunucularında Ocak 2023 Güvenlik Güncellemesi (SU) veya daha yeni bir güncelleme yüklü olmalıdır. Güncelleme yapılmadan önce bu özelliği etkinleştirmek, seri durumdan çıkarma hatalarına ve diğer sorunlara yol açabilir.
  2. Sertifika Doğrulaması: Sertifika imzalamayı etkinleştirmeden önce, ortamınızdaki tüm Exchange tabanlı sunucularda (Edge Transport sunucuları hariç) geçerli bir Auth Certificate yapılandırıldığından ve kullanılabilir olduğundan emin olun.MonitorExchangeAuthCertificate.ps1 betiği çalıştırılarak ortamınızdaki geçerli kimlik doğrulama sertifikalarını kontrol edebilir ve sertifikanın süresinin 60 günden az kalmış olup olmadığını denetleyebilirsiniz.

Exchange Server 2013’de Serialization Payload Etkinleştirilmesi

Eğer Exchange Server 2013 kullanıyorsanız, PowerShell Serialization Payload etkinleştirmek için her sunucuda bir kayıt defteri değeri oluşturmanız gerekmektedir.

Exchange Server 2013’de Serialization Payload etkinleştirmesi için oluşturacağımız Regedit değeri için CMD veya Powershell kullanabilirsiniz.

  • Bir PowerShell penceresini yönetici olarak açın.
New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String

Bu komut, Exchange Server 2013’ün Diagnostics kayıt defteri yolunda EnableSerializationDataSigning adında yeni bir özellik oluşturmaktadır ve bu özelliğe 1 değerini atıyoruz.

Exchange Server 2013’de Serialization Payload etkinleştirilmesi sonrası servislerin veya sunucuların yeniden başlatılması gerekmektedir. Aşağıdaki komut ile Exchange Server servislerini yeniden başlatabilirsiniz.

Restart-Service -Name W3SVC, WAS -Force

Bu komut, World Wide Web Publishing Service (W3SVC) ve Windows Process Activation Service (WAS) servislerini yeniden başlatır.

Exchange Server 2016/2019 Powershell Serialization Payload Etkinleştirme

Bu özellik, organizasyon genelinde veya belirli bir sunucu için aşağıdaki şekilde etkinleştirilebilir:

  • Exchange Server Organizasyonu genelinde Powershell Serialization Payload Etkinleştirme
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
  • Exchange Server’da Powershell Serialization Payload Özelliğini Belirli Bir Sunucu için Etkinleştirme:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification" -Server <ExchangeServerName>
  • Exchange Server’da VariantConfiguration ayarlarını yenilemek için;
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

(Get-ExchangeDiagnosticInfo), Exchange Server’ın “Directory TopologyService” bileşenine ait “VariantConfiguration” argümanını yenilemek için kullanılmaktadır. Bu, yapılandırma değişikliklerinin (bu durumda Serialization Payload özelliğinin imzalanmasını etkinleştirme gibi) uygulanmasını sağlamak amacıyla yapılandırma verilerini güncellemektedir.

  • Bu işlemlerden sonra, aşağıdaki komut ile ilgili hizmetleri yeniden başlatabilirsiniz:
Restart-Service -Name W3SVC, WAS -Force

Exchange Server Powershell Serialization Payload Doğrulaması

Exchange Server ortamınız da Exchange Server Powershell Serialization Payload etkinleştirilmesi yaptıktan sonra doğrulama işlemi gerçekleştirebilirsiniz.

Bunun için Exchange Server ortamınız da Exchange Server Health Check işlemi gerçekleştirmeniz yeterli olacaktır. Exchange Server Health Check tüm sistemi analiz ettiği için HTML rapor üzerinde Serialization Payload etkinleştirilmesini doğrulayabilirsiniz.

Exchange Server Health Check raporunda SerializedDataSigning bölümünü “True” olarak görmeniz Serialization Payload özelliğinin etkinleştirildiği anlamına gelmektedir.

Exchange Server 2016/2019 Powershell Serialization Payload Özelliğini Devre Dışı Bırakma

Uyarı: Powershell Serialization Payload devre dışı bırakmak, ortamınızı bilinen Exchange güvenlik açıklarına karşı savunmasız hale getirmektedir.

Eğer Ocak 2023’den Ekim 2023’e kadar olan dönemde yayınlanan Security Update‘leri (SU) Exchange Server 2016 ve 2019 ortamlarınızda uyguladıysanız ve PowerShell Serialization Payload özelliğini devre dışı bırakmak istiyorsanız, yapılandırmayı silmek için Exchange Management Shell üzerinden aşağıdaki komutu çalıştırmanız gerekmektedir:

Get-SettingOverride -Identity "EnableSigningVerification" | Remove-SettingOverride
Not: Exchange Server'da Ocak 2023 ve Ekim 2023'e kadar olan dönemde yayımlanan Security Update'leri kullanıyorsanız ilgili yapılandırmanın silinmesi gerekmektedir.

Exchange Server Kasım 2023 veya sonrasında yayımlanan Exchange Server Security Update (SU) uygulanmışsa, Powershell Serialization Payload özelliğinin devre dışı bırakmak için yapılandırma yapılması gerekmektedir;

New-SettingOverride -Name "DisableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=false") -Reason "Disable Signing Verification"

VariantConfiguration argümanını yenilemek için aşağıdaki komutu çalıştırın:

Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

Yapılandırma ayarı silindiğinde veya güncellendiğinde, ilgili Exchange sunucusunda World Wide Web Publishing Service (W3SVC) ve Windows Process Activation Service (WAS) yeniden başlatılmalıdır:

Restart-Service -Name W3SVC, WAS -Force

Exchange Server 2013’de Powershell Serialization Payload Devre Dışı Bırakma

Exchange Server 2013’te bu özelliği devre dışı bırakmak için, kayıt defteri değeri 0 olarak ayarlanmalı veya silinmelidir.

Exchange Server 2013’te kayıt defteri değerini ayarlamak için aşağıdaki komutu çalıştırın:

Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 0

Regedit değeri değiştirilen her Exchange Server sunucusunda, World Wide Web Publishing Service ve Windows Process Activation Service yeniden başlatılmalıdır:

Restart-Service -Name W3SVC, WAS -Force

Yorum yapın