coreknabe
Mar 15, 2023
view2615
view6
0
Goto Top

Exchange 2019 mit Client Access Rule absichern

GermansolvedQuestionExchange Server
Moin,

nachdem wir jetzt unseren Exchange 2019 in Betrieb genommen haben, will ich den Zugriff aufs EAC absichern, die Remote Powershell gleich dazu.

Hier hilft wie immer der gute, alte Franky weiter:
https://www.frankysweb.de/exchange-2019-client-access-rules/

Meine Frage, wenn ich das jetzt mache (ja, ich weiß, kann ich ausprobieren und muss dann 24 Stunden warten (WTF?)), sperre ich damit auch die User außerhalb des vorgegebenen Scopes aus?

Ich hatte schon einmal mit Exchange 2013 dies hier probiert:
https://www.alitajran.com/disable-external-access-to-ecp-exchange-2016/

Dummerweise können die User dann außerhalb des Scopes keinen Abwesenheits-Assi mehr setzen, weil dafür auf ECP zugegriffen werden musste.

Weiß das jemand / hat das jemand im Einsatz?

Gruß
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 6379596869

Url: https://administrator.de/contentid/6379596869

Printed on: April 27, 2024 at 05:04 o'clock

6 Comments
Latest comment
Goto Top
Member: Mr-Gustav
Mr-Gustav Mar 15, 2023 at 17:12:19 (UTC)
Goto Top
Nun ja wenn dir die Sicherheit etwas wert ist dann würde ich den Exchange ( egal ob OWA / ECP / Remoteshell / Active Sync ) gar nicht direkt aus dem Netz erreichbar machen. Zugriff nur über VPN oder bei Mob.Devices über einen Active Sync Proxy ( Auralis MDM ) und gut ist. Ist sicherer als das Ding direkt im Netz zu haben bzw. Owa und co direkt erreichbar.

Das Problem ist je nach dem was du an Regeln erstellt kann es sein das dein Outlook von EXTERN oder IN TERN nicht mehr erreichbar ist. Wenn Ihr den Exchange jetzt rein für Interne Kommunikation bzw. KEINEN Zugriff vom Internet aus auf die Postfächer dann kann man das machen. Allerdings wenn der EX auch per OWA aus dem Netz erreichbar sein soll dann könnte man hier eventuell nur die Telekomm IP Netze Freigebn oder oder oder. Proxy dazwischen und dann nur die IP´s von Intern und die des Proxys freigeben. Externe Geräte verbinden sich auf dem Rev. Proxy oder WAF und von da aus gehts dann weiter.....
Member: Dani
Dani Mar 15, 2023 at 19:36:07 (UTC)
Goto Top
Moin,
Externe Geräte verbinden sich auf dem Rev. Proxy oder WAF und von da aus gehts dann weiter.....
definiere bitte Reverse Proxy und welche Angriffe soll dieser verhindern? Eine WAF ist schön und gut, muss aber wiederkehrend betreut und angepasst werden.


Gruß,
Dani
Member: Coreknabe
Coreknabe Mar 15, 2023 at 19:38:22 (UTC)
Goto Top
@Mr-Gustav
Schon klar, beantwortet aber meine Frage nicht.

Gruß
Member: Coreknabe
Solution Coreknabe Mar 16, 2023 at 09:19:48 (UTC)
Goto Top
Moin,

so, getraut, getestet, läuft face-smile
User können über OWA auch aus nicht definierten Netzen Ihren Abwesenheitsassistenten setzen.

Gruß
Member: Ralf-T
Ralf-T Nov 27, 2023 at 10:38:22 (UTC)
Goto Top
Moin Coreknabe,
magst Du auch die Lösung preisgeben?
Member: Coreknabe
Coreknabe Nov 27, 2023 at 12:22:21 (UTC)
Goto Top
@Ralf-T
Sicher!

Damit blockst Du alle Zugriffe, die nicht aus dem Netz 192.168.100.0/24 kommen:
New-ClientAccessRule -Name "Block EAC and RPS" -AnyOfProtocols ExchangeAdminCenter, RemotePowerShell -Action DenyAccess -ExceptAnyOfClientIPAddressesOrRanges 192.168.100.0/24

Und ausführlich zum Nachlesen:
https://learn.microsoft.com/en-us/exchange/clients-and-mobile-in-exchang ...

Gruß
GermansolvedQuestionExchange Server