6
Exchange 2019 mit Client Access Rule absichern
Moin,
nachdem wir jetzt unseren Exchange 2019 in Betrieb genommen haben, will ich den Zugriff aufs EAC absichern, die Remote Powershell gleich dazu.
Hier hilft wie immer der gute, alte Franky weiter:
https://www.frankysweb.de/exchange-2019-client-access-rules/
Meine Frage, wenn ich das jetzt mache (ja, ich weiß, kann ich ausprobieren und muss dann 24 Stunden warten (WTF?)), sperre ich damit auch die User außerhalb des vorgegebenen Scopes aus?
Ich hatte schon einmal mit Exchange 2013 dies hier probiert:
https://www.alitajran.com/disable-external-access-to-ecp-exchange-2016/
Dummerweise können die User dann außerhalb des Scopes keinen Abwesenheits-Assi mehr setzen, weil dafür auf ECP zugegriffen werden musste.
Weiß das jemand / hat das jemand im Einsatz?
Gruß
nachdem wir jetzt unseren Exchange 2019 in Betrieb genommen haben, will ich den Zugriff aufs EAC absichern, die Remote Powershell gleich dazu.
Hier hilft wie immer der gute, alte Franky weiter:
https://www.frankysweb.de/exchange-2019-client-access-rules/
Meine Frage, wenn ich das jetzt mache (ja, ich weiß, kann ich ausprobieren und muss dann 24 Stunden warten (WTF?)), sperre ich damit auch die User außerhalb des vorgegebenen Scopes aus?
Ich hatte schon einmal mit Exchange 2013 dies hier probiert:
https://www.alitajran.com/disable-external-access-to-ecp-exchange-2016/
Dummerweise können die User dann außerhalb des Scopes keinen Abwesenheits-Assi mehr setzen, weil dafür auf ECP zugegriffen werden musste.
Weiß das jemand / hat das jemand im Einsatz?
Gruß
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6379596869
Url: https://administrator.de/forum/exchange-2019-mit-client-access-rule-absichern-6379596869.html
Ausgedruckt am: 12.04.2025 um 11:04 Uhr
6 Kommentare
Neuester Kommentar
Nun ja wenn dir die Sicherheit etwas wert ist dann würde ich den Exchange ( egal ob OWA / ECP / Remoteshell / Active Sync ) gar nicht direkt aus dem Netz erreichbar machen. Zugriff nur über VPN oder bei Mob.Devices über einen Active Sync Proxy ( Auralis MDM ) und gut ist. Ist sicherer als das Ding direkt im Netz zu haben bzw. Owa und co direkt erreichbar.
Das Problem ist je nach dem was du an Regeln erstellt kann es sein das dein Outlook von EXTERN oder IN TERN nicht mehr erreichbar ist. Wenn Ihr den Exchange jetzt rein für Interne Kommunikation bzw. KEINEN Zugriff vom Internet aus auf die Postfächer dann kann man das machen. Allerdings wenn der EX auch per OWA aus dem Netz erreichbar sein soll dann könnte man hier eventuell nur die Telekomm IP Netze Freigebn oder oder oder. Proxy dazwischen und dann nur die IP´s von Intern und die des Proxys freigeben. Externe Geräte verbinden sich auf dem Rev. Proxy oder WAF und von da aus gehts dann weiter.....
Das Problem ist je nach dem was du an Regeln erstellt kann es sein das dein Outlook von EXTERN oder IN TERN nicht mehr erreichbar ist. Wenn Ihr den Exchange jetzt rein für Interne Kommunikation bzw. KEINEN Zugriff vom Internet aus auf die Postfächer dann kann man das machen. Allerdings wenn der EX auch per OWA aus dem Netz erreichbar sein soll dann könnte man hier eventuell nur die Telekomm IP Netze Freigebn oder oder oder. Proxy dazwischen und dann nur die IP´s von Intern und die des Proxys freigeben. Externe Geräte verbinden sich auf dem Rev. Proxy oder WAF und von da aus gehts dann weiter.....
Moin,
Gruß,
Dani
Externe Geräte verbinden sich auf dem Rev. Proxy oder WAF und von da aus gehts dann weiter.....
definiere bitte Reverse Proxy und welche Angriffe soll dieser verhindern? Eine WAF ist schön und gut, muss aber wiederkehrend betreut und angepasst werden.Gruß,
Dani
Moin,
so, getraut, getestet, läuft
User können über OWA auch aus nicht definierten Netzen Ihren Abwesenheitsassistenten setzen.
Gruß
so, getraut, getestet, läuft
User können über OWA auch aus nicht definierten Netzen Ihren Abwesenheitsassistenten setzen.
Gruß
Moin Coreknabe,
magst Du auch die Lösung preisgeben?
magst Du auch die Lösung preisgeben?
@Ralf-T
Sicher!
Damit blockst Du alle Zugriffe, die nicht aus dem Netz 192.168.100.0/24 kommen:
Und ausführlich zum Nachlesen:
https://learn.microsoft.com/en-us/exchange/clients-and-mobile-in-exchang ...
Gruß
Sicher!
Damit blockst Du alle Zugriffe, die nicht aus dem Netz 192.168.100.0/24 kommen:
New-ClientAccessRule -Name "Block EAC and RPS" -AnyOfProtocols ExchangeAdminCenter, RemotePowerShell -Action DenyAccess -ExceptAnyOfClientIPAddressesOrRanges 192.168.100.0/24 Und ausführlich zum Nachlesen:
https://learn.microsoft.com/en-us/exchange/clients-and-mobile-in-exchang ...
Gruß
