itzwich
Goto Top

Exchange ECP Zugriff sperren

Guten Morgen,

ich möchte auf meinem Exchange Server gerne die ECP von außen sperren. Spricht das nur der Localhost das Webinterface der ECP erreichen kann.
Ich habe bereits versucht die ECP über den IIS Manager zu sperren außer für den Localhost. Leider ohne Erfolg. Wenn ich meinen Rechner aber explizit als IP hinzufüge und diesem den Zugriff verweigere funktioniert es.

Aktuelle einstellungen sind:
ecp_sperren

Die IP des Localhost ist hier dann als Zugelassen hinterlegt. Auch die öffentliche IP des Exchange ist hinterlegt
Nachdem das allerdings nicht funktioniert, habe ich es über die Exchange Shell versucht.

Befehl: New-ClientAccessRule -Name "Block Remote ExchangeAdminCenter" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges 127.0.0.0/8

das funktioniert aber leider auch nicht.

Hat jemand von euch noch Ideen?

Danke schon mal und ein schönes Wochenende.
Gruß Felix

Content-ID: 7912215084

Url: https://administrator.de/forum/exchange-ecp-zugriff-sperren-7912215084.html

Ausgedruckt am: 10.01.2025 um 01:01 Uhr

Knorkator
Knorkator 21.07.2023 um 07:46:46 Uhr
Goto Top
Moin.

läuft hier seit ein paar Jahren zuverlässig.

Hab mich damals an dieser Anleitung entlang gehangelt.
https://www.frankysweb.de/exchange-2016-eac-nur-im-internen-netzwerk-fre ...
itzwich
itzwich 21.07.2023 um 08:56:56 Uhr
Goto Top
Danke. Werde ich mal ausprobieren und berichten
tech-flare
tech-flare 21.07.2023 um 09:20:07 Uhr
Goto Top
Hängt der Exchange ohne WAF nackig im Netz?

Wenn ja…. Ziemlich fahrlässig.

In der Regel schränkt man den Zugang über die Firewall / WAF ein.

Gruß
crypt0r
crypt0r 21.07.2023 um 10:31:16 Uhr
Goto Top
Kein Loadbalancer mit ESP?
Dani
Dani 21.07.2023 um 10:48:45 Uhr
Goto Top
@crypt0r
Kein Loadbalancer mit ESP?
Für was steht ESP?

@itzwich
Vor welchen Szenerien möchtest du dich mit dieser Anforderung schützen und was ist mit den restlichen Services, die über das Internet erreichbar sind?! Einen Exchange-Server würde ich heute ohne ADFS + WAP + WAF + MFA nicht mehr betreiben. Dazu hat die Vergangenheit die gefundenen Sicherheitslücken das vorgeschlagene Design bestätigt.


Gruß,
Dani
hukahu23489
hukahu23489 21.07.2023 aktualisiert um 11:33:11 Uhr
Goto Top
Hey,

ich habe es so gelöst:
https://www.mt1.at/externen-zugriff-auf-exchange-admin-center-sperren/

Allerdings schränkst du deine Bequemlichkeit ein, eben schnell Einstellungen ohne VPN etc. im ECP vornehmen zu können. Selbstverständlich schadet diese zusätzliche Sicherheitsmaßnahme nicht im geringsten, im Gegenteil


Gruß,

hukahu23489
CH3COOH
CH3COOH 22.07.2023 um 10:25:17 Uhr
Goto Top
Moin
Zitat von @Dani:

@crypt0r
Kein Loadbalancer mit ESP?
Für was steht ESP?

Edge Security Pack nennt es KEMP.
https://www.frankysweb.de/howto-exchange-2019-und-kemp-loadmaster-mit-es ...

Bei Sophos geht das als Static Hardening durch.
Gemeint ist primär das man die Pfade einschränkt. Zum Beispiel erlaubt /owa anzuwählen, aber nicht /ecp .


Zitat von @tech-flare:

Hängt der Exchange ohne WAF nackig im Netz?

Wenn ja…. Ziemlich fahrlässig.

+1 dafür!

Gruß
crypt0r
crypt0r 24.07.2023 um 07:16:28 Uhr
Goto Top
Zitat von @Dani:

@crypt0r
Kein Loadbalancer mit ESP?
Für was steht ESP?

@itzwich
Vor welchen Szenerien möchtest du dich mit dieser Anforderung schützen und was ist mit den restlichen Services, die über das Internet erreichbar sind?! Einen Exchange-Server würde ich heute ohne ADFS + WAP + WAF + MFA nicht mehr betreiben. Dazu hat die Vergangenheit die gefundenen Sicherheitslücken das vorgeschlagene Design bestätigt.


Gruß,
Dani

https://support.kemptechnologies.com/hc/en-us/articles/14337457839757
CH3COOH
CH3COOH 27.07.2023 um 18:20:15 Uhr
Goto Top
Zitat von @itzwich:

Werde ich mal ausprobieren und berichten
Und gibt es schon was zu berichten? Hat sich dein Thema ggf. schon erledigt?
Gruß
Ueba3ba
Ueba3ba 04.09.2023 aktualisiert um 21:35:04 Uhr
Goto Top
Ist es möglich das eac mittels dem nginx Proxy Manager zu sperren?

regex??

Edit:

Habe eine Lösung gefunden.

In diesem Beitrag

Die Zeile:
1
2
3
location /ecp {
deny all;
}

Brachte schon mal ein
1
403 Forbidden

Edit:

Allerding ist das ecp mit:
1
https://meine.domain.de/owa/auth/logon.aspx?replaceCurrent=1&url=https%3a%2f%2fmeine.domain.de%2fecp%2f

wieder erreichbar.