Exchange Remote PowerShell für User deaktivieren?
Hallo,
es gab Ende September die Sicherheitslücken CVE-2022-41040 und CVE-2022-41082 in Microsoft Exchange. Dazu gibt es ein Blogeintrag von Microsoft ( https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reporte ..). Dort steht am Ende "Previously, we strongly recommended Exchange Server customers disable remote PowerShell access for non-admin users in your organization."
Exchange Remote Powershell ist im Standard für alle Benutzer gestattet.
Wenn ich jetzt mit einem Domänenbenutzer eine Remote Powershell Session zum Exchange öffnen möchte, erscheint die Meldung:
Jetzt die Fragen:
1. Sollte ich das sowieso machen oder wurde das spezifisch für die Sicherheitslücken empfohlen?
2. Es kommt ja keine PowerShell Session zustande, da dem Domänenbenutzer keine Verwaltungsrolle zugeordnet ist, also kann ich mir das doch eigentlich sparen Remote PS für alle Benutzer zu deaktivieren, oder? Die Verwaltungsrollen sind Administratorkonten zugeordnet und diese sollen auch das Recht für Exchange Remote PS behalten.
Also ist da was zu tun oder kann ich mich wieder hinlegen?
es gab Ende September die Sicherheitslücken CVE-2022-41040 und CVE-2022-41082 in Microsoft Exchange. Dazu gibt es ein Blogeintrag von Microsoft ( https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reporte ..). Dort steht am Ende "Previously, we strongly recommended Exchange Server customers disable remote PowerShell access for non-admin users in your organization."
Exchange Remote Powershell ist im Standard für alle Benutzer gestattet.
Wenn ich jetzt mit einem Domänenbenutzer eine Remote Powershell Session zum Exchange öffnen möchte, erscheint die Meldung:
New-PSSession : [EXCHANGESERVER] Beim Verarbeiten von Daten vom Remoteserver "EXCHANGESERVER" ist folgender Fehler
aufgetreten: [ClientAccessServer=EXCHANGESERVER,BackEndServer=FQDN_EXCHANGESERVER,RequestId=ID,TimeStamp=DATE/TIME]
[AuthZRequestId=ID][FailureCategory=AuthZ-CmdletAccessDeniedException] Benutzer
"USEROBJEKT" ist keiner Verwaltungsrolle zugewiesen.
Jetzt die Fragen:
1. Sollte ich das sowieso machen oder wurde das spezifisch für die Sicherheitslücken empfohlen?
2. Es kommt ja keine PowerShell Session zustande, da dem Domänenbenutzer keine Verwaltungsrolle zugeordnet ist, also kann ich mir das doch eigentlich sparen Remote PS für alle Benutzer zu deaktivieren, oder? Die Verwaltungsrollen sind Administratorkonten zugeordnet und diese sollen auch das Recht für Exchange Remote PS behalten.
Also ist da was zu tun oder kann ich mich wieder hinlegen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4573336512
Url: https://administrator.de/contentid/4573336512
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
6 Kommentare
Neuester Kommentar
Da steht doch
Also wenn du die aktuellen Patches installiert hast, kannst du dich wieder hinlegen
The mitigations below are no longer recommended.
Also wenn du die aktuellen Patches installiert hast, kannst du dich wieder hinlegen
Habt ihr die Rewrite Rule wieder gelöscht nach der Patch Installation?
@Mindestens6 Wir haben einfach standardmäßig allen Usern außer den Admins Remote PowerShell Rechte entzogen.
@Mindestens6 Wir haben einfach standardmäßig allen Usern außer den Admins Remote PowerShell Rechte entzogen.
Der normale Nutzer kann die Exchange PS-Session durchaus starten und hat dann eben nur die Befehle zur Verfügung, die er auch nutzen kann, z.B. verwalten der eigenen Mailbox.