mindestens6
Goto Top

Exchange Remote PowerShell für User deaktivieren?

Hallo,

es gab Ende September die Sicherheitslücken CVE-2022-41040 und CVE-2022-41082 in Microsoft Exchange. Dazu gibt es ein Blogeintrag von Microsoft ( https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reporte ..). Dort steht am Ende "Previously, we strongly recommended Exchange Server customers disable remote PowerShell access for non-admin users in your organization."

Exchange Remote Powershell ist im Standard für alle Benutzer gestattet.
Wenn ich jetzt mit einem Domänenbenutzer eine Remote Powershell Session zum Exchange öffnen möchte, erscheint die Meldung:

New-PSSession : [EXCHANGESERVER] Beim Verarbeiten von Daten vom Remoteserver "EXCHANGESERVER" ist folgender Fehler  
aufgetreten: [ClientAccessServer=EXCHANGESERVER,BackEndServer=FQDN_EXCHANGESERVER,RequestId=ID,TimeStamp=DATE/TIME]
[AuthZRequestId=ID][FailureCategory=AuthZ-CmdletAccessDeniedException] Benutzer
"USEROBJEKT" ist keiner Verwaltungsrolle zugewiesen.  

Jetzt die Fragen:

1. Sollte ich das sowieso machen oder wurde das spezifisch für die Sicherheitslücken empfohlen?
2. Es kommt ja keine PowerShell Session zustande, da dem Domänenbenutzer keine Verwaltungsrolle zugeordnet ist, also kann ich mir das doch eigentlich sparen Remote PS für alle Benutzer zu deaktivieren, oder? Die Verwaltungsrollen sind Administratorkonten zugeordnet und diese sollen auch das Recht für Exchange Remote PS behalten.

Also ist da was zu tun oder kann ich mich wieder hinlegen?

Content-ID: 4573336512

Url: https://administrator.de/contentid/4573336512

Ausgedruckt am: 22.11.2024 um 09:11 Uhr

3063370895
Lösung 3063370895 10.11.2022 aktualisiert um 11:42:27 Uhr
Goto Top
Da steht doch

The mitigations below are no longer recommended.

Also wenn du die aktuellen Patches installiert hast, kannst du dich wieder hinlegen face-smile
Mindestens6
Mindestens6 10.11.2022 um 11:46:00 Uhr
Goto Top
Oh, nicht gesehen. Dankeschön. face-smile
crypt0r
crypt0r 11.11.2022 um 08:04:03 Uhr
Goto Top
Habt ihr die Rewrite Rule wieder gelöscht nach der Patch Installation?

@Mindestens6 Wir haben einfach standardmäßig allen Usern außer den Admins Remote PowerShell Rechte entzogen.
Mindestens6
Mindestens6 11.11.2022 um 09:28:41 Uhr
Goto Top
Ne, habe es bisher einfach so gelassen.
Ja, aber kann denn ein normaler Domänenbenutzer ohne Verwaltungsrolle überhaupt eine Exchange PS Session starten? Sehe den Sinn nicht das für die Benutzer zu deaktivieren, wenn es nicht funktioniert.
3063370895
3063370895 11.11.2022 um 09:47:57 Uhr
Goto Top
Der normale Nutzer kann die Exchange PS-Session durchaus starten und hat dann eben nur die Befehle zur Verfügung, die er auch nutzen kann, z.B. verwalten der eigenen Mailbox.
Mindestens6
Mindestens6 11.11.2022 um 10:58:39 Uhr
Goto Top
Stimmt, danke.