Client Access Rules

Seit Version 2013 von Microsoft Exchange Server gibt es das „Exchange Admin Center“ (EAC), welches über die Website https://<Servername>/ecp im Browser erreicht werden kann.
Das EAC bietet Administratoren eine bequeme, webbasierte Verwaltung der Exchange Infrastruktur. Ein Problem entsteht jedoch, wenn das Exchange System im Internet veröffentlicht werden soll, um Mitarbeitern von überall Zugriff auf die Postfächer über Outlook Web Access (OWA) zu geben. Wird das Exchange System ohne Filterung auf virtuelle Verzeichnisse im Internet veröffentlicht, ist auch das EAC von überall aus der Welt erreichbar:

Exchange 2019 Webservices: Srtandardkonfiguration

Die Veröffentlichung der Verwaltungsschnittstelle soll in den meisten Fällen vermieden werden, die /ecp-Website von der Veröffentlichung auszunehmen ist jedoch keine gute Lösung: Neben dem Exchange Admin Center stellt /ecp Funktionalitäten für Outlook Web Access bereit. Sollte nur /owa ohne /ecp aus dem Internet erreichbar sein, können Benutzer im Browser keine Einstellungen wie out-of-Office-Replys, Signaturen und Gruppenmitgliedschaften anpassen.

Für Exchange 2013 und 2016 gibt es für die Problematik Lösungen, die wir von abtis in unseren sicheren Exchange Systemen implementieren. Mit Version 2019 ist eine einfache und sichere Methode dazugekommen, Exchange im Internet zu veröffentlichen, ohne die Verwaltungsschnittstelle bloßzustellen: Die Exchange Client Access Rules!

Mithilfe einer solchen Regel kann der Zugriff auf das Exchange Admin Center nur für Clients mit bestimmten IP-Adresse oder aus bestimmten Netzen erlaubt werden. Im untenstehenden Beispiel haben nur Clients der Administratoren aus Netz 10.0.0.0/24 Zugriff auf das EAC:

Exchange 2019 Webservices: Sichere Konfiguration

Jeder andere Client, der nicht aus dem erlaubten Netz zugreift, bekommt keinen Zugriff auf das Exchange Admin Center:

Mit wenig Aufwand kann die Sicherheit von Exchange 2019 immens erhöht werden!

Technischer Teil

1. Regel anlegen die RemotePowerShell zulässt (empfohlen):
New-ClientAccessRule -Name „Always Allow Remote PowerShell“ -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1

2. Regel anlegen die Powershell auf Netz (im Beispiel 10.0.0.0/24) beschränkt:
New-ClientAccessRule -name „Restrict Powershell Access“ -Action denyAccess -AnyOfProtocols RemotePowerShell -ExceptAnyOfClientIPAddressesOrRanges 10.0.0.0/24

3. Regel anlegen die EAC auf Netz (im Beispiel 10.0.0.0/24) beschränkt:
New-ClientAccessRule -name „Restrict EAC Access“ -Action denyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges 19.0.0.0/24

Testen mit fremder IP:
Test-ClientAccessRule -User administrator -AuthenticationType Basic -Protocol ExchangeAdminCenter -RemoteAddress 192.168.0.1 -RemotePort 443

Ergebnis: Wenn man von einer nicht-zugelassenen IP versucht sich anzumelden, ist dies nicht möglich:

Testen mit zugelassener IP:
Test-ClientAccessRule -User administrator -AuthenticationType Basic -Protocol ExchangeAdminCenter -RemoteAddress 10.0.0.1 -RemotePort 443

Ergebnis: Die IP ist erlaubt, es wird keine Regel ausgegeben, die den Zugriff einschränkt.

Redakteur: Arne Weinmann (Solution Architect)