Как закрыть ip с помощью ecp

Обновлено: 21.11.2024

Выпуск Exchange Server 2013 привнес несколько нововведений в инвентарь администратора, среди которых мы можем найти новую консоль управления под названием Exchange Admin Center (EAC). Он пришел на смену своему предшественнику, консоли управления Exchange (EMC), которая поддерживала администраторов в управлении организациями Exchange 2010. Обе консоли довольно различны, поскольку EMC — это приложение типа консоли управления Microsoft (MMC), а EAC — это веб-консоль управления, которая устанавливается на сервере клиентского доступа (CAS) в качестве виртуального каталога в IIS. EAC оснащен панелью управления Exchange (ECP), это веб-приложение без ограничений, доступное практически из любого места в сети (локальная сеть, Интернет). Любой, у кого есть действительное имя пользователя и пароль, может беспрецедентно войти в систему. Это может представлять серьезную угрозу, если CAS установлен в сети периметра, такой как DMZ, и некоторые хакеры, использующие перехваченные пароли, могут войти в ECP из Интернета.

К счастью, Microsoft дает нам возможность ограничить доступ к ECP, не отключая доступ к OWA. Мы можем сделать это, просто следуя документации от Microsoft и попробовав следующую команду:

Как видно на снимке экрана выше, если мы хотим, чтобы изменения вступили в силу немедленно, мы можем выполнить команду «iisreset /noforce».

После внедрения решения каждая попытка доступа к ECP-странице будет заканчиваться ошибкой «404 — страница не найдена» или же запрос будет перенаправлен на параметры OWA с данными учетной записи администратора (см. скрин ниже).

Однако у этого решения есть один недостаток. Хотя реализацией этой возможности мы успешно ограничиваем доступ к ECP из интернет-зоны, мы теряем доступ к ECP из внутренней сети. В этом случае Microsoft рекомендует установить еще один сервер CAS только для внутреннего доступа к ECP. Но, по моему собственному мнению и мнению профессиональных ИТ-коллег, гораздо лучше было бы установить второй веб-сайт с виртуальными каталогами ECP и OWA на CAS с выходом в Интернет. Это менее затратное и трудоемкое решение.

Чтобы применить решение, нам нужно назначить второй IP-адрес нашему серверу, на котором установлена ​​CAS (чаще всего это единственный адрес, который у нас есть). Это легко сделать, настроив новый IP-адрес на втором сетевом адаптере, установленном на сервере CAS, или назначив второй IP-адрес на существующем сетевом интерфейсе. Первый способ в основном применяется администраторами в случае соблюдения политики безопасности, однако второй способ проще в реализации и дешевле. На приведенном ниже экране показано последнее решение:

После согласования IP-адреса с CAS нам необходимо создать соответствующую запись в зоне DNS на DNS-сервере. Имя в этой записи будет использоваться для обращения к пользовательскому виртуальному каталогу ECP. Более того, эта запись также должна указывать на IP-адрес, настроенный на один шаг раньше:

На следующем этапе мы создаем папку для второго веб-сайта, например. wwwroot2 в папке C:\Inetpub.

Прежде всего, мы должны не забыть привязать новый веб-сайт к новому IP-адресу:

На следующем шаге нам нужно настроить виртуальные каталоги для ECP и OWA на только что созданном втором веб-сайте. Мы подойдем к этому, выполнив следующие команды:

После этого момента мы отключаем доступ к Центру администрирования Exchange с помощью упомянутого ранее решения Microsoft. Для этого мы просто запускаем следующие команды:

Наконец, осталось сделать всего два последних шага. Это ограничивает доступ к IP-адресу, связанному с нашим пользовательским веб-сайтом, например. для внутренних пользователей или станций управления администратором. Это предотвратит доступ к нашему новому веб-сайту из нежелательных областей, таких как сети периметра или интернет-зона.

Последний шаг — назначить пользовательскому веб-сайту ECP надлежащий сертификат для целей SSL. Это может быть сторонний сертификат (например, существующий подстановочный сертификат, уже назначенный веб-сайту по умолчанию), сертификат внутреннего ЦС или самозаверяющий сертификат. В случае создания нового сертификата мы должны помнить о сопоставлении имени в сертификате с именем, используемым в URL-адресе ECP.

Всегда следует отключать внешний доступ к панели управления Exchange (ECP). Вам не нужна атака грубой силы на ECP в Exchange Server. Это большой риск для безопасности. В этой статье вы узнаете, как отключить внешний доступ к ECP в Exchange Server 2016. Лучший подход и мой совет — заблокировать его в брандмауэре. Брандмауэр — это первая точка, которая блокирует внешний доступ. Если это невозможно сделать на брандмауэре, сделайте это на сервере Exchange. Это лучше, чем не отключать ECP. Давайте посмотрим, как отключить внешний доступ к ECP в Exchange 2016.

У вас есть несколько серверов Exchange? Выполните следующие шаги на всех серверах Exchange, доступных извне.

Оглавление

Установить роль ограничений IP и домена

Запустите мастер добавления ролей и компонентов с сервера Exchange. Выберите свой Exchange Server и следуйте указаниям мастера. Теперь вы находитесь на вкладке Роли сервера. Разверните Веб-сервер (IIS) -> Веб-сервер -> Безопасность. Проверьте роль ограничений IP и домена. С нашей стороны он уже установлен на сервере Exchange.

Нажмите «Далее». Нажмите «Установить», чтобы установить роль «Ограничения IP-адресов и доменов». Установка завершена. Выполните следующие действия.

Запуск ограничений по IP-адресу и домену в IIS

Откройте диспетчер IIS на сервере Exchange. Разверните Сервер -> Сайты -> Веб-сайт по умолчанию. Выберите ЕСП. Дважды щелкните IP-адрес и ограничения домена. Смотрите скриншот:

Изменить настройки функции

Функция ограничения IP-адресов и доменов открыта. Давайте настроим его, чтобы отключить внешний доступ к ECP на Exchange Server 2016. Сначала нажмите «Изменить параметры функции…» и настройте его на «Запретить доступ для неуказанных клиентов». Установите для параметра "Тип действия запрета" значение "Не найдено".

Добавить разрешающую запись

Нажмите «Добавить разрешающую запись…» и настройте доступ к внутреннему ECP на сервере Exchange (localhost). Добавьте IP-адрес 127.0.0.0 с префиксом 8. Если вы хотите добавить маску подсети вместо префикса, она должна быть 255.0.0.0.

Заключение

В этой статье вы узнали, как отключить внешний доступ к ECP Exchange 2016. Не забудьте протестировать его после применения настроек. Подумайте разумно, прежде чем разрешать доступ к ECP.Если вам понравилась эта статья, вам также может понравиться Отключение Symantec Endpoint Protection (SEP). Не забудьте подписаться на нас и поделиться этой статьей.

АЛИ ТАДЖРАН

Что читают другие

Полезно знать, какие пользователи не находятся в офисе. Например, вы…

Как проверить связь SMTP с PowerShell? После включения службы SMTP на…

Размер единицы размещения или размер именованного блока раздела имеет жизненно важное значение для…

У этого поста 14 комментариев

Сначала у меня это тоже не сработало, и я не мог запретить внешний доступ к ECP/EAC, следуя этой статье. Вроде и другие были. Моя установка состоит из двух серверов Exch 2016 года за балансировщиком нагрузки / VIP.

Для меня IP-адреса eth0 и eth1 балансировщика нагрузки отправлялись на серверы Exch в качестве исходных IP-адресов. Таким образом, «Список заказов» в рамках ограничений по IP-адресу и домену должен быть следующим:
Разрешить | 127.0.0.0(8) | который является локальным
Запретить | 10.10.10.250 | IP-адрес LB eth0
Запретить | 10.10.10.251 | IP-адрес LB eth1
Разрешить | 10.10.0.0(16) | это моя внутренняя сеть

Кроме того, обратите внимание, как сказал @jimmyj выше: «Отредактируйте настройки функций и измените тип действия «Отклонить» по умолчанию на «Прервать». Мне это тоже помогло.

Заблокировать веб-сайт Microsoft Exchange Server 2016 Exchange Admin Center (EAC) из Интернета

В соответствии с требованиями нашего клиента по ограничению EAC из внешней сети, мы настроили серверы Exchange 2016, настроенные для варианта 2, с помощью приведенной ниже статьи:

Согласно требованиям безопасности клиента, URL-адрес веб-сайта EAC/ECP не должен быть доступен и должен быть заблокирован без ущерба для доступа к OWA для пользователей с серверов Exchange. Нужна помощь, если это можно сделать с помощью конфигураций Exchange Server.

ПРИМЕЧАНИЕ. В соответствии с приведенной выше статьей доступ к EAC ограничен, но страница входа в EAC по-прежнему доступна для всех пользователей.

Здравствуйте, @Abdullah-salam,
Если проблема успешно решена, нажмите «Принять как ответ», чтобы отметить свое решение или полезный ответ как ответ, это упростит поиск ответов на форуме и сделает полезно и другим участникам сообщества.
Спасибо за понимание.

3 ответа

Посмотрите эти статьи и проверьте:

Спасибо, что поделились статьями. Я проверю и поделюсь своим мнением, если мы сможем заблокировать страницу входа в EAC.

Также не могли бы вы сообщить мне, официально ли поддерживаются методы, упомянутые в статье. Если да, можете ли вы поделиться официальной реферальной ссылкой?

Нет, официального документа для этих изменений нет.

Exchange 2019 имеет единственный официально поддерживаемый метод:

Я протестировал функцию ограничения IP-адреса и домена в правилах клиентского доступа IIS и Exchange 2019. Оба они также могут использоваться для ограничения доступа к EAC, но пользователи в Интернете все равно могут видеть страницу входа в EAC/ECP. Таким образом, пользователь ограничен ПОСЛЕ ВХОДА ПОЛЬЗОВАТЕЛЯ на странице EAC.

Требование состояло в том, чтобы отбрасывать/блокировать запрос URL-адреса ECP/EAC, когда пользователь пытается получить доступ к самому URL-адресу ECP/EAC из внешней сети, а страница входа в EAC не должна быть доступна пользователю для входа в систему. похоже, этого можно добиться только с помощью обратного прокси-сервера.

Здравствуйте, Abdullah-salam!
Вы можете установить роль ограничений IP и домена и настроить ограничение EAC из внешней сети в IIS. Пожалуйста, выполните следующие действия:
1. В диспетчере серверов щелкните меню «Управление», а затем щелкните «Добавить роли и компоненты».
2. В мастере добавления ролей и компонентов нажмите кнопку Далее. Выберите тип установки и нажмите «Далее». Выберите целевой сервер и нажмите «Далее».
3. На странице «Роли сервера» разверните «Веб-сервер (IIS)», «Веб-сервер», «Безопасность», а затем выберите «Ограничения IP-адресов и доменов». Нажмите кнопку "Далее.
4. После установки роли «Ограничения по IP-адресу и домену» вы можете настроить ограничения по IP-адресу и домену в IIS.
Обратите внимание, что, исходя из предыдущего аналогичного случая, установка этой функции может привести к прерыванию доступа всех пользователей на несколько минут, после чего она будет восстановлена.
Для получения дополнительной информации см.: Добавление IP-безопасности

Спасибо за ответ, но при использовании этого метода страница входа в EAC по-прежнему доступна для всех пользователей в Интернете. Есть ли способ также заблокировать страницу входа в EAC?

Здравствуйте, Абдулла-салам!
Пожалуйста, выполните следующие действия и посмотрите, работает ли это:
1. Дважды щелкните «IP-адрес и ограничения домена».
2. Выберите «Добавить разрешенную запись» и «Добавить IP-адрес или диапазон», затем нажмите «ОК».
3. Нажмите «Изменить параметры функции» в «Доступ для неуказанных клиентов». Выберите «Запретить», и вы можете выбрать «Запретить тип действия».

4. Пожалуйста, запустите IISreset в CMD start от имени администратора, чтобы сбросить IIS.
Для получения дополнительной информации см.: Exchange 2016: запретить внешний доступ к EAC
Обратите внимание: поскольку веб-сайт не размещается корпорацией Майкрософт, ссылка может быть изменена без предварительного уведомления. Microsoft не гарантирует точность этой информации.

Это тоже уже проверено. Страница входа в ECP по-прежнему видна. Применение этого метода не заблокирует страницу входа, но когда пользователь/администратор попытается войти в систему, это не сработает, что не является обязательным требованием.

Требование: страница входа в систему ECP НЕ ДОЛЖНА БЫТЬ доступна, и пользователь не должен видеть страницу входа.

Похоже, единственным решением является настройка обратного прокси-сервера для отказа от веб-запроса ECP.

Центр администрирования Exchange (EAC) — это основной интерфейс управления для Exchange 2013 или более поздней версии. Дополнительные сведения см. в разделе Центр администрирования Exchange в Exchange Server. По умолчанию доступ к Центру администрирования Exchange не ограничен, а доступ к Outlook в Интернете (официально известному как Outlook Web App) на сервере Exchange с выходом в Интернет также дает доступ к Центру администрирования Exchange. Вам по-прежнему нужны действительные учетные данные для входа в Центр администрирования Exchange, но организации могут захотеть ограничить доступ к Центру администрирования Exchange для клиентских подключений из Интернета.

В Exchange Server 2019 вы можете использовать правила клиентского доступа, чтобы заблокировать клиентский доступ к центру администрирования Exchange. Дополнительные сведения см. в разделе Правила клиентского доступа в Exchange Server.

Виртуальный каталог EAC называется ECP и управляется командлетами *-ECPVirtualDirectory. Когда вы устанавливаете для параметра AdminEnabled значение $false в виртуальном каталоге EAC, вы отключаете доступ к EAC для внутренних и внешних клиентских подключений, не влияя на доступ к странице Параметры > Параметры в Outlook на Интернет.

Но эта конфигурация создает новую проблему: доступ к Центру администрирования Exchange полностью отключен на сервере, даже для администраторов внутренней сети. Чтобы решить эту проблему, у вас есть два варианта:

Настройте второй сервер Exchange, доступный только из внутренней сети, для обработки внутренних подключений EAC.

На существующем сервере Exchange создайте новый веб-сайт Internet Information Services (IIS) с новыми виртуальными каталогами для Центра администрирования Exchange и Outlook в Интернете, доступными только из внутренней сети.

Примечание. Центр администрирования Exchange и Outlook в Интернете необходимо настроить на новом веб-сайте, поскольку для Центра администрирования Exchange требуется модуль проверки подлинности Outlook в Интернете с того же веб-сайта.

Что нужно знать, прежде чем начать?

Для выполнения этой процедуры или процедур вам необходимы соответствующие разрешения. Чтобы узнать, какие разрешения вам нужны, см. запись «Подключение к центру администрирования Exchange» в разделе «Инфраструктура Exchange и разрешения PowerShell».

Информацию о сочетаниях клавиш, которые могут применяться к процедурам в этом разделе, см. в разделе Сочетания клавиш в центре администрирования Exchange.

Возникли проблемы? Обратитесь за помощью на форумах Exchange. Посетите форумы по адресу: Exchange Server, Exchange Online или Exchange Online Protection.

Шаг 1. Используйте командную консоль Exchange для отключения доступа к Центру администрирования Exchange

Помните, что этот шаг отключает доступ к Центру администрирования Exchange на сервере для внутренних и внешних подключений, но по-прежнему позволяет пользователям получать доступ к своим собственным страницам Параметры > Параметры в Outlook в Интернете.

Чтобы отключить доступ к Центру администрирования Exchange на сервере Exchange, используйте следующий синтаксис:

В этом примере отключается доступ к Центру администрирования Exchange на сервере с именем MBX01.

Как вы узнали, что этот шаг сработал?

Чтобы убедиться, что вы отключили доступ к Центру администрирования Exchange на сервере, замените его именем вашего сервера Exchange и выполните следующую команду, чтобы проверить значение свойства AdminEnabled:

Шаг 2. Предоставьте доступ к Центру администрирования Exchange во внутренней сети

Выберите один из следующих вариантов.

Вариант 1. Настройте второй сервер Exchange, доступный только из внутренней сети

Значением по умолчанию свойства AdminEnabled является True в виртуальном каталоге EAC по умолчанию. Чтобы подтвердить это значение на втором сервере, замените его именем сервера и выполните следующую команду:

Если значение равно False , замените его именем сервера и выполните следующую команду:

Вариант 2. Создайте новый веб-сайт на существующем сервере Exchange и настройте Центр администрирования Exchange и Outlook в Интернете на новом веб-сайте для внутренней сети

Добавить второй IP-адрес на сервер Exchange.

Создайте новый веб-сайт в IIS, использующий второй IP-адрес, и назначьте права доступа к файлам и папкам.

Скопируйте содержимое веб-сайтов по умолчанию на новый веб-сайт.

Создайте новые виртуальные каталоги EAC и Outlook в Интернете для нового веб-сайта.

Перезапустите IIS, чтобы изменения вступили в силу.

При установке накопительного обновления Exchange Server (CU) CU не будет обновлять файлы на новом веб-сайте и в виртуальных каталогах. После применения CU необходимо полностью удалить новый веб-сайт, виртуальные каталоги и содержимое в папках, а затем заново создать новый веб-сайт, виртуальные каталоги и содержимое в папках.

Шаг 2а. Добавьте второй IP-адрес на сервер Exchange

Вы можете добавить второй сетевой адаптер и назначить IP-адрес второму сетевому адаптеру или назначить второй IP-адрес существующему сетевому адаптеру.

Шаги по назначению второго IP-адреса существующему сетевому адаптеру описаны ниже.

Откройте свойства сетевого адаптера. Например:

а. В окне командной строки, командной консоли Exchange или диалоговом окне «Выполнить» запустите ncpa.cpl .

б. Щелкните правой кнопкой мыши сетевой адаптер и выберите "Свойства".

В свойствах сетевого адаптера выберите Интернет-протокол версии 4 (TCP/IPv4) и нажмите "Свойства".

В открывшемся окне "Свойства протокола Интернета версии 4 (TCP/IPv4)" на вкладке "Общие" нажмите "Дополнительно".

В открывшемся окне «Дополнительные параметры TCP/IP» на вкладке «Параметры IP» в разделе «IP-адреса» нажмите «Добавить» и введите IP-адрес.

Примечание. Если вы добавляете второй сетевой адаптер, в окне "Дополнительные параметры TCP/IP" на вкладке DNS снимите флажок "Зарегистрировать адрес этого подключения в DNS".

Шаг 2б. Создайте новый веб-сайт в IIS, использующий второй IP-адрес, и назначьте права доступа к файлам и папкам

Откройте диспетчер IIS на сервере Exchange. Простой способ сделать это в Windows Server 2012 или более поздней версии — нажать клавишу Windows + Q, ввести inetmgr и выбрать в результатах Диспетчер информационных служб Интернета (IIS).

На панели "Подключения" разверните сервер, выберите "Сайты" и на панели "Действия" нажмите "Добавить веб-сайт".

В появившемся окне "Добавить веб-сайт" настройте следующие параметры:

Название сайта: EAC_Secondary

Физический путь: C:\inetpub\EAC_Secondary

Привязка

IP-адрес: выберите второй IP-адрес, который вы добавили на предыдущем шаге.

Порт: 443

Сертификат SSL: выберите сертификат, который вы хотите использовать (например, сертификат Exchange по умолчанию с именем Microsoft Exchange).

Когда закончите, нажмите OK.

Создайте папки ecp и owa в C:\inetpub\EAC_Secondary .

а. В диспетчере IIS выберите веб-сайт EAC_Secondary и на панели "Действия" нажмите "Обзор".

б. В открывшемся окне File Explorer создайте следующие папки в C:\inetpub\EAC_Secondary :

По завершении закройте Проводник.

Назначьте разрешения на чтение и выполнение локальной группе безопасности с именем IIS_IUSRS в папке C:\inetpub\EAC_Secondary.

а. В диспетчере IIS выберите веб-сайт EAC_Secondary и на панели "Действия" нажмите "Изменить разрешения".

б. В открывшемся окне свойств EAC_Secondary перейдите на вкладку «Безопасность» и нажмите «Изменить».

<р>в. В открывшемся окне Разрешения для EAC_Secondary нажмите Добавить.

д. В открывшемся окне Выбор пользователей, компьютеров, учетных записей служб или групп выполните следующие действия:

<р>я. Нажмите «Расположения» и в открывшемся диалоговом окне «Расположения» выберите локальный сервер, а затем нажмите «ОК».

ii. В поле «Введите имена объектов для выбора» введите IIS_IUSRS, нажмите «Проверить имена», а затем нажмите «ОК».

<р>т.е. Вернитесь в окно «Разрешения для EAC_Secondary», выберите «IIS_IUSRS», а в столбце «Разрешить» выберите «Чтение и выполнение» (при этом автоматически выбирается список содержимого папки и разрешения на чтение), а затем дважды нажмите «ОК».

Шаг 2в. Скопируйте содержимое веб-сайтов по умолчанию на новый веб-сайт

Скопируйте все файлы и папки с веб-сайта по умолчанию ( C:\inetpub\wwwroot ) в C:\inetpub\EAC_Secondary . Вы можете пропустить следующие файлы, которые нельзя скопировать:

Шаг 2d. Используйте командную консоль Exchange для создания новых виртуальных каталогов EAC и Outlook в Интернете для нового веб-сайта

Чтобы узнать, как открыть командную консоль Exchange в локальной организации Exchange, см. статью Открытие командной консоли Exchange.

Замените на имя своего сервера и выполните следующие команды, чтобы создать новые виртуальные каталоги EAC и Outlook в Интернете для нового веб-сайта.

Шаг 2д. Перезапустите IIS

В диспетчере IIS на панели "Подключения" выберите сервер.

На панели "Действия" нажмите "Перезапустить".

Примечание. Чтобы перезапустить IIS из командной строки, откройте командную строку с повышенными привилегиями (окно командной строки, которое вы открыли, выбрав «Запуск от имени администратора»), и выполните следующие команды:

Как вы узнали, что эта задача сработала?

Чтобы убедиться, что вы успешно отключили доступ к Центру администрирования Exchange на сервере Exchange, выполните следующие действия:

Убедитесь, что внутренние и внешние пользователи могут открывать свои почтовые ящики с помощью Outlook в Интернете, включая страницу Параметры > Параметры.

404 — веб-сайт не найден

Пользователь перенаправляется на страницу "Параметры > Параметры" в Outlook в Интернете.

Убедитесь, что администраторы могут получить доступ к Центру администрирования Exchange во внутренней сети в соответствии с выбранной вами конфигурацией:

Одним из самых интересных параметров безопасности в Exchange 2019 является функция правил клиентского доступа. Это позволяет администратору определять правила для блокировки или ограничения доступа к EAC (бывший ECP) ​​и EMS (оболочка управления Exchange). Эта функция отсутствовала в предыдущих версиях Exchange, и теперь она является важной вехой в области безопасности для небольших организаций, которые не могут позволить себе такие решения, как брандмауэр, работающий на уровне OSI 7 (прикладной уровень), для ограничения доступа извне организации.

Назначение правил клиентского доступа

Управление правилами клиентского доступа возможно только на уровне командной консоли Exchange. Нет графического интерфейса, который вы можете использовать для управления ими. Функция «Правила клиентского доступа» позволяет блокировать:

• Отдельные IP-адреса, например 192.168.0.1
• Диапазоны IP-адресов, например 192.168.0.1 – 192.168.0.10
• IP-адрес подсети, например. 168.0.0/24

Используя более сложные правила, вы также можете блокировать такие элементы, как протоколы аутентификации, выбранных пользователей в Active Directory или пользователей с указанными атрибутами в AD, например, Отдел, компания и т. д. (на данный момент последний вариант, по-видимому, зарезервирован для Exchange Online). Дополнительные сведения о правилах клиентского доступа см. в этом документе Microsoft.

Элементы правил клиентского доступа

Одно правило клиентского доступа состоит из следующих элементов:

• Условие — определяет клиентское соединение, к которому применяется правило.
• Исключение — указывает клиентское соединение, к которому правило не должно применяться.
• Действие — определяет, какие действия необходимо предпринять, когда клиентское соединение соответствует условию.
• Приоритет — определяет порядок выполнения правил. Каждому правилу присвоен номер приоритета. Чем меньше число, тем выше приоритет. По умолчанию самые старые правила имеют наивысший приоритет, поэтому они обрабатываются в первую очередь.

Командлеты для правил клиентского доступа

Для управления правилами клиентского доступа доступны различные командлеты. См. список ниже:

• Get-ClientAccessRule: этот командлет вернет результаты со списком настроенных в данный момент правил.
• New-ClientAccessRule – этот командлет позволяет создавать новые правила.
• Set-ClientAccessRule — используйте этот командлет для изменения существующих правил.
• Test-ClientAccessRule – полезный командлет, позволяющий протестировать конфигурацию правила.
• Remove-ClientAccessRule – используйте его для удаления правил.

Как заблокировать доступ к EAC (ECP)

Вы можете использовать правила клиентского доступа, чтобы заблокировать доступ к центру администрирования Exchange. В моем примере ниже я хочу заблокировать доступ для всех пользователей, кроме одной внутренней сети, VLAN 192.168.171.0/24, которая является Управлением. Благодаря этому другие подсети внутри организации, а также пользователи вне организации не будут иметь доступа к центру администрирования Exchange. Основная цель — обеспечить безопасность организации и защитить ее от несанкционированного доступа.

Для начала рекомендуется запустить следующий командлет:

New-ClientAccessRule -Name «Всегда разрешать удаленный PowerShell» -Action AllowAccess -AnyOfProtocols RemotePowerShell -Priority 1

Эта команда предотвратит отключение Exchange Management Shell (EMS) в случае ошибки администратора во время настройки.

Запретить доступ всем пользователям, кроме одной сети

Чтобы заблокировать доступ к EAC для всех пользователей, кроме определенной сети, например. в моем случае это VLAN Management 192.168.171.0/24, запустите командлет следующим образом:

New-ClientAccessRule -Name «Разрешить ECP только для VLAN MGMT» -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges 192.168.171.0/24 -Priority 2

В результате только управление VLAN может получить доступ к EAC. Пользователям из других VLAN\подсетей не будет разрешен доступ к EAC.

Проверьте список правил клиентского доступа

Чтобы проверить список настроенных правил, запустите следующий командлет:

Он вернет результаты, в которых вы сможете увидеть подробности о каждом правиле, такие как имя или их приоритет в списке.

Проверьте, правильно ли работает правило

Чтобы протестировать правило и убедиться, что оно работает должным образом, попробуйте войти в Центр администрирования Exchange из сети, отличной от 192.168.171.0 в моем случае. Если правило работает правильно, вы должны увидеть что-то похожее на это:

Чтобы протестировать правило, вы также можете запустить вышеупомянутый командлет Test-ClientAccessRule. Это будет имитировать соединение, например. с IP-адреса 192.168.169.2 на EAC для администратора:

Конечно, это только пример того, как вы можете использовать командлеты для управления широким спектром функций, предлагаемых правилами клиентского доступа. Давайте теперь посмотрим, как заблокировать доступ к Центру администрирования Exchange с помощью различных атрибутов Active Directory.

Блокировать доступ к Центру администрирования Exchange в зависимости от атрибутов пользователя Active Directory

[Важно] На момент написания этой статьи этот метод работал безупречно. Однако при недавнем тестировании выяснилось, что -UserRecipientFilter больше не доступен в Exchange 2019. Эта статья Документов, похоже, подтверждает эту информацию. Командлет New-ClientAccessRule с этим фильтром выполняется успешно и не возвращает ошибок. Однако после этого доступ не блокируется. Запуск этого командлета в Exchange Online работает без проблем.

Предположим, что политика безопасности вашей компании требует, чтобы только сотрудники ИТ-отдела имели доступ к центру администрирования Exchange. Чтобы усложнить этот случай, давайте также предположим, что ИТ-отдел находится в разных частях мира, а также необходимо учитывать разные сети (LAN, VLAN и т. д., что действительно проблематично писать правила на основе IP-адресов). ).

Чтобы выполнить вышеупомянутые требования, вы можете создать правила клиентского доступа на основе, например, атрибута отдела в Active Directory. Я создал двух новых сотрудников в AD, которые являются членами ИТ-отдела, и назначил им права на организационное управление.

Прежде чем начать настройку нового правила, я удаляю правило на основе IP-подсети с помощью следующего командлета:

Теперь я могу создать новое правило, которое будет проверять значение атрибута AD отдела. Если значение отличается от «IT», доступ будет запрещен. Это команда:

New-ClientAccessRule -Name «Разрешить доступ к ECP только для ИТ» -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -UserRecipientFilter -Priority 2

Пришло время протестировать новое правило. Я буду использовать только что созданную учетную запись Джона Сноу для доступа к EAC (Джон является членом ИТ-команды). Для этого я запускаю этот командлет:

Если результаты не возвращаются, это означает, что к пользователю не применяются никакие правила клиентского доступа. И это правильно, так как я настроил правило блокировки. Теперь давайте проверим, что произойдет, если я изменю значение атрибута отдела на «HR».

Для проверки результатов правила я использую тот же командлет, что и в приведенном выше примере:

Вы можете видеть, что после того, как я изменил значение атрибута Active Directory, правило клиентского доступа работает правильно, блокируя доступ к ECP.

Вот как это выглядит в браузере (для Джона Сноу, если он работает в отделе кадров):

А вот пример другого пользователя, Тириона Ланнистера, из отдела «ИТ». Как видите, у пользователя есть доступ к ECP:

Итог

Эти примеры — лишь малая часть того, что вы действительно можете получить от функции Client Access Rules в Exchange 2019. Список сценариев, которые вы можете охватить с помощью этой функции, почти бесконечен и определенно поможет вам соответствовать строгим требованиям безопасности. в вашей среде Exchange 2019.

Читайте также:

  
• Нужно ли покупать криптопро для ЭЦП
  
• Dvi не работает на материнской плате
  
• Как сделать размытие в движении в Sony Vegas
  
• Photoshop требует прав администратора
  
• Как сделать видеонаблюдение с веб-камеры с записью на компьютер