Externen Zugriff auf Exchange Admin Center sperren

Seit der Microsoft Exchange Server Version 2013 gibt es für die Konfiguration und Verwaltung statt der Altbekannten Exchange Verwaltungskonsole nur mehr das Exchange Admin Center, welches über den Webbrowser erreichbar ist.

Standardmäßig kann das Admin Center theoretisch von jedem PC im Netzwerk aufgerufen und darauf zugegriffen werden. Das stellt oft aus Sicherheitstechnischer Sicht ein großes Problem dar. Viel größer wird das Problem allerdings noch wenn man Outlook Web Access (OWA) verwendet und den Zugriff darauf auch noch in der Firewall für den Zugriff über das Internet freigibt, denn hiermit ermöglicht man automatisch auch den Zugriff auf das Admin Center.

Bei der Freigabe von Outlook Web Access empfiehlt es sich Grundsätzlich sowieso, dieses nur über einen Reverse Proxy freizugeben, da somit von Extern kein direkter Zugriff auf den Server möglich ist und hier auch der Zugriff auf das Admin Center über das Internet unterbunden werden kann.

Sollte die Möglichkeit zur Verwendung eines Reverse Proxys nicht bestehen kann man den Zugriff aber immer noch über eine Client Access Policy einschränken. Damit kann man den Zugriff auf das Exchange Admin Center nur für bestimmte IP- Adressbereiche oder sogar auf einzelne IP- Adressen beschränken.

Zugriff auf Exchange Admin Center von Extern sperren

Um den Zugriff auf das Exchange Admin Center einzuschränken muss über die Exchange Management Shell folgender Befehl verwendet werden:

New-ClientAccessRule -Name "Block External ECP Logins" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges <BEREICH>

Beispiel:

New-ClientAccessRule -Name "Block External ECP Logins" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges 192.168.0.0/24

Bei diesem Beispiel wäre dann ein Zugriff auf das Admin Center nur mehr aus dem Netz 192.168.0.0/24 möglich.

Exchange Server Verwaltungs Shell

Nach dem die Client Access Rule erstellt wurde müssen noch die Internetinformationsdienste (IIS) neu gestartet werden. Das geht am einfachsten, wenn man die Eingabeaufforderung (CMD) als Administrator start und den Befehl iisreset ausführt.

IIS Dienst neu starten

Wird das Admin Center jetzt von einer Externen Quelle aufgerufen erscheint zwar die Anmeldeseite, allerdings erscheint nach dem Anmelden eine Fehlermeldung.

1 Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.