Exchange Server Remote PowerShell Blocking

Bu hafta Exchange Server için duyurulan ZeroDay için birden fazla makale yayınladım, o makalelere aşağıda linklerden ulaşabilirsiniz.

Exchange Server RCE Zero Day Updates – Cengiz YILMAZ

Exchange Server’da Yeni Zero Day – Cengiz YILMAZ

Exchange Server On-premises Mitigation Tool v2 – Cengiz YILMAZ

Microsoft’un önerdiği geçiçi çözümü uyguladıysanız ek çözüm olarak ortamınızda Remote PowerShell‘de kapatabilirsiniz.

Exchange Server‘da olduğu gibi diğer Microsoft ürünlerindede genel olarak RCE zafiyeti zaman zaman bulunuyor. Ortamınızda bulunan Exchange Server için Remote PowerShell’i engelleyerek bu tarz saldırıların riskini kapatabilirsiniz.

Bu işlem için biz Windows Firewall kullanacağız. Ortamınızda eğer Exchange Server 2019 kullanıyorsanız eğer Client Access Rules kullanabilirsiniz.

Exchange Server 2019’da EAC/RemotePowerShell Engelleme (Client Access Rules) – ÇözümPark (cozumpark.com)

Windows Firewall HTTP(5985) HTTPS(5986) portlarını kapatacağız.

Öncelikle Windows Firewall – Inbound Rules adımlarını takip ediyoruz.

Sol tarafta bulunan Actions Menüsünde, New Rule butonuna tıklıyoruz.

Açılan ekranda oluşturmuş olduğumuz kural için, aksiyon seçmemiz gerekiyor. Biz Port üzerinde işlem yapacağımız için Port bölümünü işaretleyerek devam ediyoruz.

Does this rule apply to TCP or UDP bölümüne, TCP’yi işaretliyoruz.

Does this rule apply to all local ports or specific local ports adımında ise; Specific local ports işaretliyoruz ve 5985,5986 portlarını giriyoruz.

İlgili isteklerin engellenmesini istediğimiz için, Block the connection adımını işaretliyoruz.

İlgili kuralı Domain, Private ve Public için uyguluyoruz.

Oluşturmuş olduğumuz kural için bir isim oluşturuyoruz.

Oluşturmuş olduğumuz kural Inbound Rules bölümünde gözükmektedir. Dilerseniz Invoke-WebRequest seti ile yapmış olduğunuz işlemi doğrulayabilirsiniz.

Exit mobile version