Bonjour, dans cet article Exchange Server Nous expliquerons comment bloquer l'accès au centre d'administration Exchange (EAC) et à PowerShell à distance pour des adresses IP ou des plages spécifiques en 2019.
Exchange Server 2019'jusqu'à, EACIl n'existait aucune méthode claire pour bloquer l'accès à l'IP. Echange 2019 Cependant, certaines des fonctionnalités utilisées dans les environnements cloud ont été intégrées dans des environnements locaux (sur site), permettant ainsi aux utilisateurs d'accéder à certaines adresses ou plages IP. EAC Veya PowerShell à distance Il est devenu possible de restreindre l'accès.
Ces nouvelles fonctionnalités fonctionnent principalement de la même manière que les règles trouvées dans le service Hub Transport, vous permettant de gérer qui peut accéder en fonction de l'adresse IP ou des attributs de l'utilisateur.
Que sont les règles d'accès client ?
Règles d'accès client (CAR), Shell de gestion des échanges (EMS) Il est géré à travers ; une interface utilisateur graphique pour gérer ces règles (GUI) n'est pas disponible. Les blocs que vous pouvez utiliser avec CAR sont les suivants :
- Blocage pour une adresse IP unique (Exemple : 192.168.1.1)
- Blocage pour une plage d'adresses IP spécifique (Exemple : 192.168.1.1 – 192.168.1.50)
- Blocage basé sur le sous-réseau (Exemple : 192.168.1.1/24)
Pour améliorer les performances globales et gérer efficacement les ressources système, Microsoft Règles d'accès clientIl utilise également le cache. En raison de ce mécanisme de mise en cache, l'activation des règles nouvellement créées ou mises à jour peut ne pas avoir lieu immédiatement.
Alors que la première règle créée dans une organisation peut prendre environ 24 heures pour devenir active, la modification ou la suppression d'une règle existante peut être effectuée en une heure environ.
Composants des règles d'accès client
- Conditions: ce composant définit les connexions client auxquelles la règle s'applique et constitue la base des règles. Les conditions peuvent être basées sur des critères tels que des utilisateurs spécifiques, des adresses IP ou des types de clients.
- Exceptions: Ce composant détermine les connexions clients pour lesquelles la règle ne doit pas être appliquée sous certaines conditions. Les exceptions permettent d’appliquer les règles de manière plus flexible et ciblée.
- Action: Ce composant définit les actions à entreprendre si les conditions sont remplies. Par exemple, des actions peuvent être prises telles que bloquer l'accès aux clients à partir d'une certaine plage IP ou leur permettre uniquement d'utiliser certains protocoles.
- Priorité: Ce composant détermine l'ordre dans lequel les règles sont appliquées. Chaque règle se voit attribuer un numéro de priorité ; Plus ce nombre est faible, plus la priorité de la règle est élevée. Le système évalue d'abord les règles à faible numéro, de sorte que les opérations prioritaires se produisent en premier. Par défaut, les premières règles créées ont la priorité la plus élevée, mais cet ordre peut être modifié par l'administrateur selon les besoins.
Commandes utilisées pour la règle d'accès client
Vous trouverez ci-dessous les applets de commande PowerShell disponibles pour la gestion des règles d'accès client :
- Get-ClientAccessRule: Répertorie toutes les règles d'accès client disponibles. Cette applet de commande vous permet d'afficher toutes les règles configurées sur le système, afin que vous puissiez évaluer les configurations actuelles.
- Nouveau-ClientAccessRule: Permet de créer une nouvelle règle. Cette applet de commande vous aide à personnaliser la sécurité du système en vous permettant d'ajouter de nouvelles règles avec des conditions et des actions spécifiques.
- Définir-ClientAccessRule: Utilisé pour modifier une règle existante. Avec cette applet de commande, vous pouvez apporter des modifications aux règles existantes et appliquer des mises à jour.
- Test-ClientAccessRule: utilisé pour vérifier qu'une règle particulière est configurée correctement et présente le comportement souhaité.
- Supprimer-ClientAccessRule: Utilisé pour supprimer une règle existante du système. Cette applet de commande est utilisée dans le processus de nettoyage des stratégies qui ne sont plus nécessaires ou qui ont été mises à jour.
Vérification des règles d'accès client
Pour vérifier les règles existantes dans votre environnement, vous pouvez exécuter la commande suivante dans un premier temps :
Get-ClientAccessRule

Cette commande répertorie les règles configurées sur le système et vous permet de vérifier si des règles existantes existent. Si des règles existent, vous devrez planifier le numéro de priorité des nouvelles règles à créer en fonction de ces règles existantes. Le numéro de priorité est un facteur important qui détermine l'ordre dans lequel les règles sont traitées.
La règle portant le numéro le plus bas a la priorité la plus élevée.
Étapes pour bloquer/autoriser ECP avec les règles d'accès client
À l'aide de la commande New-ClientAccessule, nous fournirons une autorisation d'accès EAC pour un sous-réseau que je spécifie.
New-ClientAccessRule -Name “Block-ECP Servers” -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges 192.168.1.1/24 -Priority 1

Pour expliquer les paramètres de la commande que nous utilisons ;
- Nom: Le nom attribué à la règle est « Block-ECP Servers ». Ce nom a été choisi pour expliquer le but de la règle.
- Action: Action de la règle
DenyAccess
Il a été déterminé comme . Cela signifie que l'accès sera bloqué dans les conditions spécifiées. - AnyOfProtocols: ce paramètre détermine à quels protocoles la règle s'applique. Ici
ExchangeAdminCenter
a été utilisé, ce qui signifie que cette règle ne s’appliquera qu’au protocole EAC. - ExceptAnyOfClientIPAddressesOrRanges: Ce paramètre définit les adresses IP d'exception ou les plages auxquelles la règle ne s'appliquera pas.
192.168.1.1/24
Cette plage, désignée par , couvre les adresses IP auxquelles la règle ne s'appliquera pas. Cela signifie que les appareils de cette plage IP pourront toujours accéder à EAC. - Priorité: Détermine la priorité de la règle.
1
Cette valeur définie sur indique que cette règle est prioritaire sur toutes les autres règles. Autrement dit, cette règle figurera en haut de la liste des règles ayant une priorité plus élevée (numéro inférieur) et sera appliquée en premier.
Besoin de désactiver ECP à l'aide d'IIS sur Exchange Server, vous pouvez suivre l'article ci-dessous.
https://cengizyilmaz.net/exchange-server-ecp-kapatma/
Blocage de RemotePowerShell avec la règle d'accès client
Suite aux restrictions d'accès que nous avons imposées à l'EAC, nous allons encore plus loin dans nos mesures de sécurité. PowerShell à distance Nous limiterons également son accès. En utilisant la règle d'accès client pour ce processus, nous autoriserons l'accès à une certaine plage d'adresses IP tout en bloquant l'accès des autres.
New-ClientAccessRule -Name "Block-PowerShell" -Action DenyAccess -AnyOfProtocols RemotePowerShell -ExceptAnyOfClientIPAddressesOrRanges 10.190.65.1/24 -Priority 2
La commande ci-dessus définit une interdiction d'accès globale pour le protocole Remote PowerShell, mais exclut la plage d'adresses IP 10.190.65.1/24. Nous avons attribué le numéro « 2 » comme classement prioritaire.
Modification de la priorité avec la règle d'accès client
Nous avons configuré la valeur de priorité sur 2 dans notre règle Block-PowerShell et nous avons configuré la valeur de priorité sur 1 dans la règle des serveurs Block-ECP. Modifions maintenant la valeur Proirity de la règle Block-PowerShell et vérifions si nous devons mettre à jour la priorité de la règle EAC.
Set-ClientAccessRule -Identity "Block-PowerShell" -Priority 1
Pour voir les détails de notre règle modifiée ;
Get-ClientAccessRule -Identity "Block-ECP Servers" | FL Name,Priority,Enabled,Scope

La règle que nous avons créée pour EAC a été automatiquement mise à jour vers la priorité 2, nous n'avons donc pas besoin de modifier la priorité dans toutes nos règles.
Liste des règles actives avec la règle d'accès client
Une fois le processus d'installation terminé, nous pouvons répertorier les règles d'accès client actives dans notre environnement Exchange Server. Nous pouvons utiliser la commande PowerShell suivante pour ce processus d'inspection :
Get-ClientAccessRule

Étapes de test avec les règles d'accès client
Afin de vérifier l'efficacité de la règle d'accès ECP que nous avons créée, Microsoft fourni par Test-ClientAccessRule
Nous prévoyons une opération de test à l’aide de l’applet de commande.
Test-ClientAccessRule -RemoteAddress 192.168.2.30 -RemotePort 443 -Protocol ExchangeAdminCenter -User Administrator -AuthenticationType BasicAuthentication

Ce processus de test est basé sur l'adresse IP 192.168.2.30
d'un appareil vers ECP (Exchange Admin Center) via le port 443 BasicAuthentication
Simule une tentative d'accès à l'aide de la méthode. Administrator
Il teste si cet accès est possible pour l'utilisateur. Le résultat du test montre si la règle que nous avons définie fonctionne comme prévu.
Règle d'accès client et logique de stockage
Service d'échangeComme pour les configurations r, Règles d'accès client (CAR) da Le tiering Active Directorydans le cadre de ADSI (interfaces de service Active Directory) est stocké dans la structure. Ces règles s'appliquent spécifiquement aux « Règles d'accès clientIl est stocké sous l'objet nommé « ».

résultat: Règles d'accès client (CAR) dans Exchange Server Il donne aux administrateurs le pouvoir de restreindre l'accès des utilisateurs aux services Exchange tels que EAC et Remote PowerShell. Ces règles peuvent être appliquées en fonction de paramètres spécifiques tels que les adresses IP ou les attributs des utilisateurs. Le stockage centralisé des configurations sur ADSI rend le processus de gestion sûr et efficace. Ces fonctionnalités augmentent la sécurité de votre environnement Exchange, réduisent la charge de travail administrative et améliorent les performances globales de votre infrastructure informatique.
3 commentaires sur «Règles d'accès client Exchange Server Blocage EAC/RemotePowerShell»