MS Exchange — как ограничить доступ к ECP средствами IIS
Продолжаем цикл заметок, посвящённых безопасности MS Exchange. Это вторая статья, в которой мы поговорим о том, как защитить Exchange Control Panel (ECP) от подключения с нежелательных IP-адресов, что, безусловно, не даст вам надёжной защиты от взлома, но убережёт от банальных атак на подбор реквизитов административных учётных записей методом «грубой силы». Рекомендую вам ознакомиться и с другими статьями в цикле:
- Как понять, что сервер взломан — куда смотреть, какие инструменты использовать.
- Как ограничить доступ к ECP средствами IIS.
- Lithnet Password Protection for Active Directory (LPP) — аналог Azure AD Password Protection.
- IPBan Service — аналог юниксового fail2ban, но для MS Exchange.
Начиная с версии MS Exchange 2019 появился встроенный механизм, позволяющий разграничить доступ к OWA и ECP, но и в этой версии можно воспользоваться небольшой дополнительной настройкой IIS, она работает универсально для версий 2013-2019 и, скорее всего, продолжит работать в новой версии 2021. Ещё один вариант ограничить доступ к ECP — поставить перед «чангой» проксирующий веб-сервер Nginx, но этой случай мы рассматривать не будем, просто имейте в виду, что это тоже рабочий вариант.
Для установки ограничений нам потребуется доустановить компонент IIS под названием IP and Domain Restrictions, который, как правило, отсутствует на сервере Exchange. Поставить его можно через PowerShell:
Install-WindowsFeature -Name Web-IP-SecurityА вот дальше уже проще будет накликать настройки через графический менеджер IIS. Переходите в Default Web Site вашего почтового сервера и открывайте свойства IP and Domain Restrictions для виртуального каталога ECP. Здесь нам нужно заменить действие по умолчанию для неопознанных клиентов на Deny, а потом через пункт Add Allow Entry задать список адресов, с которых можно будет подключаться к панели управления Exchange.
Я рекомендую вам разрешить доступ к ECP с адреса localhost (127.0.0.1), со всех адресов Exchange-серверов, если у вас их несколько, а также со всех адресов или подсетей администраторов. Всем остальным пользователям и уж тем более сторонним клиентам делать на ECP абсолютно нечего. Разумеется, если у вас несколько почтовых серверов, то такую настройку надо проделать на каждом из них.
Обязательно проверьте, что всё получилось и отработало как надо. Обратите внимание, что при входе на ECP у вас всё равно сначала открывается OWA для аутентификации, а уже потом идёт перенаправление в интерфейс панели управления. Если ограничения сработали, то с «левого» адреса (например, с мобильного телефона) при заходе на ECP вы должны вечно получать страничку с требованием авторизоваться, даже если логин и пароль вы ввели правильные.