MS Exchange — как ограничить доступ к ECP средствами IIS

Продолжаем цикл заметок, посвящённых безопасности MS Exchange. Это вторая статья, в которой мы поговорим о том, как защитить Exchange Control Panel (ECP) от подключения с нежелательных IP-адресов, что, безусловно, не даст вам надёжной защиты от взлома, но убережёт от банальных атак на подбор реквизитов административных учётных записей методом «грубой силы». Рекомендую вам ознакомиться и с другими статьями в цикле:

Начиная с версии MS Exchange 2019 появился встроенный механизм, позволяющий разграничить доступ к OWA и ECP, но и в этой версии можно воспользоваться небольшой дополнительной настройкой IIS, она работает универсально для версий 2013-2019 и, скорее всего, продолжит работать в новой версии 2021. Ещё один вариант ограничить доступ к ECP — поставить перед «чангой» проксирующий веб-сервер Nginx, но этой случай мы рассматривать не будем, просто имейте в виду, что это тоже рабочий вариант.

Для установки ограничений нам потребуется доустановить компонент IIS под названием IP and Domain Restrictions, который, как правило, отсутствует на сервере Exchange. Поставить его можно через PowerShell:

Install-WindowsFeature -Name Web-IP-Security

А вот дальше уже проще будет накликать настройки через графический менеджер IIS. Переходите в Default Web Site вашего почтового сервера и открывайте свойства IP and Domain Restrictions для виртуального каталога ECP. Здесь нам нужно заменить действие по умолчанию для неопознанных клиентов на Deny, а потом через пункт Add Allow Entry задать список адресов, с которых можно будет подключаться к панели управления Exchange.

Я рекомендую вам разрешить доступ к ECP с адреса localhost (127.0.0.1), со всех адресов Exchange-серверов, если у вас их несколько, а также со всех адресов или подсетей администраторов. Всем остальным пользователям и уж тем более сторонним клиентам делать на ECP абсолютно нечего. Разумеется, если у вас несколько почтовых серверов, то такую настройку надо проделать на каждом из них.

Обязательно проверьте, что всё получилось и отработало как надо. Обратите внимание, что при входе на ECP у вас всё равно сначала открывается OWA для аутентификации, а уже потом идёт перенаправление в интерфейс панели управления. Если ограничения сработали, то с «левого» адреса (например, с мобильного телефона) при заходе на ECP вы должны вечно получать страничку с требованием авторизоваться, даже если логин и пароль вы ввели правильные.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.