Comment désactiver l'accès externe au panneau de contrôle Exchange pour la sécurité

Avant de bloquer l'accès EAC, créez une règle de haute priorité pour protéger votre accès de gestion PowerShell. Cela empêche un verrouillage accidentel de votre serveur Exchange.

Ouvrez Exchange Management Shell en tant qu'administrateur et exécutez :

New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action AllowAccess -AnyOfProtocols RemotePowerShell -Priority 1

Cette règle garantit que vous pouvez toujours gérer Exchange via PowerShell, même si d'autres accès sont bloqués.

Vérification : Exécutez cette commande pour confirmer que la règle a été créée :

Get-ClientAccessRule -Identity "Always Allow Remote PowerShell" | Format-List Name,Action,Priority

Créez une règle d'accès client qui refuse l'accès externe au Centre d'administration Exchange tout en permettant l'accès au réseau interne. Remplacez 192.168.171.0/24 par votre sous-réseau interne réel.

New-ClientAccessRule -Name "Block External EAC Access" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges 192.168.171.0/24 -Priority 2

Cette règle bloque tout accès EAC sauf depuis votre plage IP interne spécifiée. La priorité 2 garantit qu'elle s'exécute après la règle de protection PowerShell.

Vérification : Confirmez que la règle est active :

Get-ClientAccessRule | Format-List Name,Action,AnyOfProtocols,ExceptAnyOfClientIPAddressesOrRanges,Priority

Si vous utilisez Exchange 2016 ou préférez la méthode IIS, installez la fonctionnalité Restrictions d'adresse IP et de domaine. Cela offre une approche alternative aux règles d'accès client.

Ouvrez le Gestionnaire de serveur et accédez à Ajouter des rôles et des fonctionnalités :

# Via PowerShell (méthode plus rapide)
Install-WindowsFeature -Name IIS-IPSecurity -IncludeManagementTools

Ou manuellement via le Gestionnaire de serveur :

1. Gestionnaire de serveur → Ajouter des rôles et des fonctionnalités
2. Rôles de serveur → Serveur Web (IIS) → Serveur Web → Sécurité
3. Cochez "Restrictions d'adresse IP et de domaine"
4. Complétez l'installation

Vérification : Vérifiez si la fonctionnalité est installée :

Get-WindowsFeature -Name IIS-IPSecurity

L'état d'installation devrait indiquer "Installé".

Configurez IIS pour bloquer l'accès externe au répertoire virtuel ECP en utilisant des restrictions IP.

Ouvrez le Gestionnaire IIS et accédez au répertoire virtuel ECP :

1. Ouvrez le Gestionnaire IIS
2. Développez Sites → Default Web Site
3. Cliquez sur "ECP"
4. Double-cliquez sur "Restrictions d'adresse IP et de domaine"

Configurez la politique de refus par défaut :

1. Dans le panneau Actions, cliquez sur "Modifier les paramètres de la fonctionnalité"
2. Réglez "Accès pour les clients non spécifiés" sur Refuser
3. Cliquez sur OK

Ajoutez vos plages IP internes :

1. Cliquez avec le bouton droit dans le panneau principal → "Ajouter une entrée d'autorisation"
2. Sélectionnez "Plage d'adresses IP"
3. Entrez votre réseau : 192.168.171.0 avec le masque de sous-réseau 255.255.255.0
4. Cliquez sur OK

Vérification : Vérifiez la configuration via PowerShell :

Get-WebConfiguration -Filter "system.webServer/security/ipSecurity" -PSPath "IIS:\Sites\Default Web Site\ECP"

Vérifiez que l'accès externe au Centre d'administration Exchange est correctement bloqué tandis que l'accès interne reste fonctionnel.

Test depuis le réseau interne :

Ouvrez un navigateur web depuis une IP interne et accédez à :

https://your-exchange-server.domain.com/ecp

Vous devriez voir la page de connexion du Centre d'administration Exchange.

Test depuis le réseau externe :

Utilisez un réseau différent ou un VPN pour tester l'accès externe. Vous devriez recevoir l'une de ces réponses :

• Erreur HTTP 403 Interdit
• Délai de connexion ou refusé
• Message "Ce site est inaccessible"

Test en ligne de commande :

# Tester la connectivité depuis une IP externe
telnet your-exchange-server.domain.com 443

# Ou utilisez PowerShell
Test-NetConnection -ComputerName your-exchange-server.domain.com -Port 443

Vérification : Vérifiez les journaux IIS pour les requêtes bloquées :

Get-Content "C:\inetpub\logs\LogFiles\W3SVC1\*.log" | Select-String "403" | Select-Object -Last 10

Établissez des procédures de surveillance pour garantir que la sécurité de votre ECP reste efficace et n'interfère pas avec l'accès légitime.

Surveiller les règles d'accès client :

# Vérifier le statut des règles et le nombre de hits
Get-ClientAccessRule | Format-Table Name,Action,Priority,Enabled

# Voir les informations détaillées sur les règles
Get-ClientAccessRule | Format-List

Examiner les journaux IIS pour les tentatives bloquées :

# Vérifier les erreurs 403 dans les journaux IIS
$LogPath = "C:\inetpub\logs\LogFiles\W3SVC1"
Get-ChildItem $LogPath -Filter "*.log" | ForEach-Object {
    Get-Content $_.FullName | Select-String "403.*ecp" | Select-Object -Last 5
}

Configurer la surveillance automatisée :

# Créer une tâche planifiée pour vérifier les tentatives d'accès ECP suspectes
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-ECPAccess.ps1"
$Trigger = New-ScheduledTaskTrigger -Daily -At "09:00"
Register-ScheduledTask -TaskName "Monitor ECP Access" -Action $Action -Trigger $Trigger

Vérification : Testez que la surveillance fonctionne :

# Générer une entrée de journal de test et vérifier qu'elle est capturée
Write-EventLog -LogName Application -Source "Exchange Security" -EventId 1001 -Message "Test de surveillance d'accès ECP"

Établissez une méthode de sauvegarde sécurisée pour accéder à l'administration Exchange au cas où votre accès principal serait compromis ou mal configuré.

Créer un accès d'urgence PowerShell :

# Créer une règle d'accès d'urgence dédiée
New-ClientAccessRule -Name "Emergency Admin Access" -Action AllowAccess -AnyOfProtocols ExchangeAdminCenter -UserRecipientFilter {Department -eq "IT-Emergency"} -Priority 0 -Enabled $false

Configurer l'authentification par certificat :

# Configurer l'authentification par certificat pour l'accès d'urgence
Set-AuthConfig -NewCertificateThumbprint "THUMBPRINT_HERE" -NewCertificateEffectiveDate (Get-Date)

Documenter les procédures d'urgence :

1. Créer un document sécurisé avec les étapes d'accès d'urgence
2. Le stocker dans un endroit accessible sans Exchange (par exemple, console du serveur local)
3. Inclure les commandes pour activer temporairement l'accès d'urgence
4. Tester la procédure d'urgence trimestriellement

Activation de l'accès d'urgence :

# À utiliser uniquement en cas d'urgence - active temporairement la règle d'urgence
Set-ClientAccessRule -Identity "Emergency Admin Access" -Enabled $true

# N'oubliez pas de désactiver après l'urgence
Set-ClientAccessRule -Identity "Emergency Admin Access" -Enabled $false

Vérification : Tester la procédure d'accès d'urgence :

# Vérifier que la règle d'urgence existe mais est désactivée
Get-ClientAccessRule -Identity "Emergency Admin Access" | Format-List Name,Enabled,Priority