Pour des questions de sécurité il est recommandé de désactiver l’accès à l’ECP depuis le réseau externe, cette interface permet une gestion du serveur Exchange donc si elle est compromise c’est un très grand risque pour votre système. En désactivant uniquement les accès externes, sans désactiver complètement l’ECP, cela évite les attaques par force brute depuis internet et vous avez toujours la possibilité de vous connecter depuis le réseau interne.
Environnement
- Serveur Exchange configuré
- (facultatif) Avoir un accès VPN à votre réseau pour garder un accès depuis l’extérieur
- Se connecter avec un compte administrateur sur le serveur Exchange
Installation Restrictions IP et de domaine
Nous allons mettre en place un blocage à l’aide du rôle de serveur « Restrictions IP et de domaine » qui est un complément prévu dans IIS.
- Ouvrir le gestionnaire de serveur
- Gérer > Ajouter des rôles et fonctionnalités > Poursuivre l’assistant jusqu’à la sélection des rôles
- Dérouler « Serveur Web (IIS) » > Serveur Web > Sécurité
- Cocher « Restrictions IP et de domaine »
- Poursuivre l’assistant jusqu’à la fin de l’installation
Configuration Restrictions IP et de domaine
Une fois l’installation réussie, il faut maintenant mettre en place les restrictions. Nous allons d’abord refuser toutes les connexions puis ajouter des adresses IP autorisées à accéder à l’ECP.
Attention : il est important de bien sélectionner uniquement la partie ECP, sinon les restrictions vont agir sur l’ensemble de vos dossiers virtuels !
- Ouvrir le gestionnaire des services Internet (IIS)
- Menu de gauche, dérouler : « NOM-SERVEUR » > Sites > Default Web Site
- Sélectionner « ecp »
- Double clique sur « Restrictions par adresse IP et domaine » dans le menu central
- Menu de droite, sélectionner « Modifier les paramètres de fonction… »
- Basculer sur « Refuser » pour « Accès pour les clients non spécifiés: »
- Basculer sur « Abandonner » pour « Refuser le type d’action : »
- Valider par « OK »
- Menu de droite, sélectionner « Ajouter une entrée d’autorisation… »
- Cocher « Plage d’adresses IP : » puis saisir 127.0.0.0 avec un masque 255.0.0.0 et valider par « OK »
- Menu de droite, sélectionner « Ajouter une entrée d’autorisation… »
- Renseigner l’adresse IP de votre serveur Exchange et valider par « OK »
Par défaut on ajoute localhost pour être certain que l’ECP soit toujours accessible depuis le serveur en cas de changement d’adresse IP. Ensuite on ajoute l’adresse IP actuelle du serveur Exchange.
Il faudra répéter les étapes 11 et 12 pour ajouter d’autres adresses, par exemple celle de votre poste ou d’un serveur de connexion RDS.
Toujours pour des questions de sécurité, il n’est pas recommandé d’ajouter la plage d’adresses IP de l’ensemble de votre réseau, car vous n’accédez généralement à l’interface que depuis un nombre de postes restreints.
Conclusion
Vous pouvez vérifier que l’accès à l’ECP est maintenant indisponible depuis une adresse qui ne fait pas partie du pool d’adressage autorisé, et vous constaterez que d’une manière très simple vous avez protégé cette interface de gestion.