Exchange Server Remote PowerShell Engelleme

Bu hafta Exchange Server için duyurulan ZeroDay için birden fazla makale yayınladım, o makalelere aşağıda linklerden ulaşabilirsiniz.

Exchange Server RCE Zero Day Updates – Cengiz YILMAZ

Exchange Server’da Yeni Zero Day – Cengiz YILMAZ

Exchange Server On-premises Mitigation Tool v2 – Cengiz YILMAZ

Microsoft’un önerdiği geçiçi çözümü uyguladıysanız ek çözüm olarak ortamınızda Remote PowerShell‘de kapatabilirsiniz.

Exchange Server‘da olduğu gibi diğer Microsoft ürünlerindede genel olarak RCE zafiyeti zaman zaman bulunuyor. Ortamınızda bulunan Exchange Server için Remote PowerShell’i engelleyerek bu tarz saldırıların riskini kapatabilirsiniz.

Bu işlem için biz Windows Firewall kullanacağız. Ortamınızda eğer Exchange Server 2019 kullanıyorsanız eğer Client Access Rules kullanabilirsiniz.

Exchange Server 2019’da EAC/RemotePowerShell Engelleme (Client Access Rules) – ÇözümPark (cozumpark.com)

Windows Firewall HTTP(5985) HTTPS(5986) portlarını kapatacağız.

Öncelikle Windows Firewall – Inbound Rules adımlarını takip ediyoruz.

image 10

Sol tarafta bulunan Actions Menüsünde, New Rule butonuna tıklıyoruz.

Açılan ekranda oluşturmuş olduğumuz kural için, aksiyon seçmemiz gerekiyor. Biz Port üzerinde işlem yapacağımız için Port bölümünü işaretleyerek devam ediyoruz.

image 11

Does this rule apply to TCP or UDP bölümüne, TCP’yi işaretliyoruz.

Does this rule apply to all local ports or specific local ports adımında ise; Specific local ports işaretliyoruz ve 5985,5986 portlarını giriyoruz.

image 12

İlgili isteklerin engellenmesini istediğimiz için, Block the connection adımını işaretliyoruz.

image 13

İlgili kuralı Domain, Private ve Public için uyguluyoruz.

image 14

Oluşturmuş olduğumuz kural için bir isim oluşturuyoruz.

image 15

Oluşturmuş olduğumuz kural Inbound Rules bölümünde gözükmektedir. Dilerseniz Invoke-WebRequest seti ile yapmış olduğunuz işlemi doğrulayabilirsiniz.

image 16

Yorum yapın