Exchange 2019 新功能介绍--安全性篇
Exchange 2019正式版已经出来一段时间了,关于它的一些新功能,大家应该有了一些基本的了解,后续我会针对新功能一一地给大家分享。
今天给大家分享的是针对exchange 2019 安全性,在安全性方面,exchange 2019相比2016,在2方面增强了安全性:
针对第1点,exchange 2019支持安装在windows server Core环境,我就不进行详细的介绍了,有需要了解的朋友可以参考下面的链接:
https://blogs.technet.microsoft.com/exchange/2018/07/26/deploy-exchange-server-2019-on-windows-server-core/
针对第2点,阻止针对EAC和EMS的外部访问,在exchange 2019之前的版本中,如果管理员禁止在外部针对EAC的访问,我们需要经过以下过程方可实现:
- 修改exchange 2013或2016的虚拟ECP虚拟目录,将参数adminenable设置为false:Set-ECPVirtualDirectory -Identity "
\ecp (Default Web Site)" -AdminEnabled $false - 在生产环境再重新搭建1台exchange 2013或2016服务器用于EAC管理或者通过对现有服务器添加第2个IP然后通过IIS创建新的网站来实现
如果大家使用的是exchange 2013或2016,正好又有这个需求,大家可以参考下面的链接:
https://docs.microsoft.com/ZH-CN/exchange/architecture/client-access/disable-exchange-admin-center-access?view=exchserver-2016
在本地exchange 2019中,增强了针对EAC和EMS外部访问的安全性,我们可以通过客户端访问规则来直接限制对ExchangeAdminCenter 和 RemotePowerShell的限制,下面我通过一些操作来具体的为大家介绍:
- 我们可以通过以下命令只允许指定的IP对EAC的访问
New-ClientAcce***ule -Name AllowAccessEAC -Action Allow -AnyOfProtocols ExchangeAdminCenter -AnyOfClientIPAddressesOrRanges 192.168.1.8 - 通过以下命令允许指定的IP段对EAC的访问
New-ClientAcce***ule -Name AllowAccessEAC -Action Allow -AnyOfProtocols ExchangeAdminCenter -AnyOfClientIPAddressesOrRanges 192.168.1.0/24
目前exchange 2019仅支持对ExchangeAdminCenter 和 RemotePowerShell的控制,而exchange online上支持以下列表:
ExchangeActiveSync
ExchangeAdminCenter
ExchangeWebServices
IMAP4
OfflineAddressBook
OutlookAnywhere
OutlookWebApp
POP3
PowerShellWebServices
RemotePowerShell
REST
- UniversalOutlook (Mail and Calendar app)
具体的过程大家可以参考官方的链接:
https://docs.microsoft.com/en-us/powershell/module/exchange/client-access/new-clientacce***ule?view=exchange-ps