winmadness

Hallo, würde es den Betrieb von Windows Servern 2016 (VMs mit Exchange 2016, Fileser, DC) beeinträchtigen, wenn ich den kompletten ausgehenden Internet-Verkehr in der vorgeschalteten Firewall blockieren würde. Bis auf den Port für ActiveSync (NICHT Standardport 443) würde ich gerne alle anderen Ports ins Internet sperren. Mir würde noch folgende IPs einfallen, welche ich freigeben müsste: WSUS . EMails werden intern über einen MTA zugestellt. Hat hier jemand bereits Erfahrungen gesammelt?

Hallo, ich habe bereits im Forum von Frankysweb.de folgende Frage gestellt: Ich habe eine Frage zu folgender Überlegung: Aus dem Internet ist nur ActiveSync über einen eigenen Port erreichbar. Alle anderen Dienste nur über VPN / LAN. Würde die Sicherheit von EAS erhöht werden, wenn ich einen eigenen vSwitch (Exchange läuft in einer Hyper-V VM) mit eigenem Netzwerk für den EAS Dienst anlegen würde. Ich könnte dieses Netzwerk auf dem Server über die "Öffentliche Firewall" komplett dicht machen und nur den EAS Port durchlassen. Auch in der OPNSense Firewall könnte ich das Netzwerk komplett absichern. Die Frage ist nun ob dieses einen potentiellen Angriff wie ProxyLogon verhindern könnte. Der Angreifer könnte bei einer vergleichbaren Sicherheitslücke in ActiveSync eine Webshell im EAS Verzeichnis ablegen. Wenn er sich dann noch Systemrechte über einen Exploit verschaffen könnte wäre das zusätzliche Netzwerk sinnlos. Eure Meinung hierzu.