De temps en temps, des équipes de sécurité détectent des règles de transfert de courrier électronique en dehors de l'entreprise et souhaitent les neutraliser.
Dans certain cas la règle de transfert peut être neutralisée directement depuis le portail d'administration mais, dans d'autres cas ce n'est pas possible (règle créer directement depuis le client outlook par exemple); c'est a ce moment qu'on me demande de trouver et neutraliser la règle.
Pour ce faire rien de plus simple, il faut :
- Se connecter à Exchange online avec les bonnes permissions.
- Identifier la boite en question.
- Rechercher les règles sur la boite.
- Identifier celle qui dérange.
- La supprimer.
A l'aide de Powershell connectez vous à Exchange Online
Connect-ExchangeOnline
Identifier la boite aux lettres que vous souhaitez cibler, j'utilise de préférence la "PirmarySMTPAddress", puis faite une recherche des règles sur la boite via :
Get-InboxRule -Mailbox xxxxxxx@xxxxxxxx.xxx
Il se peut que la commande retourne plusieurs règles, dans ce cas prenez le temps de parcourir le champs "Description" de chacune pour comprendre ce que chaque règle fait; il est également possible de vérifier directement les champs "ForwardAsAttachmentTo" et "ForwardTo" pour voir vers quelle adresse est renvoyé le mail.
Une fois cette dernière identifiée, récupérez son attribut "RuleIdentity" et lancez la commande suivante en prenant soin de remplacer les "0000000000000" par la valeur RuleIdentity que vous avez récupéré.
Remove-InboxRule -Mailbox xxxxxxxxxxx@xxxxxxx.xxx -Identity 0000000000000 -Confirm:$false
Un de mes clients m'a demandé de changer le port RDP par défaut (3389) par un port personnalisé afin de renforcer la sécurité, sur tous les appareils Windows qui sont gérés par Intune.
Ma proposition était de créer un script de remédiation et le pousser sur tous le parc Windows.
N.B : je vais utiliser le port 6612 comme exemple de port RDP personnalisé.
Script de détection :
# Get RDP information
$PortNumber = (Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp').PortNumber
# Check Custom Port number
if ($PortNumber -eq 6612)
{
Write-host "Port Number is OK"
exit 0
}
else
{
Write-host "Port Number should be changed from $PortNumber to 6612"
exit 1
}
Script de remédiation :
# Declare custom RDP Port value
$portvalue = 6612
Try {
#Do the RDP port change
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber" -Value $portvalue
New-NetFirewallRule -DisplayName 'RDPPORTLatest-TCP-In' -Profile 'Public' -Direction Inbound -Action Allow -Protocol TCP -LocalPort $portvalue
Write-Host "RDP port has changed to $portvalue"
}
Catch
{
# Output the Error and Log to a file
Write-host "Encountered Error:"$_.Exception.Message
}