Wir haben da eine Sicherheitslücke in unserem System festgestellt, welches wir uns absolut nicht erklären können. Laut meines Kollegen ist die Firewall so konfiguriert, dass alle Ports dicht sind, die einen Zugriff auf das Dateisystem in unserem Hause von extern ermöglichen würden.
Nun stellte sich heraus, dass eine externe Mitarbeiterin einen lokalen Serverpfad (\\servername\ordner1\ordner2) in einer Mail auf ihrem Android-Tablet erhielt und da auch drauf klickte und prompt in dem benannten Dateisystem navigieren konnte. (Im Rahmen ihrer Sicherheitsfreigaben auf den Ordnern gemäß ihres Domänenaccounts. Gesperrte Ordner sind für sie auch über diesen Weg gesperrt.) Aber wir wollen das überhaupt nicht, dass jemand von außen auf Daten kommt.
Als sie mir davon erzählte, konnte ich das gar nicht glauben, dass sie wirklich Zugriff erhält und dachte sie hätte da was mit unserem externen Cloudspeicher verwechselt.
Mal zur technischen Spezifikation:
Windows 2008R2 mit besagten Dateien. Ordnerfreigaben für gewisse Nutzer und Gruppen, die domänenseitig verwaltet werden.
Exchange 2010 der die Mails versendet.
Tablet mit Android 4.4.2. Das einzige domänenverbindende Element ist das Microsoft Exchange Active Sync Konto auf dem Tablet.
Das eigenartige ist, in höheren Androidversionen tritt das Problem nicht auf, sprich der Link wird nicht geöffnet. Es ist uns allerdings insgesamt ein Rätsel, wie hier überhaupt eine solche Weiterleitung in unser lokales System passieren kann (lokaler Pfad) und wo die Authentifizierung stattfindet.
Als Mailprogramm haben wir dieses Standard-E-Mail benutzt. Klicke ich hier einen lokalen Pfad an, erscheint ein Fenster "Offener Speicherort". Untertitel "Adresse der Windows Sharepoint Services- oder Windows-Dateifreigabe". Darunter wiederum ist erneut der lokale Pfad angegeben, den ich nun modifizieren könnte. Klicke ich ok, lande ich in besagtem Ordner.
Ich bin nicht der Servertechniker und mein Kollege ist überfragt. Wie gesagt, rechtetechnisch darf die Dame ja theoretisch auf die Dateien zugreifen, aber wir wollen keinerlei externen Zugriff, da dies schon ein Schritt weiter ist, als überhaupt jemand kommen sollte.