olc 18 Geschrieben 25. Mai 2007 Melden Teilen Geschrieben 25. Mai 2007 Hallo Leute, ich bin gerade ein wenig geschockt über einen - meiner Meinung nach - datenschutztechnischen Supergau: Über den RSS-Feed von MSXFAQ bin ich gerade auf das Tool MFCMAPI gestolpert: MSXFAQ.DE - MFCMAPI Vorab: Der Windows-Account, unter dem ich mit dem Tool getestet habe, hat Domänen-Admin Rechte. Nun habe ich ein wenig mit dem Tool gearbeitet und mußte plötzlich feststellen, daß ich auf ALLE Mailboxen unserer Exchange Server Zugriff habe. Auf JEDEN Ordner, auf jedes Objekt (Mails, Kalender, Notizen etc.). Das kann doch nicht wahr sein!?! Normalerweise sollte doch die Standard-Rechtevergabe des Exchange Servers genau diesen Effekt verhindern. Wer einmal Backup-Lösungen für Exchange implementiert hat oder mit Exmerge gearbeitet hat wird wissen, daß das auch ganz gut funktioniert. Ich habe gerade noch einmal alle Rechte überprüft - die Verweigerung für Domänen-Admins ist definitiv eingerichtet. Kennt jemand von Euch diesen Effekt? Könnt Ihr das bei Euch nachvollziehen? Gruß olc Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 25. Mai 2007 Melden Teilen Geschrieben 25. Mai 2007 HI. Ja und, der Domänen Admin hatt Vollzugriff auf alle Postfächer. Schau dir das einmal in den Sicherheitseinstellungen des Postfaches an und nicht in den Postfachberechtigungen. Und vor allem hat er das wichtige "SendAs" Recht. Es werden wohl nicht alle User in eurer Domain Domänenadminrechte haben, oder ? LG Günther Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 25. Mai 2007 Autor Melden Teilen Geschrieben 25. Mai 2007 Hallo Günther, vielen Dank für Deine Antwort. Es werden wohl nicht alle User in eurer Domain Domänenadminrechte haben, oder ? Nein, sicherlich nicht. Aber es soll auch nicht jeder Domänen-Admin auch Exchange-Admin Rechte bzw. problemlosen Zugriff auf alle Mailboxen haben... Das Ganze führt also meines Erachtens große Teile des Sicherheitskonzepts hinter dem Postfachschutz mittels ACL vollkommen ad absurdum. Es geht nicht darum, daß man sich als Domänen-Admin diese Rechte nicht selbst geben könnte. Das ist klar. Aber gerade weil die Berechtigungen auf die Postfachspeicher etc. nach außen hin bzw. auf den ersten Blick so restriktiv scheinen, finde ich diesen Zugriff noch viel problematischer. Ich bin bisher davon ausgegangen, daß man die Sicherheitseinstellungen direkt bearbeiten muß, um einen solchen Effekt zu erreichen. Deshalb mein Beispiel oben mit dem Backup. Daß es jedoch dermaßen problemlos möglich ist an die Daten zu kommen, finde ich extrem heftig... Wenn ich in den Sicherheitseinstellungen "Verweigert" lese gehe ich im Normalfall auch davon aus, daß der Zugriff tatsächlich auch verweigert wird. ;) Danke und Gruß olc Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 25. Mai 2007 Melden Teilen Geschrieben 25. Mai 2007 HI. Ich verstehe deine Aufregung nicht. Befasse dich bitte einmal mit den Berechtigungen eines Exchange Server, und hier heißt es: "Nur Domänen-Administratoren, keine Exchange Administratoren können Verwaltungsrechte zum Verwalten von Benutzer und Kontaktobjekten zuweisen". Somit ist klar, das jemand der Rechte zuweisen kann, erst einmal dieses Recht überhaupt haben muss. LG Günther Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 25. Mai 2007 Autor Melden Teilen Geschrieben 25. Mai 2007 Jetzt hast Du aber offensichtlich meinen Beitrag gar nicht richtig gelesen: Genau das, was Du schreibst, habe ich im letzten Beitrag ja bestätigt. Darum geht es mir im Kern jedoch nicht: Es ist doch ein Unterschied, ob jemand sich selbst oder anderen ein bestimmtes Recht geben kann oder ob man trotz nicht explizit vergebenen Rechten auf alle Daten zugreifen kann, die eigentlich geschützt werden sollen. Also noch einmal: Es geht mir nicht darum, daß es diese Möglichkeit der Rechtevergabe gibt. Das liegt in der Natur der Sache. Es geht mir darum, wie sich das mit diesem Tool meiner Meinung nach umgehen kann. In der Standardkonfiguration ist es mir nicht möglich, auf ein Postfach zuzugreifen, wenn ich Domänen-, Org- oder Exchange-Administrator bin. Dieses Recht ist mir explizit verweigert. Wenn also jemand auf ein Postfach zugreifen will oder Daten exportieren möchte, muß er - entweder die ACL ändern - oder einem nicht-administrativen Account die Rechte geben. In beiden Fällen kann man das überwachen. Das Öffnen von E-Mails o.ä. mit dem genannten Tool macht das jedoch vollkommen unnötig. Und das bereitet mir Bauchschmerzen. Danke und Gruß olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.