Maraun 12 Geschrieben 24. März 2014 Melden Teilen Geschrieben 24. März 2014 Hallo zusammen, wir haben eine Exchange 2010 Serverfarm und den OWA auch für Außen per TMG freigegeben. Grundsätzlich kann jeder Benutzer von intern und extern den OWA nutzen. Jetzt gibt es viele User (vornehmlich der Aussendienst), die sich mit ihren privaten Smartphones ihr Exchange Konto einrichten und damit Geschäftsdaten auf dem Privatgerät vorhalten und nutzen. Kann ich den OWA-Zugriff per Zertifikat oder anderen Möglichkeiten so einschränken, dass OWA weiterhin von intern und extern erreichbar ist, der Benutzer allerdings dafür ein SSL-Zertifikat zwingend benötigt? Der Sinn ist eigentlich, den OWA Zugriff zunächst mal überall da weiter zuzulassen, wo die Daten temporär im Zugriff sind. Auf zum Beispiel einem privaten (nicht aber einem geschäftlichen) Smartphone, dass sich synchronisiert und die Mails lokal vorhält, würde ich gerne den Zugriff einschränken oder verhindern. Wir nutzen leider noch keine MDM Software. Eine andere Idee wäre, den OWA per Citrix Session freizugeben, um die lokale Datenablage zu verhindern. Hat mir bitte jemand Tipp, was ich da noch machen könnte? Viele Grüße Alex Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 24. März 2014 Melden Teilen Geschrieben 24. März 2014 Reden wir von EAS? Dann wäre eventuell die Mobile Device Quarantine was für dich. Da kannst du als Admin bestimmen, welche Geräte sich verbinden dürfen. Zertifikate für EAS geht zwar grundsätzlich auch, aber das ist recht viel Aufwand für eine in meinen Augen eher eine "Bequemlichkeitsfunktion" als eine "Sicherheitsfunktion". Man möge mich ggf. korrigieren. ;) http://blogs.technet.com/b/exchange/archive/2010/11/15/3411539.aspx HTH Norbert Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 24. März 2014 Autor Melden Teilen Geschrieben 24. März 2014 Hi Norbert, vielen Dank für die schnelle Hilfe.EAS in erster Linie, da hilft mir der Link bzw. die Option bereits sehr weiter. Da wir im Unternehmen nur IPhones unterstützen, würde ich eine IPhone Regel erstellen und um die privaten IPhone-Nutzer abzufangen, isoliere ich erstmal alle und lasse sie manuell zu. Bedeutet im Umkehrschluss bei 100 IPhone-User allerdings einiges an Aufwand.Nachgelagert kommt aber sicher noch der Wunsch dazu, den Webmailer auch im Zugriff irgendwie (Zertifikate) einzuschränken. Hat jemand Erfahrung mit Zertifikaten für den Webmailer-Zugriff?Viele Grüße Alex Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 24. März 2014 Melden Teilen Geschrieben 24. März 2014 Wie willst du denn OWA und Zertifikate sinnvoll miteinander verbinden? Der Sinn an dieser Stelle (ein möglichst problemfreier Zugang von jeglichem Gerät) ist dann ja auch nicht mehr gegeben. Also ich würde da eher mit Multifaktor-Authentifizierung wie SMS Passcode usw. arbeiten. Aber eventuell kannst du ja mehr schreiben, was das Ziel sein soll, dass der OWA nur per Certifikat erreichbar sein soll. Bye Norbert Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 24. März 2014 Melden Teilen Geschrieben 24. März 2014 Nur den Port 443 weiterleiten oder auf dem IIS eine Weiterleitung von 80 auf 443 einrichten. Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 24. März 2014 Melden Teilen Geschrieben 24. März 2014 Es geht um Clientzertifikate würde ich sagen, so wie ich das bisher hier rauslese, und nicht um das Serverzertifikat. ;) Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 24. März 2014 Melden Teilen Geschrieben 24. März 2014 (bearbeitet) Man kann z.B. mit TMG eine Multi-Faktor-Authentifizierung einbinden: http://www.isaserver.org/articles-tutorials/configuration-security/configure-windows-azure-multi-factor-authentication-forefront-threat-management-gateway-tmg-2010.html UAG hatte als Feature auch die Möglichkeit, den Zugriff auf Resourcen nur von bestimmten Geräten zu erlauben, die die Firmenpolicy eingehalten haben: http://www.isaserver.org/articles-tutorials/general/Microsoft-Forefront-UAG-Explaining-configuring-Forefront-UAG-endpoint-policies.html In die Richtung würde ich dann mal denken für OWA. bearbeitet 24. März 2014 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 24. März 2014 Melden Teilen Geschrieben 24. März 2014 b***d nur, dass beide Produkte von MS eingestellt wurden. ;) Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 24. März 2014 Melden Teilen Geschrieben 24. März 2014 Tja, leider. Aber bis 2020 gibts noch Support und TMG gibt's noch als Appliance (sogar als VHD). Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 24. März 2014 Melden Teilen Geschrieben 24. März 2014 Ja, aber es wird schwer im "Security"Umfeld Produkte zu platzieren, bei denen quasi keine pflege und schon gar keine Weiterentwicklung stattfindet. Da muss man eben langsam doch zu alternativen greifen, die leider alle entweder Featuretechnisch oder im handling deutlich hinterherhinken was die Integration in ad und das veröffentlichen von Exchange USW. Angeht. Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 25. März 2014 Autor Melden Teilen Geschrieben 25. März 2014 Hallo zusammen, erstmal vielen Dank für die ganzen Postings, Meinungen und Tipps. Wir haben in unserrem Umfeld vermehrt mit Datenklau zu kämpfen, daher kommt der eigentliche Ansatz zur Absicherung.Der Punkt ist eigentlich genau, wie von Norbert beschrieben, dass es eine Überlegung gibt, den Webmail-Zugriff einzuschränken, zum Beispiel nur für Geräte, die ein passendes Zertifikat vorhalten. TMG wäre natürlich eine andere Alternative.Auch ein SMS Passcode/Tokensecurity, falls möglich, könnte ich mir vorstellen. Im Moment geht es mir nur mal um die theoretischen Möglichkeiten und auch um den Aufwand, den sowas generiert.Wichtiger in diesem Zusammenhang ist schon EAS für mich, da dort Daten auf dem Smartphone gespeichert werden. Hier habe ich von Norbert den Tipp mit der Mobile Device Quarantäne, die ich in meinem Fall dann manuell für alle Geschäftshandys zulassen muss.Eventuell kann ich auch per MDM (wenn wir denn mal ne Software haben) Exchange Konfigs an die Geräte pushen und den Rest vorab automatisch sperren.Grüße Alex Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 25. März 2014 Melden Teilen Geschrieben 25. März 2014 Naja, dann schick ich mir die Mails eben direkt an GMX. ;) Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 25. März 2014 Autor Melden Teilen Geschrieben 25. März 2014 Aber das sehe ich dann wenigstens im Message Tracking :-). Wenngleich das dann halt schon zu spät ist. Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 25. März 2014 Melden Teilen Geschrieben 25. März 2014 Gegen Datenklau kannst Du auf diesem Wege nichts sinnvolles tun. Die DLP bei Ex 2013 sind ein Fortschritt, aber richtig sicher bekommt man das erst mit RMS -> http://www.windowspro.de/andreas-kroschel/die-windows-active-directory-rechteverwaltungsdienste Hat allerdings hohe Anforderungen für die Implementierung und schützt auch nur so lange, wie die Leute es nutzen wollen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.