zikan1982 2 Geschrieben 15. Januar 2019 Melden Teilen Geschrieben 15. Januar 2019 Wir haben da eine Sicherheitslücke in unserem System festgestellt, welches wir uns absolut nicht erklären können. Laut meines Kollegen ist die Firewall so konfiguriert, dass alle Ports dicht sind, die einen Zugriff auf das Dateisystem in unserem Hause von extern ermöglichen würden. Nun stellte sich heraus, dass eine externe Mitarbeiterin einen lokalen Serverpfad (\\servername\ordner1\ordner2) in einer Mail auf ihrem Android-Tablet erhielt und da auch drauf klickte und prompt in dem benannten Dateisystem navigieren konnte. (Im Rahmen ihrer Sicherheitsfreigaben auf den Ordnern gemäß ihres Domänenaccounts. Gesperrte Ordner sind für sie auch über diesen Weg gesperrt.) Aber wir wollen das überhaupt nicht, dass jemand von außen auf Daten kommt. Als sie mir davon erzählte, konnte ich das gar nicht glauben, dass sie wirklich Zugriff erhält und dachte sie hätte da was mit unserem externen Cloudspeicher verwechselt. Mal zur technischen Spezifikation: Windows 2008R2 mit besagten Dateien. Ordnerfreigaben für gewisse Nutzer und Gruppen, die domänenseitig verwaltet werden. Exchange 2010 der die Mails versendet. Tablet mit Android 4.4.2. Das einzige domänenverbindende Element ist das Microsoft Exchange Active Sync Konto auf dem Tablet. Das eigenartige ist, in höheren Androidversionen tritt das Problem nicht auf, sprich der Link wird nicht geöffnet. Es ist uns allerdings insgesamt ein Rätsel, wie hier überhaupt eine solche Weiterleitung in unser lokales System passieren kann (lokaler Pfad) und wo die Authentifizierung stattfindet. Als Mailprogramm haben wir dieses Standard-E-Mail benutzt. Klicke ich hier einen lokalen Pfad an, erscheint ein Fenster "Offener Speicherort". Untertitel "Adresse der Windows Sharepoint Services- oder Windows-Dateifreigabe". Darunter wiederum ist erneut der lokale Pfad angegeben, den ich nun modifizieren könnte. Klicke ich ok, lande ich in besagtem Ordner. Ich bin nicht der Servertechniker und mein Kollege ist überfragt. Wie gesagt, rechtetechnisch darf die Dame ja theoretisch auf die Dateien zugreifen, aber wir wollen keinerlei externen Zugriff, da dies schon ein Schritt weiter ist, als überhaupt jemand kommen sollte. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 15. Januar 2019 Melden Teilen Geschrieben 15. Januar 2019 Gabs mal die Möglichkeit im exchange (owa) auf dort konfigurierte filsesysteme zuzugreifen. 1 1 Zitieren Link zu diesem Kommentar
zikan1982 2 Geschrieben 16. Januar 2019 Autor Melden Teilen Geschrieben 16. Januar 2019 Danke, das mit der OWA war ein guter Tipp. Open Exchange Management Console -> drill down to server configuration -> Client Access -> Exchange ActiveSync (middle tab) -> right click on the name (default website in my case) properties -> Remote file servers tab. From here, you can allow or deny access. 2 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. Januar 2019 Melden Teilen Geschrieben 16. Januar 2019 (bearbeitet) Hast du in die anderen Listen denn auch mal geschaut? Wußte gar nicht, dass die Funktion noch "vorhanden" ist. Kenn das eigentlich nur von 2007. bearbeitet 16. Januar 2019 von NorbertFe Zitieren Link zu diesem Kommentar
zikan1982 2 Geschrieben 22. Januar 2019 Autor Melden Teilen Geschrieben 22. Januar 2019 Wir haben weder Block- noch Zulassungslisten definiert. Sollte aber ja eigentlich durch die Dropbox mit "Blockieren" dann auch geregelt sein, so wie ich das verstehe. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 22. Januar 2019 Melden Teilen Geschrieben 22. Januar 2019 Ja. Korrekt. Gibt übrigens auch nen ziemlich ausführlichen Link, der das Problem aus sicherheitstechnischer Sicht beschreibt. Kann ich bei Bedarf gern hier posten. 2 Zitieren Link zu diesem Kommentar
zikan1982 2 Geschrieben 22. Januar 2019 Autor Melden Teilen Geschrieben 22. Januar 2019 Wird gern angenommen. Man kann nie zu viel wissen ;) Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 24. Januar 2019 Melden Teilen Geschrieben 24. Januar 2019 @NorbertFe würde mich auch interessieren. @zikan1982 habt Ihr auch mal mit einem iPhone getestet? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 31. Januar 2019 Melden Teilen Geschrieben 31. Januar 2019 Am 22.1.2019 um 16:36 schrieb zikan1982: Wird gern angenommen. Man kann nie zu viel wissen ;) Da ist was dran. Bitteschön: https://labs.mwrinfosecurity.com/blog/accessing-internal-fileshares-through-exchange-activesync/ Bye Norbert 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.