Jump to content

Sicherheitsabschätzung für das Recht Exchange-Identitätswechsel (Exchange Impersonation)


Direkt zur Lösung Gelöst von cj_berlin,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin zusammen,

 

ich habe hier eine extwas komplexere Situation, bei der mir leider auch nicht alle Details Dritter Beteiligter bekannt sind:

 

- gehostetes DMS System von Dienstleister 1, welches via VPN an das Kundennetz angebunden ist

- Hersteller des DMS und somit Dienstleister 2

- Supportdienstleister des DMS und daher Dienstleister 3

- IT-Dienstleister des Kunden und somit Dienstleister 4

- Kunde

 

Soweit erstmal zu den Beteiligten.

 

Nun soll vom DMS ein Zugriff auf ein einziges Exchange Postfach (liegt auf onPrem Exchange 2016 des Kunden) mittels EWS erfolgen (eRechnungen sollen dort abgegriffen werden), für das der Hersteller des DMS gern folgendes realisiert haben möchte (Aufgabe für IT-Dienstleister des Kunden)

 

 

Sie müssen sicherstellen, dass das Benutzerkonto über die erforderlichen Berechtigungen für Microsoft Exchange Server verfügt, insbesondere das Recht Exchange-Identitätswechsel (Rolle Exchange Impersonation). Mit diesem Recht können Aktionen auf allen Postfächern im Namen der entsprechenden Besitzer ausgeführt werden.

Sie benötigen für das Benutzerkonto zum Identitätswechsel nur dann ein Microsoft Exchange-Postfach, wenn Sie xyz Dienst verwenden. Für abc Dienst in Microsoft Outlook ist kein Microsoft Exchange Postfach für den Identitätswechsel notwendig.

Sie können die Berechtigungen mit dem folgenden PowerShell-Befehl ändern:

New-ManagementRoleAssignment –Name:impersonationAssignmentName –
Role:ApplicationImpersonation


Wenn Sie dem Benutzerkonto nur Rechte auf bestimmte Postfächer erteilen möchten, können Sie mit einem Filter für einen regulären, gefilterten Empfängerbereich (RecipientRestrictionFilter) die Berechtigungen einschränken.
Sie können z.B. einen PowerShell-Befehl angeben, um einen Exchange-Identitätswechsel für das Dienstkonto auf die Postfächer 1 und 2 zu erteilen.

 

Die beiden fett markierten Dienstnamen sind von mir geändert. Das sind Dienste des DMS, die anders benannt sind.

 

Mich würde generell mal eure Einschätzung zu dieser Rechteanforderung interessieren.

Glücklicherweise haben wir sonst solche Anwendungsanforderungen nicht.

 

Rein vom Bauchgefühl her ist der unbeschränkte Zugriff auf alle Postfächer schon mal ein NoGo, sodass der Zugriff mindestens auf das eine Postfach beschränkt werden muss.

 

Aber auch sonst halte ich eigentlich nicht viel vom EWS Zugriff von Third Party Anwendungen.

 

Wie schätzt Ihr das ein?

Link zu diesem Kommentar

Ja, selbst mit RP ist mir OWA und EWS alles nichts. Das ganze Gedöns und angepasse und all das, was so an Sicherheitslücken in der Vergangenheit lief und künftig noch kommt... Microsoft macht hier einfach großen Grütz.

 

Und mir ist das eigentlich deutlich zu viel Aufwand für den Abgriff eines einzigen popligen Postfaches...

 

Grundlegend seht Ihr in der Anpassung der Berechtigungen aber kein Problem?

bearbeitet von Wolke2k4
Link zu diesem Kommentar
  • Beste Lösung

Moin,

 

das einzige, was an EWS als Zugriffsprotokoll auszusetzen wäre, ist, dass damit der vollständige Befehlssatz möglich ist, sprich, dass damit auch Mails, Permissions vorausgesetzt, versendet werden können. Daher, wo möglich, NICHT mit Impersonation arbeiten, sondern mit expliziten Berechtigungen, und dort nur das Leserecht erteilen. Muss die Anwendung natürlich in ihrem Code umsetzen.

 

Ansonsten, wenn es nur um Lesezugriff geht, POP3 und IMAP4 sind immer noch möglich - auch da muss die Anwendung dies im Code umsetzen.

 

Schwieriger wird es, wenn die zugreifende Anwendung die Elemente, auf die zugegriffen wird, anpassen muss - zum Beispiel, den Link zum Speicherort im DMS in eine MAPI-Property des archivierten Eintrags injizieren. Das geht wieder nur über EWS oder MAPI, und MAPI willst Du wirklich nicht.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...