Exchange 2010 OWA nur mit Zertifikat nutzbar machen

[Maraun 12]

Hallo zusammen,

 

wir haben eine Exchange 2010 Serverfarm und den OWA auch für Außen per TMG freigegeben.

Grundsätzlich kann jeder Benutzer von intern und extern den OWA nutzen.

Jetzt gibt es viele User (vornehmlich der Aussendienst), die sich mit ihren privaten Smartphones ihr Exchange Konto einrichten

und damit Geschäftsdaten auf dem Privatgerät vorhalten und nutzen.

Kann ich den OWA-Zugriff per Zertifikat oder anderen Möglichkeiten so einschränken, dass OWA weiterhin von intern und extern erreichbar ist,

der Benutzer allerdings dafür ein SSL-Zertifikat zwingend benötigt?

 

Der Sinn ist eigentlich, den OWA Zugriff zunächst mal überall da weiter zuzulassen, wo die Daten temporär im Zugriff sind.

Auf zum Beispiel einem privaten (nicht aber einem geschäftlichen) Smartphone, dass sich synchronisiert und die Mails lokal vorhält, würde ich gerne den Zugriff einschränken oder verhindern.

Wir nutzen leider noch keine MDM Software.

 

Eine andere Idee wäre, den OWA per Citrix Session freizugeben, um die lokale Datenablage zu verhindern.

 

Hat mir bitte jemand Tipp, was ich da noch machen könnte?

 

Viele Grüße

Alex

[NorbertFe 1.845]

Reden wir von EAS? Dann wäre eventuell die Mobile Device Quarantine was für dich. Da kannst du als Admin bestimmen, welche Geräte sich verbinden dürfen. Zertifikate für EAS geht zwar grundsätzlich auch, aber das ist recht viel Aufwand für eine in meinen Augen eher eine "Bequemlichkeitsfunktion" als eine "Sicherheitsfunktion". Man möge mich ggf. korrigieren. ;)

 

http://blogs.technet.com/b/exchange/archive/2010/11/15/3411539.aspx

 

HTH

Norbert

[Maraun 12]

Hi Norbert,

 

vielen Dank für die schnelle Hilfe.

EAS in erster Linie, da hilft mir der Link bzw. die Option bereits sehr weiter.

Da wir im Unternehmen nur IPhones unterstützen, würde ich eine IPhone Regel erstellen und

um die privaten IPhone-Nutzer abzufangen, isoliere ich erstmal alle und lasse sie manuell zu.

Bedeutet im Umkehrschluss bei 100 IPhone-User allerdings einiges an Aufwand.

Nachgelagert kommt aber sicher noch der Wunsch dazu, den Webmailer auch im Zugriff irgendwie (Zertifikate) einzuschränken.

 

Hat jemand Erfahrung mit Zertifikaten für den Webmailer-Zugriff?

Viele Grüße

Alex

[NorbertFe 1.845]

Wie willst du denn OWA und Zertifikate sinnvoll miteinander verbinden? Der Sinn an dieser Stelle (ein möglichst problemfreier Zugang von jeglichem Gerät) ist dann ja auch nicht mehr gegeben. Also ich würde da eher mit Multifaktor-Authentifizierung wie SMS Passcode usw. arbeiten. Aber eventuell kannst du ja mehr schreiben, was das Ziel sein soll, dass der OWA nur per Certifikat erreichbar sein soll.

 

Bye

Norbert

[Doso 77]

Nur den Port 443 weiterleiten oder auf dem IIS eine Weiterleitung von 80 auf 443 einrichten.

[NorbertFe 1.845]

Es geht um Clientzertifikate würde ich sagen, so wie ich das bisher hier rauslese, und nicht um das Serverzertifikat. ;)

[Daniel -MSFT- 129]

Man kann z.B. mit TMG eine Multi-Faktor-Authentifizierung einbinden: http://www.isaserver.org/articles-tutorials/configuration-security/configure-windows-azure-multi-factor-authentication-forefront-threat-management-gateway-tmg-2010.html UAG hatte als Feature auch die Möglichkeit, den Zugriff auf Resourcen nur von bestimmten Geräten zu erlauben, die die Firmenpolicy eingehalten haben: http://www.isaserver.org/articles-tutorials/general/Microsoft-Forefront-UAG-Explaining-configuring-Forefront-UAG-endpoint-policies.html 

 

In die Richtung würde ich dann mal denken für OWA.

bearbeitet 24. März 2014 von Daniel -MSFT-

[NorbertFe 1.845]

b***d nur, dass beide Produkte von MS eingestellt wurden. ;)

[Daniel -MSFT- 129]

Tja, leider. Aber bis 2020 gibts noch Support und TMG gibt's noch als Appliance (sogar als VHD).

[NorbertFe 1.845]

Ja, aber es wird schwer im "Security"Umfeld Produkte zu platzieren, bei denen quasi keine pflege und schon gar keine Weiterentwicklung stattfindet. Da muss man eben langsam doch zu alternativen greifen, die leider alle entweder Featuretechnisch oder im handling deutlich hinterherhinken was die Integration in ad und das veröffentlichen von Exchange USW. Angeht.

[Maraun 12]

Hallo zusammen,

 

erstmal vielen Dank für die ganzen Postings, Meinungen und Tipps.

Wir haben in unserrem Umfeld vermehrt mit Datenklau zu kämpfen, daher kommt der eigentliche Ansatz zur Absicherung.
Der Punkt ist eigentlich genau, wie von Norbert beschrieben, dass es eine Überlegung gibt, den Webmail-Zugriff einzuschränken,

zum Beispiel nur für Geräte, die ein passendes Zertifikat vorhalten. TMG wäre natürlich eine andere Alternative.
Auch ein SMS Passcode/Tokensecurity, falls möglich, könnte ich mir vorstellen.

Im Moment geht es mir nur mal um die theoretischen Möglichkeiten und auch um den Aufwand, den sowas generiert.
Wichtiger in diesem Zusammenhang ist schon EAS für mich, da dort Daten auf dem Smartphone gespeichert werden.

Hier habe ich von Norbert den Tipp mit der Mobile Device Quarantäne, die ich in meinem Fall dann manuell für alle Geschäftshandys zulassen muss.
Eventuell kann ich auch per MDM (wenn wir denn mal ne Software haben) Exchange Konfigs an die Geräte pushen und den Rest vorab automatisch sperren.

Grüße

Alex
 

[NorbertFe 1.845]

Naja, dann schick ich mir die Mails eben direkt an GMX. ;)

[Maraun 12]

Aber das sehe ich dann wenigstens im Message Tracking :-).

Wenngleich das dann halt schon zu spät ist.

[RobertWi 81]

Gegen Datenklau kannst Du auf diesem Wege nichts sinnvolles tun.

 

Die DLP bei Ex 2013 sind ein Fortschritt, aber richtig sicher bekommt man das erst mit RMS -> http://www.windowspro.de/andreas-kroschel/die-windows-active-directory-rechteverwaltungsdienste

 

Hat allerdings hohe Anforderungen für die Implementierung und schützt auch nur  so lange, wie die Leute es nutzen wollen.