Getrennte Kennwörter für internen Exchange und externen AS/OWA-Zugriff möglich?

[hop-sing 0]

Hallo,

 

wir betreiben in der Firma einen Exchange 2010 für interne Mail. Jetzt kommen die ganzen Buzz-Words mit "Mobiles Arbeiten", "Cloud", "Home-Office", bla bla. Kurzum, ein Zugriff übers Web per OWA bzw. Active-Sync von privaten Endgeräten muss her. Alles realisierbar.

Mein Problem ist, das unsere User relativ leichte Kennwörter benutzen, was innerhalb vom Betrieb nicht das große Problem ist. Ich habe auch Verständnis dafür, wenn sich keiner eine 12stellige Buchstaben-Zahlen-Kombination merken will, die er auch noch alle 3 Monate erneuern muss.

So würde ich natürlich unsere Mailuser (sind praktisch identisch mit der Gruppe der Windows-User) ans Internet führen und damit jedem die Möglichkeit geben Benutzer/Kennwörter auszuprobieren.

 

Wie schütze ich mich effektiv dagegen? Gibt es nicht eine Möglichkeit zwischen "internen" und "externen" Zonen zu unterscheiden und dort verschieden starke Kennwörter (erzwungen über Kennwortrichtlinien) zu nutzen? Evtl. auch mit Zusatz-Software von anderen Anbietern?

 

Es sollte wirklich von jedem beliebigen Gerät aus Zugriff genommen werden können, also scheiden Zertifikatsbasierte Lösungen (2-Wege-Authentifizierung) mit USB/SmartCard oder fest installiert, aus.

 

Hat jemand so ein Problem schonmal gelöst? Wäre sehr interessiert an Euren Anregungen.

 

[Doso 77]

Nein, geht nicht. Passwörter liegen im AD. Das einzige was man machen kann ist, die Mailuser in eine eigene Gruppe und hier eine stärkere Richtlinie drauf legen. Das haben wir bei VPN Nutzern so gemacht.

[NorbertFe 2.283]

Sehr ich ähnlich wie doso. Wobei man bestimmte Zugänge über 2 Faktor auth. Schützen könnte. Owa Bsp. Da gibts auch diverse SMS Token Lösungen. Ansonsten wirst du wohl nicht drum herum kommen, vernünftige kennwortregeln zu implementieren. Das Thema kennwortsatz wäre eine Möglichkeit, wobei bei der bordeigenen Lösung damit keine trivialen Zeichenketten verhindert werden können.

[NeMiX 76]

Bei uns ist OWA mit SMS Token abgesichert, ActiveSync User haben eine spezielle OU mit starker Kennwortrichtlinie.

Konto Sperrung findet bei uns bereits nach dem 3. Fehlversuch statt, lässt sich dann aber per Self Service Portal im Intranet wieder freischalten (das kann man am Rechner vom Kollegen machen und muss dann wieder einen SMS Token eingeben).

 

Was bei uns auch im Einsatz ist seit ein paar Monaten bei der Kennwortrichtlinie ist weg von Komplexität hin zu mehr länge.

Es werden nur noch min 1 Großbuchstabe und eine Zahl gefordert, dafür mindestens 14 Zeichen:

https://passwordday.org/de/ erklärt das teilweise sehr gut.

[Daniel -MSFT- 129]

Certificate-based Authentication for Exchange ActiveSync in Kombination mit dem Erzwingen einer Device PIN und Remote Wipe ist auch eine Lösung: http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx

 

OWA würde ich dann gar nicht extern anbieten (oder wenn, dann nur mit Two-Faktor-Authentifizierung).

[hop-sing 0]

Das mit dem SMS-Token klingt interessant. Was brauche ich dazu? Ist das ein Fremdprodukt?

[NorbertFe 2.283]

Wir haben SMS passcode im Einsatz. Sollte sich per boogle oder ging finden lassen.

[hop-sing 0]

SMS Passcode klingt richtig gut. Vor allem da es nicht statisch einfach immer ein SMS-Token sendet, sondern es vom Benutzerverhalten (Standort, etc.) abhängig macht.

Würdest Du mir kurz beschreiben wollen, wie das Produkt in Exchange integriert wird?

Wieviele User habt ihr darauf und wie hoch sind die Kosten dafür?

[NorbertFe 2.283]

Muss ich auch nachfragen. Ich hab nur die Installation mit dem tmg Plugin durchgeführt. Den Server hat mein Kollege eingerichtet. Der Support des Herstellers ist aber auf jeden Fall sehr gut.