Der Zugriff via ActiveSync auf Exchange Postfächer gehört mittlerweile zum Alltag, allerdings sollten die Risiken die mit dem mobilen Zugriff entstehen, nicht außer Acht gelassen werden. Oft haben Anwender ihr Smartphone nicht einmal mit einer PIN geschützt, wird dann das Smartphone gestohlen oder geht verloren, kann jeder die geschäftlichen Mails lesen oder schlimmere Dinge anstellen.
In der Standard Exchange Konfiguration darf jeder Benutzer 100 ActiveSync Geräte (bei Exchange 2010 waren es noch 10) mit seinem Postfach verbinden, was bei manchen Benutzern dazu führt, dass auch das iPad der Frau, das Handy der Tochter, das Tablet des Nachbarn und 50 alte Geräte die schon längst bei eBay verkauft wurden, dass Postfach abrufen. Es gibt allerdings ein paar einfache Methoden um zumindest für etwas mehr Sicherheit zu sorgen:
Anzahl der erlaubten Active Sync Geräte pro Postfach festlegen
Die Anzahl der ActiveSync Geräte pro Postfach lässt sich via Throttlingpolicy beschränken, um die ActiveSync Einstellungen der Standard Throttlingpolicy anzuzeigen, kann der unten stehende Befehl eingegeben werden.
Get-ThrottlingPolicy default* | fl eas*
Um die Anzahl der ActiveSync Gerät auf 5 Geräte pro Postfach zu beschränken kann der folgende Befehl verwendet werden, wobei 5 natürlich ein variabler Wert ist:
Set-ThrottlingPolicy default* -EasMaxDevices 5
Mit dem Beschränken der maximalen Anzahl von ActiveSync Geräten können wir schon etwas “Wildwuchs” verhindern, allerdings haben wir noch keine Kontrolle darüber ob sich nicht “Nachbars Tablet” unter den Geräten befindet, daher sollte jedes ActiveSync Gerät explizit genehmigt werden.
Active Sync Geräte müssen genehmigt/zugelassen werden
Um zu verhindern das Anwender auf irgendwelchen Geräten ihre Zugangsdaten eingeben, damit mal schnell ein paar E-Mails geprüft werden können, sollte ein Administrator jedes neue Active Sync Gerät bestätigen. Diese Option lässt sich leicht im ECP konfigurieren, gehört aber ebenfalls nicht zum Standard. Im ECP muss dazu im Menü der Punkt “Mobil” gewählt werden, mit der Schaltfläche “Bearbeiten” lässt sich festlegen, welcher Admin ActiveSync Geräte freigeben kann
In dem Dialog “Einstellungen für den Exchange ActiveSync-Zugriff” kann nun “In Qurantäne stellen” ausgewählt werden, zusätzlich muss dann ein Admin eingetragen werden, der ActiveSync Geräte zulässt
Wenn ein Benutzer nun versucht ein neues Gerät mit Exchange zu verbinden, kann er das Konto zwar erfolgreich einrichten, bekommt dann aber nur eine Mail synchronisiert:
Der ausgewählte Admin bekommt ebenfalls eine Mail, in der er benachrichtigt wird ein neues Gerät freizugeben oder zu blockieren. Es ist allerdings etwas Vorsicht geboten, wenn diese Funktion nachträglich eingerichtet wird, landen alle Geräte die schon erfolgreich Eine ActiveSync Verbindung hergestellt haben in Quarantäne und die entsprechenden Benutzer erhalten die Quarantäne Mail. Wer die Quarantäne Funktion nachträglich einschaltet, findet hier ein Script in dem alle bisherigen ActiveSync Geräte genehmigt werden. Die Mail bezüglich der Quarantäne wird allerdings trotzdem verschickt.
Jetzt ist also schon die Anzahl der Gerät beschränkt und es wird durch einen Administrator kontrolliert, ob der Anwender ein neues Gerät verbinden darf, jetzt gilt es noch ein wenig Sicherheit auf dem gerät zu schaffen
Richtlinien für ActiveSync Geräte
“Richtlinien für mobile Geräte” erlauben es bestimmte Sicherheitsfunktionen auf dem Gerät vorauszusetzen, die Standard Einstellung ist allerdings auch hier sehr gutmütig:
Welche Einstellungen sinnvoll sind muss jeder selbst entscheiden, ein PIN sollte meiner Ansicht aber immer erforderlich sein. Um eine PIN vorauszusetzen, kann eine neue Richtlinie erzeugt werden, oder die “Default”-Richtlinie angepasst werden
Um eine einfache PIN aus 4 Ziffern vorzuschreiben, kann diese Richtlinie verwendet werden
Die oben dargestellte Richtlinie wird als Standard Richtlinie übernommen, Geräte die diese Richtlinie nicht unterstützen, können auch nicht synchronisiert werden. Das Kennwort darf “einfach” sein, also nur aus Ziffern bestehen und muss mindestens 4 Zeichen lang sein. Über die EMS lässt sich hier noch einiges mehr konfigurieren, allerdings unterstützen nicht alle Geräte solche Regeln
Get-MobileDeviceMailboxPolicy <Name>
bzw.
Set-MobileDeviceMailboxPolicy frankysweb -AllowIrDA $false
Welche Einstellungen von welchen Geräten unterstützt wird, gibt es hier: http://en.wikipedia.org/wiki/Comparison_of_Exchange_ActiveSync_clients
Diese einfachen Regeln sorgen für verbesserte Sicherheit für ActiveSync Geräte, ActiveSync ist per Default für jedes Postfach aktiviert, daher sollte jeder Administrator sich überlegen, ob er den Zugriff nicht etwas eindämmt. Im nächsten Artikel gibt es dann kleines Script welches eine Whitelist für ActiveSync Benutzer führt.
Hi,
wenn ich auf einem Exchange 2010 (aktueller Patchstand) die Quarantäne nachträglich einführe und die Device per Script vorher in die Whitelist schreiben lasse, bekommen die Leute wie beim Exch2013 eine Mail oder reagiert das System anders? :)
MFG
Sebastian