Lesezeit
3 Minuten
Seite 2 - Sicherheit in Exchange (2)
Sicherheit durch ActiveSync-Postfachrichtlinien
In Exchange 2016 steuern Sie über Richtlinien, welche Geräte der Server zur Synchronisierung zulässt, welche Einstellungen für die Geräte gesetzt sein müssen und auch bestimmte Sicherheitseinstellungen für Benutzer. Sobald sich nun ein Endgerät mit dem Postfach verbindet, überträgt der Server diese Sicherheitseinstellungen. Benutzer müssen diese bestätigen, auf den Geräten umsetzen und dürfen sich erst dann mit ihrem Postfach synchronisieren.
Die Richtlinien konfigurieren Sie im Exchange Admin Center über "Mobil / Postfachrichtlinien für mobile Geräte". Ein Klick auf das Pluszeichen startet das Erstellen einer neuen Richtlinie. Nach der Installation von Exchange 2016 finden Sie in diesem Bereich eine Richtlinie mit der Bezeichnung "Default", die Sie über deren Eigenschaften an Ihre Anforderungen anpassen. Auch lassen sich unterschiedlichen Benutzern verschiedene Richtlinien zuordnen.
Bei jedem ActiveSync-Verbindungsvorgang eines Endgeräts überprüfen Endgerät und Server, ob die Richtlinien noch übereinstimmen. Ändert ein Administrator die Sicherheitsrichtlinien, übernehmen die Endgeräte die Änderungen beim nächsten Synchronisieren, wobei der Zeitstempel für die letzte erfolgreiche Synchronisierung der Richtlinien im Postfach des Benutzers gespeichert ist.
Sie können Informationen zu Richtlinien auch in der Verwaltungsshell abrufen. Dazu verwenden Sie das folgende Cmdlet:
In Exchange 2016 lassen sich auch Regeln festlegen, welche Geräte über das Internet eine Synchronisierung mit dem Postfach durchführen dürfen und welche Exchange sperrt. Die Einstellungen dazu nehmen Sie mit ActiveSync-Gerätezugriffsregeln vor. Die entsprechenden Settings rufen Sie in der Exchange Management Shell mit dem Get-ActiveSyncOrganizationSettings-Cmdlet ab. Die Einstellungen selbst setzen Sie am einfachsten im Exchange Admin Center und zwar unter "Mobil" und "Zugriff auf mobile Geräte".
Bei "Gerätezugriffsregeln" legen Sie fest, welche Geräte Sie generell blockieren oder isolieren wollen. Dazu klicken Sie auf "Neu" und erstellen eine neue Richtlinie. Über "Gerätefamilie" oder "Nur dieses Modell" legen Sie fest, welche Geräte Sie berücksichtigen wollen und verweigern den Zugriff per "Zugriff blockieren". Blockierte Geräte können Sie über diesen Weg auch wieder freischalten, indem Sie die Option bei "Zugriff zulassen" setzen.
Zusätzlich können Sie bestimmte Devices in einen isolierten Bereich setzen. Eine Isolierung ist weniger streng als ein Blockieren und der Benutzer wiederum kann in den Einstellungen für ein Smartphone das Gerät freischalten oder blockieren. Zusätzlich können Administratoren festlegen, wie sich Exchange zukünftig verhalten soll, wenn sich der Anwender mit einem ähnlichen Gerät verbindet. Der Bereich "Status" zeigt Ihnen den aktuellen Blockierungszustand.
Über den Link "Bearbeiten" nehmen Sie Einstellungen bezüglich der Benachrichtigungen vor. Hier legen Sie fest, was mit Geräten passieren soll, die Exchange noch nicht kennt und wie Exchange Anwender über gesperrte Geräte benachrichtigt. Sie können zum Beispiel neue Geräte automatisch blockieren oder isolieren lassen, bevor sich Anwender mit diesen synchronisieren dürfen. Standardmäßig lassen Exchange 2016 und Office 365 neue Geräte zu.
Blockiert Exchange ein neues Gerät oder setzt dieses in den isolierten Bereich von Outlook Web App, können Sie an dieser Stelle einen E-Mail-Text eingeben. Diesen erhält der Anwender in sein Postfach zugestellt, wenn er sich mit einem blockierten Gerät synchronisieren will. Die Einstellungen in diesem Bereich testen Sie zum Beispiel auch mit dem Test-ActiveSyncConnectivity-Cmdlet. Dieser Befehl verhält sich wie ein normales Smartphone und lässt sich auch entsprechend sperren. Im ersten Schritt speichern Sie die Benutzerdaten des Benutzers, mit dem Sie den Zugriff testen wollen, in einer Variablen:
Seite 2: Sicherheit durch ActiveSync-Postfachrichtlinien
Im dritten Teil erklären wir, was sie bei einem Virenscanner auf Dateisystemebene beachten müssen. Im ersten Teil des Workshops lasen Sie, wie Sie Postfächer überwachen und Exchange-Zertifikate konfigurieren..
jp/ln/Thomas Joos
In Exchange 2016 steuern Sie über Richtlinien, welche Geräte der Server zur Synchronisierung zulässt, welche Einstellungen für die Geräte gesetzt sein müssen und auch bestimmte Sicherheitseinstellungen für Benutzer. Sobald sich nun ein Endgerät mit dem Postfach verbindet, überträgt der Server diese Sicherheitseinstellungen. Benutzer müssen diese bestätigen, auf den Geräten umsetzen und dürfen sich erst dann mit ihrem Postfach synchronisieren.
Die Richtlinien konfigurieren Sie im Exchange Admin Center über "Mobil / Postfachrichtlinien für mobile Geräte". Ein Klick auf das Pluszeichen startet das Erstellen einer neuen Richtlinie. Nach der Installation von Exchange 2016 finden Sie in diesem Bereich eine Richtlinie mit der Bezeichnung "Default", die Sie über deren Eigenschaften an Ihre Anforderungen anpassen. Auch lassen sich unterschiedlichen Benutzern verschiedene Richtlinien zuordnen.
Bei jedem ActiveSync-Verbindungsvorgang eines Endgeräts überprüfen Endgerät und Server, ob die Richtlinien noch übereinstimmen. Ändert ein Administrator die Sicherheitsrichtlinien, übernehmen die Endgeräte die Änderungen beim nächsten Synchronisieren, wobei der Zeitstempel für die letzte erfolgreiche Synchronisierung der Richtlinien im Postfach des Benutzers gespeichert ist.
Unter "Mobil / Postfachrichtlinien für mobile Geräte" legen Sie auch fest, ob die Richtlinie aktuell als Standard hinterlegt ist. Exchange weist diese jedem neuen Konto nach der Erstellung automatisch zu.
Nachträglich können Sie jedem Konto eine andere Richtlinie zuordnen. Sie steuern über Richtlinien auch, dass Anwender vor der Verwendung des Endgeräts ein Kennwort eingeben müssen. Standardmäßig ist diese Möglichkeit nicht aktiviert und Anwender können Smartphones ohne Kennwörter verwenden. Beim Festlegen, dass Anwender Kennwörter eingeben sollen, wenn das Smartphone startet oder gesperrt ist, haben Sie verschiedene Möglichkeiten:
- Kennwort anfordern: Aktivieren Sie diese Option, müssen Anwender ein Kennwort für das Smartphone festlegen. Mit den anderen Optionen können Sie den Aufbau der Kennwörter steuern.
- Alphanumerisches Kennwort anfordern: Ist diese Einstellung gesetzt, darf das Kennwort nicht nur Ziffern enthalten, sondern auch normale Zeichen. Diese Option ist standardmäßig nicht aktiv.
- Verschlüsselung für Gerät anfordern: Erzwingt die Verschlüsselung der Speicherkarten im Gerät und ist ebenfalls standardmäßig nicht aktiviert.
- Minimale Kennwortlänge: Gibt die Mindestlänge des Kennworts an.
Sie können Informationen zu Richtlinien auch in der Verwaltungsshell abrufen. Dazu verwenden Sie das folgende Cmdlet:
Get-ActiveSyncMailboxPolicy -Identity <Name der Richtlinie>Mit Set-ActiveSyncMailboxPolicy passen Sie Richtlinien an. Ein Beispiel für eine Neuanlage einer Richtlinie lautet:
New-MobileDeviceMailboxPolicy -Name:"Management" -AllowBluetooth:$trueRichtig sinnvoll ist eine Richtlinie natürlich erst dann, wenn Sie diese mehreren, am besten allen Anwendern zuweisen:
-AllowBrowser:$true -AllowCamera:$true -AllowPOPIMAPEmail:$false
-PasswordEnabled:$true -AlphanumericPasswordRequired: $true
-PasswordRecoveryEnabled: $true -MaxEmailAgeFilter:10 -AllowWiFi:$true
-AllowStorageCard:$true -AllowPOPIMAPEmail: $false
Get-Mailbox | Set-CASMailboxActiveSync-Gerätezugriffsregeln
-ActiveSyncMailboxPolicy(Get-ActiveSyncMailboxPolicy
<Name der Richtlinie>).Identity
In Exchange 2016 lassen sich auch Regeln festlegen, welche Geräte über das Internet eine Synchronisierung mit dem Postfach durchführen dürfen und welche Exchange sperrt. Die Einstellungen dazu nehmen Sie mit ActiveSync-Gerätezugriffsregeln vor. Die entsprechenden Settings rufen Sie in der Exchange Management Shell mit dem Get-ActiveSyncOrganizationSettings-Cmdlet ab. Die Einstellungen selbst setzen Sie am einfachsten im Exchange Admin Center und zwar unter "Mobil" und "Zugriff auf mobile Geräte".
Bei "Gerätezugriffsregeln" legen Sie fest, welche Geräte Sie generell blockieren oder isolieren wollen. Dazu klicken Sie auf "Neu" und erstellen eine neue Richtlinie. Über "Gerätefamilie" oder "Nur dieses Modell" legen Sie fest, welche Geräte Sie berücksichtigen wollen und verweigern den Zugriff per "Zugriff blockieren". Blockierte Geräte können Sie über diesen Weg auch wieder freischalten, indem Sie die Option bei "Zugriff zulassen" setzen.
Zusätzlich können Sie bestimmte Devices in einen isolierten Bereich setzen. Eine Isolierung ist weniger streng als ein Blockieren und der Benutzer wiederum kann in den Einstellungen für ein Smartphone das Gerät freischalten oder blockieren. Zusätzlich können Administratoren festlegen, wie sich Exchange zukünftig verhalten soll, wenn sich der Anwender mit einem ähnlichen Gerät verbindet. Der Bereich "Status" zeigt Ihnen den aktuellen Blockierungszustand.
Über den Link "Bearbeiten" nehmen Sie Einstellungen bezüglich der Benachrichtigungen vor. Hier legen Sie fest, was mit Geräten passieren soll, die Exchange noch nicht kennt und wie Exchange Anwender über gesperrte Geräte benachrichtigt. Sie können zum Beispiel neue Geräte automatisch blockieren oder isolieren lassen, bevor sich Anwender mit diesen synchronisieren dürfen. Standardmäßig lassen Exchange 2016 und Office 365 neue Geräte zu.
Blockiert Exchange ein neues Gerät oder setzt dieses in den isolierten Bereich von Outlook Web App, können Sie an dieser Stelle einen E-Mail-Text eingeben. Diesen erhält der Anwender in sein Postfach zugestellt, wenn er sich mit einem blockierten Gerät synchronisieren will. Die Einstellungen in diesem Bereich testen Sie zum Beispiel auch mit dem Test-ActiveSyncConnectivity-Cmdlet. Dieser Befehl verhält sich wie ein normales Smartphone und lässt sich auch entsprechend sperren. Im ersten Schritt speichern Sie die Benutzerdaten des Benutzers, mit dem Sie den Zugriff testen wollen, in einer Variablen:
$credential = Get-CredentialAnschließend testen Sie den Zugang mit der folgenden Abfrage:
Test-ActiveSyncConnectivity -MailboxCredential $credentialHaben Sie ein Gerät gesperrt, erhält der entsprechende Anwender eine E-Mail zugestellt. Den Text legen Sie in den beschriebenen Einstellungen fest.
Seite 2: Sicherheit durch ActiveSync-Postfachrichtlinien
Im dritten Teil erklären wir, was sie bei einem Virenscanner auf Dateisystemebene beachten müssen. Im ersten Teil des Workshops lasen Sie, wie Sie Postfächer überwachen und Exchange-Zertifikate konfigurieren..
<< Vorherige Seite | Seite 2 von 2 |
jp/ln/Thomas Joos