Click on the Category button to get more articles regarding that product.
Diese Uebersicht soll zeigen wie man Activesync mit Exchange 2007 oder 2010 SP1 sicherer machen kann.
Will man extern Activesync aber kein OWA stellt sich die Frage wie man dies löst.
Klare Antowort wäre hier der ISA Server oder eine Application Firewall. Dies wird aber selten gerne gesehen bei Endkunden.
IP Restirctions? Internes Subnetz darf und alles andere nicht im IIS Verzeichniss OWA?
Auf keinen fall sollte man DIREKT am IIS 6/7 auf dem Exchange zu viel ändern. Wie dieser Bericht zeit sind einige Kunden auf die Idee gekommen dies via IP Restrictions zu lösen.
Dies führt im schlimmste Fall zu einem Ausfall des Exchange CAS Servers. Powershell und der Enduser ändern dann zugleich settings im IIS. Das problem ist, dass Exchange
nicht mehr den Status kennt. (Es enstehen dann Flip Flops, Also Checkboxen die Aktiv angezeigt werde aber an sich passic sind),.
1 Exchange 2007, SP3 rollup X (Last release)
Eine Isolierung mit GUI und automtaishc ist nicht moeglich. Man muss dies manuell via Powershell machen.
Hier kommen in Frage:
– User Certificate von interner CA. Dieses wird manuell erstellt. Via Storage Card auf das Mobile kopiert und dort nach Abfrage eines Passwortes geladen. Die manuellen Schritte bringen eine Sicherheit aber auch einen Mehraufwand je nach Mobile Typ (WM, IPhone, Android)
– Man kann per Powershell die ActiveSync Möglichkeit abstellen und dann bei einzelnen Usern aktivieren. Bei neu erstellten Usern wird dies aber aktiviert sein. Eine Möglichkeit wäre dies zu Skripten.
Möglichkeiten Geräte-ID Filterung
1 ISAPI Filter im IIS selber integrieren, der nur bestimmte ActiveSync device zulässt. Dies ist heikel sobald man andere ISAPI-Filter installiert hat. Sei es nun RSA oder Vasco welche mittels ISAPI in den IIS eingreifen. Zudem wäre dies bei jeder Migration oder bei einem Service Pack ein zu beachtender Schritt. Installiert irgendjemand ein Service Pack und vergisst den ISAPI-Filter würde ActiveSync zwar gehen aber dies eventuell unbeachtet mit verminderter Sicherheit.
2 Filtern der ID’s Firewall seitig. Hier können dies von Haus aus Sonicwall und ISA Server. Das ganze muss technisch über ein Session Tracking laufen. Man kann die URL nicht NUR nach den Device ID Filtern. Es gibt auch Zugriffe in welcher die Device-ID NICHT enthalten (b) ist und diese müsste die Firewall auch durchlassen. Die Regular Expression sollte z.B. dann die gewünschten Geräte (Text Strings) zulassen und die anderen nicht. Weiss gar nicht ob sowas mit einer Fortigate geht.
a) 2011-01-18 00:01:34 W3SVC1 192.168.1.10 GET /exchange/musterr@kunde.ch/NON_IPM_SUBTREE/Microsoft-Server-ActiveSync/iPhone/Appl833372CZA4T/afab853cfe233545a33345964ee250d6-6b1346 – 80 KUNDE\muster 192.168.2.10 Microsoft-Server-ActiveSync/6.5.7638.1 200 0 0
b) 2011-01-18 00:01:31 W3SVC1 192.168.1.10 SUBSCRIBE /Exchange/muster@kunde.ch/Kontakte/ – 80 – 192.168.2.10 Microsoft-Server-ActiveSync/6.5.7631.1 401 2 2148074254 (Diesen Zugriff kann ich nicht einfach filtern!)
3 Filtern der ID’s unter Exchange 2007 SP3
Der Zugriff lässt sich mittel Device ID steuern. Ein User kann eine einzelne ID oder mehrere zugewiesen haben. Ist der Array leer hat er keine Beschränkung.
Setzen einer einzelnen Device ID:
Set-CASMailbox m.butsch -ActiveSyncAllowedDeviceIDs C06F963D5734ABC3EFGH3BCDEFGH123456
Mehrere Device ID setzen:
Set-CASMailbox m.butsch -ActiveSyncAllowedDeviceIDs {IMEI1, IMEI2, IMEI3}
Das Iphone und IPAD mit diesen Serienummern/DeviciD fuer den user m.butsch erlauben:
Set-CASMailbox -Identity m.butsch -ActiveSyncAllowedDeviceIDs: “Appl85032Z0NA4T”,”DN5FR27UDFJ1″
Löschen des Array/Aller gebundenen Geräte > Mit diesem Befehl gibt es keinen DeviceID lock mehr und es können alle Geräte für diesen user syncen:
Set-CASMailbox m.butsch -ActiveSyncAllowedDeviceIDs $null
Auslesen der bestehenden Einträge für den User:
Get-CASMailbox m.butsch | fl
Ansehen aller Activesync Logs Exchange 2010
$Mailboxes = Get-Mailbox -ResultSize:Unlimited
$Mailboxes | ForEach {Get-ActiveSyncDeviceStatistics -Mailbox:$_.Identity} | Where {$_.LastSuccessSync -gt ‘2/15/2014’}
Ansehen aller Activesync Logs Exchange 2007
Get-Mailbox -ResultSize:Unlimited | ForEach {Get-ActiveSyncDeviceStatistics -Mailbox:$_.Identity} | Where {$_.LastSuccessSync -gt ‘2/15/2007’}
2 Reset Mobile Partnerships
Manchmal lassen sich Die Mobile Partnships via Exchange GUI nicht entfernen auf Exchange 2010.
Welche Partnershops hat der user m.butsch:
Get-ActiveSyncDeviceStatistics -Mailbox m.butsch | Where {$_.LastSuccessSync -gt ‘2/15/2015’}
Auslesen der Infos die wir brauchen:
ApplDNPLPC59FFGD, 1540688e-713a-4f6a-ae6a-13eed2914521
EJOIO72EE16JV94R9SHIF9F3GG, 120f8498-c623-4326-93a9-9d8cf3f471f1
FCC0T095DH5973GQE324PJKNEC, 13633b54-e713-40ce-bbb4-743f62849a61
Entfernen der Partnships:
remove-activesyncdevice 1540688e-713a-4f6a-ae6a-13eed2914521 -confirm:$false
remove-activesyncdevice 120f8498-c623-4326-93a9-9d8cf3f471f1 -confirm:$false
remove-activesyncdevice 13633b54-e713-40ce-bbb4-743f62849a61 -confirm:$false
3 Exchange 2010, SP1 was ist Moeglich zur Absicherung
Hier kann man klar alle neuen Gerät ablehnen und dann einzelne erlauben.
Zusätzlich mit einem „User Certificate“ ist dies eine sichere Lösung. Dies alles bequem über Web Zugriff.
4 Android HTC 2.1/2.2 (Keine Activesync ohne Zusatzsoftware bei User Certificate Absicherung, SAN und DEVICE-ID Filter Einsatz!)
Bitte immer nur mit Touhcdown Nitrodesk, alles andere geht nicht oder geht nicht zu 100%. Nicht probieren!
Da Google Activesync nicht offiziell Protokolliert hat gibt es das einte oder andere Problem. Wer das ganze wirklich sicher will braucht: User-Certificate, DEVICE-ID Filter. Vorab, Android 2.2 HTC kann mit Exchange 2007/2010 SP1 nicht
sauber syncen. Es braucht dazu eine Zusatzsoftware: Touchdown, “Exchange for Android 2.X”. Diese kostet rund USD 29.- und es WIRD nur mit dieser Software gehen. Ein weiterer Aspekt sind die verschiedenen DEVICE-ID’s mit welchen
Android kommt. Mann muss beim Android alse mehrere Device ID frei geben. Ob sich dese bei einem Update des OS ändern ist unklar. Der User kann ja das OS selber updaten via Menu Funtkion.
Im LOG des IIS auf dem Client Access Server (CAS) des Exchange findet man aber relativ schnell die Einträge, welche dies zeigen:
2011-02-23 10:08:05 W3SVC1 BUTSCH 192.168.1.22 POST /Microsoft-Server-ActiveSync/default.eas User=computerladen.ch%5test&Cmd=FolderSync&DeviceId=515350545456485251575357505252&DeviceType=Android&Log=V25_LdapC0_LdapL0_RpcC9_RpcL15_Ers1_Pk0_Error:DeviceIsBlockedForThisUser_ 443 computerladen.ch\test 213.55.131.188 HTTP/1.1 TouchDown(MSRPC)/6.2.0012
The reason iPhone doesn’t have this problem is because they have actually licensed the Exchange ActiveSync rights from Microsoft (They pay Microsoft a license fee for every iPhone sold). So they’ve been given the entire documentation on how Webdav (The ActiveSync protocol) works. Everyone else out there has just watched the interaction between webdav and end user devices and reverse engineered how to talk to it. That’s why Touchdown and the stock Droid Email app don’t know how to do everything that Exchange is capable of doing. Credit to Touchdown … they have done a much better job than everyone else, but it’s still not 100% compliant.
Guter Link zum Thema OWA Absichern von extern inkl. Tabelle mit was von aussen offen sein sollte und nicht:
http://www.msxfaq.de/clients/owafirewall.htm