none
OWA RRS feed

  • Frage

  • nutzt ihr im Unternehmen OWA. Wir schützt ihr euch dagegen, dass jemand von seinem privaten PC Dateien hochlädt, die schlimmstenfalls nicht mehr Virengescannt sind? OWA macht ja HTTPS direkt zu Exchange und HTTPS Traffic kann nicht gescannt werden.

    https://www.heise.de/security/meldung/Outlook-Web-Access-als-Hintertuer-zum-Firmennetz-2839445.html


    Chris


    Sonntag, 15. März 2020 16:22

Antworten

  • Moin,

    1. HTTPS kann sehr wohl gescannt werden. Web Application Firewalls machen es, indem sie den SSL-Stream terminieren, untersuchen und wieder verschlüsseln. Eine Palo Alto, z.B. kann in den Stream reinsniffen, ohne ihn zu terminieren.
    2. Mit Set-OWAVirtualDirectory -ClassicAttachmentsEnabled $false kannst Du das Anhängen von Attachments verhindern. Da gibt es auch weitere Geschmacksrichtungen wie OneDrive oder Dropbox.
    3. Spätestens im Transit, also nach dem Upload, werden die Attachments dann hoffentlich gescannt :-)
    4. Man kann auch verhindern, dass der Nutzer OWA von seinem privaten PC öffnet :-)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Sonntag, 15. März 2020 17:38
  • zu Pkt 4: wie kann man das bewerkstelligen?

    Zertifikatsbasierte Präauthentifizierung am Reverse Proxy?

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert -- Chris -- Montag, 16. März 2020 12:44
    Sonntag, 15. März 2020 19:35
  • Moin,

    ich würde sagen, spätestens nach IISRESET, aber kannst ja erst mal testweise den OWA-AppPool recyclen, ist weniger invasiv ;-)


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert -- Chris -- Montag, 16. März 2020 12:44
    Montag, 16. März 2020 06:54

Alle Antworten

  • Moin,

    1. HTTPS kann sehr wohl gescannt werden. Web Application Firewalls machen es, indem sie den SSL-Stream terminieren, untersuchen und wieder verschlüsseln. Eine Palo Alto, z.B. kann in den Stream reinsniffen, ohne ihn zu terminieren.
    2. Mit Set-OWAVirtualDirectory -ClassicAttachmentsEnabled $false kannst Du das Anhängen von Attachments verhindern. Da gibt es auch weitere Geschmacksrichtungen wie OneDrive oder Dropbox.
    3. Spätestens im Transit, also nach dem Upload, werden die Attachments dann hoffentlich gescannt :-)
    4. Man kann auch verhindern, dass der Nutzer OWA von seinem privaten PC öffnet :-)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Sonntag, 15. März 2020 17:38
  • Danke Evgenij für die rasche und informative Antwort. Werde ich mir morgen gleich ansehen.

    zu Pkt 4: wie kann man das bewerkstelligen?


    Chris

    Sonntag, 15. März 2020 18:21
  • zu Pkt 4: wie kann man das bewerkstelligen?

    Zertifikatsbasierte Präauthentifizierung am Reverse Proxy?

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert -- Chris -- Montag, 16. März 2020 12:44
    Sonntag, 15. März 2020 19:35
  • hallo Evgenij

    muss man da irgendeinen Service durchstarten?

    [PS] C:\Windows\system32>Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -ClassicAttachmentsEnabled $false
    [PS] C:\Windows\system32>Get-OwaVirtualDirectory | fl *clas*
    
    
    ClassicAttachmentsEnabled : False
    ObjectClass               : {top, msExchVirtualDirectory, msExchOWAVirtualDirectory}
    
    ClassicAttachmentsEnabled : False
    ObjectClass               : {top, msExchVirtualDirectory, msExchOWAVirtualDirectory}
    
    

    trotzdem kann ich noch problemlos attachments hinzufügen und schicken?


    Chris

    Montag, 16. März 2020 06:14
  • Moin,

    ich würde sagen, spätestens nach IISRESET, aber kannst ja erst mal testweise den OWA-AppPool recyclen, ist weniger invasiv ;-)


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert -- Chris -- Montag, 16. März 2020 12:44
    Montag, 16. März 2020 06:54
  • alles ausprobiert. IISReset gemacht. Kann trotzdem noch Dateien verschicken?


    Chris

    Montag, 16. März 2020 17:00
  • Hmmm. Set-OWAVDir, IISRESET, et voilá:

    Norbert würde jetzt fragen, auf welchem Stand Dein Exchange ist ;-)

    Du kannst noch

    Get-OWAMailboxPolicy | Set-OWAMailboxPolicy -ClassicAttachmentsEnabled $false

    nachschicken, aber hier hat es die Änderung am VDir allein schon getan...


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 16. März 2020 18:37
  • ich habe jetzt nochmals die OWAVD gecheckt und siehe da, die waren wieder auf $true obwohl wie oben im Thread diese bereits auf $false waren. Komisch. Trau keinem. Jetzt gehts endlich.

    Chris

    Dienstag, 17. März 2020 06:15