Auswerten von Verbindungen zum Outlook Profil (exchange 2013) per Outlook Client
Liebe Community,
ich hoffe mir kann jemand bei einer Frage helfen.
Wenn ein User sich per Active Sync mit seinem Outlook profile verbindet, kann ich dies bequem über Powershell oder ECP ermitteln.
Geräte sperren etc. bzw. sehen was für eine Geräteklasse die Connection aufbaut. (https://www.msxfaq.de/exchange/mobil/easauswertung.htm)
Ich suche nach einer Methode dieses auch zu sehen, wenn jemand sich per Outlook verbindet.
Ich meine es kann ja jeder Mitarbeiter bevor er das Unternehmen verlässt, zu hause einen PC installieren mit einem frischen Outlook drauf.
Benutzername und Passwort kennt er ja sowieso, sonst könnte er nicht arbeiten.
Jetzt verbindet er einfach sein privates Outlook per Autodiscover und braucht so nicht einmal mehr eine Server Adresse.
Wenn man ein signiertes Zertifikat hat, braucht er nicht mal zuvor die Zertifikate manuell zu besorgen / installieren.
Selbst wenn ich direkt am letzten Tag seiner Tätigkeit bei uns, seinen Account direkt sperre, hat er ja trotzdem die Mails aus seinem Postfach im Cache - also ost.
Er kann dann irgendwann ganz gemütlich das alles in eine pst exportieren und zum ggf. Konkurrenten mitnehmen.
Was empfiehlt ihr in dem Szenario?
Gibt es eine Möglichkeit Verbindungen per Outlook zu einem profil anzuzeigen?
ich hoffe mir kann jemand bei einer Frage helfen.
Wenn ein User sich per Active Sync mit seinem Outlook profile verbindet, kann ich dies bequem über Powershell oder ECP ermitteln.
Geräte sperren etc. bzw. sehen was für eine Geräteklasse die Connection aufbaut. (https://www.msxfaq.de/exchange/mobil/easauswertung.htm)
Ich suche nach einer Methode dieses auch zu sehen, wenn jemand sich per Outlook verbindet.
Ich meine es kann ja jeder Mitarbeiter bevor er das Unternehmen verlässt, zu hause einen PC installieren mit einem frischen Outlook drauf.
Benutzername und Passwort kennt er ja sowieso, sonst könnte er nicht arbeiten.
Jetzt verbindet er einfach sein privates Outlook per Autodiscover und braucht so nicht einmal mehr eine Server Adresse.
Wenn man ein signiertes Zertifikat hat, braucht er nicht mal zuvor die Zertifikate manuell zu besorgen / installieren.
Selbst wenn ich direkt am letzten Tag seiner Tätigkeit bei uns, seinen Account direkt sperre, hat er ja trotzdem die Mails aus seinem Postfach im Cache - also ost.
Er kann dann irgendwann ganz gemütlich das alles in eine pst exportieren und zum ggf. Konkurrenten mitnehmen.
Was empfiehlt ihr in dem Szenario?
Gibt es eine Möglichkeit Verbindungen per Outlook zu einem profil anzuzeigen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 420794
Url: https://administrator.de/contentid/420794
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
9 Kommentare
Neuester Kommentar
hi
https://docs.microsoft.com/de-de/exchange/plan-and-deploy/post-installat ...
Du kannst Clientzertifikate an deine Clients ausrollen und dann am Exchange ein Clientzertifikat vorraussetzen, zur Authentifizierung.
Damit hättest du jeglichen unauthorisierten Client raus. Macht aber bei Mobiltelefonen probleme, wenn du kein MDM einsetzt
https://docs.microsoft.com/de-de/exchange/plan-and-deploy/post-installat ...
Du kannst Clientzertifikate an deine Clients ausrollen und dann am Exchange ein Clientzertifikat vorraussetzen, zur Authentifizierung.
Damit hättest du jeglichen unauthorisierten Client raus. Macht aber bei Mobiltelefonen probleme, wenn du kein MDM einsetzt
Mahlzeit.
Wir könnten bei uns nicht mit selbstsignierten Zertifikaten arbeiten, allein der Arbeitsaufwand für das Installieren selbiger auf mobilen Endgeräten würde den Rahmen mehr als deutlich sprengen. Ich anderen Umgebungen mag das aber ein gangbarer Weg sein, wobei auch der nicht ausschließt, dass der MA "mitdenkt"...
Cheers,
jsysde
Zitat von @Penny.Cilin:
Wenn ein Mitarbeiter das unternehmen verlässt, wird er freigestellt und SOFORT!!! der Zugriff gesperrt.
Naja, das sollte klar sein - aber wenn ich als MA kündigen will, weiß ich das ne Weile vorher und habe so oder so genügend Zeit, Daten abzuziehen. Das ist ein immerwährendes Problem...Wenn ein Mitarbeiter das unternehmen verlässt, wird er freigestellt und SOFORT!!! der Zugriff gesperrt.
Wir könnten bei uns nicht mit selbstsignierten Zertifikaten arbeiten, allein der Arbeitsaufwand für das Installieren selbiger auf mobilen Endgeräten würde den Rahmen mehr als deutlich sprengen. Ich anderen Umgebungen mag das aber ein gangbarer Weg sein, wobei auch der nicht ausschließt, dass der MA "mitdenkt"...
Cheers,
jsysde
Mahlzeit.
Aha. Und was ist für dich "richtig"?
Ich habe schon zig Dutzend Exchange-Installation aufgebaut und betreut, nicht einmal waren die Anforderungen identisch. Zudem kann nicht jeder ein MDM einsetzen...
In einer idealen Welt stimme ich dir zu, aber wer betreibt seine Infrastruktur schon unter Laborbedingungen?
Cheers,
jsysde
Aha. Und was ist für dich "richtig"?
Ich habe schon zig Dutzend Exchange-Installation aufgebaut und betreut, nicht einmal waren die Anforderungen identisch. Zudem kann nicht jeder ein MDM einsetzen...
In einer idealen Welt stimme ich dir zu, aber wer betreibt seine Infrastruktur schon unter Laborbedingungen?
Cheers,
jsysde
aber wenn jemand ein Zertifikat aus seinem Arbeits-Pc exportiert - bringt euch das gar nix.
Den Export kann (und muss!) man ja verhindern. Ein frei rumkopierbares Clientzertifikat ist so sinnlos wie ein Passwort auf nem Post-It...Zur Frage: Es ist (mir) unklar was du mit "Clientverbindung per Outlookclient" meinst.
Du kannst an der Exchange Console bzw per Powershell sehen, welche Devices eine Subscription haben. Das hilft dir aber bei "Outlook" nix.
IMHO gibt's da keine sinnvolle möglichkeit zu sehen "von wie vielen Outlooks" der User sich angemeldet hatte. Wenn überhaupt, dann kannst du da ja nur sehen welche Outlookversion und welche RemoteIP da im spiel war. Fraglich ob das was bringt. Die IP ändert sich eh ständig, wenn z.B Notebooks von daheim aus verwendet werden, und die Outlookversion ... naja.
Selbst wenn: Was willst du dann mit der Info? Zu dem Mitarbeiter gehen und sagen: "Aber lösch die Daten von daheim!" ?
Es gibt da IMHO nur 2 möglichkeiten: Clientgeräte per Zertifikat prüfen, damit nur authorisierte Geräte sich anmelden können,
oder den Sync von extern nur per VPN zulassen, was heutzutage nicht praktikabel ist.
Und all das hindert den User auch nicht daran die Mails vom Arbeitsplatz zu exportieren und auf einen USB Stick zu kopieren.
Zertifikate bringen zusätzliche Sicherheit im Sinne von: ein kompromittiertes Passwort alleine reicht nicht um an die Mails zu kommen.
Mit dem "Abfluss" von Mails muss man allerdings leben. Das ist nix was man technisch regeln kann. Das regeln die Anwälte ...
Mahlzeit.
Wenn du das über nen LoadBalancer (mit oder ohne Pre-Auth) abfrühstückst, kannst du ggf. auch in dessen Logs was finden. Ist aber alles Bastelei, eine Out-of-the-Box-Lösung will mir grad nicht einfallen.
Cheers,
jsysde
Zitat von @askando:
[...]aber keiner hat mir auf die Frage geantwortet, ob es möglich ist, Clientverbindungen per Oultook Client in irgendeiner Form auszulesen.
[...]Also zum Thema zurück: Wie siehts aus mit Powershell? gibt es da einen Befehl?
Hmm... Du könntest das Security Eventlog auf deinem/deinen Exchange Server(n) auswerten - da steht normalerweise auch der Clientcomputername mit drin: Eventid 4624/Logon.[...]aber keiner hat mir auf die Frage geantwortet, ob es möglich ist, Clientverbindungen per Oultook Client in irgendeiner Form auszulesen.
[...]Also zum Thema zurück: Wie siehts aus mit Powershell? gibt es da einen Befehl?
Wenn du das über nen LoadBalancer (mit oder ohne Pre-Auth) abfrühstückst, kannst du ggf. auch in dessen Logs was finden. Ist aber alles Bastelei, eine Out-of-the-Box-Lösung will mir grad nicht einfallen.
Cheers,
jsysde
Als Einstiegslektüre