askando
Goto Top

Auswerten von Verbindungen zum Outlook Profil (exchange 2013) per Outlook Client

Liebe Community,

ich hoffe mir kann jemand bei einer Frage helfen.
Wenn ein User sich per Active Sync mit seinem Outlook profile verbindet, kann ich dies bequem über Powershell oder ECP ermitteln.
Geräte sperren etc. bzw. sehen was für eine Geräteklasse die Connection aufbaut. (https://www.msxfaq.de/exchange/mobil/easauswertung.htm)
Ich suche nach einer Methode dieses auch zu sehen, wenn jemand sich per Outlook verbindet.

Ich meine es kann ja jeder Mitarbeiter bevor er das Unternehmen verlässt, zu hause einen PC installieren mit einem frischen Outlook drauf.
Benutzername und Passwort kennt er ja sowieso, sonst könnte er nicht arbeiten.
Jetzt verbindet er einfach sein privates Outlook per Autodiscover und braucht so nicht einmal mehr eine Server Adresse.
Wenn man ein signiertes Zertifikat hat, braucht er nicht mal zuvor die Zertifikate manuell zu besorgen / installieren.

Selbst wenn ich direkt am letzten Tag seiner Tätigkeit bei uns, seinen Account direkt sperre, hat er ja trotzdem die Mails aus seinem Postfach im Cache - also ost.
Er kann dann irgendwann ganz gemütlich das alles in eine pst exportieren und zum ggf. Konkurrenten mitnehmen.

Was empfiehlt ihr in dem Szenario?
Gibt es eine Möglichkeit Verbindungen per Outlook zu einem profil anzuzeigen?

Content-ID: 420794

Url: https://administrator.de/contentid/420794

Ausgedruckt am: 22.11.2024 um 01:11 Uhr

Penny.Cilin
Penny.Cilin 22.02.2019 um 13:06:28 Uhr
Goto Top
Hallo,

ich glaube Du hast ein ganz anderes Problem.
Wenn ein Mitarbeiter das unternehmen verlässt, wird er freigestellt und SOFORT!!! der Zugriff gesperrt.
Und nicht erst am letzten Tag.

Gruss Penny
SeaStorm
SeaStorm 22.02.2019 um 13:11:17 Uhr
Goto Top
hi

https://docs.microsoft.com/de-de/exchange/plan-and-deploy/post-installat ...
Du kannst Clientzertifikate an deine Clients ausrollen und dann am Exchange ein Clientzertifikat vorraussetzen, zur Authentifizierung.
Damit hättest du jeglichen unauthorisierten Client raus. Macht aber bei Mobiltelefonen probleme, wenn du kein MDM einsetzt
jsysde
jsysde 22.02.2019 um 13:21:37 Uhr
Goto Top
Mahlzeit.

Zitat von @Penny.Cilin:
Wenn ein Mitarbeiter das unternehmen verlässt, wird er freigestellt und SOFORT!!! der Zugriff gesperrt.
Naja, das sollte klar sein - aber wenn ich als MA kündigen will, weiß ich das ne Weile vorher und habe so oder so genügend Zeit, Daten abzuziehen. Das ist ein immerwährendes Problem...

Wir könnten bei uns nicht mit selbstsignierten Zertifikaten arbeiten, allein der Arbeitsaufwand für das Installieren selbiger auf mobilen Endgeräten würde den Rahmen mehr als deutlich sprengen. Ich anderen Umgebungen mag das aber ein gangbarer Weg sein, wobei auch der nicht ausschließt, dass der MA "mitdenkt"...

Cheers,
jsysde
SeaStorm
SeaStorm 22.02.2019 um 13:28:25 Uhr
Goto Top
1x richtig gemacht, ist der Arbeitsaufwand genau Null...
jsysde
jsysde 22.02.2019 um 13:40:09 Uhr
Goto Top
Mahlzeit.

Zitat von @SeaStorm:
1x richtig gemacht, ist der Arbeitsaufwand genau Null...
Aha. Und was ist für dich "richtig"?
Ich habe schon zig Dutzend Exchange-Installation aufgebaut und betreut, nicht einmal waren die Anforderungen identisch. Zudem kann nicht jeder ein MDM einsetzen...

In einer idealen Welt stimme ich dir zu, aber wer betreibt seine Infrastruktur schon unter Laborbedingungen?

Cheers,
jsysde
askando
askando 22.02.2019 um 13:47:19 Uhr
Goto Top
Also das man Mitarbeiter sofort aus der Firma entfernt nur weil das Vertragsverhältnis zum Zeitpunkt x aufgelöst wird, mag bei internationalen Firmen praxis sein, aber bei KMU's bestimmt nicht praktikabel.

Eigentlich sind eure Philosophien ja teilweise nachvollziehbar, aber keiner hat mir auf die Frage geantwortet, ob es möglich ist, Clientverbindungen per Oultook Client in irgendeiner Form auszulesen.

Zertifikate rollen wir bereits aus, aber wenn jemand ein Zertifikat aus seinem Arbeits-Pc exportiert - bringt euch das gar nix.

Also zum Thema zurück: Wie siehts aus mit Powershell? gibt es da einen Befehl?
SeaStorm
SeaStorm 22.02.2019 um 14:06:41 Uhr
Goto Top
aber wenn jemand ein Zertifikat aus seinem Arbeits-Pc exportiert - bringt euch das gar nix.
Den Export kann (und muss!) man ja verhindern. Ein frei rumkopierbares Clientzertifikat ist so sinnlos wie ein Passwort auf nem Post-It...

Zur Frage: Es ist (mir) unklar was du mit "Clientverbindung per Outlookclient" meinst.

Du kannst an der Exchange Console bzw per Powershell sehen, welche Devices eine Subscription haben. Das hilft dir aber bei "Outlook" nix.
IMHO gibt's da keine sinnvolle möglichkeit zu sehen "von wie vielen Outlooks" der User sich angemeldet hatte. Wenn überhaupt, dann kannst du da ja nur sehen welche Outlookversion und welche RemoteIP da im spiel war. Fraglich ob das was bringt. Die IP ändert sich eh ständig, wenn z.B Notebooks von daheim aus verwendet werden, und die Outlookversion ... naja.
Selbst wenn: Was willst du dann mit der Info? Zu dem Mitarbeiter gehen und sagen: "Aber lösch die Daten von daheim!" ?

Es gibt da IMHO nur 2 möglichkeiten: Clientgeräte per Zertifikat prüfen, damit nur authorisierte Geräte sich anmelden können,
oder den Sync von extern nur per VPN zulassen, was heutzutage nicht praktikabel ist.

Und all das hindert den User auch nicht daran die Mails vom Arbeitsplatz zu exportieren und auf einen USB Stick zu kopieren.

Zertifikate bringen zusätzliche Sicherheit im Sinne von: ein kompromittiertes Passwort alleine reicht nicht um an die Mails zu kommen.
Mit dem "Abfluss" von Mails muss man allerdings leben. Das ist nix was man technisch regeln kann. Das regeln die Anwälte ...
jsysde
Lösung jsysde 22.02.2019 um 14:17:30 Uhr
Goto Top
Mahlzeit.

Zitat von @askando:
[...]aber keiner hat mir auf die Frage geantwortet, ob es möglich ist, Clientverbindungen per Oultook Client in irgendeiner Form auszulesen.
[...]Also zum Thema zurück: Wie siehts aus mit Powershell? gibt es da einen Befehl?
Hmm... Du könntest das Security Eventlog auf deinem/deinen Exchange Server(n) auswerten - da steht normalerweise auch der Clientcomputername mit drin: Eventid 4624/Logon.

Wenn du das über nen LoadBalancer (mit oder ohne Pre-Auth) abfrühstückst, kannst du ggf. auch in dessen Logs was finden. Ist aber alles Bastelei, eine Out-of-the-Box-Lösung will mir grad nicht einfallen.

Cheers,
jsysde
St-Andreas
Lösung St-Andreas 22.02.2019 um 19:39:52 Uhr
Goto Top