Exchange Online - Office Dokumente für Email-Anhänge sperren
Hallo zusammen,
Zusätzlich geht diese Anleitung von einem aktuellen Windows 10 PC aus und Powershell 5.0 aus.
Microsoft ändert gelegentlich die "Zugangswege" zu Exchange online und die cmdlets seiner Powershell-Module. Die Anleitung bezieht sich auf das aktuell funktionierende Verfahren.
Natürlich muss man festlegen, welche Dateiendungen blockiert werden sollen. Eine Hilfestellung findet man auf folgenden Seite von Microsoft: https://docs.microsoft.com/de-de/DeployOffice/compat/office-file-format- ...
Ob das Modul installiert ist, kann wie folgt prüfen:
Ist es nicht installiert, muss man es installieren. Dazu benötigt man PowershellGet.
Dann muss das Exchange Online Powershell Modul installiert werden:
Danach kann mich mit Exchange online verbinden:
Die Einstellungen erfolgen dann mit folgenden Befehlen:
Die Defaultregel heißt also "Default" - das ist im weiteren zu verwenden:
Man beachte das + in $FileTypesAdd += , anderenfalls reduziert man die Liste erheblich.
Zweck der Sperrung
Office Dokumente (Word, Excel) in Email-Attachments sind häufige Angriffsvektoren von Malware. Bei Heise kann man zum Beispiel einen ausführlichen Beitrag zu dem Thema nachlesen. Das Sperren von solchen Dateianhängen kann eine erste Hürde für den Angreifer sein.Voraussetzungen
Benötigt wird natürlich Exchange online.Zusätzlich geht diese Anleitung von einem aktuellen Windows 10 PC aus und Powershell 5.0 aus.
Microsoft ändert gelegentlich die "Zugangswege" zu Exchange online und die cmdlets seiner Powershell-Module. Die Anleitung bezieht sich auf das aktuell funktionierende Verfahren.
Konsequenzen der Sperrung bedenken
Sperrt man bestimmte Dateitypen, so werden diese natürlich nicht mehr zugestellt. Das ist zwar sicherer, aber kann den Arbeitsprozess empfindlich stören. Vor einer solchen Sperre ist zu prüfen, welche Auswirkungen das auf die Kommunikation des Unternehmen hat. Bei privaten Lösungen sollte man an das "E-learning" der Schulkinder denken. Ist das Versenden von Office-Dokumenten über das Internet erforderlich, müssen alternative Kommunikationswege geschaffen und implementiert werden.Natürlich muss man festlegen, welche Dateiendungen blockiert werden sollen. Eine Hilfestellung findet man auf folgenden Seite von Microsoft: https://docs.microsoft.com/de-de/DeployOffice/compat/office-file-format- ...
Wie geht das?
Über die Exchange-Online Admin Console lässt sich die Sperre nicht einstellen. Erforderlich ist die Verwendung des Exchange-Online Powershell Moduls: https://docs.microsoft.com/en-us/powershell/exchange/exchange-online-pow ...Ob das Modul installiert ist, kann wie folgt prüfen:
PS C:\WINDOWS\system32> Get-Module -All
ModuleType Version Name ExportedCommands
---------- ------- ---- ----------------
Script 0.4578.0 ExchangeOnlineManagement {Get-EXOCasMailbox, Get-EXOMailbox, Get-EXOMailboxFolderPe...
Binary 17.0.0.0 Microsoft.Exchange.Management.Ex... {Add-EXOClientTelemetryWrapper, New-EXOClientTelemetryFile...
Binary 17.0.0.0 Microsoft.Exchange.Management.Re... {Get-EXOCasMailbox, Get-EXOMailbox, Get-EXOMailboxFolderPe...
Binary 3.0.0.1 Microsoft.PackageManagement
Binary 3.0.0.0 Microsoft.PowerShell.Commands.Ma... {Add-Content, Clear-Content, Clear-ItemProperty, Join-Path...
Binary 3.0.0.0 Microsoft.PowerShell.Commands.Ut... {New-Object, Measure-Object, Select-Object, Sort-Object...}
Manifest 3.1.0.0 Microsoft.PowerShell.Management {Add-Computer, Add-Content, Checkpoint-Computer, Clear-Con...
Binary 3.0.0.0 Microsoft.PowerShell.PackageMana... {Find-Package, Find-PackageProvider, Get-Package, Get-Pack...
Binary 3.0.0.0 Microsoft.PowerShell.PSReadLine {Get-PSReadLineOption, Set-PSReadLineOption, Set-PSReadLin...
Script 0.0 Microsoft.PowerShell.Utility {ConvertFrom-SddlString, Format-Hex, Get-FileHash, Import-...
Manifest 3.1.0.0 Microsoft.PowerShell.Utility {Add-Member, Add-Type, Clear-Variable, Compare-Object...}
Script 1.4.7 PackageManagement {Find-Package, Find-PackageProvider, Get-Package, Get-Pack...
Script 2.2.4.1 PowerShellGet {Find-Command, Find-DscResource, Find-Module, Find-RoleCap...
Script 2.0.0 PSReadline {Get-PSReadLineKeyHandler, Get-PSReadLineOption, Remove-PS...
Script 1.0 tmp_myvl1qxf.wps {Add-AvailabilityAddressSpace, Add-DistributionGroupMember...
PS C:\WINDOWS\system32>
Ist es nicht installiert, muss man es installieren. Dazu benötigt man PowershellGet.
Install-PackageProvider -Name NuGet -Force
Install-Module -Name PowerShellGet -Force
Dann muss das Exchange Online Powershell Modul installiert werden:
Install-Module -Name ExchangeOnlineManagement
Danach kann mich mit Exchange online verbinden:
Windows PowerShell
Copyright (C) Microsoft Corporation. Alle Rechte vorbehalten.
Lernen Sie das neue plattformübergreifende PowerShell kennen – https://aka.ms/pscore6
PS C:\WINDOWS\system32> Connect-ExchangeOnline -UserPrincipalName admin@meine-domäne.de -ShowProgress $true
----------------------------------------------------------------------------
We have released new management cmdlets which are faster and more reliable.
|--------------------------------------------------------------------------|
| Old Cmdlets | New/Reliable/Faster Cmdlets |
|--------------------------------------------------------------------------|
| Get-CASMailbox | Get-EXOCASMailbox |
| Get-Mailbox | Get-EXOMailbox |
| Get-MailboxFolderPermission | Get-EXOMailboxFolderPermission |
| Get-MailboxFolderStatistics | Get-EXOMailboxFolderStatistics |
| Get-MailboxPermission | Get-EXOMailboxPermission |
| Get-MailboxStatistics | Get-EXOMailboxStatistics |
| Get-MobileDeviceStatistics | Get-EXOMobileDeviceStatistics |
| Get-Recipient | Get-EXORecipient |
| Get-RecipientPermission | Get-EXORecipientPermission |
|--------------------------------------------------------------------------|
To get additional information, run: Get-Help Connect-ExchangeOnline
Please send your feedback and suggestions to exocmdletpreview@service.microsoft.com
----------------------------------------------------------------------------
PS C:\WINDOWS\system32> Get-MalwareFilterPolicy
Name Action CustomNotifications IsDefault
---- ------ ------------------- ---------
Strict Preset Security Policy DeleteMessage False False
Default DeleteAttachmentAndUseDefaultAlertText False True
PS C:\WINDOWS\system32> $FileTypesAdd = Get-MalwareFilterPolicy -Identity Default | select -Expand FileTypes;
PS C:\WINDOWS\system32> $FileTypesAdd += "xls","doc","docx","xlsx";
PS C:\WINDOWS\system32> Set-MalwareFilterPolicy -Identity Default -EnableFileFilter $true -FileTypes $FileTypesAdd
Man beachte das + in $FileTypesAdd += , anderenfalls reduziert man die Liste erheblich.
Abschlussarbeiten
Unter der Weboberfläche https://protection.office.com/threatpolicy kann man dann noch die unter Richtlinien / Antischadsoftware die Benachrichtigungen konfigurieren.Links
- https://docs.microsoft.com/en-us/powershell/exchange/connect-to-exchange ...
- https://docs.microsoft.com/en-us/powershell/module/exchange/set-malwaref ...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 606971
Url: https://administrator.de/contentid/606971
Ausgedruckt am: 23.11.2024 um 22:11 Uhr
3 Kommentare
Neuester Kommentar
Servus,
so etwas haben wir seit bald 2 Jahren auch beim EXC On-Promise durchgeführt.
Der @to hat völlig recht, ich muss die Belegschaft "mitnehmen" und sensibilisieren, dass alte Dateiendungen von MS Office künftig nicht mehr funktionieren und Dokumentvorlagen einmalig entsprechend zu aktualisieren sind.
Innerhalb unseres EDV-Netzwerks klappt das mittlerweile echt gut.
Probleme gibt es immer wieder mit externen Absendern, die einfach nicht einsehen wollen, dass der bisherige Workflow so nicht mehr funktioniert!!!
Danke trotzdem, das habe ich mir jetzt mal als Lesezeichen im Browser abgelegt, falls bei uns mal EXC Online kommt.
Gruß
so etwas haben wir seit bald 2 Jahren auch beim EXC On-Promise durchgeführt.
Der @to hat völlig recht, ich muss die Belegschaft "mitnehmen" und sensibilisieren, dass alte Dateiendungen von MS Office künftig nicht mehr funktionieren und Dokumentvorlagen einmalig entsprechend zu aktualisieren sind.
Innerhalb unseres EDV-Netzwerks klappt das mittlerweile echt gut.
Probleme gibt es immer wieder mit externen Absendern, die einfach nicht einsehen wollen, dass der bisherige Workflow so nicht mehr funktioniert!!!
Danke trotzdem, das habe ich mir jetzt mal als Lesezeichen im Browser abgelegt, falls bei uns mal EXC Online kommt.
Gruß
Nun - die Frage wäre wie wird das wirklich geprüft? Und in welcher Unternehmensgrösse reden wir da? Es ist bei nem kleinem Office mit ggf. 5 IT-Leuten natürlich einfacher als bei nem Konzern mit 10.000+ Mitarbeitern...
Die zweite Sache die ich bedenklich finde: Den Block auf Dateitypen anhand des Namens. Das bedeutet also man benennt die Datei mal eben um oder packt die in ne ZIP -> fertig... Oder - was ich ehrlich gesagt auch mache, grad bei grossen Datenmengen - ich packe die eben auf nen Web-, FTP-, oder SSH-Server und schicke dem Empfänger kurz ne Nachricht wo der Kram liegt (bzw. sende die via Messanger direkt). Damit gehts natürlich auch an allen Mail-Filtern vorbei...
Da würde ich eher auf einen (guten) Virenscanner am Mailsystem setzen und z.B. verschlüsselte ZIP-Files usw. verbieten / extra drauf hinweisen das diese Mail möglicherweise ganz böse ist... Aber Office-Files ganz zu blocken halte ich in den meisten Betrieben nur dazu geeignet das die Anwender sich andere Wege suchen werden...
Die zweite Sache die ich bedenklich finde: Den Block auf Dateitypen anhand des Namens. Das bedeutet also man benennt die Datei mal eben um oder packt die in ne ZIP -> fertig... Oder - was ich ehrlich gesagt auch mache, grad bei grossen Datenmengen - ich packe die eben auf nen Web-, FTP-, oder SSH-Server und schicke dem Empfänger kurz ne Nachricht wo der Kram liegt (bzw. sende die via Messanger direkt). Damit gehts natürlich auch an allen Mail-Filtern vorbei...
Da würde ich eher auf einen (guten) Virenscanner am Mailsystem setzen und z.B. verschlüsselte ZIP-Files usw. verbieten / extra drauf hinweisen das diese Mail möglicherweise ganz böse ist... Aber Office-Files ganz zu blocken halte ich in den meisten Betrieben nur dazu geeignet das die Anwender sich andere Wege suchen werden...
Wir haben das mit ESET Mail Server gelöst.
Alles was .doc, xls usw ist wird geblockt.
Dann gibts Mail an IT und Absender , das eine Anwendung geblockt wurde.
Ebenso kann alle Endungen blocken, dazu muss ich kein so aufwendiges Skript laufen lassen.
Wenn ich bei 50 Einrichtungen die wir haben, alle Exchange Server so einrichte , muss ein Kollege nur noch Exchange machen.
Aber in den 50 Einrichtungen sitzen auch entprechend Kollegen die dort arbeiten und Support wollen..
Da benötigt man eine IT Abteilung die mind 10 Leute hat.
Alles was .doc, xls usw ist wird geblockt.
Dann gibts Mail an IT und Absender , das eine Anwendung geblockt wurde.
Ebenso kann alle Endungen blocken, dazu muss ich kein so aufwendiges Skript laufen lassen.
Wenn ich bei 50 Einrichtungen die wir haben, alle Exchange Server so einrichte , muss ein Kollege nur noch Exchange machen.
Aber in den 50 Einrichtungen sitzen auch entprechend Kollegen die dort arbeiten und Support wollen..
Da benötigt man eine IT Abteilung die mind 10 Leute hat.