lcer00
Goto Top

Exchange Online - Office Dokumente für Email-Anhänge sperren

Hallo zusammen,

back-to-topZweck der Sperrung
Office Dokumente (Word, Excel) in Email-Attachments sind häufige Angriffsvektoren von Malware. Bei Heise kann man zum Beispiel einen ausführlichen Beitrag zu dem Thema nachlesen. Das Sperren von solchen Dateianhängen kann eine erste Hürde für den Angreifer sein.

back-to-topVoraussetzungen
Benötigt wird natürlich Exchange online.

Zusätzlich geht diese Anleitung von einem aktuellen Windows 10 PC aus und Powershell 5.0 aus.

Microsoft ändert gelegentlich die "Zugangswege" zu Exchange online und die cmdlets seiner Powershell-Module. Die Anleitung bezieht sich auf das aktuell funktionierende Verfahren.

back-to-topKonsequenzen der Sperrung bedenken
Sperrt man bestimmte Dateitypen, so werden diese natürlich nicht mehr zugestellt. Das ist zwar sicherer, aber kann den Arbeitsprozess empfindlich stören. Vor einer solchen Sperre ist zu prüfen, welche Auswirkungen das auf die Kommunikation des Unternehmen hat. Bei privaten Lösungen sollte man an das "E-learning" der Schulkinder denken. Ist das Versenden von Office-Dokumenten über das Internet erforderlich, müssen alternative Kommunikationswege geschaffen und implementiert werden.

Natürlich muss man festlegen, welche Dateiendungen blockiert werden sollen. Eine Hilfestellung findet man auf folgenden Seite von Microsoft: https://docs.microsoft.com/de-de/DeployOffice/compat/office-file-format- ...

back-to-topWie geht das?
Über die Exchange-Online Admin Console lässt sich die Sperre nicht einstellen. Erforderlich ist die Verwendung des Exchange-Online Powershell Moduls: https://docs.microsoft.com/en-us/powershell/exchange/exchange-online-pow ...


Ob das Modul installiert ist, kann wie folgt prüfen:
PS C:\WINDOWS\system32> Get-Module -All

ModuleType Version    Name                                ExportedCommands
---------- -------    ----                                ----------------
Script     0.4578.0   ExchangeOnlineManagement            {Get-EXOCasMailbox, Get-EXOMailbox, Get-EXOMailboxFolderPe...
Binary     17.0.0.0   Microsoft.Exchange.Management.Ex... {Add-EXOClientTelemetryWrapper, New-EXOClientTelemetryFile...
Binary     17.0.0.0   Microsoft.Exchange.Management.Re... {Get-EXOCasMailbox, Get-EXOMailbox, Get-EXOMailboxFolderPe...
Binary     3.0.0.1    Microsoft.PackageManagement
Binary     3.0.0.0    Microsoft.PowerShell.Commands.Ma... {Add-Content, Clear-Content, Clear-ItemProperty, Join-Path...
Binary     3.0.0.0    Microsoft.PowerShell.Commands.Ut... {New-Object, Measure-Object, Select-Object, Sort-Object...}
Manifest   3.1.0.0    Microsoft.PowerShell.Management     {Add-Computer, Add-Content, Checkpoint-Computer, Clear-Con...
Binary     3.0.0.0    Microsoft.PowerShell.PackageMana... {Find-Package, Find-PackageProvider, Get-Package, Get-Pack...
Binary     3.0.0.0    Microsoft.PowerShell.PSReadLine     {Get-PSReadLineOption, Set-PSReadLineOption, Set-PSReadLin...
Script     0.0        Microsoft.PowerShell.Utility        {ConvertFrom-SddlString, Format-Hex, Get-FileHash, Import-...
Manifest   3.1.0.0    Microsoft.PowerShell.Utility        {Add-Member, Add-Type, Clear-Variable, Compare-Object...}
Script     1.4.7      PackageManagement                   {Find-Package, Find-PackageProvider, Get-Package, Get-Pack...
Script     2.2.4.1    PowerShellGet                       {Find-Command, Find-DscResource, Find-Module, Find-RoleCap...
Script     2.0.0      PSReadline                          {Get-PSReadLineKeyHandler, Get-PSReadLineOption, Remove-PS...
Script     1.0        tmp_myvl1qxf.wps                    {Add-AvailabilityAddressSpace, Add-DistributionGroupMember...


PS C:\WINDOWS\system32>

Ist es nicht installiert, muss man es installieren. Dazu benötigt man PowershellGet.
Install-PackageProvider -Name NuGet -Force
Install-Module -Name PowerShellGet -Force


Dann muss das Exchange Online Powershell Modul installiert werden:
Install-Module -Name ExchangeOnlineManagement

Danach kann mich mit Exchange online verbinden:

Windows PowerShell
Copyright (C) Microsoft Corporation. Alle Rechte vorbehalten.

Lernen Sie das neue plattformübergreifende PowerShell kennen – https://aka.ms/pscore6                                                                                                                                                           
PS C:\WINDOWS\system32> Connect-ExchangeOnline -UserPrincipalName admin@meine-domäne.de -ShowProgress $true
                                                                                                                                                                                                                                       
----------------------------------------------------------------------------
We have released new management cmdlets which are faster and more reliable.

|--------------------------------------------------------------------------|
|    Old Cmdlets                    |    New/Reliable/Faster Cmdlets       |
|--------------------------------------------------------------------------|
|    Get-CASMailbox                 |    Get-EXOCASMailbox                 |
|    Get-Mailbox                    |    Get-EXOMailbox                    |
|    Get-MailboxFolderPermission    |    Get-EXOMailboxFolderPermission    |
|    Get-MailboxFolderStatistics    |    Get-EXOMailboxFolderStatistics    |
|    Get-MailboxPermission          |    Get-EXOMailboxPermission          |
|    Get-MailboxStatistics          |    Get-EXOMailboxStatistics          |
|    Get-MobileDeviceStatistics     |    Get-EXOMobileDeviceStatistics     |
|    Get-Recipient                  |    Get-EXORecipient                  |
|    Get-RecipientPermission        |    Get-EXORecipientPermission        |
|--------------------------------------------------------------------------|

To get additional information, run: Get-Help Connect-ExchangeOnline
Please send your feedback and suggestions to exocmdletpreview@service.microsoft.com
----------------------------------------------------------------------------
Die Einstellungen erfolgen dann mit folgenden Befehlen:
PS C:\WINDOWS\system32> Get-MalwareFilterPolicy

Name                          Action                                 CustomNotifications IsDefault
----                          ------                                 ------------------- ---------
Strict Preset Security Policy DeleteMessage                          False               False
Default                       DeleteAttachmentAndUseDefaultAlertText False               True
Die Defaultregel heißt also "Default" - das ist im weiteren zu verwenden:
PS C:\WINDOWS\system32>  $FileTypesAdd = Get-MalwareFilterPolicy -Identity Default | select -Expand FileTypes;
PS C:\WINDOWS\system32> $FileTypesAdd += "xls","doc","docx","xlsx";  
PS C:\WINDOWS\system32> Set-MalwareFilterPolicy -Identity Default -EnableFileFilter $true -FileTypes $FileTypesAdd

Man beachte das + in $FileTypesAdd += , anderenfalls reduziert man die Liste erheblich.

back-to-topAbschlussarbeiten
Unter der Weboberfläche https://protection.office.com/threatpolicy kann man dann noch die unter Richtlinien / Antischadsoftware die Benachrichtigungen konfigurieren.

back-to-topLinks

Content-ID: 606971

Url: https://administrator.de/contentid/606971

Ausgedruckt am: 23.11.2024 um 22:11 Uhr

VGem-e
VGem-e 24.09.2020 um 12:09:51 Uhr
Goto Top
Servus,

so etwas haben wir seit bald 2 Jahren auch beim EXC On-Promise durchgeführt.
Der @to hat völlig recht, ich muss die Belegschaft "mitnehmen" und sensibilisieren, dass alte Dateiendungen von MS Office künftig nicht mehr funktionieren und Dokumentvorlagen einmalig entsprechend zu aktualisieren sind.

Innerhalb unseres EDV-Netzwerks klappt das mittlerweile echt gut.
Probleme gibt es immer wieder mit externen Absendern, die einfach nicht einsehen wollen, dass der bisherige Workflow so nicht mehr funktioniert!!!

Danke trotzdem, das habe ich mir jetzt mal als Lesezeichen im Browser abgelegt, falls bei uns mal EXC Online kommt.

Gruß
maretz
maretz 28.09.2020 um 08:10:33 Uhr
Goto Top
Nun - die Frage wäre wie wird das wirklich geprüft? Und in welcher Unternehmensgrösse reden wir da? Es ist bei nem kleinem Office mit ggf. 5 IT-Leuten natürlich einfacher als bei nem Konzern mit 10.000+ Mitarbeitern...

Die zweite Sache die ich bedenklich finde: Den Block auf Dateitypen anhand des Namens. Das bedeutet also man benennt die Datei mal eben um oder packt die in ne ZIP -> fertig... Oder - was ich ehrlich gesagt auch mache, grad bei grossen Datenmengen - ich packe die eben auf nen Web-, FTP-, oder SSH-Server und schicke dem Empfänger kurz ne Nachricht wo der Kram liegt (bzw. sende die via Messanger direkt). Damit gehts natürlich auch an allen Mail-Filtern vorbei...

Da würde ich eher auf einen (guten) Virenscanner am Mailsystem setzen und z.B. verschlüsselte ZIP-Files usw. verbieten / extra drauf hinweisen das diese Mail möglicherweise ganz böse ist... Aber Office-Files ganz zu blocken halte ich in den meisten Betrieben nur dazu geeignet das die Anwender sich andere Wege suchen werden...
Bingo61
Bingo61 22.12.2020 aktualisiert um 15:30:33 Uhr
Goto Top
Wir haben das mit ESET Mail Server gelöst.
Alles was .doc, xls usw ist wird geblockt.
Dann gibts Mail an IT und Absender , das eine Anwendung geblockt wurde.
Ebenso kann alle Endungen blocken, dazu muss ich kein so aufwendiges Skript laufen lassen.
Wenn ich bei 50 Einrichtungen die wir haben, alle Exchange Server so einrichte , muss ein Kollege nur noch Exchange machen.
Aber in den 50 Einrichtungen sitzen auch entprechend Kollegen die dort arbeiten und Support wollen..
Da benötigt man eine IT Abteilung die mind 10 Leute hat.