Exchange Server 2013: Sicherheitseinstellungen aktivieren und verwalten

Exchange ActiveSync-Postfachrichtlinien nutzen

In Exchange 2013 lässt sich über Richtlinien festlegen, welche Geräte der Server zur Synchronisierung zulässt und welche Einstellungen für die Geräte gesetzt sein müssen. Sicherheitseinstellungen für Benutzer lassen sich über Exchange ActiveSync-Postfachrichtlinien steuern. Diese Richtlinien konfigurieren man in der Exchange-Verwaltungskonsole über Mobil/Postfachrichtlinien für mobile Geräte. Klicken Sie auf das Pluszeichen und erstellen Sie eine neue Richtlinie. Diese kann anschließend den Anwendern als Richtlinie hinterlegt werden.

Bei jedem Verbindungsvorgang eines Smartphones/Tablets mit Exchange ActiveSync überprüfen Gerät und Server, ob die Richtlinien noch übereinstimmen. Ändern Sie die Sicherheitsrichtlinien, übernehmen die Geräte die Änderungen beim nächsten Synchronisieren. Sinnvoll ist eine Richtlinie, wenn Sie diese mehreren Anwendern zuweisen. Verwenden Sie dazu die Exchange-Verwaltungsshell. Um eine Richtlinie allen Anwendern zuzuweisen, verwenden Sie den Befehl

Get-Mailbox | Set-CASMailbox -ActiveSyncMailboxPolicy(Get-ActiveSyncMailboxPolicy <Name der Richtlinie>).Identity

ActiveSync-Gerätezugriffsregeln im Praxiseinsatz

In Exchange 2013 lassen sich Regeln festlegen, die bestimmen, welche Geräte über das Internet eine Synchronisierung mit dem Postfach durchführen dürfen und welche Exchange sperrt. Neben der Weitergabe von Richtlinien für Sicherheitseinstellungen der Geräte, lassen sich auch Richtlinien festlegen, welche Smartphones im Unternehmen bei der Anbindung an Exchange 2013 zulassen. Bei Gerätezugriffsregeln legen Sie fest, welche Geräte Sie generell blockieren oder isolieren wollen. Dazu klicken Sie auf Neu und erstellen eine neue Richtlinie.

Benutzer können in den Einstellungen ihre eigenen Smartphones freischalten oder blockieren. Zusätzlich lassen sich in diesem Bereich auch Regeln erstellen, wie sich Exchange zukünftig verhalten soll, wenn sich der Anwender mit einem ähnlichen Gerät verbindet. Im Bereich Status wird der aktuelle Blockierungszustand angezeigt.

Konfigurieren von Gerätezugriffsregeln in Exchange 2013 (Screenshot: Thomas Joos)

Neue Geräte lassen sich automatisch blockieren oder isolieren, bevor sich Anwender mit diesen synchronisieren dürfen. Blockiert Exchange ein neues Gerät, oder setzt dieses in den isolierten Bereich von Outlook Web App, lässt sich an dieser Stelle ein E-Mail-Text eingeben. Diesen erhält der Anwender in sein Postfach zugestellt, wenn er sich mit einem blockierten Gerät synchronisieren will.

Die Einstellungen in diesem Bereich kann man zum Beispiel auch mit dem Cmdlet Test-ActiveSyncConnectivity überprüfen. Dieses verhält sich wie ein normales Smartphone und lässt sich dadurch für Tests verwenden. Im ersten Schritt werden die Benutzerdaten des Anwenders in einer Variablen abgespeichert, mit dem der Zugriff getestet werden soll:

$credential = Get-Credential

Anschließend testen Sie den Zugang mit:

Test-ActiveSyncConnectivity -MailboxCredential $credential

Über Postfachrichtlinien für mobile Geräte lassen sich Sicherheitseinstellungen festlegen, die Smartphones verwenden müssen, damit Exchange eine Synchronisierung zulässt. Standardmäßig legt Exchange eine Standardrichtlinie an, deren Einstellungen man über Details verwalten kann. Mit einem Klick auf Neu können zusätzliche Richtlinien erstellt werden, die man anschließend Anwendern zuweisen kann. Pro Anwender lassen sich also problemlos unterschiedliche Richtlinien zuweisen.

Postfachberechtigungen – Anwendern Zugriff auf andere Postfächer erteilen

Nutzer können anderen Anwendern Zugriff auf das eigene Postfach gewähren und auch Administratoren können Rechte erteilen. Geben Sie den folgenden Befehl ein, um dem Quellanwender volle Zugriffsrechte für das Zielpostfach zu erteilen:

Add-MailboxPermission -Identity <Quellpostfach> -User <Zielbenutzer> -AccessRights FullAccess

Mit dem folgenden Befehl erteilen Sie Senden als-Rechte:

Add-ADPermission <Quellpostfach> -User <Domäne\Benutzer> -Extendedrights „Send As“

Erteilen von Postfachberechtigungen für andere Benutzer (Screenshot: Thomas Joos)

Neben der Verwaltungsshell, können Berechtigungen auch in der Exchange-Verwaltungskonsole konfiguriert werden. Klicken Sie dazu doppelt auf das Postfach (Empfänger/Postfächer) und wählen Sie Postfachstellvertretung aus.

Mit Senden als-Berechtigungen kann ein Benutzer das Zielpostfach als Absender zum Senden von Nachrichten verwenden. Als Absenderadresse erscheint die Adresse des Zielpostfachs nicht die des absendenden Benutzers. Wenn einem anderen Benutzer die Berechtigung Vollzugriff für ein Postfach erteilt wird, kann der Benutzer nicht nur E-Mails im Namen des Postfachs schreiben, sondern sich bei diesem Postfach anmelden und auf den gesamten Inhalt zugreifen.

DLP Document Fingerprinting und S/MIME

Neu seit Exchange 2013 SP1 ist auch die Funktion DLP Document Fingerprinting (http://technet.microsoft.com/library/dn635176(v=exchg.150).aspx). Diese Technologie erkennt Formulare, Dokumente und Dokumentvorlagen, die Sie im Unternehmen einsetzen. DLP hat Microsoft bereits mit Exchange 2013 eingeführt. Das SP1 verbessert die Sicherheitstechnologien deutlich. Mann muss keine eigenen Regeln mehr erstellen, sondern kann vorgefertigte Regeln verwenden. Dazu bietet Exchange Vorlagen auf deren Basis eine Einrichtung erfolgt.

Standardmäßig lassen sich sämtliche installierten DLP-Vorlagen anpassen oder ohne Änderung eingesetzet werden. DLP-Richtlinienvorlagen verwenden vor allem Transportregeln, die Bedingungen und Aktionen enthalten. Navigieren Sie in der Exchange-Verwaltungskonsole zu Verwaltung der Richtlinientreue/Verhinderung von Datenverlust, und klicken Sie auf Hinzufügen.

DLP Document Fingerprinting erkennt Formulare, die im Unternehmen eingesetzt werden. Sollen diese und die darin enthaltenen Daten nicht per E-Mail versendet werden, können sie in DLP eingebunden werden. Eine wichtige Neuerung ist die Wiedereingliederung von S/MIME in Outlook Web App. Ohne das SP1 lassen sich mit Exchange 2013 in OWA über S/MIME keine E-Mails signieren oder verschlüsseln. Das wurde jetzt geändert.

Mit DLP-Regeln verhindern Unternehmen, dass Anwender geheime Daten über Exchange in das Internet versenden (Screenshot: Thomas Joos)