Verhindern der Erstellung/Download einer .OST Datei (Verbieten Cached Mode / Erzwingen Online Mode)

Hallo zusammen,

die Daten mancher Postfächer sollten bzw. dürften das Rechenzentrum in dem der Exchange Server betrieben hat unter gewissen Umständen nicht verlassen. Wenn es beispielsweise um Personaldaten, Gehaltsabrechnungen etc. geht würde das jeweilige Postfach im Normalfall als .OST Datei auf den jeweiligen PC heruntergeladen. Sofern dieser PC/Laptop nun abhanden kommt, ist es ein Einfaches aus einer .OST Datei die Daten zu extrahieren, LINK

Die Realisierung erfolgt dann über GPOs in Kombination mit Registry Schüsseln.

Erstellung GPO
Zuerst sollte eine entsprechend neue GPO erstellt werden, https://technet.microsoft.com/en-us/library/cc753092.aspx

Manuelles Verbieten der .OST Datei in der Registry
Im nächsten Schritt kann über die Registry die Erstellung der .OST Datei, mit anderen Worten der Exchange Cached Modus deaktiviert werden, so dass das Postfach nur im Online Modus verbunden wird.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\outlook\ost]

"NoOST"=dword:00000002

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\outlook\cached mode]

"Enable"=dword:00000000 

Setzen der Registry Schüssel via GPO

Natürlich kann der Registry Schlüssel auch per GPO gesetzt werden

Die GPO sollte vom Bereich dann auf die jeweiligen Benutzer definiert werden.

Viele Grüße, Jens

Absicherung Outlook Anywhere

Hallo zusammen,

Outlook Anywhere impliziert den Zugriff auf den Dienst Outlook von überall - von potentiell jedem Gerät aus. Doch welche Möglichkeiten bestehen diesen Zugriff zu reglementieren, so dass z.B. nur unternehmenseigene Geräte eine Verbindung zum Exchange Server aufbauen können. Nachfolgend einige Möglichkeiten um diese Anforderung zu realisieren:

Einrichtung oder Nutzung einer bestehenden VPN Infrastruktur

• Outlook Anywehre (OA) wäre in diesem Szenario von extern nicht mehr verfügbar, nur noch im VPN
• Benutzer welche auf  OA zugreifen möchten, müssten zuerst eine VPN Verbindung aufbauen um den Dienst zu nutzen
• Setzt bei größeren Firmen eine einheitliche VPN Lösung voraus

Direct Access - Im Gegensatz zu VPN benötigt DirectAccess kein benutzerseitiges initiieren einer Verbindung, sondern stellt bereits beim Start des Computers automatisch eine Verbindung zum Unternehmensnetzwerk her, falls sich ein Client außerhalb des Unternehmensnetzwerk befindet. Durch die automatische Verbindung der Clients zum Netzwerk ist ein Verwalten von externen Computern, sogenanntes „Manage-Out“, für Unternehmen möglich

• Die interessantes Lösung bzw. Ansatz um so einfach wie möglich den Mitarbeitern Zugriff auf das Firmennetzwerk zu erteilen – keine VPN Clients mehr, keine auslaufenden Tokens mehr – nur noch den Laptop anmachen und arbeiten.
• „Konkurrenz“ Produkt zu einer potentiell bestehenden VPN Lösung. Zwar können beide Lösungen gleichzeitig betrieben werden, strategisch macht allerdings nur eine Lösung Sinn
• Die Anforderungen für Direct Access sind auf dem folgenden Link beschrieben, https://technet.microsoft.com/de-de/library/dd637797(v=ws.10).aspx (zu beachten ist, dass die Clients min. Windows 7 Enterprise bzw. Ultimate installiert haben müssten)

Security by obsecurity

• Verwendung von privaten Stammzertifizierungsstellen zum Erstellen von SSL Zertifikaten für die jeweiligen Computer
• Ohne diese Stammzertifizierungsstelle wäre es somit nicht möglich eine OA Verbindung aufzubauen
• Sehr einfach zu umgehen, indem auf nicht vertrauenswürdigen Geräten schlicht das Stammzertifikat installiert werden würde

Implementierung einer IPSEC Lösung

• „Konkurrenz“ Produkt zu einer bestehenden Firewall Lösung
• Wird mit Microsoft TMG realisiert, https://www.microsoft.com/en-us/download/details.aspx?id=23708 – dieses Produkt ist bereits von Microsoft abgekündigt, http://tmgblog.richardhicks.com/2012/09/12/forefront-tmg-2010-end-of-life-statement/ 

Die vermeintlich einfachste Lösung, die Implementierung von Client Zertifikaten wird leider von Microsoft im Outlook Anywhere Kontext nicht unterstützt.