Forums Neueste Beiträge
 

Veroeffentlichter Exchange 2003 - Sicherheitsloch trotz ISA-Server?!?

10/09/2009 - 12:14 von Roger Hungerbuehler | Report spam
Hi

Der Titel klingt vielleicht schlimmer als es ist, trotzdem bin ich
gestern ehrlich gesagt ziemlich erschrocken.

Ein Bekannter rief mich an und fragte mich, ob ich das folgende
Problem auch schon angetroffen haette:

Exchangeserver 2003 voll gepatcht.
OWA, RPC und ActiveSync veroeffentlicht (bei ihm nicht ueber ISA, nur
Port 443 weitergeleitet an Exchange).

Nun hat er von einen ex Mitarbeiter den Windows-Account im AD
deaktiviert, trotzdem konnte er sich noch fuer rund 45 Minuten uber
OWA und ActiveSync am Postfach des Users anmelden!

Meine Meinung dazu war, dass dies mit einem ISA-Server nicht moeglich
sein sollte, da dieser ja eine Vorauthentifizierung ueber das AD
vornimmt.

Da wir selber dieses Setup mit ISA 2004 im Einsatz haben, wollte ich
diese natuerlich probieren, Fazit: Auch mit ISA-Server konnte ich mich
nach deaktivieren meines eigenen AD-Accounts noch geschlagene 1 1/4
Stunden ueber OWA und RPC an meinen Postfach anmelden! Einzig RPC ging
per sofort nicht mehr.

Wir haben 2 DCs einer davon ist der Exchange selber, der Bekannte hat
3 DCs.

Wie kann das sein? Das deaktivieren des AD-Accounts sollte doch 1.
eine sofortige Replikation ausloesen und 2. per sofort das Anmelden
mit dem betroffenen User Account unterbinden, zumindes vom ISA haette
ich erwartet, dass er eine weitere Anmeldung blokiert, zumal der ISA
im AD integriert ist.

Interesannterweise konnte ich mich nach reaktivierung meines Accounts
sofort wieder mit allen 3 Methoden anmelden.

Fuer mich ist das ein Sicherheitsloch, sofern man darueber nicht
Bescheid weiss und bis gestern wusste ich das nicht.

Hat jemand eine Erklaerung fuer dieses doch sehr "unangenehme"
Verhalten?

Gruss
Roger Hungerbuehler
 

Lesen sie die antworten

#1 Jens Baier
10/09/2009 - 14:58 | Warnen spam
Hi,

Der Titel klingt vielleicht schlimmer als es ist, trotzdem bin ich
gestern ehrlich gesagt ziemlich erschrocken.



klingt sehr schlimm

OWA, RPC und ActiveSync veroeffentlicht (bei ihm nicht ueber ISA, nur
Port 443 weitergeleitet an Exchange).



oh ja, gar nicht gut!

Nun hat er von einen ex Mitarbeiter den Windows-Account im AD
deaktiviert, trotzdem konnte er sich noch fuer rund 45 Minuten uber
OWA und ActiveSync am Postfach des Users anmelden!
Da wir selber dieses Setup mit ISA 2004 im Einsatz haben, wollte ich
diese natuerlich probieren, Fazit: Auch mit ISA-Server konnte ich mich
nach deaktivieren meines eigenen AD-Accounts noch geschlagene 1 1/4
Stunden ueber OWA und RPC an meinen Postfach anmelden! Einzig RPC ging
per sofort nicht mehr.



das "Problem" ist aber bekannt
http://blogs.technet.com/isablog/ar...-2006.aspx
Oder hat er sich anders angemeldet.

Gruss Jens
www.nt-faq.de
www.it-training-grote.de

Ähnliche fragen