Begränsa vilka datorer som får köra webbmail

Det är ytterst få företag som idag inte når sin E-post via en webbläsare, det jag har uppmärksammat är dock att de ser en stor säkerhetsrisk att man från vilken dator som helst kan nå hela sin postlåda. Det är inte alla anställda som tänker sig för utan nu i semestertider loggar in från en dator i hotellets reception eller internet Café i något tropiskt land utan att ha någon som helst koll på vad det finns på dessa datorer.

Ställ krav på klientcertifikat med hjälp av ISA eller en TMG Server

Det här är en guide för dig som publicerat din webmail via en ISA eller en TMG Server

Genom att rulla ut klient (user) certifikat till våra datorer i domänen kan vi enkelt kräva i både ISA och TMG att klienten innehar ett clientcertifikat för att få nå sin webmail.
Kravet på certifikat är att det är utgivet av en CA Server som även vår TMG litar på (utgivande rootcertifikat skall finnas under trusted root både på TMG och klienten). Eftersom jag brukar rekommendera att ha både ISA och TMG som en memberserver är det här inget problem när vi använder vår interna PKI.

Gå sedan in på under Firewall Policy och egenskaper på den lyssnare du har i din publiceringsregel. Under fliken Authentication och knappen Advanced hittar du Require SSL Client Certificate, bocka i denna checkbox. 

image

Du har nu ställt krav på klient-certifikat. De datorer där det inte finns ett klient certifikat kommer få upp följande fel när de ansluter mot sin webmail:

image 

Direkt efter att ha rullat ut ett klientcertifikat så är resultatet följande:

image

En enkel lösning för att styra vilka datorer som får nå företagets mailbox via webbläsaren.

VARNING om du har publicerat andra Exchange tjänster så som exempelvis EAS med samma lyssnare, se då till att skapa en ny lyssnare med annan IP/URL just för OWA.

Advertisements
Det här inlägget postades i Forefront TMG. Bokmärk permalänken.

2 kommentarer till Begränsa vilka datorer som får köra webbmail

  1. Värt att nämna också är att detta kräver Kerberos Constrained Delegation p.g.a TMG:n inte kan passa vidare några credentials till Exchange-servern som man kan med lösenord (vilket är just syftet med certifikaten).

    Mera info finns på: http://technet.microsoft.com/en-us/library/cc995228.aspx

    • Anders skriver:

      Nja, i det här fallet kräver inte detta KCD då det är lyssnaren som ställer krav på att SSL sessionen knyts även med klientcertifikat. Authenticeringen från klienten kan fortfarande vara att använda användarnamn och lösenord via exempelvis formulär. TMGn kan då i sin tur autentisera till bakomliggande webbtjänst antingen via basic, NTLM eller KCD.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s