כיצד ניתן לשלוט בהורדת צרופות ולמנוע זליגת מידע – OWA

August 24, 2017

tags: , ,
no comments

 

 

כאשר משתמשים בארגון עובדים עם OWA) Microsoft Exchange Outlook Web App)  מכל מקום בעולם, סביר להניח שהם משאירים מאחור עותקים של צרופות דואר ששמרו או פתחו במחשבים מהם גלשו לשרות.

למעשה, כאשר פותחים צרופה (Attachment) ב OWA נשמר עותק במחיצת המטמון (Cache) של הדפדפן שזמין לגישה עתידית עבור כול אחד עם הרשאות גישה למחיצת המטמון.

ניתן לגשת למחיצת הCache במסלולים הבאים בהתאם לגרסת הדפדפן שממנו בוצע הגישה ל OWA :

  • For IE 6,7,9,10,11: Go to Tools, Internet Options, click Settings under Browsing History, and View Files, Sort by type and look for the document;
  • For IE8: Go to Tools, Internet Options, click Settings under Browsing History and View Files. Add \low to the end of the URL and search by *extension;
  • For Firefox: Click the Firefox button, and select Downloads, and search for the document;
  • For Chrome: Click the Chrome menu, and select Downloads, and search for the document.

 

אז איך למעשה נאפשר מצד אחד גישה לצרופות מכל מחשב בעולם, ומאידך נשמור מפני זליגת מידע עסקי רגיש ?

תחילה , נסקור את היכולות המובנות בOWA להצגת / מניעת הצגת צרופות וסוגי קבצים , ובהמשך נציג את פתרון Messageware AttachView  של חברת Messageware לניהול מדיניות ארגונית בהצגת צרופות.

יכולות מובנות

1.      Attachment Control

 מחשב ציבורי ופרטי

מתן אפשרות לגישה לצרופות ממחשבים ברשת האירגונית (Private) ומחשבים ברשת הציבורית (Public).

יש לציין כי ההבחנה בין ההבחנה בין Public Share Computer ל Private Computer אפשרית רק כאשר מוגדרת הזדהות מבוססת  forms-based authentication . בכל שאר אפשרויות ההזדהות המחשב יוגדר      כ Private Computer  ללא יכולת בחירה.

כנגזרת מהגדרת המחשב כציבורי או פרטי ניתן לאפשר או לחסום לחלוטין את פתיחת הצרופה ו/או להגדיר מדיניות שונה של הרשאות ניהול של צרופות(לא רלוונטי לגרסת Exchange 2016 ).

בפקודה ב PowerShell – 

 Set-OwaVirtualDirectory -Identity “Contoso\owa (default Web site)” -DirectFileAccessOnPublicComputersEnabled $false

clip_image002[15]או דרך ממשק הניהול –

הערה: אי אפשור  Direct File Access לא מונע גישה לתכנים שהמקור שלהם משרת OOS (Office Online Server) אירגוני.

 

ניהול  Types

ניתן לאפשר או לחסום קבצים בהתאם לרשימת File Types או Mime Types מאושרת , ו/או לחייב שמירה מקומית של צרופה לפני שניתן יהיה לפתוח אותה.

clip_image004[15]

clip_image006[15]

דוגמא לשינוי פרמטר PowerShell :

Set-OwaVirtualDirectory -Identity “Contoso\owa (Default Web Site)” -ActionForUnknownFileAndMIMETypes Block

 

2.      Web Ready View

מנגנון שמאפשר הצגה מקדימה (view only preview) למסמכי OFFICE ו PDF  גם בתחנות שלא מותקנת בהם תוכנת OFFICE . הפתרון מאפשר הצגה של המסמך כדף HTML ובכך מונע דלף מידע אירגוני מאחר ולא נשמר עותק בCACHE של הדפדפן.

האופציה להשתמש ב Web Ready הייתה מובנת בOWA עד לגרסת EXCHANGE 2010  ללא צורך בהתקנה של רכיבים או שרתים נוספים.

 clip_image008[15].

הגדרות בממשק הניהול של Exchange 2016  :

clip_image009[15]

החל מגרסת 2013 EXCHANGE   נידרש להתקין שרת חדש – Office Web Apps Server (OWAS) או Office Online Server עבור EXCHANGE 2016  ולממשק אותו לעבוד מול תשתית הדואר הארגונית בכדי לאפשר את היכולות של WebReady.  שרת ה Office Online Server מאפשר גם לבצע עריכה של הקבצים שמוצגים דרך WebReady.

טיפ – במידה ועובדים במצב של mix mode  נידרש לקנפג כל גרסת Exchange מול גרסת ה Office Server המתאימה.

למעשה :

ניתן לראות כי לפתרון  המובנה ב OWA מספר מגבלות מרכזיים:

·         קיימת תמיכה רק במסמכי OFFICE וPDF .

·         לא ניתן להגביל שמירה של המסמך שמבוצעת באופן יזום ע”י המשתמש .

·         לא ניתן לחריג משתמשים / קבוצות (ההחרגה קיימת רק ברמת שרת הדואר (CAS)).

 

AttachView

פתרון Messageware AttachView  של חברת Messageware בא לתת מענה למגבלות המרכזיות שהקיימות בפתרון המובנה שקיים ב OWA ולהרחיב את יכולות ניהול הצרופות.

יכולות מרכזיות של המוצר :

·         Policy-based Security & Configuration Flexibility

המוצר מאפשר ניהול עם גמישות גבוה להגדרת גישה לצרופות (הכוללת view, open, save, Print) בהתבסס על קריטריונים כדוגמת כתובות IP , זיהוי של התקן קצה ארגוני ,קבוצות ומיקום  ב Active Directory.

·         Securely view over 400 attachment file types

HTML rendering של למעלה מ 400 סוגים של צרופות ב OWA שמבוצעות בצד של שרת הדואר. דף הHTML מוצג בחלון ייעודי של AttachView . דף הHTML לא נשמר בCACHE של הדפדפן וכך נמנעת גישה למידע עם רגישות ארגונית למשתמשים לא מורשים.

·         Control Open/Save of Attachments

בקרה ברמה גרונלרית למי מותר לפתוח צרופה ולמי מותר לשמור צרופה.

אפשרות “OPEN” של צרופה למעשה מאפשרת לOWA להתייחס לצרופה כמו לכל קובץ רגיל שנמצא בדף אינטרנטי  ולפתוח אותו עם התוכנה ו/או ההגדרות שמוגדרת עברו ברמת מערכת ההפעלה.

·         Disable Copy/Paste of Attachments

לא ניתן להעתיק את התוכן המוצג של הצרופה המוצגת, בכך נמנעת היכולות להוציא מידע מחוץ לארגון.

·          Control Printing of Attachments

יכולת להגדיר האם המשתמש יכול להדפיס את תוכן הצרופה המוצגת או לא (הוספת כפתור עם יכולת הדפסה בדף ה HTML).

  • Save Confirmation

במקרים שנידרש לאפשר למשתמש מסוים  או לקבוצת משתמשים לשמור את המסמך מקומית (לדוגמא לצורך עריכה של תכנים בתוכנת Office שמותקנת מקומית). מנהל המערכת יכול להגדיר בקשת אישור עבור השמירה עם הסבר על מדיניות השמירה – היכן מותר לשמור, בקשה של מחיקת הקובץ בסיום העבודה וכדומה.

  • Control uploading of Email Attachments

שליטה האם מותר לבצע UPLOAD של קבצים ממחשבים שמהם מבוצעת הגישה לשרות הOWA.

 

ארכיטקטורה ותאור של המוצר

1. פורטל ניהול מרכזי-  בהתקנה הראשונית של המוצר מתקינים פורטל ניהול מבוסס IIS (באופן עקרוני ניתן להתקין על אחד משרתי הדואר הקיימים בארגון). מהפורטל ניתן להגדיר ולאכוף את המדיניות שנקבעה , לבחון את בריאות ותקינות התשתית ועוד.

2. התקנה מקומית של רכיבי הפתרון בכול אחד משרתי הCAS של תשתית הדואר הארגונית –

 הFRAMWORK התשתיתי של כלל מוצרי החברה וההתקנה של המוצר (שבמרכזו ISAPI Filter  ומגנון ה HTML rendering )

clip_image011[15]

 

במסך הניהול מוצגים הרכיבים של המוצר והגרסאות של כול רכיב (הגרסאות יוצגו רק במידה שבוצע שדרוג לאחד מהרכיבים המותקנים )

clip_image013[15]

הגדרה המדיניות – Policy

בשלב הראשון יש לבצע שיכפול של Default Policy ולקנפג את ההגדרות המדיניות הארגונית הרצויה .

במסך הראשי ניתן להגדיר משתמשים או קבוצות שעבורם המדיניות שנבחרה לא תחול , ולמעשה עבור משתמשים אלו יחולו ברירות המחדל שהוגדרו ב owa policy .

clip_image015[15]

.

הגדרות המדיניות בניות כ Rules כאשר ישנה חשיבות לסדר שהם מופיעים. החוק העליון שברשימה הוא המבוצע ראשון ולמעשה מקבל את העדיפות העליונה במדיניות. ניתן להוסיף חוקים ולשנות את הסדר בהתאם לצורך וליישום המדיניות הארגונית.

במקרה זה הוספתי חוק בשם – Test rule עם העדיפות הכי נמוכה.

ישנו חוק נוסף בשם Default Rule שלמעשה מגדיר את המדיניות עבור מיקרים ששאר החוקים לא טיפלו בהם.

 clip_image017[15]

 

עבור כול Rule  ניתן להגדיר קריטריונים שונים –  על מי יחול  (כתובות IP , משתמשים/קבוצות / התקני קצה), ומה הפעולות שמותר לבצע (פתיחה, שמירה, הצגה, אי יכולת להעלות צרופות ועוד)

 

clip_image019[15]

 

בסיום הגדרת ה POLICY יש לבצע שמירה ולציין את השם של ה Policy (במקרה הזה – Test Policy).

 

הפצת המדיניות

 

במסך ה Deployment Policy נוכל לבחור את הpolicy שהגדרנו (במקרה הזה test policy ) ובמידה ובוצע שדרוג לאחד מנוכל לבחור את הגרסה של רכיבי המוצר clip_image021[15]

 

לסיום עבור כל אחד משרתי תשתית הדואר הארגונית נבצע Deploy של הגרסה שנבחרה. בסיום תהליך ה Deploy מתקבל חיווי על תקינות כלל רכיבי המערכת

clip_image023[15]

 

אז כיצד זה בא לידי ביטוי בOWA ?

במקרה הזה בחרתי באפשרות VIEW בלבד עבור המדיניות הארגונית , כך שניתן יהיה לצפות בלבד בצרופה ללא יכולת לבצע שמירה וללא יכולת לבצע הדפסה של תוכן הצרופה.

לחציה על הצרופה (במקרה הזה קובץ PDF בשם Exchange 2016v1.3.pdf) תפתח חלונית עם האפשרויות הזמינות למשתמש שהגדיר עברו מנהל התשתית, במקרה הזה כאמור את האופציה VIEW בלבד.

clip_image024[15]

לאחר הלחיצה יבוצע בשרת הדואר בו ממוקמת תיבת הדואר של המשתמש המרה (HTML rendering)  ולמשתמש יוצג המסמך בקובץ HTML .

clip_image026[15]

 

 

לסיכום

AttachView של חברת Messageware מונע גישה לא מאובטחת למידע אירגוני רגיש שנשלח או מתקבל בOWA ע”י המרת הצרופה לדף HTML מאובטח שניתן לצפייה מכול דפדפן. למעשה המוצר מרחיב את היכולות שקיימות בפתרון המובנה של חברת מיקרוסופט – WebReady Document Viewing מתמיכה ביישומי Office ו PDF לתמיכה בלמעלה מ 400 סוגי קבצים.

מנגנון ה Rules שקיים במוצר מאפשר הגדרת מדיניות ארגונית גמישה ומותאמת לצרכים השונים של העובדים ודרישות אבטחת המידע.

 

 שמואל ח.

 

 

 

מקורות להרחבה

 

welcome-to-microsoft-webmail-s-new-doc-preview.html

http://www.infoworld.com/article/2614576/office-software/welcome-to-microsoft-webmail-s-new-doc-preview.html

Prevent Data Loss from Email Attachments in OWA with Messageware AttachView

https://www.messageware.com/prevent-data-loss-from-email-attachments-in-owa/

Configuring rich attachment preview in Exchange 2016

http://www.bhargavs.com/index.php/2015/11/18/configuring-rich-attachment-preview-in-exchange-2016/

Better OWA Attachment Security

http://windowsitpro.com/exchange-server/better-owa-attachment-security

Security and Privacy in Outlook Web App

https://support.office.com/en-ie/article/Security-and-Privacy-in-Outlook-Web-App-727a553e-5502-4899-b1ea-c84a9ddde2af

 

 

 

 

 

 

Add comment
facebook linkedin twitter email

Leave a Reply

Your email address will not be published.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*