» Home » Mobile Clients » RemoteWipe

Remotewipe im Detail

RemoteWipe funktioniert nur, solange ActiveSync noch funktioniert: d.h. das Löschen funktioniert nicht, wenn eine der folgenden Dinge zutrifft:

SIM-Karte wurde schon gesperrt -> keine GPRS Verbindung mehr möglich
Kennwort im AD geändert -> kein ActiveSync mehr möglich, Tipp: Zertifikate nutzen
GSM-Teil abgeschaltet.

Insofern sollten Sie ERST einen WIPE ausführen, ehe Sie die SIM-Karte sperren lassen und das AD-Konto deaktivieren.

Auf der Seite Exchange ActiveSync Server habe ich bereits die prinzipielle Funktionsweise von Active Sync über HTTP/HTTP erläutert. Eine genauere Betrachtung der HTTP Datenverkehre ist auf Always Up-to-date (AUTD) beschrieben. Eine wichtige Funktion des MSFP ist aber auch die Funktion "RemoteWipe". Als Administrator können Sie mittels dem MobileAdmin per Webbrowser einen "WIPE"-Befehl für ein Mobiles Endgerät einstellen, welches dann bei der nächsten Synchronisation das Endgerät löscht. Nur wie funktioniert das ?

Die Funktion ist so einfach und trivial, aber effektiv. Der WIPE-Befehl ist eine Einstellung, die im Postfach des Anwenders hinterlegt wird. Wenn Sie mit MFCMAPI das Postfach eines Benutzers öffnen, welcher ein mobiles Endgerät hat, dann finden Sie in einem Systemordner einen Ordner "Microsoft-Server-ActiveSync" in dem es für jeden Client und der DeviceID einen Eintrag gibt.

Hier speichert sich ActiveSync einige Informationen ab, die für den Abgleich erforderlich sind. Wenn Sie über den MobileAdmin ein Gerät "Löschen" (DELETE) dann wird darüber einfach der dazugehörende Ordner gelöscht.

Mit diesem Wissen ist es nun natürlich einfach, die Daten dort einmal vor und einmal nach einen "WIPE" zu exportieren und zu vergleichen. Sie werden dann feststellen, dass ein nicht näher benanntes MAPI-Property vermutlich die entsprechenden Daten enthält. Die Daten könnten auch den Verdacht aufkommen lassen, dass hier auch Kennwortrichtlinien etc. hinterlegt sind, obwohl diese in der Exchange Organisation eingestellt werden.

Der RemoteWipe ist also keine versteckte Systemmail, die im Postfach des Benutzers abgelegt wird, sondern eine Systemeinstellung. ActiveSync liest diese Einstellung bei jeder Synchronisation noch vor der Übertragung von Nachrichten, Terminen oder Kontakten. Das habe ich z.B.: daran gemerkt, dass ich ein Gerät per "Remote Wipe" gelöscht und den WIPE nach dem Erfolg nicht wieder entfernt habe. Als ich dann das Gerät wieder einrichten wollte hat es sich gleich zu Anfang der Synchronisation gleich wieder gelöscht.

Diese Zugriffe sieht man auch im IISLog. Hier ein Auszug einer Protokolldatei. Zur Lesbarkeit wurden einige Informationen entfernt.

POST /Microsoft-Server-ActiveSync User=msxfaq\mobil01&DeviceId=IMEI000&DeviceType=NokiaE60&Cmd=Sync&Log=xx 443 msxfaq\mobil01 NokiaE60/1.0 200 0 0

PUT /exchange/mobil01@msxfaq.de/NON_IPM_SUBTREE/Microsoft-Server-ActiveSync/NokiaE60/IMEI000/220dc68-3302 201

PROPFIND /exchange/mobil01@msxfaq.de/NON_IPM_SUBTREE/Microsoft-Server-ActiveSync/NokiaE60/IMEI000 207

Die erste Zeile ist die Anforderung des Clients (POST mit "Cmd=Sync"), welche dann von der mobsync.dll in eine Anfrage an OWA selbst umgesetzt wird. Man sieht, dass zum einen mit einem PUT ein Eintrag im Ordner "Microsoft-Server-ActiveSync/NokiaE60/IMEI000/220dc68-3302" geschrieben wird. Aber viel interessanter ist das "Auslesen" von "/exchange/mobil01@msxfaq.de/NON_IPM_SUBTREE/Microsoft-Server-ActiveSync/NokiaE60/IMEI000". Dort steht z.B. die Information über RemoteWipe.

Das können Sie ebenfalls mit MFCMAPI wunderbar einsehen. Allerdings sind die Daten nicht wirklich in Klartext aber durchaus interpretierbar. Gehen Sie dazu auf die IMEI bzw. GUID des mobilen Geräts:

und wenn Sie dann das Property "0x361C0102" anzeigen, dann kann man vermuten, dass es sowohl die Einstellungen für den Wipe als auch die Richtlinien zu Kennworten etc. enthält.

Wenn sie mögen, können Sie ja die Werte per Exchange System Manager und MobileAdmin beeinflussen und analysieren.

Ich würde aber nicht direkt hier Änderungen durchführen. Im Zweifel sollten sie den kompletten Zweig löschen und die Partnerschaft mit dem mobilen Endgerät neu einrichten.

Über Exchange ActiveSync Server und Always Up-to-date wird der Client dann benachrichtigt, repliziert und erkennt, dass er sich löschen muss. Dass der Client die Anforderung erhalten hat als auch die Ausführung meldet er ebenfalls wieder zurück und schreibt die Werte dort hinein.

Remote Wipe und Exchange 2007

Mit Exchange 2007 SP1 kann der Anwender nun sogar selbst per OWA auf dem Internet sein verlorenes Gerät löschen:

RemoteWipe umgehen ?

Damit das zuverlässig funktioniert, sollte diese Logik nicht abschaltbar sein. Das ist aus meiner Sicht auf der Grund, dass das MSFP nicht als ein Windows Update Oder AddOn installiert werden kann, sondern das Betriebssystem selbst im Rahmen eines Firmware Update durch den Hersteller des PDAs erfolgen muss.

Allerdings ist die Funktion von ActiveSync über HTTP auch eine mögliche Variante als Anwender den WIPE-Befehl außer Kraft zu setzen. Ich kann mich mit einem eigenen Programm analog zu ActiveSync natürlich mit dem ActiveSync Server verbinden und die Werte wieder zurücksetzen. Die Einstellung ist ein Teil meines Postfachs und dort habe ich die Rechte darauf. Für den Anwender selbst ist dies aber nahezu unmöglich, da es meines Wissens noch kein entsprechendes Programm gibt.

Für einen Angreifer ist es auch nicht einfach möglich, da er sich natürlich am Webserver mit den gültigen Anmeldenamen und Kennwort authentifizieren muss.

Diese Wege sind daher eher theoretischer Natur. Vermutlich ist es dann sogar einfacher die DeviceID des Endgeräts zu ändern oder über einen Proxy zu modifizieren.

Weitere Links

• Always Up-to-date (AUTD)
• Exchange ActiveSync Server
• MobileAdmin
• MSFP
• MFCMAPI
• Exchange 2007 - How to Perform a Remote Wipe on a Device
  http://technet.microsoft.com/en-us/library/aa998614.aspx

Keywords:

EAS ActiveSync AUTD MobileAdmin RemoteWipe

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
• Unified Communication
• Mobile Clients
  • Mobile Clients
  • Mobile Server
  • Pushdienste
  • ActiveSync Verbindungen
  • ActiveSync Desktop
  • ActiveSync Server
  • ActiveSync mit EAS
  • EAS2003 Richtlinien
  • EAS2007 Richtlinien
  • EAS Authentiizierung
  • EAS mit Zertifikate
  • EAS Auswertungen
  • EAS Fehlersuche
  • PocketPC
  • Mobile 6
  • Windows Mobile 6.5
  • EAS Fehlercodes
  • EAS Inside
  • MSFP
  • Always Up-to-date
  • RemoteWipe
  • GPRS-Kosten
  • UMTS
  • MobileAdmin
  • WM5 Provisioning
  • Mobile GAL
  • Office Mobile 2010
  • OMA
  • WAP
  • WAP Emulation
  • MIS
  • RoadSync
  • Blackberry
  • IMAP4Push
  • Visto
  • GoodLink
  • SyncML
  • Nokia ActiveSync
  • Gerätetest
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages