Absichern von Computern mit Exchange 2000 Server - basierend auf ihrer Rolle
Absichern von Computern mit Exchange 2000 Server - basierend auf ihrer Rolle
Auf dieser SeiteModulübersichtDieses Modul beschreibt, wie Sie Ihre Microsoft® Exchange 2000 Server-Umgebung mithilfe von Gruppenrichtlinien, basierend auf Exchange Serverrollen, vor böswilligen oder unbeabsichtigten Angriffen absichern. Sie können Dienste deaktivieren, die selten von Exchange-Back-End-Postfach- und öffentlichen Ordnerservern verwendet werden. Ein anderer Satz von Diensten wird auf OWA-Front-End-Servern (Outlook Web Access) deaktiviert. Sie können darüber hinaus nicht verwendete Datenbanken löschen. Das Modul beschreibt, wie die Sicherheit über geänderte Zugriffssteuerungslisten (ACLs) erhöht wird. Es stehen Sicherheitsvorlagen zur Verfügung, um das Erreichen dieser Ziele zu vereinfachen. Zusätzlich wird ein Entwurf für Organisationseinheiten bereitgestellt, um Ihnen den Einsatz von Serverrichtlinien zu erleichtern. Es wird die Verwendung von weiteren Tools zur Erhöhung der Sicherheit in einer Exchange 2000 Server-Umgebung beschrieben, wie zum Beispiel IIS-Lockdown und URL-Scan. Zielsetzung
BetrifftDie Informationen in diesem Modul gelten für folgende Produkte und Technologien:
Der Nutzen dieses ModulsDieses Modul ist ein Nachtrag zu Security Operations for Microsoft Windows 2000 Server (Microsoft Press, ISBN: 0-7356-1823-2). Es ist empfehlenswert, dass Sie dieses Handbuch vollständig lesen, bevor Sie mit diesem Modul fortfahren. Einige Abschnitte dieses Moduls beziehen sich direkt auf Informationen im Handbuch Windows 2000 Server Security Operations Guide. Dies wird im Text entsprechend gekennzeichnet. Wir empfehlen außerdem, das Handbuch Microsoft Exchange 2000 Server Operations (Microsoft Press, ISBN: 0 7356-1831-3), in dem Sie weitere Informationen zum Einsatz von Exchange 2000 Server erhalten. Das Ziel dieses Moduls ist es, Sie bei beim höchstmöglichen Sichern der Exchange 2000 Server-Umgebung zu unterstützen, ohne die Grundfunktion von Exchange Server zu beeinträchtigen. Dieses Handbuch konzentriert sich auf die Operationen, die für das Erstellen und Aufrechterhalten einer sicheren Umgebung auf Servern erforderlich sind, die Exchange 2000 Server ausführen. Sie sollten dieses Handbuch als Teil der gesamten Sicherheitsstrategie für Exchange Server verwenden. Das Handbuch soll keine vollständige Referenz bilden, in der alle Aspekte des Erstellens und Verwaltens einer sicheren Umgebung abgedeckt werden. Dieses Modul sollte zusammen mit den Modulen "Absichern der Exchange 2000 Server-Umgebung" und "Absichern der Exchange Server-Kommunikation" verwendet werden. Dieses Modul bietet detaillierte Methoden für das Sichern von Exchange-Front-End- und Back-End-Servern mithilfe von Gruppenrichtlinienvorlagen, die bereitgestellt werden. Die Schritte sind modular und geben klare Anweisungen, wie die Richtlinieneinstellungen implementiert werden. Sie können diese auf eine neue oder vorhandene Exchange Server-Umgebung anwenden. Alle Exchange Server weisen eine OWA-Funktionalität auf und sind Back-End-Server (bis Sie sie wechseln, so dass Sie Front-End-Server bilden). Daher können die Richtlinieneinstellungen für Back-End-Server in der Regel auf jede Exchange Server-Umgebung angewendet werden. Laden Sie die Vorlagen der Exchange 2000 Server-Gruppenrichtlinien herunter. Laden Sie das IIS Lockdown Tool herunter. EinführungIm Modul "Absichern der Exchange 2000 Server-Umgebung" wurden einige allgemeine Empfehlungen für das Sichern Ihrer Exchange 2000 Server-Umgebung untersucht. In diesem Modul wurden die Einzelheiten für eine Erhöhung der Sicherheit Ihrer Exchange 2000 Server basierend auf der Rolle, die sie in der IT-Umgebung ausführen, vorgestellt. Die Gewährleistung der Sicherheit von Windows 2000 ist eine wichtige Grundlage für die Sicherheit von Exchange 2000 Server, da Exchange 2000 Server eine Anwendung darstellt, die in einer Windows 2000-Umgebung ausgeführt wird. Das Handbuch Sicherheitsoperationen für Microsoft Windows 2000 liefert Ihnen Empfehlungen für das Sichern bestimmter Serverrollen. In diesem Modul werden die Empfehlungen dieses Handbuchs auf Exchange 2000 Server erweitert. Es werden speziell die OWA-Front-End- und Exchange-Back-End-Serverrollen untersucht. TestumgebungEs ist wichtig, dass Sie jede Änderung der Sicherheit der IT-Systeme sorgfältig in einer Testumgebung überprüfen, bevor Sie Änderungen an der Produktionsumgebung vornehmen. Ihre Testumgebung sollte Ihre Produktionsumgebung so genau wie möglich widerspiegeln. Zumindest sollte sie mehrere Domänencontroller und Mitgliedsserverrollen beinhalten, die auch in der Produktionsumgebung enthalten sind. Die Überprüfung ist notwendig, um sicher zu stellen, das Ihre Umgebung nach dem Durchführen von Änderungen immer noch funktionsfähig ist. Es ist aber auch wichtig sicher zu stellen, dass Sie den Sicherheitsgrad wie beabsichtigt erhöht haben. Sie sollten alle Änderungen sorgfältig prüfen und die Schwachstellen mithilfe der Testumgebung einschätzen. Hinweis: Bevor die Schwachstellen in der Organisation beurteilt werden, sollten die dafür zuständigen Personen über eine entsprechende schriftliche Genehmigung verfügen. Verwenden von OWA-Front-End- und Back-End-ServernStandardmäßig verfügt jeder Exchange 2000 Server über OWA-Funktionalität, wodurch Benutzer sich über das HTTP-Protokoll mit ihren Exchange Servern verbinden können. Dies ist möglich, weil die Komponenten, die die OWA-Lösung bilden, während einer Standardinstallation auf einem Exchange Server installiert werden. In den meisten mittleren bis großen Umgebungen ist es jedoch besser, eine Front-End/Back-End-Lösung zu implementieren, um den Zugriff auf OWA zu ermöglichen. In diesem Fall verbinden sich die Benutzer mit dem Front-End-Server. Dieser nimmt dann die Anforderung an, überprüft die Benutzerinformationen in Active Directory, und leitet dann die Anforderung an den entsprechenden Back-End-Exchange-Server weiter. Dr Back-End-Server bietet den Zugriff auf Postfächer und öffentliche Ordner. Dies bietet die folgenden Vorteile:
Hinweis: Front-End-Server können auch für Verbindungen über POP3 und IMAP4 verwendet werden. In diesem Handbuch wird jedoch davon ausgegangen, dass Sie nur HTTP- und MAPI-Verbindungen aktivieren. Hinweis: Weitere ausführliche Erläuterungen zu OWA-Front-End/Back-End-Serverumgebungen in Exchange Server finden im Abschnitt "Weitere Informationen" am Ende dieses Moduls. Absichern von Serverrollen für eine Exchange 2000 Server-UmgebungIn diesem Handbuch werden Sicherheitsvorlagen zur Verfügung gestellt, um die Sicherheit für die Serverrollen der Computer mit Exchange 2000 Server zu ändern. Sie müssen diese herunterladen und sie in Ihre Gruppenrichtlinieneinstellungen importieren, damit sie auf Exchange Server angewendet werden. Tabelle 1 definiert die Serverrollen und die Vorlagen, die für die Erhöhung der Sicherheit verwendet werden. Tabelle 1. Serverrollen für Computer mit Exchange 2000 Server
Zusätzlich zu den oben angegebenen Vorlagen, müssen Sie auch eine zusätzliche Sicherheitsvorlage zur Baseline-Gruppenrichtlinie für Domänencontroller hinzufügen. Die im Handbuch Security Operations for Microsoft Windows 2000 Server definierten Einstellungen setzen nicht voraus, dass Exchange Server Teil Ihrer Umgebung ist, und erfordern daher Änderungen, um Exchange 2000 Server zu berücksichtigen. Um die Domänencontrollereinstellungen zu ändern, damit sie Exchange Server-Operationen unterstützen, steht eine Vorlagendatei Exchange-DC-Incremental.inf zur Verfügung. Diese sollte in das Gruppenrichtlinienobjekt (GPO) der Organisationseinheit des Domänencontrollers importiert werden. Hauptsächlich wird nur eine Einstellung geändert; die in Tabelle 2 dargestellte Sicherheitsoption. Tabelle 2. Sicherheitsoption auf Domänencontrollern für die Unterstützung von Exchange 2000 Server
Die Einstellung Weitere Einschränkungen für anonyme Verbindungen muss geändert werden, weil Microsoft Outlook® 2000- und Outlook 2002-Clients sich anonym mit dem globalen Katalogserver in Verbindung setzen und Informationen abfragen. Mit den im Handbuch Security Operations for Microsoft Windows 2000 Server definierten Einstellungen können Benutzer keine internen E-Mails senden und müssen externe Adressen verwenden. Hinweis: Weitere Informationen über dieses Problem finden Sie im englischen Knowledge Base-Artikel Q309622 "XADM: Clients Cannot Browse the Global Address List After You Apply the Q299687 Windows 2000 Security Hotfix." Die anderen Einstellungen werden geändert, um der großen Anzahl der Ereignisse für erfolgreiche Anmeldung Rechnung zu tragen, die Exchange 2000 Server generiert. Wenn Erfolgsüberwachung für Anmeldeereignisse aktiviert ist, wächst das Sicherheitsprotokoll sehr schnell an. Hinweis: Weitere Informationen zu diesem Problem finden Sie im englischen Knowledge Base-Artikel Q316685 "Active Directory-Integrated Domain Name Is Not Displayed in DNS Snap-in with Event ID 4000 and 4013 Messages". Active Directory-Struktur zur Unterstützung der Serverrollen von Computern mit Exchange 2000 ServerDas Handbuch Security Operations for Microsoft Windows 2000 Server empfiehlt eine Organisationseinheitenstruktur, die das einfache Anpassen der bereitgestellten Sicherheitsvorlagen ermöglicht. Die Organisationseinheitenstruktur in diesem Handbuch kann einfach erweitert werden, um die zwei neuen Serverrollen miteinzuschließen, die hier definiert werden. Exchange 2000 Server ist eine Anwendung. Aus diesem Grund wird eine Organisationseinheit Computer mit Exchange Server unter der Organisationseinheit Anwendungsserver erstellt, und unter der Organisationseinheit Computer mit Exchange Server werden dann weitere Organisationseinheiten für diese Serverrollen hinzugefügt. In Abbildung 1 wird die empfohlene Organisationseinheitenstruktur dargestellt, die die zwei neuen Serverrollen aufnehmen soll:  Abbildung 1 Hinweis: Das Erstellen der Organisationseinheitenstruktur für die Unterstützung der Empfehlungen in diesem Handbuch werden im Handbuch Security Operations for Microsoft Windows 2000 Server ausführlicher beschrieben. Importieren der SicherheitsvorlagenDie in den folgenden Abschnitten beschriebenen Sicherheitsvorlagen sind in der Datei ExSecurityOps.exe enthalten, die diesem Handbuch beigefügt ist. Sie müssen die Datei vor dem Importieren der Sicherheitsvorlagen extrahieren. Wenn Sie Windows 2000 Service Pack 2 verwenden, müssen Sie ebenfalls sicherstellen, dass Sie die Hotfixes angewendet haben, die in den folgenden Knowledge Base-Artikeln (in englischer Sprache) beschrieben werden:
Hinweis: Wenden Sie sich an den Microsoft-Produktsupport, um die in den oben genannten Knowledge Base-Artikeln beschriebenen Hotfixes zu erhalten. Weitere Informationen zum Kontaktieren des Microsoft-Produktsupport finden Sie unter folgender Adresse: http://support.microsoft.com. Warnung: Die Sicherheitsvorlagen in diesem Handbuch sollen die Sicherheit in Ihrer Umgebung erhöhen. Es ist jedoch möglich, dass durch das Installieren der in diesem Handbuch enthaltenen Vorlagen einige Funktionen in der Umgebung verloren gehen. Dies kann auch den Ausfall von kritischen Anwendungen umfassen. Es ist daher äußerst wichtig, dass Sie die Vorlagen vor dem Verwenden in einer Produktionsumgebung sorgfältig prüfen, und alle für Ihre Umgebung geeigneten Änderungen vornehmen. Sichern Sie jeden Domänencontroller und Server, bevor Sie neue Sicherheitseinstellungen anwenden. Vergewissern Sie sich, dass der Systemstatus in der Sicherung enthalten ist, weil hier die Registrierungsdaten enthalten sind. Bei Domänencontrollern enthält die Sicherung zusätzlich alle Objekte in Active Directory. Hinweis: Die im Handbuch Sicherheitsoperationen für Microsoft Windows 2000 enthaltene Richtlinie für Domänencontroller-Baseline und die Richtlinie für Mitgliedsserver-Baseline setzen die LAN Manager-Authentifizierungsebene nur auf NTLMv2. Damit Outlook-Clients erfolgreich mit Exchange Servern und Domänencontrollern kommunizieren können, muss für diese Clients ebenfalls die ausschließliche Verwendung von NTLMv2 definiert werden. Mit dem folgenden Verfahren werden die in diesem Handbuch enthaltenen Sicherheitsvorlagen in die in diesem Modul vorgeschlagene Struktur der Organisationseinheit importiert.
Exchange Server-RichtlinienIn Windows 2000 können eine Vielzahl von Sicherheitseinstellungen definiert werden, einschließlich Überwachung, Sicherheitsoptionen, Registrierungseinstellungen, Dateiberechtigungen und Dienste. Im Handbuch Security Operations for Microsoft Windows 2000 Server werden Vorschläge für viele dieser Einstellungen gegeben und diese Empfehlungen müssen für Exchange 2000 Server nicht geändert werden. Hauptsächlich werden zusätzliche Einstellungen auf Dienste angewendet, obgleich auch einige Dateiberechtigungsänderungen vorgenommen werden. Da sich die Exchange Server in den Organisationseinheiten unter der Mitgliedsserver-Organisationseinheit befinden, erben sie Einstellungen, die in der Richtlinie für die Mitgliedsserver-Basisrichtlinie definiert sind. Die Exchange Server-Richtlinien ändern diese Einstellungen auf zwei verschiedene Arten. Als Erstes werden einige Dienste, die für grundlegende Windows 2000-Funktionen nicht erforderlich sind, für erfolgreiche Exchange 2000 Server-Operationen benötigt. Zweitens enthält Exchange 2000 Server eine Reihe von zusätzlichen Diensten, von denen nicht alle erforderlich sind, damit die Exchange Server in ihren bestimmten Rollen ausgeführt werden können. Hinweis: Obwohl es nicht explizit in den inkrementellen Exchange Server-Richtlinien erwähnt wurde, ist das NNTP-Protokoll (Network News Transfer Protocol) durch die Windows 2000-Richtlinie für Mitgliedsserver-Basisrichtlinie deaktiviert. Dieser Dienst ist für die Installation von Exchange Server erforderlich, jedoch nicht für Exchange Server-Operationen. Es sei denn, Sie benötigen Newsgroupfunktionen. Exchange-Back-End-ServerrichtlinienDie Back-End-Richtlinie von Exchange Servern definiert Einstellungen in zwei Bereichen: Dienste und Datei-Zugriffssteuerungslisten. Dienstrichtlinien von Exchange-Back-End-ServernTabelle 3 zeigt die in der Exchange 2000-Back-End-Richtlinie definierten Dienste: Tabelle 3. Dienste, die in der Back-End-Baseline-Richtlinie von Exchange Servern konfiguriert sind
Hinweis: Die Exchange Server-Systemaufsicht hängt von den folgenden Diensten ab, die vor dem Start der Aufsicht ausgeführt werden müssen:
Wichtige Dienste, die deaktiviert sindFür den Zweck dieses Handbuchs wurden alle Dienste deaktiviert, die für die Kernfunktionalität von Exchange 2000 Server nicht erforderlich sind. In einigen Fällen müssen Sie Dienste möglicherweise wieder aktivieren, damit die in Ihrer Umgebung erforderlichen Funktionen zur Verfügung stehen. Nachfolgend ist eine Beschreibung der wichtigen Dienste, die durch die inkrementelle Back-End-Serverrichtlinie deaktiviert sind. Ereignisdienst Der Exchange Server-Serverereignisdienst, der in Exchange Server 5.5 eingeführt wurde, unterstützt serverseitige Skripte, die durch Ordnerereignisse ausgelöst werden, entweder in öffentlichen Ordnern oder einzelnen Postfächern. Der Exchange Server-Ereignisdienst wird in Exchange 2000 Server für die Rückwärtskompatibilität mit Exchange 5.5-Ereignisskripten zur Verfügung gestellt. Neue Anwendungen, die speziell für Exchange 2000 Server entwickelt werden, sollten anstatt des Exchange Server-Ereignisdienstes einheitliche Webspeicher-Systemereignisse verwenden. Dies wird auch im Exchange 2000 Software Development Kit (SDK) beschrieben, der auf MSDN verfügbar ist. Weitere Details finden Sie im Abschnitt "Weitere Informationen". Microsoft Suche Der Informationsspeicherprozess erstellt und verwaltet Indizes für allgemeine Schlüsselfelder, wodurch schnelleres Suchen nach Dokumenten in einem Speicher ermöglicht wird. Ein Index ermöglicht Outlook-Benutzern ein einfacheres Suchen nach Dokumenten. Mit der Volltextindizierung wird der Index vor der Clientsuche erstellt, wodurch schnelleres Suchen möglich wird. In die Volltextindizierung können Anhänge miteinbezogen werden. Die Indizierung wird von den Microsoft-Suchdiensten bereitgestellt. Damit der Index erstellt, aktualisiert oder gelöscht wird, müssen sowohl der Informationsspeicherdienst als auch der Suchdienst ausgeführt werden. Microsoft Exchange Server-Standortreplikationsdienst Dieser Dienst ist für die Replikation von Exchange Server 5.x-Standort- und Konfigurationsinformationen auf die Konfigurationspartition von Active Directory verantwortlich, wenn ein Computer mit Exchange 2000 Server zu einem vorhandenen Exchange Server 5.5-Standort gehört. Microsoft Exchange MTA-Stacks Dies ist eine zusätzliche Komponente, die Exchange 2000 Server mit fremden Systemen verbindet. Der Message Transfer Agent (MTA) ist für das Routing von Nachrichten über X.400- und Gateway-Connectors zu fremden Umgebungen verantwortlich. Dieser Dienst verwaltet seine eigene spezifische Nachrichtenwarteschlange außerhalb des Informationsspeicherdienstes im Verzeichnis \Programme\Exchsrvr\Mtadata. Exchange-Back-End-Serverrichtlinien für Datei-ZugriffssteuerungslistenDie Exchange-Back-End-Serverrichtlinie ändert Zugriffssteuerungslisten (ACL) auf verschiedenen Verzeichnissen. Tabelle 4 stellt die definierten Einstellungen auf. Table 4. Datei-Zugriffssteuerungslisten, die durch die Exchange-Back-End-Serverrichtlinie konfiguriert werden
Hinweis: Die für das nntpfile-Verzeichnis und die Unterverzeichnisse definierten Einstellungen sind nicht unbedingt erforderlich, da NNTP nicht auf dem Server ausgeführt wird. Die Einstellung wird hier jedoch definiert, da sie die Beschränkungen auf das Dateisystem erhöht und für eine spätere Verwendung zur Verfügung steht, falls Sie sich für eine zukünftige Aktivierung von NNTP entscheiden. OWA-Front-End-ServerrichtlinieDie OWA-Front-End-Richtlinie definiert Einstellungen in zwei Bereichen – Dienste und Datei-Zugriffssteuerungslisten. Dienstrichtlinien von OWA-Front-End-ServernDa die Rolle dieses Servers nur die Unterstützung von webbasierten E-Mails beinhaltet, können viele der durch die Standardkonfiguration installierten Exchange Server-Dienste deaktiviert werden. Table 5 stellt die Dienste dar, die in der OWA-Front-End-Serverrichtlinie konfiguriert sind. Table 5. Dienste, die in der OWA-Front-End-Serverrichtlinie konfiguriert sind
Wichtige Dienste, die in der OWA-Front-End-Serverrichtlinie deaktiviert sindWie bei der Back-End-Konfiguration müssen Sie möglicherweise einige Dienste wieder aktivieren, die die in Ihrer Umgebung erforderlichen Funktionen zur Verfügung stellen. Nachfolgend ist eine Beschreibung der wichtigen Dienste, die durch die inkrementelle OWA-Front-End-Serverrichtlinie deaktiviert sind. Microsoft Exchange-POP3 und Microsoft Exchange-IMAP4 Wie bereits im Modul "Absichern der Exchange 2000 Server-Umgebung" erwähnt, sollten Sie bestimmen, ob Sie die volle Funktionalität von Exchange Server in Ihrer Umgebung benötigen. In vielen Fällen verfügen Sie nicht über POP3- oder IMAP4-Clients, und können so sicherstellen, dass diese Dienste durch Gruppenrichtlinien deaktiviert werden. Sie sollten außerdem sicherstellen, dass Sie keine benutzerdefinierten Programme in der Umgebung ausführen, die diese Funktionen erfordern, bevor Sie diese deaktivieren. Systemaufsicht Auf einem Front-End-Server ist die Systemaufsicht nur erforderlich, wenn Sie Konfigurationsänderungen an dem Server vornehmen möchten. Die Systemaufsicht wird daher in der Vorlage deaktiviert. Das bedeutet, dass Sie beim Durchführen von Änderungen an einem Server, der die OWA-Front-End-Serverrichtlinie verwendet (einschließlich dem Ändern des Servers in einen OWA-Front-End-Server) zuerst vorübergehend die Systemaufsicht und die zugeordneten Dienste starten müssen.
Informationsspeicher Der Informationsspeicherdienst ist nicht erforderlich, da an diesen Server keine E-Mails übermittelt werden. Ohne Informationsspeicherdienst wird das verbundene Laufwerk M, das in der Regel auf allen Exchange 2000 Servern vorhanden ist, gelöscht. Die Grund hierfür liegt darin, dass das installierbare Exchange Server-Dateisystem mit keinem Laufwerk verbunden werden kann. Microsoft Exchange Server-Verwaltung Dieser Dienst wurde als Teil von Exchange 2000 Server Service Pack 2 eingeführt. Mit diesem Dienst können Sie über die Benutzeroberfläche festlegen, welcher Domänencontroller oder globale Katalogserver von Exchange 2000 Server beim Zugriff auf das Verzeichnis verwendet wird. Der Dienst ist auch für die Nachrichtenverfolgung erforderlich. Sie können diesen Dienst deaktivieren, ohne die Hauptfunktionalität von Exchange Server zu beeinflussen. Sie stellen jedoch möglicherweise fest, dass Sie die Nachrichtenverfolgung als Teil der Überwachung von Exchange Server-Funktionen benötigen. In diesem Fall wird der OWA-Front-End-Server verwendet, um auf E-Mails zuzugreifen, anstatt E-Mails zu routen. Die Microsoft Exchange Server-Verwaltungsdienste müssen nicht auf dem OWA-Front-End-Server ausgeführt werden. SMTP-DienstDer OWA-Front-End-Server erfordert in diesem Fall nicht das SMTP-Protokoll, da er nur als OWA-Server ausgeführt wird. Sie müssen den SMTP-Dienst aktivieren, wenn Sie für den Front-End-Server das Empfangen von SMTP-E-Mails festgelegt haben, und er entweder als Gateway oder als Front-End-Server für IMAP4 oder POP3 ausgeführt wird. Wenn der Server auch ein SMTP-Gateway bildet, sind ebenfalls die Informationsspeicher- und Systemaufsichtsdienste erforderlich. OWA-Front-End-Serverrichtlinien für Datei-ZugriffssteuerungslistenDie Richtlinie definiert Datei-Zugriffssteuerungslisten auf genau die gleiche Weise, wie die Back-End-Serverrichtlinie. Weitere Informationen finden Sie unter "Exchange-Back-End-Serverrichtlinien für Datei-Zugriffssteuerungslisten" weiter oben in diesem Modul. Installieren und Aktualisieren von Exchange Server in einer Umgebung mit erhöhter SicherheitWenn Sie die bereits beschriebenen Vorgehensweisen in diesem Modul bis zu dieser Stelle verfolgt haben, haben Sie vorhandene Exchange Server in die entsprechenden Organisationseinheiten verschoben, um die Sicherheitsstufe in Ihrer Umgebung zu erhöhen. Um die Sicherheit zu erhöhen, müssen vor der Installation von Exchange neue Server in die entsprechende Organisationseinheit verschoben werden. Während jedoch Kerndienste von Exchange Server in der Umgebung ausgeführt werden dürfen, wird die Installation von Exchange Server standardmäßig nicht zugelassen. Darüber hinaus können Sie die Aktualisierung von Exchange Server durch zukünftige Service Packs ebenfalls nicht durchführen. Verwenden Sie die folgende Vorgehensweise, wenn Sie Exchange Server oder Exchange Server Service Packs auf gesperrten Servern installieren möchten. Hinweis: Wenn Sie Exchange 2000 Server auf einem Server installieren, der bereits gesichert ist, werden Sie durch Fehlermeldungen darauf hingewiesen, dass die digitale Signatur nicht gefunden werden kann. Dies ist das Ergebnis der erhöhten Sicherheit auf dem Server und kann umgangen werden.
Hinweis: Die inkrementellen Richtlinien für OWA-Front-End- und Exchange-Back-End-Server aktivieren NTLM2. Dies ermöglicht den Exchange Servern das Kommunizieren mit Ihren gesicherten Domänencontrollern. Wenn Sie Ihre Server vor dem Installieren von Exchange Server nicht in den entsprechenden Organisationseinheiten platzieren, können die Server keine Verbindung zu Domänencontrollern aufbauen. Zusätzliche SicherheitsmaßnahmenNeben der durch die Gruppenrichtlinienvorlagen bereitgestellten erweiterten Sicherheit stehen zusätzliche Sicherheitsmaßnahmen zur Verfügung, die auf Exchange 2000 Servern implementiert werden sollten. Dieser Abschnitt stellt diese Maßnahmen vor. IIS Lockdown ToolNachdem die Sicherheitsvorlage auf die Exchange 2000 Server angewendet wurde, müssen Sie zusätzliche Sicherheitssteuerungen auf die Internetinformationsdienste (IIS) anwenden, besonders auf den OWA-Front-End-Servern. Durch die Verwendung des IIS-Tools zur Sperrung können viele der Änderungen an den IIS automatisiert werden. Das IIS Lockdown Tool legt Einstellungen fest, die für das Sichern der IIS erforderlich sind, ermöglicht jedoch weiterhin den Betrieb von Exchange 2000 entweder als Back-End-Server oder als OWA-Front-End-Server. Hinweis: Das IIS Lockdown Tool kann über die folgende Adresse bezogen werden: http://www.microsoft.com/technet/security/tools/locktool.mspx Das IIS Lockdown Tool verfügt über zwei Modi: Einen Expressmodus, der für die meisten einfachen Webserver ausreichend ist, und einen erweiterten Modus. Dieser ermöglicht Administratoren die Auswahl der Technologien, die der Server unterstützen soll. Das Tool bietet eine Wiederherstellungsfunktion, mit der die Auswirkungen des letzten Lockdowns rückgängig gemacht werden können. IIS Lockdown Tool implementiert auch URL-Scan, was alle eingehenden Anforderungen überprüft und nur die Anforderungen überträgt, die mit einem bestimmten Regelsatz übereinstimmen. Dadurch wird die Sicherheit des Servers erheblich verbessert, indem sichergestellt wird, dass der Server nur auf gültige Anforderungen antwortet. URL-Scan ermöglicht das Filtern von Anforderungen anhand der Länge, des Zeichensatzes, des Inhalts und anderer Faktoren. Es steht ein Standardregelsatz zur Verfügung, der angepasst werden kann, um die Anforderungen eines bestimmten Servers zu erfüllen.
Hinweis: Um das IIS Lockdown Tool auf einem Exchange 2000-Back-End-Server auszuführen, wiederholen Sie die oben aufgeführte Vorgehensweise und aktivieren Sie in Schritt 5 HTTP und SMTP. Ändern der IIS-Lockdown- und URL-Scan-Einstellungen für OWA-Front-End-ServerSie müssen möglicherweise die Standard- IIS Lockdown- und URL-Scan-Einstellungen für Ihre Umgebung ändern. Die URL-Scan-Einstellungen sind in der Datei URLScan.ini gespeichert, die sich im Verzeichnis <WinDir>\System32\Inetsrv\Urlscan befindet. Falls Probleme mit OWA auftreten, währen URL-Scan aktiviert ist, überprüfen Sie in der Datei Urlscan.log im Verzeichnis <WinDir>\System32\Inetsrv\Urlscan die Liste der Anforderungen, die zurückgewiesen wurden. Hinweis: Weitere Informationen zur Problembehandlung und zum Konfigurieren von IIS-Tools zur Sperrung und von URL-Scan finden Sie im englischen Knowledge Base-Artikel Q309677 "XADM: Known Issues and Fine Tuning When You Use the IIS Lockdown Wizard in an Exchange 2000 Environment". Unterstützung für Kennwortänderungen in OWAStandardmäßig wurden .htr-Dateien vom IIS Lockdown Tool deaktiviert. Wenn dieser Dateityp deaktiviert ist, kann das OWA-Feature zum Ändern des Kennworts nicht ausgeführt werden. Wenn die .htr-Dateien deaktiviert sind, sollten Sie ebenfalls in OWA die Schaltfläche Kennwort ändern ausblenden, um den Benutzer nicht zu verwirren und Anfragen beim Helpdesk zu vermeiden. Hinweis: Weitere Informationen über das Deaktivieren der Schaltfläche Kennwort ändern in OWA finden Sie im englischen Knowledge Base-Artikel Q297121 "XWEB: How to Hide the "Change Password" Button on the Outlook Web Access Options Page." Blockierte E-MailsDer Abschnitt [DenyUrlSequences] der Datei URLScan.ini enthält explizit blockierte Zeichen und kann den Zugriff auf OWA potenziell beeinflussen. Jeder E-Mail-Betreff oder Postfachordnername, der eine der folgenden Zeichensequenzen enthält, wird blockiert:
Hinweis: Die ".." in der Datei URLScan.ini blockieren E-Mail-Nachrichten mit einer Betreffzeile, die mit einem Punkt enden. Aufheben der Bereitstellung des Postfachspeichers und des Speichers für öffentliche OrdnerDa die Rolle des OWA-Front-End-Servers das Weiterleiten von Anforderungen an Back-End-Server beinhaltet, benötigen Sie keine Exchange-Serverpostfächer oder öffentliche Ordner auf den OWA-Front-End-Servern. Diese werden von den Back-End-Exchange-Servern verwaltet. Sie können daher die Bereitstellung dieser Speicher aufheben und sie löschen.
Hinweis: Sie müssen den NTLM Security Support Provider und die Systemaufsicht nicht erneut deaktivieren, da dies automatisch beim Neustarten des Servers vorgenommen wird. Hinweis: Der private Informationsspeicher muss bereit gestellt werden, wenn Sie auf dem Front-End-Server SMTP ausführen. Hinweis: Sobald die Bereitstellung des Postfachspeichers und Informationsspeichers für öffentliche Ordner aufgehoben ist, wird das verbundene Laufwerk M:, das in der Regel auf allen Exchange 2000 Servern vorhanden ist, gelöscht. Die Grund hierfür liegt darin, dass das installierbare Exchange Server-Dateisystem mit keinem Laufwerk verbunden werden kann. Sie finden Ereignisfehler (Ereignis-ID 101) im Systemprotokoll, die angeben, dass der Pfad zu einem bestimmten virtuellen Verzeichnis ungültig ist. Diese virtuellen Verzeichnisse Öffentlich, Exchange und ExAdmin zeigen ebenfalls den Status Beenden in der Konsole des Internetdienste-Managers an. Diese Fehler werden hervorgerufen, nachdem der Exchange Server auf dem IIS-Server installiert wurde und der Server dann neu gestartet wurde. Nach dem Neustart wird der IIS Dienst (W3SVC) gestartet, bevor der Exchange Server-Informationsspeicherdienst startet. Der Informationsspeicherdienst ist für das Erstellen des zugeordneten virtuellen Laufwerks (M:) verantwortlich, dem diese drei virtuellen Verzeichnisse zugewiesen sind. Da das zugeordnete Laufwerk noch nicht erstellt wurde, wird von IIS die Fehlermeldung ausgegeben. Da der Informationsspeicherdienst deaktiviert ist, wenn Sicherheit über Gruppenrichtlinien angewendet wird, wird das zugeordnete virtuelle Laufwerk nie bereitgestellt und diese Fehler werden weiterhin im Ereignisprotokoll angezeigt. Sie sind jedoch absolut harmlos. Hinweis: Weitere Informationen über die Ereignisprotokoll-ID 101 finden Sie im englischen Knowledge Base-Artikel Q259373 "XADM: W3SVC Logs Event ID 101 in the System Event Log." Ändern des SMTP-BannersJe weniger Informationen Sie einem Angreifer zur Verfügung stellen, desto schwieriger werden Angriffe auf das System. Eine Möglichkeit, wie ein Angreifer Informationen über die ausgeführte Version von Exchange Server abrufen kann, ist das Verwenden von Telnet, um eine Verbindung mit dem SMTP-Dienst aufzubauen. Wenn Sie sich mit dem SMTP-Dienst auf einem Exchange Server verbinden, wird standardmäßig der folgende Banner angezeigt: 220 hostname . domäne .com Microsoft ESMTP MAIL Service, Version: 5.0.2195.1600 verfügbar am aktuelles Datum und um Uhrzeit. Sie sollten dies auf allen Back-End-Exchange-Servern ändern, so dass die spezifische Version nicht angezeigt wird. Sie können auch eine Rechtserklärung einfügen, die eine nicht autorisierte Verwendung des SMTP-Dienstes verbietet.
Um die Änderung des Banners zu überprüfen, greifen Sie mit Telnet auf Port 25 des virtuellen Servers zu (die Standardeinstellung). Der Banner "ESMTP MAIL Service, Version: 5.0.2195.1600" sollte nicht mehr angezeigt werden. Der vollqualifizierte Domänenname (so wie dieser in den Eigenschaften des SMTP-Dienstes eingegeben wurde) sowie das Datum und die Uhrzeit werden jedoch weiterhin angezeigt. Gruppen-Lockdown für Exchange DomänenserverAls Teil der Standardinstallation wird eine Exchange Domänenservergruppe für jede Domänen in der Gesamtstruktur erstellt. Diese Gruppe enthält die Computerkonten für jeden Exchange Server in einer angegebenen Domäne. Standardmäßig wird den Exchange Domänenservergruppen Zugriff auf alle öffentlichen Exchange Server-Ordner und Postfachspeicher in einer Gesamtstruktur gewährt. Sie können den Zugriff auf Postfachspeicher auf die lokalen Server begrenzen, die die Speicher durch Ausführen des EDSLock-Skripts hosten. Hinweis: Weitere Informationen über das EDSLock.Skript finden Sie im englischen Knowledge Base-Artikel Q313807 "XADM: Enhancing the Security of Exchange 2000 for the Exchange Domain Servers Group." Exchange Server-Cluster-HinweiseExchange 2000 Server in einer Clusterumgebung ist nicht im Themenumfang dieses Handbuchs enthalten. Es ist jedoch einfach zu erkennen, dass einige Änderungen an den hier beschriebenen Sicherheitseinstellungen vorgenommen werden müssen, damit Exchange 2000 Server in einer Clusterumgebung ausgeführt werden kann. Dazu gehören:
ZusammenfassungDas Erhöhen der Sicherheit Ihrer Exchange Server ist ein wichtiger Teil beim Sichern Ihres Unternehmens. Wenn Sie die Ratschläge in diesem Handbuch und in den erwähnten Sicherheitshandbüchern befolgen, werden Sie die Sicherheit Ihrer Windows 2000-Umgebung erhöhen und die Risiken eines erfolgreichen Angriffs auf Ihre Exchange Server-Umgebung deutlich senken. Weitere InformationenDas vollständige Sicherheitshandbuch für Microsoft Windows 2000 Server finden Sie unter: /germany/technet/datenbank/articles/900133.mspx Weitere Informationen über die Auswirkungen von Windows 2000-Sicherheitsfixes auf den globalen Katalogserver finden Sie (in englischer Sprache) unter: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q309622 Weitere Informationen über das Aktivieren von erfolgreichen Überwachungen für Anmeldeereignisse, die das Sicherheitsprotokoll füllen, finden Sie (in englischer Sprache) unter: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q316685 Eine detaillierte Beschreibung über einheitliche Webspeicher-Systemereignisse finden Sie (in englischer Sprache) unter: So laden Sie dass IIS Lockdown Tool herunter: http://www.microsoft.com/technet/security/tools/locktool.mspx Weitere Informationen über die Problembehandlung und Konfiguration des IIS-Toos zum Sperren und von URL-Scan finden Sie (in englischer Sprache) unter: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q309677 Weitere Informationen über das Deaktivieren der Schaltfläche Kennwort ändern in OWA finden Sie(in englischer Sprache) unter: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q297121 Weitere Informationen über die Ereignisprotokoll-ID 101 finden Sie unter: http://support.microsoft.com/default.aspx?scid=kb;de-de;Q259373 Weitere Informationen über EDSLock-Skripte finden Sie (in englischer Sprache) unter: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q313807 Weitere Informationen über NTLMv2, dass nicht von Windows 2000-Clustern unterstützt wird, finden Sie (in englischer Sprache) unter: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q272129 Weitere Informationen über das Nicht-Implementieren von IPSec für OWA-Front-End/Back-End-Kommunikation finden Sie (in englischer Sprache) unter: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q306677
|
In diesem Beitrag
|
