Microsoft Exchange Server 2000

Präsentation zum Thema: "Microsoft Exchange Server 2000"—  Präsentation transkript:

1 Microsoft Exchange Server 2000
GET secure, STAY secure! Verwendung von Microsoft Security Tools Mario Bono

2 Agenda Sicherheitskonzept Microsoft Security Tool Kit
Get secure Stay secure Sicherheitskonzept MSBSA Hotfixes Tools Patch Management MSUS Checklisten Dienste MS WUPD Microsoft Security Tool Kit Security Operations Guides (W2K/E2K) Server Security (Firewalls/DMZ) Netzwerk Traffic Client Zugriff Securing E2K & OWA Q & A

3 Sicherheitskonzept Programm – integriert Microsoft Produkte, Support und Dienstleistungen (Microsoft Security Tool Kit) Phase 1: GET secure Unterstützung für Windows NT 4.0 und Windows 2000 Enthält Tools und Richtlinien zum sicheren Betreiben eines Servers der am Internet angeschlossen ist Phase 2: STAY secure Tools, Updates Patches, Consulting

4 Microsoft Security Tool Kit
treeview/default.asp?url=/ technet/security/tools/Default.asp

5 Microsoft Security Tool Kit
Arbeitsstationen und Server Security Checklisten Security Vorlagen Hot Fixes Windows Update Microsoft Base Security Analyzer HFNetCheck QChain Critical Update Notification IIS Dienste IIS Checklisten IIS Lockdown Tool URLScan

6 Checklisten / Vorlagen
Vorhanden für: Windows NT 4.0 Windows NT 4.0 Terminal Server Windows 2000 Windows XP

7 IIS Dienste Das Toolkit enthält Checklisten zum Sicheren betreiben von Internet Information Server und Internet Explorer IE (für alle Versionen) IIS 5.0 IIS 4.0

8 IIS TOOLS IIS Lockdown Wizard URLScan
Konfiguriert IIS auf Windows NT 4.0 oder Windows 2000 Server URLScan Windows 2000 SP1 oder später Analysiert vom IIS empfangene HTTP Anfragen

9 Hotfixes - MS Windows Update
Update bei Publikation der Sicherheits Bulletins Voraussetzungen: Internet Explorer muss Cookies und ActiveX Controls erlauben Lokale Administrator Berechtigungen

10 MS Baseline Security Analyzer
Unterstützte Plattformen: Windows 2000 Professional/Server Windows XP Home Edition/Professional Voraussetzungen: Lokale Administrator Berechtigungen Mehr Sicherheits-Checks als Microsoft Windows Update Unterstützung Remoter Workstations und Server

11 MS Baseline Security Analyzer
Überprüfung folgender Produkte/Services: Windows NT 4.0 Workstation/Server Windows 2000 Professional/Server Windows XP Home Edition/Professional IIS 4.0/5.0 SQL 7.0/2000 Erkennt SQL Server Instanzen IE 5.01+

12 MS Baseline Security Analyzer
Überprüfung folgender Produkte/Services Fortsetzung: Exchange und Windows Media Player Office 97, 2000, XP Support für Software Update Services (SUS) security/tools/Tools/mbsahome.asp

13 The Hotfix Network Checker
GET secure, STAY secure mit Microsoft Exchange Server 2000 The Hotfix Network Checker Anwendung für Server und Client Workstations Remote Unterstützung Mehr Security-Checks als Windows Update Windows 2000, IIS 4.0, IIS 5.0, SQL Server 7.0, SQL Server 2000, Internet Explorer 5.01 and later Download verfügbarer Updates und Fixes als .XML Zusätzliche Funktionalität in der Pro und LT Version Download der LT Version Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

14 GET secure, STAY secure mit Microsoft Exchange Server 2000
Hotfix Allgemeine Überlegungen Viele Neustarts Reihenfolge Hotfix Installation beachten Lösung Windows Critical Update Notification Security Tool Kit: QChain Tool Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

15 QChain Entscheidungs Baum
GET secure, STAY secure mit Microsoft Exchange Server 2000 QChain Entscheidungs Baum Betriebssystem Windows NT 4.0? QChain verwenden Betriebssystem Windows XP? In Betriebssystem Integriert Betriebssystem Windows 2000 SP3 oder später Seit SP3 integriert QChain verwenden Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

16 QChain Tool - Funktionsweise
GET secure, STAY secure mit Microsoft Exchange Server 2000 QChain Tool - Funktionsweise Hotfix B X.dll (v3) Hotfix A X.dll (v1) Hotfix C X.dll (v2) Server QChain Tool Richtige Version Falsche Version Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

17 QChain Tool für Windows NT 4.0
GET secure, STAY secure mit Microsoft Exchange Server 2000 QChain Tool für Windows NT 4.0 Switch – Z unterdrückt den Neustart @echo off setlocal set PATHTOFIXES=E:\Hotfix %PATHTOFIXES%\Q123456i.exe -z -m %PATHTOFIXES%\Q123321i.exe -z -m %PATHTOFIXES%\Q123789i.exe -z -m %PATHTOFIXES%\qchain.exe Switch – M Unattended Mode Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

18 QChain Tool für Windows 2000
GET secure, STAY secure mit Microsoft Exchange Server 2000 QChain Tool für Windows 2000 @echo off setlocal set PATHTOFIXES=E:\hotfix %PATHTOFIXES%\Q123456_w2k_sp2_x86.exe -z -m %PATHTOFIXES%\Q123321_w2k_sp2_x86.exe -z -m %PATHTOFIXES%\Q123789_w2k_sp2_x86.exe -z -m %PATHTOFIXES%\qchain.exe Hotfix Windows 2000 Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

19 Critical Update Notification Service
GET secure, STAY secure mit Microsoft Exchange Server 2000 Critical Update Notification Service Informiert über neue Updates Drei Optionen: Automatischer Download und Benachrichtigung über Installation Benachrichtigung bei Download und Installation Manuell Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

20 Unternehmensweites Patch Management
GET secure, STAY secure mit Microsoft Exchange Server 2000 Unternehmensweites Patch Management Windows Update Site – Permission Denied Keine Tests = keine Installation; Unternehmensweite Sicherheitsrichtlinien Lösung: Microsoft Software Update Services (SUS) Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

21 GET secure, STAY secure mit Microsoft Exchange Server 2000
SUS Komponenten MSUS Server Wird im Intranet zur Verfügung gestellt Synchronisation mit Windows Update Site Kontrolle über Update und Hotfix Verteilung Auto Update Client Beruht auf Windows XP Auto Update Check Intranet und öffentliche Windows Update Site Zentralisierte Konfiguration Auto-Download und Installation Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

22 Microsoft Software Update Services
GET secure, STAY secure mit Microsoft Exchange Server 2000 Microsoft Software Update Services A Administrator definiert Updates MSUS Server Konfiguration und Verteilung Per Group Policy Internet Server B A Download GEPRÜFTER Updates C C Microsoft Windows Update Server B Workstations Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

23 GET secure, STAY secure mit Microsoft Exchange Server 2000
MSUS Überlegungen Kann verwendet werden für: Rollout von Hotfixes und Security Updates Keine Unterstützung für: Service Packs Verteilung über Group Policies Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

24 Security Operations Guide For Windows 2000 Server
GET secure, STAY secure mit Microsoft Exchange Server 2000 Security Operations Guide For Windows 2000 Server Chapter 1 - Introduction Chapter 2 - Understanding Security Risk Chapter 3 - Managing Security with Windows Group Policy Chapter 4 - Securing Servers Based on Role Chapter 5 - Patch Management Chapter 6 - Auditing and Intrusion Detection Chapter 7 - Responding to Incidents security/prodtech/windows/ windows2000/staysecure/ Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

25 Sicherheitsvorlagen …
GET secure, STAY secure mit Microsoft Exchange Server 2000 Sicherheitsvorlagen … Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

26 GET secure, STAY secure mit Microsoft Exchange Server 2000
Tool EventComb Zentralisierte Auswertung der Event Logs multi-threaded Speicherung und Weiterverarbeitung per CSV Text File Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

27 Security Operations Guide For Exchange 2000 Server
GET secure, STAY secure mit Microsoft Exchange Server 2000 Security Operations Guide For Exchange 2000 Server Chapter 1 – Introduction Chapter 2 – Securing your Exchange 2000 Environment Chapter 3 – Securing Exchange 2000 Servers based on Role Chapter 4 – Securing Exchange Communications prodtech/mailexch/opsguide/default.asp Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

28 GET secure, STAY secure mit Microsoft Exchange Server 2000
Sicherheit: E2K & OWA Zuerst – Sicherheit beim Zugriff auf Server! Firewalls/DMZ Virus Protection Netzwerkzugriffe zwischen Servern Protokolle Ports Spoofing usw. Clientzugriffe sichern MAPI – OUTLOOK OWA Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

29 GET secure, STAY secure mit Microsoft Exchange Server 2000
Serverzugriffe Hardening Windows siehe Sicherheitsvorlagen Unnötige Dienste deaktivieren Firewalls Deaktivieren nicht benötigter Ports ISA server versus Hardwarelösungen Spezial HW bietet weniger Angriffspunkte Teurer in der Anschaffung ISA server Integration mit Microsoft Server & Backoffice Familie Günstigere Anschaffung Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

30 GET secure, STAY secure mit Microsoft Exchange Server 2000
Einfache Firewall HTTP, IMAP oder POP3 Client Active Directory Global Catalog Server Internet Exchange 2000 Server Exchange 2000 Front-End Server Firewall Offene Ports: 443, 993, 995 Exchange 2000 Server Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

31 Typische DMZ Konfiguration
GET secure, STAY secure mit Microsoft Exchange Server 2000 Typische DMZ Konfiguration HTTP, IMAP oder POP3 Client Active Directory Global Catalog Server DMZ Internet Exchange 2000 Server Exchange 2000 Front-End Servers Firewall Offene Ports: 443, 993, 995 Firewall Offene Ports: , 110, LDAP, … Exchange 2000 Server Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

32 Firewalls und Client Zugriffe
Zugriff auf “Internen” (Firewall) Exchange Server vom Internet Inbound RPC Zugriff auf Firewall Typisches Szenario für Roaming Users Zugriff auf Exchange Server (DMZ) von Intern Untypisches Szenario Outbound RPC Zugriff erlauben Best Practice: VPN´s = keine Probleme mehr

33 (HTTP, IMAP, POP) DMZ Überlegungen
GET secure, STAY secure mit Microsoft Exchange Server 2000 (HTTP, IMAP, POP) DMZ Überlegungen FE und BE müssen dem gleichen Forest angehören FE benötigt Zugriff auf DNS Server FE benötigt RPC beim Zugriff auf AD nur wenn Authentisierung eingeschalten ist Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

34 RPCs in der DMZ IIS verwendet RPCs für Authentisierung
Vor SP2, RPCs zum Auffinden von DCs RPC nicht erforderlich; Einschränkungen: Explizites Logon erforderlich Kein Load Balancing für Öffentliche Ordner

35 Port Filtering in der DMZ Benötigte Ports
Client Mail Zugriff 443 TCP vom Internet (HTTPS) 80 TCP zum Intranet (HTTP) LDAP 389 TCP und UDP 3268 TCP (Globaler Catalog) Kerberos 88 TCP und UDP DNS (oder DNS Server in DMZ) 53 TCP und UDP

36 Port Filtering in der DMZ Benötigte Ports …
GET secure, STAY secure mit Microsoft Exchange Server 2000 Port Filtering in der DMZ Benötigte Ports … IPsec (optional) Kerberos Ports Securing Kerberos with IPSec on DCs broken in Win2K SP2 (Q309304) oder SP3 500 UDP: Internet Key Exchange (IKE) ESP (Encapsulating Security Payload ): Port 50 AH (Authentication Header): Port 51 RPCs (optional) 135 und 1024 oder.. 135 und Single Port (Konfiguration, Q224196) Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

37 Überlegungen zu SPAM Relaying
Was ist SPAM Relaying? O MAIL FROM: RCPT TO: Unable to relay for “Evil Spammer” Bono.to

38 Überlegungen zu SMTP “EVIL Spammer” Definition SPAM Relaying?
Bono.to MAIL FROM: RCPT TO: Falsch “Von:” Richtig “An:” Nachricht Filter greifen nicht? “EVIL Spammer”

39 SMTP Server Einstellungen
Relay Einstellungen Best Practice: Default!

40 Anti-Spoofing: ResolveP2
GET secure, STAY secure mit Microsoft Exchange Server 2000 Anti-Spoofing: ResolveP2 Problem: irgend jemand übermittelt eine Nachricht Von: Beim Öffnen dieser erscheint: Von: Mario Bono Betreff: DU BIST GEFEUERT Eigenschaften des Senders anzeigen Name wird aufgelöst Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

41 GET secure, STAY secure mit Microsoft Exchange Server 2000
ResolveP2 Was ist “P2”? X.400 Name für “Body” der Nachricht Envelope (Umschlag) ist P1 Bei SMTP, P2 entspricht dem „Body“ nach RFC 2822 Anzeige der Clients immer in Form von Von: und An: oder P2 Was bedeutet “resolve”? Werden Informationen die bei Zustellung einer Nachricht zum Server und Abruf durch MAPI Clients mit dem Adressbuch abgeglichen? Ja, wenn Übereinstimmungen gefunden werden sieht die wie von “Intern” aus. DN = Distinguished Name, a way of identifying a user in the Exchange DS or AD Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

42 ResolveP2 History Exchange 5.0 Exchange 5.5: Exchange 2000
Default: “resolve everything” Regkey zum Deaktivieren Exchange 5.5: Default: “resolve nothing” Regkey zum Aktivieren Exchange 2000 Default: “resolve everything”, keine Kontrolle bei E2K RTM Exchange 2000 SP1: ResolveP2 Regkey

43 Exchange 2000 SP1+ ResolveP2 Registry Key für ResolveP2
Siehe KB-Artikel Q288635 Outlook XP Erweiterungen Vorschaufenster unterscheidet zwischen unaufgelösten Adressen ohne die Nachricht zu öffnen Bei Antworten; nicht aufgelöste Adressen werden als dargestellt

44 Allgemeine Überlegungen zu SMTP
Internet Mail ist nicht sicher! Ausnahme Verschlüsselung Jeder kann s an jeden senden “Evil People” Können immer mit Ihrer Adresse als Absender auftreten! Aber nicht über Ihren Server, wenn Relaying ausgeschalten ist!

45 Authentisierung zwischen Servern im Netzwerk
Automatische Server zu Server Authentisierung mit X-EXPS Kerberos/NTLM Default SMTP Protokoll Erweiterungen in Exchange 2000 SMTP AUTH (RFC 2554) Verbindung zu externen Systemen, wird am SMTP Connector eingestellt

46 Verschlüsselung zwischen Servern im Netzwerk
IPSec Einfache Konfiguration Über Group Policy Einstellung: “erfordert Verschlüsselung des Inbound Traffics, Port 25” auf allen Exchange Servern planning/security/ipsecsteps.asp Einsatz von IPSec Accelerator Ethernet Cards

47 Client Zugriff Outlook (MAPI) Clients
Outlook Web Access (HTTP) Clients

48 Netzwerk Sicherheit mit Outlook Clients
Verschlüsselung in Mail Einstellungen ändern MAPI RPC Am FE keine Mailboxen Verwendet UDP vom Server zum Client für Benachrichtigung über neue

49 OWA Verschlüsselung zwischen Servern
GET secure, STAY secure mit Microsoft Exchange Server 2000 OWA Verschlüsselung zwischen Servern Traffic von FE zu BE Isolierte Netzwerke IPSec? (RFCs 1825, 1826, 1827) Internet Key Exchange (IKE): RFC 2409 Encapsulating Security Payload (ESP) oder Authentication Header (AH) Client (respond only) policy ISA can inspect IPSec’d traffic Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

50 OWA Authentisierung am Server
GET secure, STAY secure mit Microsoft Exchange Server 2000 OWA Authentisierung am Server (Optional) FE Authentisierung aktiviert Erfordert RPC Deaktivieren anonymer Anfragen auf BE SMTP Domain auf virtuellem Server Benutzer benötigt Adresse der Domain um sich anzumelden Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

51 OWA Verschlüsselung vom Client zum Server
GET secure, STAY secure mit Microsoft Exchange Server 2000 OWA Verschlüsselung vom Client zum Server SSL 128-Bit Encryption „erfordert SSL“ ist konfigurierbar Client benötigt entsprechende 128-Bit Browser Version Stärkste Authentisierung verwenden... Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,

52 Zusammenfassung Zuviel INFO für zuwenig Zeit GET secure mit:
White Papers und KB´s lesen (Consulting?)! GET secure mit: Betriebssystem und Server sichern Zugriff auf Server sichern Clients sichern STAY secure mit: MSUS QCHAIN ...

53 Referenzen Exchange 2000 Security Recommendations
2000/BestConfig.asp Windows VPN Security White Paper VPN/VPNSecurity.asp columns/security/essays/10salaws.asp Hardening Windows 2000: NSA Guide to Securing Windows 2000

54 Referenzen… Security Operations Guide for Windows 2000
windows2000/staysecure/ Security Operations Guide for Exchange 2000 mailexch/opsguide/default.asp Front-End/Back End Deployment paper 2000/E2KFrontBack.asp General Security info security/secthret.asp

55 GET secure, STAY secure mit Microsoft Exchange Server 2000
Q & A Mario Bono EDV Dienstleistungen und Beratung Münzgasse 3/25, A-1030 Wien Tel / Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, ,