Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging
Themen dieser Sitzung Windows-Sicherheit zum Zuweisen der Objektverwaltung Konfigurationen für dezentralen Outlook Web Access Sichern und Konfigurieren dezentraler Exchange-Dienste Schutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung
Agenda Windows-Sicherheit zum Zuweisen der Objektverwaltung Konfigurationen für dezentralen Outlook Web Access Sichern und Konfigurieren von dezentralen Exchange-Diensten Schutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung
Windows-Sicherheit zum Zuweisen der Objektverwaltung Definieren des Windows-Sicherheitsmodells Sicherheitsprincipals Benutzer, Gruppen und Computer Eindeutige Sicherheits-ID (SID) Berechtigungen für andere Objekte zulassen oder verweigern Users Computers GroupsBenutzer Computer Gruppen
Windows-Sicherheit zum Zuweisen der Objektverwaltung Definieren des Windows-Sicherheitsmodells Sicherheits- beschreibung Enthält eine freigegebene Zugriffssteuerungsliste (DACL) und eine Sicherheits-Zugriffs- steuerungsliste (SACL) DACL für Berechtigungen SACL für Überprüfungen
Windows-Sicherheit zum Zuweisen der Objektverwaltung Definieren des Windows-Sicherheitsmodells Freigegebene Zugriffssteuerungsliste Liste der zugelassenen und verweigerten Berechtigungen Jede Berechtigung ist ein ACE (Access Control Entry) ACEs bestehen aus einer SID, Berechtigung, Statusangabe zugelassen/verweigert und Vererbungsflag
Windows-Sicherheit zum Zuweisen der Objektverwaltung Was bedeutet Zuweisen der Objektverwaltung? Das Zuweisen der Objektverwaltung bedeutet den Erhalt von Berechtigungen, so dass unterschiedliche Administratorgruppen unterschiedliche Objektgruppen steuern.
Windows-Sicherheit zum Zuweisen der Objektverwaltung Zuweisen der Objektverwaltung Verwaltungsgruppen Gruppen von Exchange Konfigurationsobjekten Server, Öffentliche Ordner, Routinggruppen usw. Unternehmenseinheiten (OUs) Gruppen von Exchange 2000-Empfängerobjekten Jedes Objekt mit -Adresse ist Empfänger Benutzer, Gruppen, Kontakte und Öffentliche Ordner
Windows-Sicherheit zum Zuweisen der Objektverwaltung Manuelle Berechtigungen oder Assistenten – Vor- und Nachteile Manuelle Berechtigungen Vorteile – genau, flexibel, effizienter Nachteile – komplex, riskant, nicht protokolliert Verwenden der Assistenten (Exchange und AD) Vorteile – einfach, vordefinierte Rollen/Aufgaben, Nachverfolgen von Änderungen beim Entfernen (nur Exchange), Risikominimierung (kein „Senden als“, „Empfangen als“) Nachteile – unflexibel, möglicherweise ineffizient, nicht protokolliert (nur AD)
Demo 1 Windows-Sicherheit zum Zuweisen der Objektverwaltung Verwenden des Exchange Assistenten zum Zuweisen der Objektverwaltung Verwenden des Active Directory- Assistenten zum Zuweisen der Objektverwaltung
Agenda Windows-Sicherheit zum Zuweisen der Objektverwaltung Konfigurationen für dezentralen Outlook Web Access Sichern und Konfigurieren von dezentralen Exchange-Diensten Schutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung
Konfigurationen für dezentralen Outlook Web Access Front-End- und Back-End-Server Front-End-/ Back-End-Server Front-End – stellt Clients Protokollzugriff zur Verfügung Back-End – stellt Clients Datenzugriff zur Verfügung Back- End- Server Front- End- Server Client
Konfigurationen für dezentralen Outlook Web Access Front-End- und Back-End-Server Vorteile von FE/BE-Servern Skalierbarkeit – NLB oder DNS-Round Robin Verfügbarkeit – Cluster Einheitlicher Namespace – DNS Leistung – SSL-Verschlüsselung Sicherheit – isoliertes Back-End
Konfigurationen für dezentralen Outlook Web Access Front-End- und Back-End-Server FE/BE-Serverimplementierung Virtuelle IIS-Server stellen Clients Protokollschnittstelle zur Verfügung Informationsspeicher wird auf Front-End-Server nicht verwendet Virtueller Front-End-Server kommuniziert mit virtuellem Back-End-Server Back-End- Server Outlook Web Access-Client HTTPS: // HTTP :// HTTP Virtueller Server 1 HTTP Virtueller Server 1 HTTP Virtueller Server 2 HTTP Virtueller Server 2 Informations- speicher 1 Informations- speicher 1 Informations- speicher 2 Informations- speicher 2 Front-End- Server
Demo 2 (Teil 1) Konfigurationen für dezentralen Outlook Web Access Konfigurieren eines Front-End-Servers
Konfigurationen für dezentralen Outlook Web Access SSL für Outlook Web Access Secure Sockets Layer (SSL) Verschlüsselt HTTP-Datenverkehr Zertifikat erforderlich Internetdienste-Manager zum Konfigurieren von SSL erforderlich Verwendung für FE-BE-Kommunikation nicht möglich Bei Bedarf IPSec verwenden
Demo 2 (Teil 2) Konfigurationen für dezentralen Outlook Web Access Konfigurieren eines Front-End-Servers zur Verwendung von SSL
Konfigurationen für dezentralen Outlook Web Access Sichern von FE-/BE-Server-Netzwerken Back-End- Exchange-Server Front-End- Exchange-Server Outlook Web Access-Client globaler Katalog- server Firewall 1 Firewall 2 DMZ HTTPS zulassen HTTP, DNS, Netlogon, RPC, Kerberos und LDAP zulassen
Konfigurationen für dezentralen Outlook Web Access FE/BE-Intranetports Mailprotokolle Portnummer/ÜbertragungProtokoll 80/TCPHTTP 143/TCPIMAP 110/TCPPOP 25/TCPSMTP Active Directory-Kommunikation Portnummer/ÜbertragungProtokoll 389/TCP LDAP zu AD 389/UDP 3268/TCPLDAP zum globalen Katalog 88/TCP Kerberos-Authentifi- zierung 88/UDP DNS Portnummer/ÜbertragungProtokoll 53/TCP DNS-Suche 53/UDP RPCs: Diensterkennung und Authentifizierung Portnummer/ÜbertragungProtokoll 135/TCPRPC-Endportzuordnung 1024+/TCPRPC-Dienstports 445/TCPNetlogon IPSec Portnummer/ÜbertragungProtokoll IP-Protokoll 51Authentication Header (AH) IP-Protokoll 50Encap. Security Payload (ESP) 500/UDPInternet Key Exchange (IKE) 88/TCP Kerberos 88/UDP Mit SP2 keine RPCs mehr in DSAccess
Agenda Windows-Sicherheit zum Zuweisen der Objektverwaltung Konfigurationen für dezentralen Outlook Web Access Sichern und Konfigurieren von dezentralen Exchange-Diensten Schutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung
Sichern und Konfigurieren von dezentralen Exchange-Diensten Deaktivieren nicht benötigter Dienste Deaktivieren aller nicht benötigten Exchange-Dienste Je nach Funktion des Servers können zahlreiche Dienste deaktiviert werden POP3, IMAP4, Informationsspeicher usw. Erhöhen der Gesamtsicherheit durch Einschränken der Netzwerkinteraktion Routingdienst nicht deaktivieren
Demo 3 (Teil 1) Sichern und Konfigurieren von dezentralen Exchange- Diensten Deaktivieren nicht benötigter Exchange 2000-Dienste
Sichern und Konfigurieren von dezentralen Exchange-Diensten IIS Lockdowntool IIS Lockdowntool Wird für die IIS-Sicherheit verwendet, kann jedoch Exchange-Dienste unterbrechen ngID=10&LangDIR=DE Version 2.1 stellt Vorlagen für Exchange-Server zur Verfügung Q und Q enthalten weitere Überlegungen bezüglich Exchange
Demo 3 (Teil 2) Sichern und Konfigurieren von dezentralen Exchange- Diensten Verwenden des IIS Lockdowntools mit Exchange 2000
Sichern und Konfigurieren von dezentralen Exchange-Diensten Umgang mit Spam Filtern Geben Sie eine Domäne an, deren Nachrichten gefiltert werden sollen Optionales Archivieren gefilterter Nachrichten Speicherung in Exchsrvr\mailroot\vs 1\filter Filter auf virtuelle Server anwenden Filtern Exchange- Unternehmen
Sichern und Konfigurieren von dezentralen Exchange-Diensten Sichern des SMTP-Relays SMTP-Relay – Anforderung an einen SMTP- Server, eine Nachricht an Empfänger außerhalb des Unternehmens zu senden Spammer verwenden diese Einstellung zum Verber- gen ihrer Ursprungsadresse und nutzen einen kostenlosen SMTP-Server Standardmäßig für alle nicht authentifizierten Verbin- dungen deaktiviert Bei Bedarf Aktivierung für eine bestimmte Domäne durch Erstellen eines SMTP-Connectors (Fortsetzung)
Sichern und Konfigurieren von dezentralen Exchange-Diensten Aktivieren des Relays für ausgehenden SMTP-Verkehr contoso.msft Org Nur ausgehend an Internet Nur ausgehend an Internet nwtraders.msft Org An contoso.msft Relay zugelassen An contoso.msft Relay zugelassen Ein- und ausgehender Internetverkehr Ein- und ausgehender Internetverkehr An nwtraders.msft
Demo 3 (Teil 3) Sichern und Konfigurieren von dezentralen Exchange- Diensten Anwenden von Nachrichtenfiltern und Überprüfen der Standardeinstellungen des SMTP- Relays
Sichern und Konfigurieren von dezentralen Exchange-Diensten Ändern des SMTP-Standardbanners SMTP zeigt standardmäßig Versionsinformationen an Mögliche Sicherheitslücke IIS-Konfigurationsinformationen sind in Metabasis gespeichert Ändern des SMTP-Standardbanners mithilfe von MetaEdit Weitere Informationen in Q Q zu IMAP4 und POP3
Demo 3 (Teil 4) Sichern und Konfigurieren von dezentralen Exchange- Diensten Deaktivieren des Standardbanners des virtuellen SMTP-Servers
Agenda Windows-Sicherheit zum Zuweisen der Objektverwaltung Konfigurationen für dezentralen Outlook Web Access Sichern und Konfigurieren von dezentralen Exchange-Diensten Schutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung
Schutz vor Denial of Service- und Virenangriffen Denial of Service-Angriffe (DoS) Denial of Service-Angriffe Nachrichtenflut (Spam) Scriptviren, die sich an alle Einträge im Adressbuch senden Senden vieler, sehr langer Anlagen Viele SMTP-Sitzungen
Schutz vor Denial of Service- und Virenangriffen Schutz vor Denial-of-Service-Angriffen Globale Einstellungen – Standards für Nachrichten Größenbeschränkung für ein- und ausgehende Nachrichten Beschränken der Empfängeranzahl Diese Einstellungen setzen Beschränkungen für Postfächer außer Kraft Einstellungen des virtuellen SMTP-Servers Angeben legitimer SMTP-Partner über die Register- karte „Zugriff“ Beschränken der Größe von Nachrichten und Sitzungen, der Anzahl von Empfängern und Verbindungen über die Registerkarte „Nachricht“
Demo 4 (Teil 1) Schutz vor Denial of Service- und Virenangriffen Globale Einstellungen zum Verhindern von Nachrichtenfluten
Schutz vor Denial of Service- und Virenangriffen Virenschutzoptionen Client Outlook bietet dasBlockieren unsicherer Anlagen - siehe das Office XP Resource Kit für Einzelheiten zur Anpassung Verwenden Sie auf Clients immer ein Virenschutz- programm Server -Firewalls – SMTP-Server von Drittan- bietern, die nach Viren suchen Exchange 2000 stellt eine Virenschutz-API für Drittanbieter zur Verfügung
Demo 4 (Teil 2) Schutz vor Denial of Service- und Virenangriffen Sicherheit für unsichere Anlagen in Outlook 2002
Agenda Windows-Sicherheit zum Zuweisen der Objektverwaltung Konfigurationen für dezentralen Outlook Web Access Sichern und Konfigurieren von dezentralen Exchange-Diensten Schutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung
Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Unverschlüsselte Nachrichtenübermittlung Unverschlüsselte Nachrichten Outlook verschlüsselt Nachrichten jedoch als Winmail.dat Winmail.dat-Verschlüsselung mithilfe von MIME (Multipurpose Internet Mail Extensions) Andere Clienttypen senden Nachrichten als unformatierten Text
Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Verschlüsselung auf Netzwerkebene IP-Sicherheit Integriertes Windows 2000-Feature Verschlüsseln des gesamten Netzwerkverkehrs an ein bestimmtes Ziel Verwendet flexible Richtlinien zum Definieren des Verschlüsselungsverhaltens Gruppenrichtlinie zum Definieren von IPSec- Richtlinien für die Domäne
Demo 5 (Teil 1) Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung IPSec für das Verschlüsseln von Netzwerkverkehr
Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Verschlüsselung auf Sitzungsebene TLS (Transport Layer Security) IETF-Standard Stellt verschlüsselten Kanal zwischen SMTP-Servern her Verwendet ESMTP-Befehl StartTLS Zertifikatinstallation auf SMTP-Servern erforderlich Aktivieren von ein- und ausgehendem TLS auf allen beteiligten Servern
Demo 5 (Teil 2) Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Konfigurieren von TLS für SMTP- Verschlüsselung
Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Verschlüsselung auf Nachrichtenebene Nachrichtenverschlüsselung Installation des Schlüsselverwaltungservers erforderlich Outlook-Clients können Nachrichten verschlüsseln und digital signieren Stellt End-to-End-Verschlüsselung bereit Lernkurve des Clients Zusätzliche Serverkonfiguration
Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Verschlüsselung auf Nachrichtenebene Konfiguration des Schlüsselverwaltungsservers Zertifizierungsstelle für Organisationen erforderlich Zertifizierungsstelle für das Ausstellen zusätzlicher Zertifikate konfigurieren Einschreibungs-Agent (Computer) Nur Exchange-Signatur Exchange-Benutzer Schlüsselverwaltungsserver nach der Installation Computerkonto-Verwaltungsrechte für Zertifizierungsstelle erteilen Weitere Verwaltungsgruppen für die Verwendung eines Schlüsselverwaltungsservers konfigurieren
Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Einschreibung für erweiterte Sicherheit Schlüsselverwaltungsserver Zertifizierungsstelle für Organisationen Benutzer ist aktiviert Client erhält Token Zertifizierungsstelle stellt Zertifikate aus Client fordert mithilfe des Tokens eine digitale ID an Schlüsselverwaltungsserver fordert Zertifikate an 66 Schlüselverwal- tungsserver sendet verschlüs- selte Zertifikate 77 Client entschlüsselt Nachricht und importiert Zertifikat
Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Kryptografie öffentlicher/ privater Schlüssel Öffentliche und private Schlüssel Mathematisch verwandte Werte Unidirektionale Verschlüsselung Öffentliche Schlüssel werden in Zertifikaten gespeichert Zertifikate werden von vertrauenswürdiger Stelle digital signiert Zertifikate können in Active Directory veröffentlicht werden Private Schlüssel werden sicher im Benutzerprofil gespeichert
Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Verschlüsseln einer Nachricht Active Directory- Domänencontroller Client 1 Client 2 Virtueller SMTP-Server 1 Virtueller SMTP-Server Neue Nachricht Suchen des öffentlichen Schlüssels von Client 2 Mit öffentlichem Schlüssel verschlüsselte Nachricht Mit S/MIME gesendete Nachricht Verwenden des privaten Schlüssels von Client 2 zum Ent- schlüsseln der Nachricht Nachricht wird verschlüsselt empfangen
Demo 5 (Teil 3) Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Erweiterte Sicherheit in Exchange zum Verschlüsseln von Nachrichten
Sitzungszusammenfassung Exchange 2000-Sicherheit umfasst Sicherheit der Verwaltung Outlook Web Access-Sicherheit Sicherheit von Diensten Relaysicherheit Schutz vor Denial-of-Service-Angriffen Server- und Client-Antivirensoftware Verschlüsselung zum Schutz von Daten
Weitere Informationen TechNet-Website Exchange-Website
Infos über TechNet TechNet Online TechNet NewsFlash abonnieren TechNet IT Community TechNet Abonnement Achten Sie auf weitere TechNet Veranstaltungen
Exchange 2000 Server Exchange 2000 Server verbindet Mitarbeiter und Wissen Exchange 2000 Enterprise Server unlimitierter Datenspeicher, Clustering Exchange 2000 Conferencing Server Data Conferencing, Audio/Video-Konferenzen Die Exchange 2000 CAL berechtigt zum Zugriff auf alle Ausgaben vonExchange 2000 Server. Server + CALs
Zugriff auf Exchange 2000 Server Server + CALs Exchange 2000 Server ist vollständig in das Active Directory von Windows 2000 Server integriert. Jeder authentifizierte Zugriff auf Exchange 2000 Server erfordert eine Windows 2000 CAL und zusätzlich eine Exchange 2000 CAL Authentifiziert = jedes Gerät, das den Anmeldedienst von Win 2000 Server verwendet oder eine Authenifizierung vom Active Directory erhält. Anonymer Zugriff auf Exchange 2000 Server erfordert keine CAL.
Exchange 2000 CAL Exchange 2000 CALs werden ausschließlich pro Arbeitsplatz = pro Gerät lizenziert. Beschränkter Zugriff von anderen Geräten ist möglich. Die Exchange CAL ist erforderlich unabhängig von der verwendeten Client-Software (Outlook, Web- Browser, POP3-Client, IMAP4...). Microsoft Outlook ist als Client-Software im Exchange Server enthalten. Die Client-Software darf auf jedem Gerät installiert werden, für das der Lizenznehmer eine Exchange CAL erworben hat. Server + CALs