Microsoft Exchange Server 2000 GET secure, STAY secure! Verwendung von Microsoft Security Tools Mario Bono

Agenda Sicherheitskonzept Microsoft Security Tool Kit Get secure Stay secure Sicherheitskonzept MSBSA Hotfixes Tools Patch Management MSUS Checklisten Dienste MS WUPD Microsoft Security Tool Kit Security Operations Guides (W2K/E2K) Server Security (Firewalls/DMZ) Netzwerk Traffic Client Zugriff Securing E2K & OWA Q & A

Sicherheitskonzept Programm – integriert Microsoft Produkte, Support und Dienstleistungen (Microsoft Security Tool Kit) Phase 1: GET secure Unterstützung für Windows NT 4.0 und Windows 2000 Enthält Tools und Richtlinien zum sicheren Betreiben eines Servers der am Internet angeschlossen ist Phase 2: STAY secure Tools, Updates Patches, Consulting

Microsoft Security Tool Kit http://www.microsoft.com/technet/ treeview/default.asp?url=/ technet/security/tools/Default.asp

Microsoft Security Tool Kit Arbeitsstationen und Server Security Checklisten Security Vorlagen Hot Fixes Windows Update Microsoft Base Security Analyzer HFNetCheck QChain Critical Update Notification IIS Dienste IIS Checklisten IIS Lockdown Tool URLScan

Checklisten / Vorlagen Vorhanden für: Windows NT 4.0 Windows NT 4.0 Terminal Server Windows 2000 Windows XP

IIS Dienste Das Toolkit enthält Checklisten zum Sicheren betreiben von Internet Information Server und Internet Explorer IE (für alle Versionen) IIS 5.0 IIS 4.0

IIS TOOLS IIS Lockdown Wizard URLScan Konfiguriert IIS auf Windows NT 4.0 oder Windows 2000 Server URLScan Windows 2000 SP1 oder später Analysiert vom IIS empfangene HTTP Anfragen

Hotfixes - MS Windows Update Update bei Publikation der Sicherheits Bulletins Voraussetzungen: Internet Explorer muss Cookies und ActiveX Controls erlauben Lokale Administrator Berechtigungen

MS Baseline Security Analyzer Unterstützte Plattformen: Windows 2000 Professional/Server Windows XP Home Edition/Professional Voraussetzungen: Lokale Administrator Berechtigungen Mehr Sicherheits-Checks als Microsoft Windows Update Unterstützung Remoter Workstations und Server

MS Baseline Security Analyzer Überprüfung folgender Produkte/Services: Windows NT 4.0 Workstation/Server Windows 2000 Professional/Server Windows XP Home Edition/Professional IIS 4.0/5.0 SQL 7.0/2000 Erkennt SQL Server Instanzen IE 5.01+

MS Baseline Security Analyzer Überprüfung folgender Produkte/Services Fortsetzung: Exchange und Windows Media Player Office 97, 2000, XP Support für Software Update Services (SUS) http://www.microsoft.com/technet/ security/tools/Tools/mbsahome.asp

The Hotfix Network Checker GET secure, STAY secure mit Microsoft Exchange Server 2000 The Hotfix Network Checker Anwendung für Server und Client Workstations Remote Unterstützung Mehr Security-Checks als Windows Update Windows 2000, IIS 4.0, IIS 5.0, SQL Server 7.0, SQL Server 2000, Internet Explorer 5.01 and later Download verfügbarer Updates und Fixes als .XML Zusätzliche Funktionalität in der Pro und LT Version Download der LT Version http://www.shavlik.com Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

GET secure, STAY secure mit Microsoft Exchange Server 2000 Hotfix Allgemeine Überlegungen Viele Neustarts Reihenfolge Hotfix Installation beachten Lösung Windows Critical Update Notification Security Tool Kit: QChain Tool Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

QChain Entscheidungs Baum GET secure, STAY secure mit Microsoft Exchange Server 2000 QChain Entscheidungs Baum Betriebssystem Windows NT 4.0? QChain verwenden Betriebssystem Windows XP? In Betriebssystem Integriert Betriebssystem Windows 2000 SP3 oder später Seit SP3 integriert QChain verwenden Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

QChain Tool - Funktionsweise GET secure, STAY secure mit Microsoft Exchange Server 2000 QChain Tool - Funktionsweise Hotfix B X.dll (v3) Hotfix A X.dll (v1) Hotfix C X.dll (v2) Server QChain Tool Richtige Version Falsche Version Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

QChain Tool für Windows NT 4.0 GET secure, STAY secure mit Microsoft Exchange Server 2000 QChain Tool für Windows NT 4.0 Switch – Z unterdrückt den Neustart @echo off setlocal set PATHTOFIXES=E:\Hotfix %PATHTOFIXES%\Q123456i.exe -z -m %PATHTOFIXES%\Q123321i.exe -z -m %PATHTOFIXES%\Q123789i.exe -z -m %PATHTOFIXES%\qchain.exe Switch – M Unattended Mode Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

QChain Tool für Windows 2000 GET secure, STAY secure mit Microsoft Exchange Server 2000 QChain Tool für Windows 2000 @echo off setlocal set PATHTOFIXES=E:\hotfix %PATHTOFIXES%\Q123456_w2k_sp2_x86.exe -z -m %PATHTOFIXES%\Q123321_w2k_sp2_x86.exe -z -m %PATHTOFIXES%\Q123789_w2k_sp2_x86.exe -z -m %PATHTOFIXES%\qchain.exe Hotfix Windows 2000 Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

Critical Update Notification Service GET secure, STAY secure mit Microsoft Exchange Server 2000 Critical Update Notification Service Informiert über neue Updates Drei Optionen: Automatischer Download und Benachrichtigung über Installation Benachrichtigung bei Download und Installation Manuell Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

Unternehmensweites Patch Management GET secure, STAY secure mit Microsoft Exchange Server 2000 Unternehmensweites Patch Management Windows Update Site – Permission Denied Keine Tests = keine Installation; Unternehmensweite Sicherheitsrichtlinien Lösung: Microsoft Software Update Services (SUS) Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

GET secure, STAY secure mit Microsoft Exchange Server 2000 SUS Komponenten MSUS Server Wird im Intranet zur Verfügung gestellt Synchronisation mit Windows Update Site Kontrolle über Update und Hotfix Verteilung Auto Update Client Beruht auf Windows XP Auto Update Check Intranet und öffentliche Windows Update Site Zentralisierte Konfiguration Auto-Download und Installation Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

Microsoft Software Update Services GET secure, STAY secure mit Microsoft Exchange Server 2000 Microsoft Software Update Services A Administrator definiert Updates MSUS Server Konfiguration und Verteilung Per Group Policy Internet Server B A Download GEPRÜFTER Updates C C Microsoft Windows Update Server B Workstations Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

GET secure, STAY secure mit Microsoft Exchange Server 2000 MSUS Überlegungen Kann verwendet werden für: Rollout von Hotfixes und Security Updates Keine Unterstützung für: Service Packs Verteilung über Group Policies Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

Security Operations Guide For Windows 2000 Server GET secure, STAY secure mit Microsoft Exchange Server 2000 Security Operations Guide For Windows 2000 Server Chapter 1 - Introduction Chapter 2 - Understanding Security Risk Chapter 3 - Managing Security with Windows 2000 Group Policy Chapter 4 - Securing Servers Based on Role Chapter 5 - Patch Management Chapter 6 - Auditing and Intrusion Detection Chapter 7 - Responding to Incidents http://www.microsoft.com/technet/ security/prodtech/windows/ windows2000/staysecure/ Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

Sicherheitsvorlagen … GET secure, STAY secure mit Microsoft Exchange Server 2000 Sicherheitsvorlagen … Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

GET secure, STAY secure mit Microsoft Exchange Server 2000 Tool EventComb Zentralisierte Auswertung der Event Logs multi-threaded Speicherung und Weiterverarbeitung per CSV Text File Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

Security Operations Guide For Exchange 2000 Server GET secure, STAY secure mit Microsoft Exchange Server 2000 Security Operations Guide For Exchange 2000 Server Chapter 1 – Introduction Chapter 2 – Securing your Exchange 2000 Environment Chapter 3 – Securing Exchange 2000 Servers based on Role Chapter 4 – Securing Exchange Communications http://www.microsoft.com/technet/security/ prodtech/mailexch/opsguide/default.asp Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

GET secure, STAY secure mit Microsoft Exchange Server 2000 Sicherheit: E2K & OWA Zuerst – Sicherheit beim Zugriff auf Server! Firewalls/DMZ Virus Protection Netzwerkzugriffe zwischen Servern Protokolle Ports Spoofing usw. Clientzugriffe sichern MAPI – OUTLOOK OWA Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

GET secure, STAY secure mit Microsoft Exchange Server 2000 Serverzugriffe Hardening Windows 2000 - siehe Sicherheitsvorlagen Unnötige Dienste deaktivieren Firewalls Deaktivieren nicht benötigter Ports ISA server versus Hardwarelösungen Spezial HW bietet weniger Angriffspunkte Teurer in der Anschaffung ISA server Integration mit Microsoft Server & Backoffice Familie Günstigere Anschaffung Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

GET secure, STAY secure mit Microsoft Exchange Server 2000 Einfache Firewall HTTP, IMAP oder POP3 Client Active Directory Global Catalog Server Internet Exchange 2000 Server Exchange 2000 Front-End Server Firewall Offene Ports: 443, 993, 995 Exchange 2000 Server Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

Typische DMZ Konfiguration GET secure, STAY secure mit Microsoft Exchange Server 2000 Typische DMZ Konfiguration HTTP, IMAP oder POP3 Client Active Directory Global Catalog Server DMZ Internet Exchange 2000 Server Exchange 2000 Front-End Servers Firewall Offene Ports: 443, 993, 995 Firewall Offene Ports: 80 143, 110, LDAP, … Exchange 2000 Server Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

Firewalls und Client Zugriffe Zugriff auf “Internen” (Firewall) Exchange Server vom Internet Inbound RPC Zugriff auf Firewall Typisches Szenario für Roaming Users Zugriff auf Exchange Server (DMZ) von Intern Untypisches Szenario Outbound RPC Zugriff erlauben Best Practice: VPN´s = keine Probleme mehr

(HTTP, IMAP, POP) DMZ Überlegungen GET secure, STAY secure mit Microsoft Exchange Server 2000 (HTTP, IMAP, POP) DMZ Überlegungen FE und BE müssen dem gleichen Forest angehören FE benötigt Zugriff auf DNS Server FE benötigt RPC beim Zugriff auf AD nur wenn Authentisierung eingeschalten ist Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

RPCs in der DMZ IIS verwendet RPCs für Authentisierung Vor SP2, RPCs zum Auffinden von DCs RPC nicht erforderlich; Einschränkungen: Explizites Logon erforderlich http://server/exchange/user Kein Load Balancing für Öffentliche Ordner

Port Filtering in der DMZ Benötigte Ports Client Mail Zugriff 443 TCP vom Internet (HTTPS) 80 TCP zum Intranet (HTTP) LDAP 389 TCP und UDP 3268 TCP (Globaler Catalog) Kerberos 88 TCP und UDP DNS (oder DNS Server in DMZ) 53 TCP und UDP

Port Filtering in der DMZ Benötigte Ports … GET secure, STAY secure mit Microsoft Exchange Server 2000 Port Filtering in der DMZ Benötigte Ports … IPsec (optional) Kerberos Ports Securing Kerberos with IPSec on DCs broken in Win2K SP2 (Q309304) oder SP3 500 UDP: Internet Key Exchange (IKE) ESP (Encapsulating Security Payload ): Port 50 AH (Authentication Header): Port 51 RPCs (optional) 135 und 1024 oder.. 135 und Single Port (Konfiguration, Q224196) Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

Überlegungen zu SPAM Relaying Was ist SPAM Relaying? O MAIL FROM: <info@bono.to> RCPT TO: <billi@MS.com> 550 5.7.1 Unable to relay for <billi@MS.com> “Evil Spammer” Bono.to

Überlegungen zu SMTP “EVIL Spammer” Definition SPAM Relaying? Bono.to MAIL FROM: <info@bono.to> RCPT TO: <virus@bono.to> Falsch “Von:” Richtig “An:” Nachricht Filter greifen nicht? “EVIL Spammer”

SMTP Server Einstellungen Relay Einstellungen Best Practice: Default!

Anti-Spoofing: ResolveP2 GET secure, STAY secure mit Microsoft Exchange Server 2000 Anti-Spoofing: ResolveP2 Problem: irgend jemand übermittelt eine Nachricht Von: Info@Bono.to Beim Öffnen dieser erscheint: Von: Mario Bono Betreff: DU BIST GEFEUERT Eigenschaften des Senders anzeigen Name wird aufgelöst Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

GET secure, STAY secure mit Microsoft Exchange Server 2000 ResolveP2 Was ist “P2”? X.400 Name für “Body” der Nachricht Envelope (Umschlag) ist P1 Bei SMTP, P2 entspricht dem „Body“ nach RFC 2822 Anzeige der Clients immer in Form von Von: und An: oder P2 Was bedeutet “resolve”? Werden Informationen die bei Zustellung einer Nachricht zum Server und Abruf durch MAPI Clients mit dem Adressbuch abgeglichen? Ja, wenn Übereinstimmungen gefunden werden sieht die E-Mail wie von “Intern” aus. DN = Distinguished Name, a way of identifying a user in the Exchange DS or AD Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

ResolveP2 History Exchange 5.0 Exchange 5.5: Exchange 2000 Default: “resolve everything” Regkey zum Deaktivieren Exchange 5.5: Default: “resolve nothing” Regkey zum Aktivieren Exchange 2000 Default: “resolve everything”, keine Kontrolle bei E2K RTM Exchange 2000 SP1: ResolveP2 Regkey

Exchange 2000 SP1+ ResolveP2 Registry Key für ResolveP2 Siehe KB-Artikel Q288635 Outlook XP Erweiterungen Vorschaufenster unterscheidet zwischen unaufgelösten Adressen ohne die Nachricht zu öffnen Bei Antworten; nicht aufgelöste Adressen werden als <xxxx@yyyy.com>Name dargestellt

Allgemeine Überlegungen zu SMTP Internet Mail ist nicht sicher! Ausnahme Verschlüsselung Jeder kann E-Mails an jeden senden “Evil People” Können immer mit Ihrer Adresse als Absender auftreten! Aber nicht über Ihren Server, wenn Relaying ausgeschalten ist!

Authentisierung zwischen Servern im Netzwerk Automatische Server zu Server Authentisierung mit X-EXPS Kerberos/NTLM Default SMTP Protokoll Erweiterungen in Exchange 2000 SMTP AUTH (RFC 2554) Verbindung zu externen Systemen, wird am SMTP Connector eingestellt

Verschlüsselung zwischen Servern im Netzwerk IPSec Einfache Konfiguration Über Group Policy Einstellung: “erfordert Verschlüsselung des Inbound Traffics, Port 25” auf allen Exchange Servern http://www.microsoft.com/windows2000/techinfo/ planning/security/ipsecsteps.asp Einsatz von IPSec Accelerator Ethernet Cards

Client Zugriff Outlook (MAPI) Clients Outlook Web Access (HTTP) Clients

Netzwerk Sicherheit mit Outlook Clients Verschlüsselung in Mail Einstellungen ändern MAPI RPC Am FE keine Mailboxen Verwendet UDP vom Server zum Client für Benachrichtigung über neue E-Mail

OWA Verschlüsselung zwischen Servern GET secure, STAY secure mit Microsoft Exchange Server 2000 OWA Verschlüsselung zwischen Servern Traffic von FE zu BE Isolierte Netzwerke IPSec? (RFCs 1825, 1826, 1827) Internet Key Exchange (IKE): RFC 2409 Encapsulating Security Payload (ESP) oder Authentication Header (AH) Client (respond only) policy ISA can inspect IPSec’d traffic Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

OWA Authentisierung am Server GET secure, STAY secure mit Microsoft Exchange Server 2000 OWA Authentisierung am Server (Optional) FE Authentisierung aktiviert Erfordert RPC Deaktivieren anonymer Anfragen auf BE SMTP Domain auf virtuellem Server Benutzer benötigt E-Mail Adresse der Domain um sich anzumelden Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

OWA Verschlüsselung vom Client zum Server GET secure, STAY secure mit Microsoft Exchange Server 2000 OWA Verschlüsselung vom Client zum Server SSL 128-Bit Encryption „erfordert SSL“ ist konfigurierbar Client benötigt entsprechende 128-Bit Browser Version Stärkste Authentisierung verwenden... Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to

Zusammenfassung Zuviel INFO für zuwenig Zeit GET secure mit: White Papers und KB´s lesen (Consulting?)! GET secure mit: Betriebssystem und Server sichern Zugriff auf Server sichern Clients sichern STAY secure mit: MSUS QCHAIN ...

Referenzen Exchange 2000 Security Recommendations http://www.microsoft.com/exchange/techinfo/deployment/ 2000/BestConfig.asp Windows VPN Security White Paper http://www.microsoft.com/ntserver/techresources/commnet/ VPN/VPNSecurity.asp http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/ columns/security/essays/10salaws.asp Hardening Windows 2000: http://www.systemexperts.com/win2k NSA Guide to Securing Windows 2000 http://www.nsa.gov

Referenzen… Security Operations Guide for Windows 2000 http://www.microsoft.com/technet/security/prodtech/windows/ windows2000/staysecure/ Security Operations Guide for Exchange 2000 http://www.microsoft.com/technet/security/prodtech/ mailexch/opsguide/default.asp Front-End/Back End Deployment paper http://www.microsoft.com/exchange/techinfo/deployment/ 2000/E2KFrontBack.asp General Security info http://www.microsoft.com/technet/itsolutions/ security/secthret.asp

GET secure, STAY secure mit Microsoft Exchange Server 2000 Q & A Mario Bono EDV Dienstleistungen und Beratung Münzgasse 3/25, A-1030 Wien GETsecure@bono.to http://www.bono.to Tel. +43699/10801341 Mario Bono EDV Dienstleistungen und Beratung, Münzgasse 3/25, A-1030 Wien, +43-699-10801341, GETsecure@bono.to