Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Pamela Arnold Geändert vor über 8 Jahren
1
Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com
2
Themen dieser Sitzung Windows-Sicherheit zum Zuweisen der Objektverwaltung Konfigurationen für dezentralen Outlook Web Access Sichern und Konfigurieren dezentraler Exchange-Dienste Schutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung
3
Agenda Windows-Sicherheit zum Zuweisen der Objektverwaltung Konfigurationen für dezentralen Outlook Web Access Sichern und Konfigurieren von dezentralen Exchange-Diensten Schutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung
4
Windows-Sicherheit zum Zuweisen der Objektverwaltung Definieren des Windows-Sicherheitsmodells Sicherheitsprincipals Benutzer, Gruppen und Computer Eindeutige Sicherheits-ID (SID) Berechtigungen für andere Objekte zulassen oder verweigern Users Computers GroupsBenutzer Computer Gruppen
5
Windows-Sicherheit zum Zuweisen der Objektverwaltung Definieren des Windows-Sicherheitsmodells Sicherheits- beschreibung Enthält eine freigegebene Zugriffssteuerungsliste (DACL) und eine Sicherheits-Zugriffs- steuerungsliste (SACL) DACL für Berechtigungen SACL für Überprüfungen
6
Windows-Sicherheit zum Zuweisen der Objektverwaltung Definieren des Windows-Sicherheitsmodells Freigegebene Zugriffssteuerungsliste Liste der zugelassenen und verweigerten Berechtigungen Jede Berechtigung ist ein ACE (Access Control Entry) ACEs bestehen aus einer SID, Berechtigung, Statusangabe zugelassen/verweigert und Vererbungsflag
7
Windows-Sicherheit zum Zuweisen der Objektverwaltung Was bedeutet Zuweisen der Objektverwaltung? Das Zuweisen der Objektverwaltung bedeutet den Erhalt von Berechtigungen, so dass unterschiedliche Administratorgruppen unterschiedliche Objektgruppen steuern.
8
Windows-Sicherheit zum Zuweisen der Objektverwaltung Zuweisen der Objektverwaltung Verwaltungsgruppen Gruppen von Exchange 2000- Konfigurationsobjekten Server, Öffentliche Ordner, Routinggruppen usw. Unternehmenseinheiten (OUs) Gruppen von Exchange 2000-Empfängerobjekten Jedes Objekt mit E-Mail-Adresse ist Empfänger Benutzer, Gruppen, Kontakte und Öffentliche Ordner
9
Windows-Sicherheit zum Zuweisen der Objektverwaltung Manuelle Berechtigungen oder Assistenten – Vor- und Nachteile Manuelle Berechtigungen Vorteile – genau, flexibel, effizienter Nachteile – komplex, riskant, nicht protokolliert Verwenden der Assistenten (Exchange und AD) Vorteile – einfach, vordefinierte Rollen/Aufgaben, Nachverfolgen von Änderungen beim Entfernen (nur Exchange), Risikominimierung (kein „Senden als“, „Empfangen als“) Nachteile – unflexibel, möglicherweise ineffizient, nicht protokolliert (nur AD)
10
Demo 1 Windows-Sicherheit zum Zuweisen der Objektverwaltung Verwenden des Exchange 2000- Assistenten zum Zuweisen der Objektverwaltung Verwenden des Active Directory- Assistenten zum Zuweisen der Objektverwaltung
11
Agenda Windows-Sicherheit zum Zuweisen der Objektverwaltung Konfigurationen für dezentralen Outlook Web Access Sichern und Konfigurieren von dezentralen Exchange-Diensten Schutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung
12
Konfigurationen für dezentralen Outlook Web Access Front-End- und Back-End-Server Front-End-/ Back-End-Server Front-End – stellt Clients Protokollzugriff zur Verfügung Back-End – stellt Clients Datenzugriff zur Verfügung Back- End- Server Front- End- Server Client
13
Konfigurationen für dezentralen Outlook Web Access Front-End- und Back-End-Server Vorteile von FE/BE-Servern Skalierbarkeit – NLB oder DNS-Round Robin Verfügbarkeit – Cluster Einheitlicher Namespace – DNS Leistung – SSL-Verschlüsselung Sicherheit – isoliertes Back-End
14
Konfigurationen für dezentralen Outlook Web Access Front-End- und Back-End-Server FE/BE-Serverimplementierung Virtuelle IIS-Server stellen Clients Protokollschnittstelle zur Verfügung Informationsspeicher wird auf Front-End-Server nicht verwendet Virtueller Front-End-Server kommuniziert mit virtuellem Back-End-Server Back-End- Server Outlook Web Access-Client HTTPS: // HTTP :// HTTP Virtueller Server 1 HTTP Virtueller Server 1 HTTP Virtueller Server 2 HTTP Virtueller Server 2 Informations- speicher 1 Informations- speicher 1 Informations- speicher 2 Informations- speicher 2 Front-End- Server
15
Demo 2 (Teil 1) Konfigurationen für dezentralen Outlook Web Access Konfigurieren eines Front-End-Servers
16
Konfigurationen für dezentralen Outlook Web Access SSL für Outlook Web Access Secure Sockets Layer (SSL) Verschlüsselt HTTP-Datenverkehr Zertifikat erforderlich Internetdienste-Manager zum Konfigurieren von SSL erforderlich Verwendung für FE-BE-Kommunikation nicht möglich Bei Bedarf IPSec verwenden
17
Demo 2 (Teil 2) Konfigurationen für dezentralen Outlook Web Access Konfigurieren eines Front-End-Servers zur Verwendung von SSL
18
Konfigurationen für dezentralen Outlook Web Access Sichern von FE-/BE-Server-Netzwerken Back-End- Exchange-Server Front-End- Exchange-Server Outlook Web Access-Client globaler Katalog- server Firewall 1 Firewall 2 DMZ HTTPS zulassen HTTP, DNS, Netlogon, RPC, Kerberos und LDAP zulassen
19
Konfigurationen für dezentralen Outlook Web Access FE/BE-Intranetports Mailprotokolle Portnummer/ÜbertragungProtokoll 80/TCPHTTP 143/TCPIMAP 110/TCPPOP 25/TCPSMTP Active Directory-Kommunikation Portnummer/ÜbertragungProtokoll 389/TCP LDAP zu AD 389/UDP 3268/TCPLDAP zum globalen Katalog 88/TCP Kerberos-Authentifi- zierung 88/UDP DNS Portnummer/ÜbertragungProtokoll 53/TCP DNS-Suche 53/UDP RPCs: Diensterkennung und Authentifizierung Portnummer/ÜbertragungProtokoll 135/TCPRPC-Endportzuordnung 1024+/TCPRPC-Dienstports 445/TCPNetlogon IPSec Portnummer/ÜbertragungProtokoll IP-Protokoll 51Authentication Header (AH) IP-Protokoll 50Encap. Security Payload (ESP) 500/UDPInternet Key Exchange (IKE) 88/TCP Kerberos 88/UDP Mit SP2 keine RPCs mehr in DSAccess
20
Agenda Windows-Sicherheit zum Zuweisen der Objektverwaltung Konfigurationen für dezentralen Outlook Web Access Sichern und Konfigurieren von dezentralen Exchange-Diensten Schutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung
21
Sichern und Konfigurieren von dezentralen Exchange-Diensten Deaktivieren nicht benötigter Dienste Deaktivieren aller nicht benötigten Exchange-Dienste Je nach Funktion des Servers können zahlreiche Dienste deaktiviert werden POP3, IMAP4, Informationsspeicher usw. Erhöhen der Gesamtsicherheit durch Einschränken der Netzwerkinteraktion Routingdienst nicht deaktivieren
22
Demo 3 (Teil 1) Sichern und Konfigurieren von dezentralen Exchange- Diensten Deaktivieren nicht benötigter Exchange 2000-Dienste
23
Sichern und Konfigurieren von dezentralen Exchange-Diensten IIS Lockdowntool IIS Lockdowntool Wird für die IIS-Sicherheit verwendet, kann jedoch Exchange-Dienste unterbrechen http://www.microsoft.com/downloads/search.asp?La ngID=10&LangDIR=DE Version 2.1 stellt Vorlagen für Exchange-Server zur Verfügung Q309508 und Q309677 enthalten weitere Überlegungen bezüglich Exchange
24
Demo 3 (Teil 2) Sichern und Konfigurieren von dezentralen Exchange- Diensten Verwenden des IIS Lockdowntools mit Exchange 2000
25
Sichern und Konfigurieren von dezentralen Exchange-Diensten Umgang mit Spam Filtern Geben Sie eine Domäne an, deren Nachrichten gefiltert werden sollen *@spam.com Optionales Archivieren gefilterter Nachrichten Speicherung in Exchsrvr\mailroot\vs 1\filter Filter auf virtuelle Server anwenden jemand@microsoft.com Filtern Benutzer@spam.com Exchange- Unternehmen
26
Sichern und Konfigurieren von dezentralen Exchange-Diensten Sichern des SMTP-Relays SMTP-Relay – Anforderung an einen SMTP- Server, eine Nachricht an Empfänger außerhalb des Unternehmens zu senden Spammer verwenden diese Einstellung zum Verber- gen ihrer Ursprungsadresse und nutzen einen kostenlosen SMTP-Server Standardmäßig für alle nicht authentifizierten Verbin- dungen deaktiviert Bei Bedarf Aktivierung für eine bestimmte Domäne durch Erstellen eines SMTP-Connectors (Fortsetzung)
27
Sichern und Konfigurieren von dezentralen Exchange-Diensten Aktivieren des Relays für ausgehenden SMTP-Verkehr contoso.msft Org Nur ausgehend an Internet Nur ausgehend an Internet nwtraders.msft Org An contoso.msft Relay zugelassen An contoso.msft Relay zugelassen Ein- und ausgehender Internetverkehr Ein- und ausgehender Internetverkehr An nwtraders.msft
28
Demo 3 (Teil 3) Sichern und Konfigurieren von dezentralen Exchange- Diensten Anwenden von Nachrichtenfiltern und Überprüfen der Standardeinstellungen des SMTP- Relays
29
Sichern und Konfigurieren von dezentralen Exchange-Diensten Ändern des SMTP-Standardbanners SMTP zeigt standardmäßig Versionsinformationen an Mögliche Sicherheitslücke IIS-Konfigurationsinformationen sind in Metabasis gespeichert Ändern des SMTP-Standardbanners mithilfe von MetaEdit Weitere Informationen in Q281224 Q303513 zu IMAP4 und POP3
30
Demo 3 (Teil 4) Sichern und Konfigurieren von dezentralen Exchange- Diensten Deaktivieren des Standardbanners des virtuellen SMTP-Servers
31
Agenda Windows-Sicherheit zum Zuweisen der Objektverwaltung Konfigurationen für dezentralen Outlook Web Access Sichern und Konfigurieren von dezentralen Exchange-Diensten Schutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung
32
Schutz vor Denial of Service- und Virenangriffen Denial of Service-Angriffe (DoS) Denial of Service-Angriffe Nachrichtenflut (Spam) Scriptviren, die sich an alle Einträge im Adressbuch senden Senden vieler, sehr langer Anlagen Viele SMTP-Sitzungen
33
Schutz vor Denial of Service- und Virenangriffen Schutz vor Denial-of-Service-Angriffen Globale Einstellungen – Standards für Nachrichten Größenbeschränkung für ein- und ausgehende Nachrichten Beschränken der Empfängeranzahl Diese Einstellungen setzen Beschränkungen für Postfächer außer Kraft Einstellungen des virtuellen SMTP-Servers Angeben legitimer SMTP-Partner über die Register- karte „Zugriff“ Beschränken der Größe von Nachrichten und Sitzungen, der Anzahl von Empfängern und Verbindungen über die Registerkarte „Nachricht“
34
Demo 4 (Teil 1) Schutz vor Denial of Service- und Virenangriffen Globale Einstellungen zum Verhindern von Nachrichtenfluten
35
Schutz vor Denial of Service- und Virenangriffen Virenschutzoptionen Client Outlook bietet dasBlockieren unsicherer Anlagen - siehe das Office XP Resource Kit für Einzelheiten zur Anpassung Verwenden Sie auf Clients immer ein Virenschutz- programm Server E-Mail-Firewalls – SMTP-Server von Drittan- bietern, die nach Viren suchen Exchange 2000 stellt eine Virenschutz-API für Drittanbieter zur Verfügung
36
Demo 4 (Teil 2) Schutz vor Denial of Service- und Virenangriffen Sicherheit für unsichere Anlagen in Outlook 2002
37
Agenda Windows-Sicherheit zum Zuweisen der Objektverwaltung Konfigurationen für dezentralen Outlook Web Access Sichern und Konfigurieren von dezentralen Exchange-Diensten Schutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung
38
Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Unverschlüsselte Nachrichtenübermittlung Unverschlüsselte Nachrichten Outlook verschlüsselt Nachrichten jedoch als Winmail.dat Winmail.dat-Verschlüsselung mithilfe von MIME (Multipurpose Internet Mail Extensions) Andere Clienttypen senden Nachrichten als unformatierten Text
39
Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Verschlüsselung auf Netzwerkebene IP-Sicherheit Integriertes Windows 2000-Feature Verschlüsseln des gesamten Netzwerkverkehrs an ein bestimmtes Ziel Verwendet flexible Richtlinien zum Definieren des Verschlüsselungsverhaltens Gruppenrichtlinie zum Definieren von IPSec- Richtlinien für die Domäne
40
Demo 5 (Teil 1) Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung IPSec für das Verschlüsseln von Netzwerkverkehr
41
Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Verschlüsselung auf Sitzungsebene TLS (Transport Layer Security) IETF-Standard Stellt verschlüsselten Kanal zwischen SMTP-Servern her Verwendet ESMTP-Befehl StartTLS Zertifikatinstallation auf SMTP-Servern erforderlich Aktivieren von ein- und ausgehendem TLS auf allen beteiligten Servern
42
Demo 5 (Teil 2) Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Konfigurieren von TLS für SMTP- Verschlüsselung
43
Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Verschlüsselung auf Nachrichtenebene Nachrichtenverschlüsselung Installation des Schlüsselverwaltungservers erforderlich Outlook-Clients können Nachrichten verschlüsseln und digital signieren Stellt End-to-End-Verschlüsselung bereit Lernkurve des Clients Zusätzliche Serverkonfiguration
44
Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Verschlüsselung auf Nachrichtenebene Konfiguration des Schlüsselverwaltungsservers Zertifizierungsstelle für Organisationen erforderlich Zertifizierungsstelle für das Ausstellen zusätzlicher Zertifikate konfigurieren Einschreibungs-Agent (Computer) Nur Exchange-Signatur Exchange-Benutzer Schlüsselverwaltungsserver nach der Installation Computerkonto-Verwaltungsrechte für Zertifizierungsstelle erteilen Weitere Verwaltungsgruppen für die Verwendung eines Schlüsselverwaltungsservers konfigurieren
45
Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Einschreibung für erweiterte Sicherheit Schlüsselverwaltungsserver Zertifizierungsstelle für Organisationen Benutzer ist aktiviert Client erhält Token Zertifizierungsstelle stellt Zertifikate aus 11 22 33 44 55 Client fordert mithilfe des Tokens eine digitale ID an Schlüsselverwaltungsserver fordert Zertifikate an 66 Schlüselverwal- tungsserver sendet verschlüs- selte Zertifikate 77 Client entschlüsselt Nachricht und importiert Zertifikat
46
Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Kryptografie öffentlicher/ privater Schlüssel Öffentliche und private Schlüssel Mathematisch verwandte Werte Unidirektionale Verschlüsselung Öffentliche Schlüssel werden in Zertifikaten gespeichert Zertifikate werden von vertrauenswürdiger Stelle digital signiert Zertifikate können in Active Directory veröffentlicht werden Private Schlüssel werden sicher im Benutzerprofil gespeichert
47
Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Verschlüsseln einer Nachricht Active Directory- Domänencontroller 22 33 44 55 Client 1 Client 2 Virtueller SMTP-Server 1 Virtueller SMTP-Server 2 1166 Neue Nachricht Suchen des öffentlichen Schlüssels von Client 2 Mit öffentlichem Schlüssel verschlüsselte Nachricht Mit S/MIME gesendete Nachricht Verwenden des privaten Schlüssels von Client 2 zum Ent- schlüsseln der Nachricht Nachricht wird verschlüsselt empfangen
48
Demo 5 (Teil 3) Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Erweiterte Sicherheit in Exchange zum Verschlüsseln von Nachrichten
49
Sitzungszusammenfassung Exchange 2000-Sicherheit umfasst Sicherheit der Verwaltung Outlook Web Access-Sicherheit Sicherheit von Diensten Relaysicherheit Schutz vor Denial-of-Service-Angriffen Server- und Client-Antivirensoftware Verschlüsselung zum Schutz von Daten
50
Weitere Informationen TechNet-Website www.microsoft.com/germany/technet Exchange-Website www.microsoft.com/germany/exchange
51
Infos über TechNet TechNet Online www.microsoft.com/germany/technet TechNet NewsFlash abonnieren www.microsoft.com/germany/ms/technetnewsflash TechNet IT Community www.microsoft.com/technet/itcommunity TechNet Abonnement www.microsoft.com/germany/ms/technetabo Achten Sie auf weitere TechNet Veranstaltungen www.microsoft.com/germany/ms/technetevents
52
Exchange 2000 Server Exchange 2000 Server verbindet Mitarbeiter und Wissen Exchange 2000 Enterprise Server unlimitierter Datenspeicher, Clustering Exchange 2000 Conferencing Server Data Conferencing, Audio/Video-Konferenzen Die Exchange 2000 CAL berechtigt zum Zugriff auf alle Ausgaben vonExchange 2000 Server. Server + CALs
53
Zugriff auf Exchange 2000 Server Server + CALs Exchange 2000 Server ist vollständig in das Active Directory von Windows 2000 Server integriert. Jeder authentifizierte Zugriff auf Exchange 2000 Server erfordert eine Windows 2000 CAL und zusätzlich eine Exchange 2000 CAL Authentifiziert = jedes Gerät, das den Anmeldedienst von Win 2000 Server verwendet oder eine Authenifizierung vom Active Directory erhält. Anonymer Zugriff auf Exchange 2000 Server erfordert keine CAL.
54
Exchange 2000 CAL Exchange 2000 CALs werden ausschließlich pro Arbeitsplatz = pro Gerät lizenziert. Beschränkter Zugriff von anderen Geräten ist möglich. Die Exchange CAL ist erforderlich unabhängig von der verwendeten Client-Software (Outlook, Web- Browser, POP3-Client, IMAP4...). Microsoft Outlook ist als Client-Software im Exchange Server enthalten. Die Client-Software darf auf jedem Gerät installiert werden, für das der Lizenznehmer eine Exchange CAL erworben hat. Server + CALs
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.