Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging [email protected].

55
Sicheres Messaging mit Sicheres Messaging mit Exchange Exchange Gernot Kühn Gernot Kühn Systems Engineer Messaging Systems Engineer Messaging [email protected] [email protected]

Transcript of Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging [email protected].

Page 1: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Sicheres Messaging mit Sicheres Messaging mit ExchangeExchange

Gernot KühnGernot KühnSystems Engineer MessagingSystems Engineer [email protected]@microsoft.com

Page 2: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Themen dieser SitzungThemen dieser Sitzung Windows-Sicherheit zum Zuweisen der Windows-Sicherheit zum Zuweisen der

ObjektverwaltungObjektverwaltung Konfigurationen für dezentralen Outlook Web Konfigurationen für dezentralen Outlook Web

AccessAccess Sichern und Konfigurieren dezentraler Sichern und Konfigurieren dezentraler

Exchange-Dienste Exchange-Dienste Schutz vor Denial of Service- und Schutz vor Denial of Service- und

Virenangriffen Virenangriffen Sichern der Nachrichtenübermittlung mithilfe Sichern der Nachrichtenübermittlung mithilfe

von Verschlüsselungvon Verschlüsselung

Page 3: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

AgendaAgenda Windows-Sicherheit zum Zuweisen der Windows-Sicherheit zum Zuweisen der

ObjektverwaltungObjektverwaltung Konfigurationen für dezentralen Outlook Web Konfigurationen für dezentralen Outlook Web

AccessAccess Sichern und Konfigurieren von dezentralen Sichern und Konfigurieren von dezentralen

Exchange-DienstenExchange-Diensten Schutz vor Denial of Service- und VirenangriffenSchutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe Sichern der Nachrichtenübermittlung mithilfe

von Verschlüsselungvon Verschlüsselung

Page 4: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Windows-Sicherheit zum Zuweisen Windows-Sicherheit zum Zuweisen der Objektverwaltungder ObjektverwaltungDefinieren des Windows-SicherheitsmodellsDefinieren des Windows-Sicherheitsmodells SicherheitsprincipalsSicherheitsprincipals

Benutzer, Gruppen und ComputerBenutzer, Gruppen und Computer Eindeutige Sicherheits-ID (SID)Eindeutige Sicherheits-ID (SID) Berechtigungen für andere Objekte zulassen oder Berechtigungen für andere Objekte zulassen oder

verweigernverweigern

S-1-5-21-1993962763-492894223-1060284298-1115S-1-5-21-1993962763-492894223-1060284298-1115

Users ComputersGroupsBenutzer ComputerGruppen

Page 5: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Windows-Sicherheit zum Zuweisen Windows-Sicherheit zum Zuweisen der Objektverwaltungder ObjektverwaltungDefinieren des Windows-SicherheitsmodellsDefinieren des Windows-Sicherheitsmodells Sicherheits-Sicherheits-

beschreibungbeschreibung Enthält eine Enthält eine

freigegebene freigegebene Zugriffssteuerungsliste Zugriffssteuerungsliste (DACL) und eine (DACL) und eine Sicherheits-Zugriffs-Sicherheits-Zugriffs-steuerungsliste (SACL)steuerungsliste (SACL) DACL für DACL für

BerechtigungenBerechtigungen SACL für SACL für

ÜberprüfungenÜberprüfungen

Security Descriptor

HeaderHeader

Owner SIDOwner SID

Group SIDGroup SID

DACLDACL

SACLSACL

ACEsACEs

ACEsACEs

Sicherheitsbeschreibung

HeaderHeader

Owner SIDBesitzer-SID

Group SIDGruppen-SID

DACLDACL

SACLSACL

ACEsACEs

ACEsACEs

Page 6: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Windows-Sicherheit zum Zuweisen Windows-Sicherheit zum Zuweisen der Objektverwaltungder ObjektverwaltungDefinieren des Windows-SicherheitsmodellsDefinieren des Windows-Sicherheitsmodells Freigegebene ZugriffssteuerungslisteFreigegebene Zugriffssteuerungsliste

Liste der zugelassenen und verweigerten BerechtigungenListe der zugelassenen und verweigerten Berechtigungen Jede Berechtigung ist ein ACE (Access Control Entry)Jede Berechtigung ist ein ACE (Access Control Entry) ACEs bestehen aus einer SID, Berechtigung, Statusangabe ACEs bestehen aus einer SID, Berechtigung, Statusangabe

zugelassen/verweigert und Vererbungsflagzugelassen/verweigert und Vererbungsflag

Sample DACL Data StructureSample DACL Data Structure

SIDSID PermissionPermission Allow/DenyAllow/Deny InheritanceInheritance

User1 SIDUser1 SID ReadRead DenyDeny This object and all childrenThis object and all children

User2 SIDUser2 SID Full ControlFull Control AllowAllow This object and all childrenThis object and all children

Admin SIDAdmin SID Full ControlFull Control AllowAllow This object and contactsThis object and contacts

Sample DACL Data StructureSample DACL Data Structure

SIDSID PermissionPermission Allow/DenyAllow/Deny InheritanceInheritanceSIDSID PermissionPermission Allow/DenyAllow/Deny InheritanceInheritance

User1 SIDUser1 SID ReadRead DenyDeny This object and all childrenThis object and all childrenUser1 SIDUser1 SID ReadRead DenyDeny This object and all childrenThis object and all children

User2 SIDUser2 SID Full ControlFull Control AllowAllow This object and all childrenThis object and all childrenUser2 SIDUser2 SID Full ControlFull Control AllowAllow This object and all childrenThis object and all children

Admin SIDAdmin SID Full ControlFull Control AllowAllow This object and contactsThis object and contactsAdmin SIDAdmin SID Full ControlFull Control AllowAllow This object and contactsThis object and contacts

Page 7: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Windows-Sicherheit zum Zuweisen Windows-Sicherheit zum Zuweisen der Objektverwaltungder ObjektverwaltungWas bedeutet Zuweisen der Objektverwaltung?Was bedeutet Zuweisen der Objektverwaltung?

Das Zuweisen der Objektverwaltung bedeutet den Erhalt von Das Zuweisen der Objektverwaltung bedeutet den Erhalt von Berechtigungen, so dass unterschiedliche Administratorgruppen Berechtigungen, so dass unterschiedliche Administratorgruppen unterschiedliche Objektgruppen steuern.unterschiedliche Objektgruppen steuern.

First Admins – Auto View OnlySecurity GroupSecond Admins – Auto View OnlySecurity Group

Exchange Organization Object

Administrative Groups

Second Administrative Group

Enterprise Exchange – ExchangeAdmins Security Group Full Administrator

First Admins - ExchangeSecurity Group Administrator

Second Admins - ExchangeSecurity Group Administrator

First Administrative Group............

Erste Admin.- – Nur automatischeAnsichtSicherheitsgruppe

Zweite Admin.- – Nur automatische AnsichtSicherheitsgruppe

Objekt ‘Exchange-Unternehmen’

Verwaltungsgruppen

Zweite Verwaltungsgruppe

Unternehmens - Exchange-– Vollständiger Exchange-Admin.-Sicherheitsgruppe Administrator

Erste Admin.- - Exchange-Sicherheitsgruppe Administrator

Zweite Admin.- - Exchange-Sicherheitsgruppe Administrator

Erste Verwaltungsgruppe............

Page 8: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Windows-Sicherheit zum Windows-Sicherheit zum Zuweisen der ObjektverwaltungZuweisen der ObjektverwaltungZuweisen der ObjektverwaltungZuweisen der Objektverwaltung

VerwaltungsgruppenVerwaltungsgruppen Gruppen von Exchange 2000-KonfigurationsobjektenGruppen von Exchange 2000-Konfigurationsobjekten Server, Öffentliche Ordner, Routinggruppen usw.Server, Öffentliche Ordner, Routinggruppen usw.

Unternehmenseinheiten (OUs)Unternehmenseinheiten (OUs) Gruppen von Exchange 2000-EmpfängerobjektenGruppen von Exchange 2000-Empfängerobjekten Jedes Objekt mit E-Mail-Adresse ist EmpfängerJedes Objekt mit E-Mail-Adresse ist Empfänger Benutzer, Gruppen, Kontakte und Öffentliche OrdnerBenutzer, Gruppen, Kontakte und Öffentliche Ordner

Page 9: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Windows-Sicherheit zum Windows-Sicherheit zum Zuweisen der ObjektverwaltungZuweisen der ObjektverwaltungManuelle Berechtigungen oder Manuelle Berechtigungen oder Assistenten – Vor- und NachteileAssistenten – Vor- und Nachteile

Manuelle BerechtigungenManuelle Berechtigungen Vorteile – genau, flexibel, effizienterVorteile – genau, flexibel, effizienter Nachteile – komplex, riskant, nicht protokolliertNachteile – komplex, riskant, nicht protokolliert

Verwenden der Assistenten Verwenden der Assistenten (Exchange und AD)(Exchange und AD) Vorteile – einfach, vordefinierte Rollen/Aufgaben, Vorteile – einfach, vordefinierte Rollen/Aufgaben,

Nachverfolgen von Änderungen beim Entfernen Nachverfolgen von Änderungen beim Entfernen (nur Exchange), Risikominimierung (kein „Senden (nur Exchange), Risikominimierung (kein „Senden als“, „Empfangen als“)als“, „Empfangen als“)

Nachteile – unflexibel, möglicherweise ineffizient, Nachteile – unflexibel, möglicherweise ineffizient, nicht protokolliert (nur AD)nicht protokolliert (nur AD)

Page 10: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Demo 1Demo 1Windows-Sicherheit zum Windows-Sicherheit zum

Zuweisen der Zuweisen der ObjektverwaltungObjektverwaltung

Verwenden des Exchange 2000-Verwenden des Exchange 2000-Assistenten zum Zuweisen der Assistenten zum Zuweisen der

ObjektverwaltungObjektverwaltungVerwenden des Active Directory-Verwenden des Active Directory-Assistenten zum Zuweisen der Assistenten zum Zuweisen der

ObjektverwaltungObjektverwaltung

Page 11: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

AgendaAgenda Windows-Sicherheit zum Zuweisen der Windows-Sicherheit zum Zuweisen der

ObjektverwaltungObjektverwaltung Konfigurationen für dezentralen Outlook Web Konfigurationen für dezentralen Outlook Web

AccessAccess Sichern und Konfigurieren von dezentralen Sichern und Konfigurieren von dezentralen

Exchange-DienstenExchange-Diensten Schutz vor Denial of Service- und VirenangriffenSchutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe von Sichern der Nachrichtenübermittlung mithilfe von

VerschlüsselungVerschlüsselung

Page 12: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Konfigurationen für dezentralen Konfigurationen für dezentralen Outlook Web AccessOutlook Web AccessFront-End- und Back-End-ServerFront-End- und Back-End-Server

Front-End-/ Back-End-ServerFront-End-/ Back-End-Server Front-End – stellt Clients Front-End – stellt Clients

Protokollzugriff zur Protokollzugriff zur VerfügungVerfügung

Back-End – stellt Clients Back-End – stellt Clients Datenzugriff zur VerfügungDatenzugriff zur Verfügung

Back-End-

Server

Front-End-

Server

Client

Page 13: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Konfigurationen für dezentralen Konfigurationen für dezentralen Outlook Web AccessOutlook Web AccessFront-End- und Back-End-ServerFront-End- und Back-End-Server

Vorteile von FE/BE-ServernVorteile von FE/BE-Servern Skalierbarkeit – NLB oder DNS-Round Skalierbarkeit – NLB oder DNS-Round

RobinRobin Verfügbarkeit – ClusterVerfügbarkeit – Cluster Einheitlicher Namespace – DNSEinheitlicher Namespace – DNS Leistung – SSL-VerschlüsselungLeistung – SSL-Verschlüsselung Sicherheit – isoliertes Back-EndSicherheit – isoliertes Back-End

Page 14: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Konfigurationen für dezentralen Konfigurationen für dezentralen Outlook Web AccessOutlook Web AccessFront-End- und Back-End-ServerFront-End- und Back-End-ServerFE/BE-ServerimplementierungFE/BE-Serverimplementierung

Virtuelle IIS-Server stellen Clients Protokollschnittstelle Virtuelle IIS-Server stellen Clients Protokollschnittstelle zur Verfügungzur Verfügung

Informationsspeicher wird auf Front-End-Server nicht Informationsspeicher wird auf Front-End-Server nicht verwendetverwendet

Virtueller Front-End-Server kommuniziert mit virtuellem Virtueller Front-End-Server kommuniziert mit virtuellem Back-End-ServerBack-End-Server

Back-End- ServerOutlook Web

Access-Client

HTTPS:// HTTP://

HTTPVirtuellerServer 1

HTTPVirtuellerServer 2

Informations-speicher 1

Informations-speicher 2

Front-End- Server

Page 15: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Demo 2 Demo 2 (Teil 1)(Teil 1)

Konfigurationen für Konfigurationen für dezentralen Outlook Web dezentralen Outlook Web

AccessAccess

Konfigurieren eines Front-End-ServersKonfigurieren eines Front-End-Servers

Page 16: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Konfigurationen für dezentralen Konfigurationen für dezentralen Outlook Web AccessOutlook Web AccessSSL für Outlook Web AccessSSL für Outlook Web Access

Secure Sockets Layer (SSL)Secure Sockets Layer (SSL) Verschlüsselt HTTP-DatenverkehrVerschlüsselt HTTP-Datenverkehr Zertifikat erforderlichZertifikat erforderlich Internetdienste-Manager zum Internetdienste-Manager zum

Konfigurieren von SSL erforderlichKonfigurieren von SSL erforderlich Verwendung für FE-BE-Kommunikation Verwendung für FE-BE-Kommunikation

nicht möglichnicht möglich Bei Bedarf IPSec verwendenBei Bedarf IPSec verwenden

Page 17: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Demo 2 Demo 2 (Teil 2)(Teil 2)

Konfigurationen für Konfigurationen für dezentralen Outlook Web dezentralen Outlook Web

AccessAccess

Konfigurieren eines Front-End-Servers Konfigurieren eines Front-End-Servers zur Verwendung von SSLzur Verwendung von SSL

Page 18: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Konfigurationen für dezentralen Konfigurationen für dezentralen Outlook Web AccessOutlook Web AccessSichern von FE-/BE-Server-NetzwerkenSichern von FE-/BE-Server-Netzwerken

Back-End- Exchange-Server

Front-End- Exchange-ServerOutlook Web

Access-Client

globaler Katalog-server

Firewall 1 Firewall 2

DMZ

HTTPS zulassen

HTTP, DNS, Netlogon, RPC, Kerberos und LDAP zulassen

Page 19: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Konfigurationen für dezentralen Konfigurationen für dezentralen Outlook Web AccessOutlook Web AccessFE/BE-IntranetportsFE/BE-Intranetports

MailprotokollePortnummer/Übertragung Protokoll

80/TCP HTTP143/TCP IMAP110/TCP POP25/TCP SMTP

Active Directory-KommunikationPortnummer/Übertragung Protokoll

389/TCPLDAP zu AD

389/UDP3268/TCP LDAP zum globalen

Katalog88/TCP Kerberos-Authentifi-

zierung88/UDPDNS

Portnummer/Übertragung Protokoll

53/TCPDNS-Suche

53/UDP

RPCs: Diensterkennung und AuthentifizierungPortnummer/Übertragung Protokoll

135/TCP RPC-Endportzuordnung1024+/TCP RPC-Dienstports445/TCP Netlogon

IPSecPortnummer/Übertragung Protokoll

IP-Protokoll 51 Authentication Header (AH)IP-Protokoll 50 Encap. Security Payload (ESP)500/UDP Internet Key Exchange (IKE)88/TCP

Kerberos88/UDP

Mit SP2 keine RPCs mehr Mit SP2 keine RPCs mehr in DSAccessin DSAccess

Page 20: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

AgendaAgenda Windows-Sicherheit zum Zuweisen der Windows-Sicherheit zum Zuweisen der

ObjektverwaltungObjektverwaltung Konfigurationen für dezentralen Outlook Web AccessKonfigurationen für dezentralen Outlook Web Access Sichern und Konfigurieren von dezentralen Exchange-Sichern und Konfigurieren von dezentralen Exchange-

DienstenDiensten Schutz vor Denial of Service- und VirenangriffenSchutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe von Sichern der Nachrichtenübermittlung mithilfe von

VerschlüsselungVerschlüsselung

Page 21: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Sichern und Konfigurieren von Sichern und Konfigurieren von dezentralen Exchange-Dienstendezentralen Exchange-DienstenDeaktivieren nicht benötigter DiensteDeaktivieren nicht benötigter Dienste Deaktivieren aller nicht benötigten Exchange-DiensteDeaktivieren aller nicht benötigten Exchange-Dienste

Je nach Funktion des Servers können zahlreiche Dienste Je nach Funktion des Servers können zahlreiche Dienste deaktiviert werdendeaktiviert werden

POP3, IMAP4, Informationsspeicher usw.POP3, IMAP4, Informationsspeicher usw. Erhöhen der Gesamtsicherheit durch Einschränken der Erhöhen der Gesamtsicherheit durch Einschränken der

NetzwerkinteraktionNetzwerkinteraktion Routingdienst nicht deaktivierenRoutingdienst nicht deaktivieren

SASA MTAMTA ISIS SMTPSMTP IMAP4IMAP4 POP3POP3SASASASA MTAMTAMTAMTA ISISISIS SMTPSMTPSMTPSMTP IMAP4IMAP4IMAP4IMAP4IMAP4IMAP4 POP3POP3POP3POP3POP3POP3

Page 22: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Demo 3 Demo 3 (Teil 1)(Teil 1)

Sichern und Konfigurieren Sichern und Konfigurieren von dezentralen Exchange-von dezentralen Exchange-

DienstenDiensten

Deaktivieren nicht benötigter Deaktivieren nicht benötigter Exchange 2000-DiensteExchange 2000-Dienste

Page 23: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Sichern und Konfigurieren von Sichern und Konfigurieren von dezentralen Exchange-Dienstendezentralen Exchange-DienstenIIS LockdowntoolIIS Lockdowntool IIS LockdowntoolIIS Lockdowntool

Wird für die IIS-Sicherheit verwendet, kann jedoch Exchange-Wird für die IIS-Sicherheit verwendet, kann jedoch Exchange-Dienste unterbrechenDienste unterbrechen

http://www.microsoft.com/downloads/search.asp?http://www.microsoft.com/downloads/search.asp?LangID=10&LangDIR=DELangID=10&LangDIR=DE

Version 2.1 stellt Vorlagen für Exchange-Server zur VerfügungVersion 2.1 stellt Vorlagen für Exchange-Server zur Verfügung Q309508 und Q309677 enthalten weitere Überlegungen Q309508 und Q309677 enthalten weitere Überlegungen

bezüglich Exchangebezüglich Exchange

Page 24: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Demo 3 Demo 3 (Teil 2)(Teil 2)

Sichern und Sichern und Konfigurieren von Konfigurieren von

dezentralen Exchange-dezentralen Exchange-DienstenDiensten

Verwenden des IIS Lockdowntools Verwenden des IIS Lockdowntools

mit Exchange 2000mit Exchange 2000

Page 25: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Sichern und Konfigurieren von Sichern und Konfigurieren von dezentralen Exchange-Dienstendezentralen Exchange-DienstenUmgang mit SpamUmgang mit Spam FilternFiltern

Geben Sie eine Domäne an, deren Nachrichten gefiltert werden Geben Sie eine Domäne an, deren Nachrichten gefiltert werden sollensollen *@spam.com*@spam.com

Optionales Archivieren gefilterter Nachrichten Optionales Archivieren gefilterter Nachrichten Speicherung in Exchsrvr\mailroot\vs 1\filterSpeicherung in Exchsrvr\mailroot\vs 1\filter

Filter auf virtuelle Server anwendenFilter auf virtuelle Server [email protected]

Filtern [email protected]

Exchange-Unternehmen

Page 26: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Sichern und Konfigurieren von Sichern und Konfigurieren von dezentralen Exchange-Dienstendezentralen Exchange-DienstenSichern des SMTP-RelaysSichern des SMTP-Relays SMTP-Relay – Anforderung an einen SMTP-SMTP-Relay – Anforderung an einen SMTP-

Server, eine Nachricht an Empfänger außerhalb Server, eine Nachricht an Empfänger außerhalb des Unternehmens zu sendendes Unternehmens zu senden Spammer verwenden diese Einstellung zum Verber-Spammer verwenden diese Einstellung zum Verber-

gen ihrer Ursprungsadresse und nutzen einen gen ihrer Ursprungsadresse und nutzen einen kostenlosen SMTP-Serverkostenlosen SMTP-Server

Standardmäßig für alle nicht authentifizierten Verbin-Standardmäßig für alle nicht authentifizierten Verbin-dungen deaktiviertdungen deaktiviert

Bei Bedarf Aktivierung für eine bestimmte Domäne Bei Bedarf Aktivierung für eine bestimmte Domäne durch Erstellen eines SMTP-Connectors durch Erstellen eines SMTP-Connectors (Fortsetzung)(Fortsetzung)

Page 27: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Sichern und Konfigurieren von Sichern und Konfigurieren von dezentralen Exchange-Dienstendezentralen Exchange-DienstenAktivieren des Relays für ausgehenden Aktivieren des Relays für ausgehenden SMTP-VerkehrSMTP-Verkehr

contoso.msft OrgNur ausgehend

an Internet

nwtraders.msft Org

An contoso.msftRelay zugelassen

Ein- und ausgehenderInternetverkehr

An nwtraders.msft

Page 28: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Demo 3 Demo 3 (Teil 3)(Teil 3)

Sichern und Sichern und Konfigurieren von Konfigurieren von

dezentralen Exchange-dezentralen Exchange-DienstenDiensten

Anwenden von Nachrichtenfiltern Anwenden von Nachrichtenfiltern

und Überprüfen der und Überprüfen der Standardeinstellungen des SMTP-Standardeinstellungen des SMTP-

RelaysRelays

Page 29: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Sichern und Konfigurieren von Sichern und Konfigurieren von dezentralen Exchange-Dienstendezentralen Exchange-DienstenÄndern des SMTP-StandardbannersÄndern des SMTP-Standardbanners

SMTP zeigt standardmäßig Versionsinformationen anSMTP zeigt standardmäßig Versionsinformationen an Mögliche SicherheitslückeMögliche Sicherheitslücke IIS-Konfigurationsinformationen sind in Metabasis gespeichertIIS-Konfigurationsinformationen sind in Metabasis gespeichert Ändern des SMTP-Standardbanners mithilfe von MetaEditÄndern des SMTP-Standardbanners mithilfe von MetaEdit

Weitere Informationen in Q281224Weitere Informationen in Q281224 Q303513 zu IMAP4 und POP3Q303513 zu IMAP4 und POP3

Page 30: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Demo 3 Demo 3 (Teil 4)(Teil 4)

Sichern und Sichern und Konfigurieren von Konfigurieren von

dezentralen Exchange-dezentralen Exchange-DienstenDiensten

Deaktivieren des Standardbanners Deaktivieren des Standardbanners

des virtuellen SMTP-Serversdes virtuellen SMTP-Servers

Page 31: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

AgendaAgenda Windows-Sicherheit zum Zuweisen der Windows-Sicherheit zum Zuweisen der

ObjektverwaltungObjektverwaltung Konfigurationen für dezentralen Outlook Web AccessKonfigurationen für dezentralen Outlook Web Access Sichern und Konfigurieren von dezentralen Exchange-Sichern und Konfigurieren von dezentralen Exchange-

DienstenDiensten Schutz vor Denial of Service- und VirenangriffenSchutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe von Sichern der Nachrichtenübermittlung mithilfe von

VerschlüsselungVerschlüsselung

Page 32: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Schutz vor Denial of Service- Schutz vor Denial of Service- und Virenangriffenund VirenangriffenDenial of Service-Angriffe (DoS)Denial of Service-Angriffe (DoS) Denial of Service-AngriffeDenial of Service-Angriffe

Nachrichtenflut (Spam)Nachrichtenflut (Spam) Scriptviren, die sich an alle Einträge im Adressbuch Scriptviren, die sich an alle Einträge im Adressbuch

sendensenden Senden vieler, sehr langer AnlagenSenden vieler, sehr langer Anlagen Viele SMTP-SitzungenViele SMTP-Sitzungen

Page 33: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Schutz vor Denial of Service- Schutz vor Denial of Service- und Virenangriffenund VirenangriffenSchutz vor Denial-of-Service-AngriffenSchutz vor Denial-of-Service-Angriffen Globale Einstellungen – Standards für NachrichtenGlobale Einstellungen – Standards für Nachrichten

Größenbeschränkung für ein- und ausgehende NachrichtenGrößenbeschränkung für ein- und ausgehende Nachrichten Beschränken der EmpfängeranzahlBeschränken der Empfängeranzahl Diese Einstellungen setzen Beschränkungen für Postfächer Diese Einstellungen setzen Beschränkungen für Postfächer

außer Kraftaußer Kraft Einstellungen des virtuellen SMTP-ServersEinstellungen des virtuellen SMTP-Servers

Angeben legitimer SMTP-Partner über die Register-karte Angeben legitimer SMTP-Partner über die Register-karte „Zugriff“„Zugriff“

Beschränken der Größe von Nachrichten und Sitzungen, Beschränken der Größe von Nachrichten und Sitzungen, der Anzahl von Empfängern und Verbindungen über die der Anzahl von Empfängern und Verbindungen über die Registerkarte „Nachricht“Registerkarte „Nachricht“

Page 34: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Demo 4Demo 4 (Teil 1)(Teil 1)

Schutz vor Denial of Schutz vor Denial of Service- und Service- und

VirenangriffenVirenangriffen

Globale Einstellungen zum Globale Einstellungen zum Verhindern von Verhindern von

NachrichtenflutenNachrichtenfluten

Page 35: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Schutz vor Denial of Service- Schutz vor Denial of Service- und Virenangriffenund VirenangriffenVirenschutzoptionenVirenschutzoptionen

ClientClient Outlook bietet dasBlockieren unsicherer Anlagen - Outlook bietet dasBlockieren unsicherer Anlagen -

siehe das Office XP Resource Kit für Einzelheiten zur siehe das Office XP Resource Kit für Einzelheiten zur AnpassungAnpassung

Verwenden Sie auf Clients immer ein Virenschutz-Verwenden Sie auf Clients immer ein Virenschutz-programmprogramm

ServerServer E-Mail-Firewalls – SMTP-Server von Drittan-bietern, E-Mail-Firewalls – SMTP-Server von Drittan-bietern,

die nach Viren suchendie nach Viren suchen Exchange 2000 stellt eine Virenschutz-API für Exchange 2000 stellt eine Virenschutz-API für

Drittanbieter zur VerfügungDrittanbieter zur Verfügung

Page 36: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Demo 4 Demo 4 (Teil 2)(Teil 2)

Schutz vor Denial of Schutz vor Denial of Service- und Service- und

VirenangriffenVirenangriffen

Sicherheit für unsichere Anlagen Sicherheit für unsichere Anlagen in Outlook 2002in Outlook 2002

Page 37: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

AgendaAgenda Windows-Sicherheit zum Zuweisen der Windows-Sicherheit zum Zuweisen der

ObjektverwaltungObjektverwaltung Konfigurationen für dezentralen Outlook Web AccessKonfigurationen für dezentralen Outlook Web Access Sichern und Konfigurieren von dezentralen Sichern und Konfigurieren von dezentralen

Exchange-DienstenExchange-Diensten Schutz vor Denial of Service- und VirenangriffenSchutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe von Sichern der Nachrichtenübermittlung mithilfe von

VerschlüsselungVerschlüsselung

Page 38: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Sichern der Nachrichtenübermittlung Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselungmithilfe von VerschlüsselungUnverschlüsselte NachrichtenübermittlungUnverschlüsselte Nachrichtenübermittlung Unverschlüsselte NachrichtenUnverschlüsselte Nachrichten

Outlook verschlüsselt Nachrichten jedoch als Outlook verschlüsselt Nachrichten jedoch als Winmail.datWinmail.dat

Winmail.dat-Verschlüsselung mithilfe von MIME Winmail.dat-Verschlüsselung mithilfe von MIME (Multipurpose Internet Mail Extensions)(Multipurpose Internet Mail Extensions)

Andere Clienttypen senden Nachrichten als Andere Clienttypen senden Nachrichten als unformatierten Textunformatierten Text

Page 39: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Sichern der Nachrichtenübermittlung Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselungmithilfe von VerschlüsselungVerschlüsselung auf NetzwerkebeneVerschlüsselung auf Netzwerkebene

IP-SicherheitIP-Sicherheit Integriertes Windows 2000-FeatureIntegriertes Windows 2000-Feature Verschlüsseln des gesamten Netzwerkverkehrs an Verschlüsseln des gesamten Netzwerkverkehrs an

ein bestimmtes Zielein bestimmtes Ziel Verwendet flexible Richtlinien zum Definieren des Verwendet flexible Richtlinien zum Definieren des

VerschlüsselungsverhaltensVerschlüsselungsverhaltens Gruppenrichtlinie zum Definieren von IPSec-Gruppenrichtlinie zum Definieren von IPSec-

Richtlinien für die DomäneRichtlinien für die Domäne

Page 40: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Demo 5 Demo 5 (Teil 1)(Teil 1)

Sichern der Sichern der Nachrichtenübermittlung Nachrichtenübermittlung

mithilfe von mithilfe von VerschlüsselungVerschlüsselung

IPSec für das Verschlüsseln von IPSec für das Verschlüsseln von

NetzwerkverkehrNetzwerkverkehr

Page 41: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Sichern der Nachrichtenübermittlung Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselungmithilfe von VerschlüsselungVerschlüsselung auf SitzungsebeneVerschlüsselung auf Sitzungsebene

TLS (Transport Layer Security)TLS (Transport Layer Security) IETF-StandardIETF-Standard Stellt verschlüsselten Kanal zwischen SMTP-Servern Stellt verschlüsselten Kanal zwischen SMTP-Servern

herher Verwendet ESMTP-Befehl StartTLSVerwendet ESMTP-Befehl StartTLS Zertifikatinstallation auf SMTP-Servern erforderlichZertifikatinstallation auf SMTP-Servern erforderlich Aktivieren von ein- und ausgehendem TLS auf allen Aktivieren von ein- und ausgehendem TLS auf allen

beteiligten Servernbeteiligten Servern

Page 42: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Demo 5 Demo 5 (Teil 2)(Teil 2)

Sichern der Sichern der Nachrichtenübermittlung Nachrichtenübermittlung

mithilfe von mithilfe von VerschlüsselungVerschlüsselung

Konfigurieren von TLS für SMTP-Konfigurieren von TLS für SMTP-

VerschlüsselungVerschlüsselung

Page 43: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Sichern der Nachrichtenübermittlung Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselungmithilfe von VerschlüsselungVerschlüsselung auf NachrichtenebeneVerschlüsselung auf Nachrichtenebene NachrichtenverschlüsselungNachrichtenverschlüsselung

Installation des Schlüsselverwaltungservers Installation des Schlüsselverwaltungservers erforderlicherforderlich

Outlook-Clients können Nachrichten verschlüsseln Outlook-Clients können Nachrichten verschlüsseln und digital signierenund digital signieren

Stellt End-to-End-Verschlüsselung bereitStellt End-to-End-Verschlüsselung bereit Lernkurve des ClientsLernkurve des Clients Zusätzliche ServerkonfigurationZusätzliche Serverkonfiguration

Page 44: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Sichern der Nachrichtenübermittlung Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselungmithilfe von VerschlüsselungVerschlüsselung auf NachrichtenebeneVerschlüsselung auf Nachrichtenebene Konfiguration des SchlüsselverwaltungsserversKonfiguration des Schlüsselverwaltungsservers

Zertifizierungsstelle für Organisationen erforderlichZertifizierungsstelle für Organisationen erforderlich Zertifizierungsstelle für das Ausstellen zusätzlicher Zertifikate Zertifizierungsstelle für das Ausstellen zusätzlicher Zertifikate

konfigurierenkonfigurieren Einschreibungs-Agent (Computer)Einschreibungs-Agent (Computer) Nur Exchange-SignaturNur Exchange-Signatur Exchange-BenutzerExchange-Benutzer

Schlüsselverwaltungsserver nach der Installation Schlüsselverwaltungsserver nach der Installation Computerkonto-Verwaltungsrechte für Zertifizierungsstelle Computerkonto-Verwaltungsrechte für Zertifizierungsstelle erteilenerteilen

Weitere Verwaltungsgruppen für die Verwendung eines Weitere Verwaltungsgruppen für die Verwendung eines Schlüsselverwaltungsservers konfigurierenSchlüsselverwaltungsservers konfigurieren

Page 45: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Sichern der Nachrichtenübermittlung Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselungmithilfe von VerschlüsselungEinschreibung für erweiterte SicherheitEinschreibung für erweiterte Sicherheit

Schlüsselverwaltungsserver

Zertifizierungsstellefür Organisationen

Benutzer ist aktiviert

Client erhält Token

Zertifizierungsstellestellt Zertifikate aus 11

22

33

4455

Client fordert mithilfe des Tokenseine digitale ID an

Schlüsselverwaltungsserverfordert Zertifikate an

66 Schlüselverwal-tungsserver sendet verschlüs-selte Zertifikate

77 Client entschlüsselt Nachrichtund importiert Zertifikat

Page 46: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Sichern der Nachrichtenübermittlung Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselungmithilfe von VerschlüsselungKryptografie öffentlicher/ privater SchlüsselKryptografie öffentlicher/ privater Schlüssel Öffentliche und private SchlüsselÖffentliche und private Schlüssel

Mathematisch verwandte WerteMathematisch verwandte Werte Unidirektionale VerschlüsselungUnidirektionale Verschlüsselung Öffentliche Schlüssel werden in Zertifikaten gespeichertÖffentliche Schlüssel werden in Zertifikaten gespeichert Zertifikate werden von vertrauenswürdiger Stelle digital Zertifikate werden von vertrauenswürdiger Stelle digital

signiertsigniert Zertifikate können in Active Directory veröffentlicht werdenZertifikate können in Active Directory veröffentlicht werden Private Schlüssel werden sicher im Benutzerprofil Private Schlüssel werden sicher im Benutzerprofil

gespeichertgespeichert

Page 47: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Sichern der Nachrichtenübermittlung Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselungmithilfe von VerschlüsselungVerschlüsseln einer NachrichtVerschlüsseln einer Nachricht

Active Directory-Domänencontroller

22

33

44

55

Client 1Client 2

Virtueller SMTP-Server

1

Virtueller SMTP-Server

2

11 66

Neue Nachricht

Suchen des öffentlichen Schlüssels von Client 2

Mit öffentlichem Schlüssel verschlüsselte Nachricht

Mit S/MIME gesendete Nachricht

Verwenden des privaten Schlüssels von Client 2 zum Ent-schlüsseln der Nachricht

Nachricht wird verschlüsselt empfangen

Page 48: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Demo 5 Demo 5 (Teil 3)(Teil 3)

Sichern der Sichern der Nachrichtenübermittlung Nachrichtenübermittlung

mithilfe von mithilfe von VerschlüsselungVerschlüsselung

Erweiterte Sicherheit in Exchange Erweiterte Sicherheit in Exchange

zum Verschlüsseln von zum Verschlüsseln von NachrichtenNachrichten

Page 49: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

SitzungszusammenfassungSitzungszusammenfassung Exchange 2000-Sicherheit umfasstExchange 2000-Sicherheit umfasst

Sicherheit der VerwaltungSicherheit der Verwaltung Outlook Web Access-SicherheitOutlook Web Access-Sicherheit Sicherheit von DienstenSicherheit von Diensten RelaysicherheitRelaysicherheit Schutz vor Denial-of-Service-AngriffenSchutz vor Denial-of-Service-Angriffen Server- und Client-AntivirensoftwareServer- und Client-Antivirensoftware Verschlüsselung zum Schutz von DatenVerschlüsselung zum Schutz von Daten

Page 50: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Weitere InformationenWeitere Informationen TechNet-Website TechNet-Website

www.microsoft.com/germany/technetwww.microsoft.com/germany/technet Exchange-Website Exchange-Website

www.microsoft.com/germany/exchangewww.microsoft.com/germany/exchange

Page 51: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Infos über TechNetInfos über TechNet TechNet OnlineTechNet Online

www.microsoft.com/germany/technetwww.microsoft.com/germany/technet TechNet NewsFlash abonnieren TechNet NewsFlash abonnieren

www.microsoft.com/germany/ms/technetnewsflashwww.microsoft.com/germany/ms/technetnewsflash TechNet IT Community TechNet IT Community

www.microsoft.com/technet/itcommunitywww.microsoft.com/technet/itcommunity TechNet Abonnement TechNet Abonnement

www.microsoft.com/germany/ms/technetabowww.microsoft.com/germany/ms/technetabo Achten Sie auf weitere TechNet VeranstaltungenAchten Sie auf weitere TechNet Veranstaltungen

www.microsoft.com/germany/ms/techneteventswww.microsoft.com/germany/ms/technetevents

Page 52: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Exchange 2000 ServerExchange 2000 Server Exchange 2000 ServerExchange 2000 Server

verbindet Mitarbeiter und Wissenverbindet Mitarbeiter und Wissen

Exchange 2000 Enterprise ServerExchange 2000 Enterprise Server unlimitierter Datenspeicher, Clusteringunlimitierter Datenspeicher, Clustering

Exchange 2000 Conferencing ServerExchange 2000 Conferencing Server Data Conferencing, Audio/Video-KonferenzenData Conferencing, Audio/Video-Konferenzen

Die Exchange 2000 CAL berechtigt zum Zugriff auf Die Exchange 2000 CAL berechtigt zum Zugriff auf alle Ausgaben vonExchange 2000 Server.alle Ausgaben vonExchange 2000 Server.

Ser v

er +

CA

L sSe

r ver

+ C

AL s

Page 53: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Zugriff auf Exchange 2000 ServerSe

r ver

+ C

AL s

Ser v

er +

CA

L s

Exchange 2000 Server ist vollständig in das Active Exchange 2000 Server ist vollständig in das Active Directory von Windows 2000 Server integriert.Directory von Windows 2000 Server integriert.

Jeder authentifizierte Zugriff auf Exchange 2000 Server Jeder authentifizierte Zugriff auf Exchange 2000 Server erforderterfordert eine Windows 2000 CAL und zusätzlicheine Windows 2000 CAL und zusätzlich eine Exchange 2000 CALeine Exchange 2000 CAL

Authentifiziert = jedes Gerät, dasAuthentifiziert = jedes Gerät, das den Anmeldedienst von Win 2000 Server verwendet den Anmeldedienst von Win 2000 Server verwendet

oderoder eine Authenifizierung vom Active Directory erhält.eine Authenifizierung vom Active Directory erhält.

Anonymer Zugriff auf Exchange 2000 Server erfordert Anonymer Zugriff auf Exchange 2000 Server erfordert keine CAL.keine CAL.

Page 54: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.

Exchange 2000 CALExchange 2000 CAL Exchange 2000 CALs werden ausschließlich pro Exchange 2000 CALs werden ausschließlich pro

Arbeitsplatz = pro Gerät lizenziert.Arbeitsplatz = pro Gerät lizenziert.

Beschränkter Zugriff von anderen Geräten ist möglich.Beschränkter Zugriff von anderen Geräten ist möglich.

Die Exchange CAL ist erforderlich unabhängig von der Die Exchange CAL ist erforderlich unabhängig von der verwendeten Client-Software (Outlook, Web-Browser, verwendeten Client-Software (Outlook, Web-Browser, POP3-Client, IMAP4...).POP3-Client, IMAP4...).

Microsoft Outlook ist als Microsoft Outlook ist als Client-SoftwareClient-Software im Exchange im Exchange Server enthalten.Server enthalten.

Die Client-Software darf auf jedem Gerät installiert Die Client-Software darf auf jedem Gerät installiert werden, für das der Lizenznehmer eine Exchange CAL werden, für das der Lizenznehmer eine Exchange CAL erworben hat.erworben hat.

Ser v

er +

CA

L sSe

r ver

+ C

AL s

Page 55: Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging gernotk@microsoft.com.