Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging [email protected].
-
Upload
pamela-arnold -
Category
Documents
-
view
222 -
download
0
Transcript of Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging [email protected].
Sicheres Messaging mit Sicheres Messaging mit ExchangeExchange
Gernot KühnGernot KühnSystems Engineer MessagingSystems Engineer [email protected]@microsoft.com
Themen dieser SitzungThemen dieser Sitzung Windows-Sicherheit zum Zuweisen der Windows-Sicherheit zum Zuweisen der
ObjektverwaltungObjektverwaltung Konfigurationen für dezentralen Outlook Web Konfigurationen für dezentralen Outlook Web
AccessAccess Sichern und Konfigurieren dezentraler Sichern und Konfigurieren dezentraler
Exchange-Dienste Exchange-Dienste Schutz vor Denial of Service- und Schutz vor Denial of Service- und
Virenangriffen Virenangriffen Sichern der Nachrichtenübermittlung mithilfe Sichern der Nachrichtenübermittlung mithilfe
von Verschlüsselungvon Verschlüsselung
AgendaAgenda Windows-Sicherheit zum Zuweisen der Windows-Sicherheit zum Zuweisen der
ObjektverwaltungObjektverwaltung Konfigurationen für dezentralen Outlook Web Konfigurationen für dezentralen Outlook Web
AccessAccess Sichern und Konfigurieren von dezentralen Sichern und Konfigurieren von dezentralen
Exchange-DienstenExchange-Diensten Schutz vor Denial of Service- und VirenangriffenSchutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe Sichern der Nachrichtenübermittlung mithilfe
von Verschlüsselungvon Verschlüsselung
Windows-Sicherheit zum Zuweisen Windows-Sicherheit zum Zuweisen der Objektverwaltungder ObjektverwaltungDefinieren des Windows-SicherheitsmodellsDefinieren des Windows-Sicherheitsmodells SicherheitsprincipalsSicherheitsprincipals
Benutzer, Gruppen und ComputerBenutzer, Gruppen und Computer Eindeutige Sicherheits-ID (SID)Eindeutige Sicherheits-ID (SID) Berechtigungen für andere Objekte zulassen oder Berechtigungen für andere Objekte zulassen oder
verweigernverweigern
S-1-5-21-1993962763-492894223-1060284298-1115S-1-5-21-1993962763-492894223-1060284298-1115
Users ComputersGroupsBenutzer ComputerGruppen
Windows-Sicherheit zum Zuweisen Windows-Sicherheit zum Zuweisen der Objektverwaltungder ObjektverwaltungDefinieren des Windows-SicherheitsmodellsDefinieren des Windows-Sicherheitsmodells Sicherheits-Sicherheits-
beschreibungbeschreibung Enthält eine Enthält eine
freigegebene freigegebene Zugriffssteuerungsliste Zugriffssteuerungsliste (DACL) und eine (DACL) und eine Sicherheits-Zugriffs-Sicherheits-Zugriffs-steuerungsliste (SACL)steuerungsliste (SACL) DACL für DACL für
BerechtigungenBerechtigungen SACL für SACL für
ÜberprüfungenÜberprüfungen
Security Descriptor
HeaderHeader
Owner SIDOwner SID
Group SIDGroup SID
DACLDACL
SACLSACL
ACEsACEs
ACEsACEs
Sicherheitsbeschreibung
HeaderHeader
Owner SIDBesitzer-SID
Group SIDGruppen-SID
DACLDACL
SACLSACL
ACEsACEs
ACEsACEs
Windows-Sicherheit zum Zuweisen Windows-Sicherheit zum Zuweisen der Objektverwaltungder ObjektverwaltungDefinieren des Windows-SicherheitsmodellsDefinieren des Windows-Sicherheitsmodells Freigegebene ZugriffssteuerungslisteFreigegebene Zugriffssteuerungsliste
Liste der zugelassenen und verweigerten BerechtigungenListe der zugelassenen und verweigerten Berechtigungen Jede Berechtigung ist ein ACE (Access Control Entry)Jede Berechtigung ist ein ACE (Access Control Entry) ACEs bestehen aus einer SID, Berechtigung, Statusangabe ACEs bestehen aus einer SID, Berechtigung, Statusangabe
zugelassen/verweigert und Vererbungsflagzugelassen/verweigert und Vererbungsflag
Sample DACL Data StructureSample DACL Data Structure
SIDSID PermissionPermission Allow/DenyAllow/Deny InheritanceInheritance
User1 SIDUser1 SID ReadRead DenyDeny This object and all childrenThis object and all children
User2 SIDUser2 SID Full ControlFull Control AllowAllow This object and all childrenThis object and all children
Admin SIDAdmin SID Full ControlFull Control AllowAllow This object and contactsThis object and contacts
Sample DACL Data StructureSample DACL Data Structure
SIDSID PermissionPermission Allow/DenyAllow/Deny InheritanceInheritanceSIDSID PermissionPermission Allow/DenyAllow/Deny InheritanceInheritance
User1 SIDUser1 SID ReadRead DenyDeny This object and all childrenThis object and all childrenUser1 SIDUser1 SID ReadRead DenyDeny This object and all childrenThis object and all children
User2 SIDUser2 SID Full ControlFull Control AllowAllow This object and all childrenThis object and all childrenUser2 SIDUser2 SID Full ControlFull Control AllowAllow This object and all childrenThis object and all children
Admin SIDAdmin SID Full ControlFull Control AllowAllow This object and contactsThis object and contactsAdmin SIDAdmin SID Full ControlFull Control AllowAllow This object and contactsThis object and contacts
Windows-Sicherheit zum Zuweisen Windows-Sicherheit zum Zuweisen der Objektverwaltungder ObjektverwaltungWas bedeutet Zuweisen der Objektverwaltung?Was bedeutet Zuweisen der Objektverwaltung?
Das Zuweisen der Objektverwaltung bedeutet den Erhalt von Das Zuweisen der Objektverwaltung bedeutet den Erhalt von Berechtigungen, so dass unterschiedliche Administratorgruppen Berechtigungen, so dass unterschiedliche Administratorgruppen unterschiedliche Objektgruppen steuern.unterschiedliche Objektgruppen steuern.
First Admins – Auto View OnlySecurity GroupSecond Admins – Auto View OnlySecurity Group
Exchange Organization Object
Administrative Groups
Second Administrative Group
Enterprise Exchange – ExchangeAdmins Security Group Full Administrator
First Admins - ExchangeSecurity Group Administrator
Second Admins - ExchangeSecurity Group Administrator
First Administrative Group............
Erste Admin.- – Nur automatischeAnsichtSicherheitsgruppe
Zweite Admin.- – Nur automatische AnsichtSicherheitsgruppe
Objekt ‘Exchange-Unternehmen’
Verwaltungsgruppen
Zweite Verwaltungsgruppe
Unternehmens - Exchange-– Vollständiger Exchange-Admin.-Sicherheitsgruppe Administrator
Erste Admin.- - Exchange-Sicherheitsgruppe Administrator
Zweite Admin.- - Exchange-Sicherheitsgruppe Administrator
Erste Verwaltungsgruppe............
Windows-Sicherheit zum Windows-Sicherheit zum Zuweisen der ObjektverwaltungZuweisen der ObjektverwaltungZuweisen der ObjektverwaltungZuweisen der Objektverwaltung
VerwaltungsgruppenVerwaltungsgruppen Gruppen von Exchange 2000-KonfigurationsobjektenGruppen von Exchange 2000-Konfigurationsobjekten Server, Öffentliche Ordner, Routinggruppen usw.Server, Öffentliche Ordner, Routinggruppen usw.
Unternehmenseinheiten (OUs)Unternehmenseinheiten (OUs) Gruppen von Exchange 2000-EmpfängerobjektenGruppen von Exchange 2000-Empfängerobjekten Jedes Objekt mit E-Mail-Adresse ist EmpfängerJedes Objekt mit E-Mail-Adresse ist Empfänger Benutzer, Gruppen, Kontakte und Öffentliche OrdnerBenutzer, Gruppen, Kontakte und Öffentliche Ordner
Windows-Sicherheit zum Windows-Sicherheit zum Zuweisen der ObjektverwaltungZuweisen der ObjektverwaltungManuelle Berechtigungen oder Manuelle Berechtigungen oder Assistenten – Vor- und NachteileAssistenten – Vor- und Nachteile
Manuelle BerechtigungenManuelle Berechtigungen Vorteile – genau, flexibel, effizienterVorteile – genau, flexibel, effizienter Nachteile – komplex, riskant, nicht protokolliertNachteile – komplex, riskant, nicht protokolliert
Verwenden der Assistenten Verwenden der Assistenten (Exchange und AD)(Exchange und AD) Vorteile – einfach, vordefinierte Rollen/Aufgaben, Vorteile – einfach, vordefinierte Rollen/Aufgaben,
Nachverfolgen von Änderungen beim Entfernen Nachverfolgen von Änderungen beim Entfernen (nur Exchange), Risikominimierung (kein „Senden (nur Exchange), Risikominimierung (kein „Senden als“, „Empfangen als“)als“, „Empfangen als“)
Nachteile – unflexibel, möglicherweise ineffizient, Nachteile – unflexibel, möglicherweise ineffizient, nicht protokolliert (nur AD)nicht protokolliert (nur AD)
Demo 1Demo 1Windows-Sicherheit zum Windows-Sicherheit zum
Zuweisen der Zuweisen der ObjektverwaltungObjektverwaltung
Verwenden des Exchange 2000-Verwenden des Exchange 2000-Assistenten zum Zuweisen der Assistenten zum Zuweisen der
ObjektverwaltungObjektverwaltungVerwenden des Active Directory-Verwenden des Active Directory-Assistenten zum Zuweisen der Assistenten zum Zuweisen der
ObjektverwaltungObjektverwaltung
AgendaAgenda Windows-Sicherheit zum Zuweisen der Windows-Sicherheit zum Zuweisen der
ObjektverwaltungObjektverwaltung Konfigurationen für dezentralen Outlook Web Konfigurationen für dezentralen Outlook Web
AccessAccess Sichern und Konfigurieren von dezentralen Sichern und Konfigurieren von dezentralen
Exchange-DienstenExchange-Diensten Schutz vor Denial of Service- und VirenangriffenSchutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe von Sichern der Nachrichtenübermittlung mithilfe von
VerschlüsselungVerschlüsselung
Konfigurationen für dezentralen Konfigurationen für dezentralen Outlook Web AccessOutlook Web AccessFront-End- und Back-End-ServerFront-End- und Back-End-Server
Front-End-/ Back-End-ServerFront-End-/ Back-End-Server Front-End – stellt Clients Front-End – stellt Clients
Protokollzugriff zur Protokollzugriff zur VerfügungVerfügung
Back-End – stellt Clients Back-End – stellt Clients Datenzugriff zur VerfügungDatenzugriff zur Verfügung
Back-End-
Server
Front-End-
Server
Client
Konfigurationen für dezentralen Konfigurationen für dezentralen Outlook Web AccessOutlook Web AccessFront-End- und Back-End-ServerFront-End- und Back-End-Server
Vorteile von FE/BE-ServernVorteile von FE/BE-Servern Skalierbarkeit – NLB oder DNS-Round Skalierbarkeit – NLB oder DNS-Round
RobinRobin Verfügbarkeit – ClusterVerfügbarkeit – Cluster Einheitlicher Namespace – DNSEinheitlicher Namespace – DNS Leistung – SSL-VerschlüsselungLeistung – SSL-Verschlüsselung Sicherheit – isoliertes Back-EndSicherheit – isoliertes Back-End
Konfigurationen für dezentralen Konfigurationen für dezentralen Outlook Web AccessOutlook Web AccessFront-End- und Back-End-ServerFront-End- und Back-End-ServerFE/BE-ServerimplementierungFE/BE-Serverimplementierung
Virtuelle IIS-Server stellen Clients Protokollschnittstelle Virtuelle IIS-Server stellen Clients Protokollschnittstelle zur Verfügungzur Verfügung
Informationsspeicher wird auf Front-End-Server nicht Informationsspeicher wird auf Front-End-Server nicht verwendetverwendet
Virtueller Front-End-Server kommuniziert mit virtuellem Virtueller Front-End-Server kommuniziert mit virtuellem Back-End-ServerBack-End-Server
Back-End- ServerOutlook Web
Access-Client
HTTPS:// HTTP://
HTTPVirtuellerServer 1
HTTPVirtuellerServer 2
Informations-speicher 1
Informations-speicher 2
Front-End- Server
Demo 2 Demo 2 (Teil 1)(Teil 1)
Konfigurationen für Konfigurationen für dezentralen Outlook Web dezentralen Outlook Web
AccessAccess
Konfigurieren eines Front-End-ServersKonfigurieren eines Front-End-Servers
Konfigurationen für dezentralen Konfigurationen für dezentralen Outlook Web AccessOutlook Web AccessSSL für Outlook Web AccessSSL für Outlook Web Access
Secure Sockets Layer (SSL)Secure Sockets Layer (SSL) Verschlüsselt HTTP-DatenverkehrVerschlüsselt HTTP-Datenverkehr Zertifikat erforderlichZertifikat erforderlich Internetdienste-Manager zum Internetdienste-Manager zum
Konfigurieren von SSL erforderlichKonfigurieren von SSL erforderlich Verwendung für FE-BE-Kommunikation Verwendung für FE-BE-Kommunikation
nicht möglichnicht möglich Bei Bedarf IPSec verwendenBei Bedarf IPSec verwenden
Demo 2 Demo 2 (Teil 2)(Teil 2)
Konfigurationen für Konfigurationen für dezentralen Outlook Web dezentralen Outlook Web
AccessAccess
Konfigurieren eines Front-End-Servers Konfigurieren eines Front-End-Servers zur Verwendung von SSLzur Verwendung von SSL
Konfigurationen für dezentralen Konfigurationen für dezentralen Outlook Web AccessOutlook Web AccessSichern von FE-/BE-Server-NetzwerkenSichern von FE-/BE-Server-Netzwerken
Back-End- Exchange-Server
Front-End- Exchange-ServerOutlook Web
Access-Client
globaler Katalog-server
Firewall 1 Firewall 2
DMZ
HTTPS zulassen
HTTP, DNS, Netlogon, RPC, Kerberos und LDAP zulassen
Konfigurationen für dezentralen Konfigurationen für dezentralen Outlook Web AccessOutlook Web AccessFE/BE-IntranetportsFE/BE-Intranetports
MailprotokollePortnummer/Übertragung Protokoll
80/TCP HTTP143/TCP IMAP110/TCP POP25/TCP SMTP
Active Directory-KommunikationPortnummer/Übertragung Protokoll
389/TCPLDAP zu AD
389/UDP3268/TCP LDAP zum globalen
Katalog88/TCP Kerberos-Authentifi-
zierung88/UDPDNS
Portnummer/Übertragung Protokoll
53/TCPDNS-Suche
53/UDP
RPCs: Diensterkennung und AuthentifizierungPortnummer/Übertragung Protokoll
135/TCP RPC-Endportzuordnung1024+/TCP RPC-Dienstports445/TCP Netlogon
IPSecPortnummer/Übertragung Protokoll
IP-Protokoll 51 Authentication Header (AH)IP-Protokoll 50 Encap. Security Payload (ESP)500/UDP Internet Key Exchange (IKE)88/TCP
Kerberos88/UDP
Mit SP2 keine RPCs mehr Mit SP2 keine RPCs mehr in DSAccessin DSAccess
AgendaAgenda Windows-Sicherheit zum Zuweisen der Windows-Sicherheit zum Zuweisen der
ObjektverwaltungObjektverwaltung Konfigurationen für dezentralen Outlook Web AccessKonfigurationen für dezentralen Outlook Web Access Sichern und Konfigurieren von dezentralen Exchange-Sichern und Konfigurieren von dezentralen Exchange-
DienstenDiensten Schutz vor Denial of Service- und VirenangriffenSchutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe von Sichern der Nachrichtenübermittlung mithilfe von
VerschlüsselungVerschlüsselung
Sichern und Konfigurieren von Sichern und Konfigurieren von dezentralen Exchange-Dienstendezentralen Exchange-DienstenDeaktivieren nicht benötigter DiensteDeaktivieren nicht benötigter Dienste Deaktivieren aller nicht benötigten Exchange-DiensteDeaktivieren aller nicht benötigten Exchange-Dienste
Je nach Funktion des Servers können zahlreiche Dienste Je nach Funktion des Servers können zahlreiche Dienste deaktiviert werdendeaktiviert werden
POP3, IMAP4, Informationsspeicher usw.POP3, IMAP4, Informationsspeicher usw. Erhöhen der Gesamtsicherheit durch Einschränken der Erhöhen der Gesamtsicherheit durch Einschränken der
NetzwerkinteraktionNetzwerkinteraktion Routingdienst nicht deaktivierenRoutingdienst nicht deaktivieren
SASA MTAMTA ISIS SMTPSMTP IMAP4IMAP4 POP3POP3SASASASA MTAMTAMTAMTA ISISISIS SMTPSMTPSMTPSMTP IMAP4IMAP4IMAP4IMAP4IMAP4IMAP4 POP3POP3POP3POP3POP3POP3
Demo 3 Demo 3 (Teil 1)(Teil 1)
Sichern und Konfigurieren Sichern und Konfigurieren von dezentralen Exchange-von dezentralen Exchange-
DienstenDiensten
Deaktivieren nicht benötigter Deaktivieren nicht benötigter Exchange 2000-DiensteExchange 2000-Dienste
Sichern und Konfigurieren von Sichern und Konfigurieren von dezentralen Exchange-Dienstendezentralen Exchange-DienstenIIS LockdowntoolIIS Lockdowntool IIS LockdowntoolIIS Lockdowntool
Wird für die IIS-Sicherheit verwendet, kann jedoch Exchange-Wird für die IIS-Sicherheit verwendet, kann jedoch Exchange-Dienste unterbrechenDienste unterbrechen
http://www.microsoft.com/downloads/search.asp?http://www.microsoft.com/downloads/search.asp?LangID=10&LangDIR=DELangID=10&LangDIR=DE
Version 2.1 stellt Vorlagen für Exchange-Server zur VerfügungVersion 2.1 stellt Vorlagen für Exchange-Server zur Verfügung Q309508 und Q309677 enthalten weitere Überlegungen Q309508 und Q309677 enthalten weitere Überlegungen
bezüglich Exchangebezüglich Exchange
Demo 3 Demo 3 (Teil 2)(Teil 2)
Sichern und Sichern und Konfigurieren von Konfigurieren von
dezentralen Exchange-dezentralen Exchange-DienstenDiensten
Verwenden des IIS Lockdowntools Verwenden des IIS Lockdowntools
mit Exchange 2000mit Exchange 2000
Sichern und Konfigurieren von Sichern und Konfigurieren von dezentralen Exchange-Dienstendezentralen Exchange-DienstenUmgang mit SpamUmgang mit Spam FilternFiltern
Geben Sie eine Domäne an, deren Nachrichten gefiltert werden Geben Sie eine Domäne an, deren Nachrichten gefiltert werden sollensollen *@spam.com*@spam.com
Optionales Archivieren gefilterter Nachrichten Optionales Archivieren gefilterter Nachrichten Speicherung in Exchsrvr\mailroot\vs 1\filterSpeicherung in Exchsrvr\mailroot\vs 1\filter
Filter auf virtuelle Server anwendenFilter auf virtuelle Server [email protected]
Filtern [email protected]
Exchange-Unternehmen
Sichern und Konfigurieren von Sichern und Konfigurieren von dezentralen Exchange-Dienstendezentralen Exchange-DienstenSichern des SMTP-RelaysSichern des SMTP-Relays SMTP-Relay – Anforderung an einen SMTP-SMTP-Relay – Anforderung an einen SMTP-
Server, eine Nachricht an Empfänger außerhalb Server, eine Nachricht an Empfänger außerhalb des Unternehmens zu sendendes Unternehmens zu senden Spammer verwenden diese Einstellung zum Verber-Spammer verwenden diese Einstellung zum Verber-
gen ihrer Ursprungsadresse und nutzen einen gen ihrer Ursprungsadresse und nutzen einen kostenlosen SMTP-Serverkostenlosen SMTP-Server
Standardmäßig für alle nicht authentifizierten Verbin-Standardmäßig für alle nicht authentifizierten Verbin-dungen deaktiviertdungen deaktiviert
Bei Bedarf Aktivierung für eine bestimmte Domäne Bei Bedarf Aktivierung für eine bestimmte Domäne durch Erstellen eines SMTP-Connectors durch Erstellen eines SMTP-Connectors (Fortsetzung)(Fortsetzung)
Sichern und Konfigurieren von Sichern und Konfigurieren von dezentralen Exchange-Dienstendezentralen Exchange-DienstenAktivieren des Relays für ausgehenden Aktivieren des Relays für ausgehenden SMTP-VerkehrSMTP-Verkehr
contoso.msft OrgNur ausgehend
an Internet
nwtraders.msft Org
An contoso.msftRelay zugelassen
Ein- und ausgehenderInternetverkehr
An nwtraders.msft
Demo 3 Demo 3 (Teil 3)(Teil 3)
Sichern und Sichern und Konfigurieren von Konfigurieren von
dezentralen Exchange-dezentralen Exchange-DienstenDiensten
Anwenden von Nachrichtenfiltern Anwenden von Nachrichtenfiltern
und Überprüfen der und Überprüfen der Standardeinstellungen des SMTP-Standardeinstellungen des SMTP-
RelaysRelays
Sichern und Konfigurieren von Sichern und Konfigurieren von dezentralen Exchange-Dienstendezentralen Exchange-DienstenÄndern des SMTP-StandardbannersÄndern des SMTP-Standardbanners
SMTP zeigt standardmäßig Versionsinformationen anSMTP zeigt standardmäßig Versionsinformationen an Mögliche SicherheitslückeMögliche Sicherheitslücke IIS-Konfigurationsinformationen sind in Metabasis gespeichertIIS-Konfigurationsinformationen sind in Metabasis gespeichert Ändern des SMTP-Standardbanners mithilfe von MetaEditÄndern des SMTP-Standardbanners mithilfe von MetaEdit
Weitere Informationen in Q281224Weitere Informationen in Q281224 Q303513 zu IMAP4 und POP3Q303513 zu IMAP4 und POP3
Demo 3 Demo 3 (Teil 4)(Teil 4)
Sichern und Sichern und Konfigurieren von Konfigurieren von
dezentralen Exchange-dezentralen Exchange-DienstenDiensten
Deaktivieren des Standardbanners Deaktivieren des Standardbanners
des virtuellen SMTP-Serversdes virtuellen SMTP-Servers
AgendaAgenda Windows-Sicherheit zum Zuweisen der Windows-Sicherheit zum Zuweisen der
ObjektverwaltungObjektverwaltung Konfigurationen für dezentralen Outlook Web AccessKonfigurationen für dezentralen Outlook Web Access Sichern und Konfigurieren von dezentralen Exchange-Sichern und Konfigurieren von dezentralen Exchange-
DienstenDiensten Schutz vor Denial of Service- und VirenangriffenSchutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe von Sichern der Nachrichtenübermittlung mithilfe von
VerschlüsselungVerschlüsselung
Schutz vor Denial of Service- Schutz vor Denial of Service- und Virenangriffenund VirenangriffenDenial of Service-Angriffe (DoS)Denial of Service-Angriffe (DoS) Denial of Service-AngriffeDenial of Service-Angriffe
Nachrichtenflut (Spam)Nachrichtenflut (Spam) Scriptviren, die sich an alle Einträge im Adressbuch Scriptviren, die sich an alle Einträge im Adressbuch
sendensenden Senden vieler, sehr langer AnlagenSenden vieler, sehr langer Anlagen Viele SMTP-SitzungenViele SMTP-Sitzungen
Schutz vor Denial of Service- Schutz vor Denial of Service- und Virenangriffenund VirenangriffenSchutz vor Denial-of-Service-AngriffenSchutz vor Denial-of-Service-Angriffen Globale Einstellungen – Standards für NachrichtenGlobale Einstellungen – Standards für Nachrichten
Größenbeschränkung für ein- und ausgehende NachrichtenGrößenbeschränkung für ein- und ausgehende Nachrichten Beschränken der EmpfängeranzahlBeschränken der Empfängeranzahl Diese Einstellungen setzen Beschränkungen für Postfächer Diese Einstellungen setzen Beschränkungen für Postfächer
außer Kraftaußer Kraft Einstellungen des virtuellen SMTP-ServersEinstellungen des virtuellen SMTP-Servers
Angeben legitimer SMTP-Partner über die Register-karte Angeben legitimer SMTP-Partner über die Register-karte „Zugriff“„Zugriff“
Beschränken der Größe von Nachrichten und Sitzungen, Beschränken der Größe von Nachrichten und Sitzungen, der Anzahl von Empfängern und Verbindungen über die der Anzahl von Empfängern und Verbindungen über die Registerkarte „Nachricht“Registerkarte „Nachricht“
Demo 4Demo 4 (Teil 1)(Teil 1)
Schutz vor Denial of Schutz vor Denial of Service- und Service- und
VirenangriffenVirenangriffen
Globale Einstellungen zum Globale Einstellungen zum Verhindern von Verhindern von
NachrichtenflutenNachrichtenfluten
Schutz vor Denial of Service- Schutz vor Denial of Service- und Virenangriffenund VirenangriffenVirenschutzoptionenVirenschutzoptionen
ClientClient Outlook bietet dasBlockieren unsicherer Anlagen - Outlook bietet dasBlockieren unsicherer Anlagen -
siehe das Office XP Resource Kit für Einzelheiten zur siehe das Office XP Resource Kit für Einzelheiten zur AnpassungAnpassung
Verwenden Sie auf Clients immer ein Virenschutz-Verwenden Sie auf Clients immer ein Virenschutz-programmprogramm
ServerServer E-Mail-Firewalls – SMTP-Server von Drittan-bietern, E-Mail-Firewalls – SMTP-Server von Drittan-bietern,
die nach Viren suchendie nach Viren suchen Exchange 2000 stellt eine Virenschutz-API für Exchange 2000 stellt eine Virenschutz-API für
Drittanbieter zur VerfügungDrittanbieter zur Verfügung
Demo 4 Demo 4 (Teil 2)(Teil 2)
Schutz vor Denial of Schutz vor Denial of Service- und Service- und
VirenangriffenVirenangriffen
Sicherheit für unsichere Anlagen Sicherheit für unsichere Anlagen in Outlook 2002in Outlook 2002
AgendaAgenda Windows-Sicherheit zum Zuweisen der Windows-Sicherheit zum Zuweisen der
ObjektverwaltungObjektverwaltung Konfigurationen für dezentralen Outlook Web AccessKonfigurationen für dezentralen Outlook Web Access Sichern und Konfigurieren von dezentralen Sichern und Konfigurieren von dezentralen
Exchange-DienstenExchange-Diensten Schutz vor Denial of Service- und VirenangriffenSchutz vor Denial of Service- und Virenangriffen Sichern der Nachrichtenübermittlung mithilfe von Sichern der Nachrichtenübermittlung mithilfe von
VerschlüsselungVerschlüsselung
Sichern der Nachrichtenübermittlung Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselungmithilfe von VerschlüsselungUnverschlüsselte NachrichtenübermittlungUnverschlüsselte Nachrichtenübermittlung Unverschlüsselte NachrichtenUnverschlüsselte Nachrichten
Outlook verschlüsselt Nachrichten jedoch als Outlook verschlüsselt Nachrichten jedoch als Winmail.datWinmail.dat
Winmail.dat-Verschlüsselung mithilfe von MIME Winmail.dat-Verschlüsselung mithilfe von MIME (Multipurpose Internet Mail Extensions)(Multipurpose Internet Mail Extensions)
Andere Clienttypen senden Nachrichten als Andere Clienttypen senden Nachrichten als unformatierten Textunformatierten Text
Sichern der Nachrichtenübermittlung Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselungmithilfe von VerschlüsselungVerschlüsselung auf NetzwerkebeneVerschlüsselung auf Netzwerkebene
IP-SicherheitIP-Sicherheit Integriertes Windows 2000-FeatureIntegriertes Windows 2000-Feature Verschlüsseln des gesamten Netzwerkverkehrs an Verschlüsseln des gesamten Netzwerkverkehrs an
ein bestimmtes Zielein bestimmtes Ziel Verwendet flexible Richtlinien zum Definieren des Verwendet flexible Richtlinien zum Definieren des
VerschlüsselungsverhaltensVerschlüsselungsverhaltens Gruppenrichtlinie zum Definieren von IPSec-Gruppenrichtlinie zum Definieren von IPSec-
Richtlinien für die DomäneRichtlinien für die Domäne
Demo 5 Demo 5 (Teil 1)(Teil 1)
Sichern der Sichern der Nachrichtenübermittlung Nachrichtenübermittlung
mithilfe von mithilfe von VerschlüsselungVerschlüsselung
IPSec für das Verschlüsseln von IPSec für das Verschlüsseln von
NetzwerkverkehrNetzwerkverkehr
Sichern der Nachrichtenübermittlung Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselungmithilfe von VerschlüsselungVerschlüsselung auf SitzungsebeneVerschlüsselung auf Sitzungsebene
TLS (Transport Layer Security)TLS (Transport Layer Security) IETF-StandardIETF-Standard Stellt verschlüsselten Kanal zwischen SMTP-Servern Stellt verschlüsselten Kanal zwischen SMTP-Servern
herher Verwendet ESMTP-Befehl StartTLSVerwendet ESMTP-Befehl StartTLS Zertifikatinstallation auf SMTP-Servern erforderlichZertifikatinstallation auf SMTP-Servern erforderlich Aktivieren von ein- und ausgehendem TLS auf allen Aktivieren von ein- und ausgehendem TLS auf allen
beteiligten Servernbeteiligten Servern
Demo 5 Demo 5 (Teil 2)(Teil 2)
Sichern der Sichern der Nachrichtenübermittlung Nachrichtenübermittlung
mithilfe von mithilfe von VerschlüsselungVerschlüsselung
Konfigurieren von TLS für SMTP-Konfigurieren von TLS für SMTP-
VerschlüsselungVerschlüsselung
Sichern der Nachrichtenübermittlung Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselungmithilfe von VerschlüsselungVerschlüsselung auf NachrichtenebeneVerschlüsselung auf Nachrichtenebene NachrichtenverschlüsselungNachrichtenverschlüsselung
Installation des Schlüsselverwaltungservers Installation des Schlüsselverwaltungservers erforderlicherforderlich
Outlook-Clients können Nachrichten verschlüsseln Outlook-Clients können Nachrichten verschlüsseln und digital signierenund digital signieren
Stellt End-to-End-Verschlüsselung bereitStellt End-to-End-Verschlüsselung bereit Lernkurve des ClientsLernkurve des Clients Zusätzliche ServerkonfigurationZusätzliche Serverkonfiguration
Sichern der Nachrichtenübermittlung Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselungmithilfe von VerschlüsselungVerschlüsselung auf NachrichtenebeneVerschlüsselung auf Nachrichtenebene Konfiguration des SchlüsselverwaltungsserversKonfiguration des Schlüsselverwaltungsservers
Zertifizierungsstelle für Organisationen erforderlichZertifizierungsstelle für Organisationen erforderlich Zertifizierungsstelle für das Ausstellen zusätzlicher Zertifikate Zertifizierungsstelle für das Ausstellen zusätzlicher Zertifikate
konfigurierenkonfigurieren Einschreibungs-Agent (Computer)Einschreibungs-Agent (Computer) Nur Exchange-SignaturNur Exchange-Signatur Exchange-BenutzerExchange-Benutzer
Schlüsselverwaltungsserver nach der Installation Schlüsselverwaltungsserver nach der Installation Computerkonto-Verwaltungsrechte für Zertifizierungsstelle Computerkonto-Verwaltungsrechte für Zertifizierungsstelle erteilenerteilen
Weitere Verwaltungsgruppen für die Verwendung eines Weitere Verwaltungsgruppen für die Verwendung eines Schlüsselverwaltungsservers konfigurierenSchlüsselverwaltungsservers konfigurieren
Sichern der Nachrichtenübermittlung Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselungmithilfe von VerschlüsselungEinschreibung für erweiterte SicherheitEinschreibung für erweiterte Sicherheit
Schlüsselverwaltungsserver
Zertifizierungsstellefür Organisationen
Benutzer ist aktiviert
Client erhält Token
Zertifizierungsstellestellt Zertifikate aus 11
22
33
4455
Client fordert mithilfe des Tokenseine digitale ID an
Schlüsselverwaltungsserverfordert Zertifikate an
66 Schlüselverwal-tungsserver sendet verschlüs-selte Zertifikate
77 Client entschlüsselt Nachrichtund importiert Zertifikat
Sichern der Nachrichtenübermittlung Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselungmithilfe von VerschlüsselungKryptografie öffentlicher/ privater SchlüsselKryptografie öffentlicher/ privater Schlüssel Öffentliche und private SchlüsselÖffentliche und private Schlüssel
Mathematisch verwandte WerteMathematisch verwandte Werte Unidirektionale VerschlüsselungUnidirektionale Verschlüsselung Öffentliche Schlüssel werden in Zertifikaten gespeichertÖffentliche Schlüssel werden in Zertifikaten gespeichert Zertifikate werden von vertrauenswürdiger Stelle digital Zertifikate werden von vertrauenswürdiger Stelle digital
signiertsigniert Zertifikate können in Active Directory veröffentlicht werdenZertifikate können in Active Directory veröffentlicht werden Private Schlüssel werden sicher im Benutzerprofil Private Schlüssel werden sicher im Benutzerprofil
gespeichertgespeichert
Sichern der Nachrichtenübermittlung Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselungmithilfe von VerschlüsselungVerschlüsseln einer NachrichtVerschlüsseln einer Nachricht
Active Directory-Domänencontroller
22
33
44
55
Client 1Client 2
Virtueller SMTP-Server
1
Virtueller SMTP-Server
2
11 66
Neue Nachricht
Suchen des öffentlichen Schlüssels von Client 2
Mit öffentlichem Schlüssel verschlüsselte Nachricht
Mit S/MIME gesendete Nachricht
Verwenden des privaten Schlüssels von Client 2 zum Ent-schlüsseln der Nachricht
Nachricht wird verschlüsselt empfangen
Demo 5 Demo 5 (Teil 3)(Teil 3)
Sichern der Sichern der Nachrichtenübermittlung Nachrichtenübermittlung
mithilfe von mithilfe von VerschlüsselungVerschlüsselung
Erweiterte Sicherheit in Exchange Erweiterte Sicherheit in Exchange
zum Verschlüsseln von zum Verschlüsseln von NachrichtenNachrichten
SitzungszusammenfassungSitzungszusammenfassung Exchange 2000-Sicherheit umfasstExchange 2000-Sicherheit umfasst
Sicherheit der VerwaltungSicherheit der Verwaltung Outlook Web Access-SicherheitOutlook Web Access-Sicherheit Sicherheit von DienstenSicherheit von Diensten RelaysicherheitRelaysicherheit Schutz vor Denial-of-Service-AngriffenSchutz vor Denial-of-Service-Angriffen Server- und Client-AntivirensoftwareServer- und Client-Antivirensoftware Verschlüsselung zum Schutz von DatenVerschlüsselung zum Schutz von Daten
Weitere InformationenWeitere Informationen TechNet-Website TechNet-Website
www.microsoft.com/germany/technetwww.microsoft.com/germany/technet Exchange-Website Exchange-Website
www.microsoft.com/germany/exchangewww.microsoft.com/germany/exchange
Infos über TechNetInfos über TechNet TechNet OnlineTechNet Online
www.microsoft.com/germany/technetwww.microsoft.com/germany/technet TechNet NewsFlash abonnieren TechNet NewsFlash abonnieren
www.microsoft.com/germany/ms/technetnewsflashwww.microsoft.com/germany/ms/technetnewsflash TechNet IT Community TechNet IT Community
www.microsoft.com/technet/itcommunitywww.microsoft.com/technet/itcommunity TechNet Abonnement TechNet Abonnement
www.microsoft.com/germany/ms/technetabowww.microsoft.com/germany/ms/technetabo Achten Sie auf weitere TechNet VeranstaltungenAchten Sie auf weitere TechNet Veranstaltungen
www.microsoft.com/germany/ms/techneteventswww.microsoft.com/germany/ms/technetevents
Exchange 2000 ServerExchange 2000 Server Exchange 2000 ServerExchange 2000 Server
verbindet Mitarbeiter und Wissenverbindet Mitarbeiter und Wissen
Exchange 2000 Enterprise ServerExchange 2000 Enterprise Server unlimitierter Datenspeicher, Clusteringunlimitierter Datenspeicher, Clustering
Exchange 2000 Conferencing ServerExchange 2000 Conferencing Server Data Conferencing, Audio/Video-KonferenzenData Conferencing, Audio/Video-Konferenzen
Die Exchange 2000 CAL berechtigt zum Zugriff auf Die Exchange 2000 CAL berechtigt zum Zugriff auf alle Ausgaben vonExchange 2000 Server.alle Ausgaben vonExchange 2000 Server.
Ser v
er +
CA
L sSe
r ver
+ C
AL s
Zugriff auf Exchange 2000 ServerSe
r ver
+ C
AL s
Ser v
er +
CA
L s
Exchange 2000 Server ist vollständig in das Active Exchange 2000 Server ist vollständig in das Active Directory von Windows 2000 Server integriert.Directory von Windows 2000 Server integriert.
Jeder authentifizierte Zugriff auf Exchange 2000 Server Jeder authentifizierte Zugriff auf Exchange 2000 Server erforderterfordert eine Windows 2000 CAL und zusätzlicheine Windows 2000 CAL und zusätzlich eine Exchange 2000 CALeine Exchange 2000 CAL
Authentifiziert = jedes Gerät, dasAuthentifiziert = jedes Gerät, das den Anmeldedienst von Win 2000 Server verwendet den Anmeldedienst von Win 2000 Server verwendet
oderoder eine Authenifizierung vom Active Directory erhält.eine Authenifizierung vom Active Directory erhält.
Anonymer Zugriff auf Exchange 2000 Server erfordert Anonymer Zugriff auf Exchange 2000 Server erfordert keine CAL.keine CAL.
Exchange 2000 CALExchange 2000 CAL Exchange 2000 CALs werden ausschließlich pro Exchange 2000 CALs werden ausschließlich pro
Arbeitsplatz = pro Gerät lizenziert.Arbeitsplatz = pro Gerät lizenziert.
Beschränkter Zugriff von anderen Geräten ist möglich.Beschränkter Zugriff von anderen Geräten ist möglich.
Die Exchange CAL ist erforderlich unabhängig von der Die Exchange CAL ist erforderlich unabhängig von der verwendeten Client-Software (Outlook, Web-Browser, verwendeten Client-Software (Outlook, Web-Browser, POP3-Client, IMAP4...).POP3-Client, IMAP4...).
Microsoft Outlook ist als Microsoft Outlook ist als Client-SoftwareClient-Software im Exchange im Exchange Server enthalten.Server enthalten.
Die Client-Software darf auf jedem Gerät installiert Die Client-Software darf auf jedem Gerät installiert werden, für das der Lizenznehmer eine Exchange CAL werden, für das der Lizenznehmer eine Exchange CAL erworben hat.erworben hat.
Ser v
er +
CA
L sSe
r ver
+ C
AL s