M 4.163 Zugriffsrechte auf Exchange 2000 Objekte
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die Sicherheit von Exchange 2000 wird unter anderem von der Sicherheit des Active Directory von Windows 2000 bestimmt. Ein wesentlicher Bestandteil der Installation von Exchange 2000 ist die Schema-Erweiterung des Active Directory, bei der Exchange-spezifische Objekte und zusätzliche Attribute zu bereits bestehenden Objekten dem Verzeichnisdienst hinzugefügt werden. Die wichtigsten Objekte sind: Mailbox, Custom Recipient, Distribution List, Connectors, Public Folder sowie Server.
Diese Objekte speichern zum großen Teil personen- und organisationsbezogene Daten, steuern die Verteilung von E-Mails und müssen daher vor unberechtigten Zugriffen geschützt werden. Die Vergabe der Zugriffsrechte auf die Exchange-Objekte ist von zentraler Bedeutung für die Sicherheit einer Exchange-Installation. Die Zugriffssteuerung erfolgt über Access Control Lists (ACLs). Die Vergabe der Zugriffsberechtigungen auf die Exchange-Objekte geschieht wie im Active Directory üblich. Deshalb sei in diesem Zusammenhang auf folgende Maßnahmen der Bausteine Windows 2000 Server und Active Directory verwiesen:
- M 2.229 Planung des Active Directory
- M 2.230 Planung der Active Directory-Administration
- M 2.231 Planung der Gruppenrichtlinien unter Windows
- M 4.137 Sichere Konfiguration von Windows 2000
Konfigurationswerkzeuge
Die Administration der Exchange 2000 Objekte erfolgt - wie bei Windows 2000 üblich - über die sogenannte Microsoft Management Console (MMC) und zugehörige Snap-Ins: Exchange System, Exchange Message Tracking System und Exchange Advanced Security.
Das Dienstprogramm ADSI Edit kann zur Anzeige der Informationen im Active Directory verwendet werden.
Administration der Zugriffsrechte
Nach der Standardinstallation von Exchange 2000 unter dem Administratorkonto besitzen Domänen- und Enterprise-Administratoren volle Administrationsrechte über die Exchange-Organisation. Dies ist jedoch unerwünscht, da so keine klare Trennung der Administrationsaufgaben möglich ist. Daher wird empfohlen, die Installation unter einem gesonderten Benutzerkonto durchzuführen, wie es in der Maßnahme M 4.161 Sichere Installation von Exchange/Outlook 2000 beschrieben wird.
Auf der Ebene der Organisation oder der administrativen Gruppen sollte für die Zuweisung von Berechtigungen stets der Assistent für die Zuweisung von Verwaltungsberechtigungen auf Exchange-Objekte im Exchange System Manager verwendet werden.
Konfiguration von Exchange 2000 spezifischen Benutzerberechtigungen
Die Exchange 2000 spezifischen Berechtigungen können individuellen Benutzer- und Gruppenkonten zugewiesen werden (über die Registerkarte Security in den jeweiligen Benutzer-Objekteinstellungen). Eine gruppenorientierte Berechtigungsvergabe ist dabei grundsätzlich vorzuziehen.
Die folgenden Berechtigungen sollten grundsätzlich nur die Exchange-Administratoren besitzen:
- Add PF to Admin Group gibt an, ob das Benutzerkonto über die Berechtigung verfügt, den öffentlichen Ordner zu einer administrativen Gruppe hinzuzufügen.
- Administer Information Store gibt an, ob das Benutzerkonto über die Berechtigung verfügt, den Informationsspeicher zu verwalten.
- Create named Properties in the Information Store gibt an, ob das Benutzerkonto über die Berechtigung verfügt, Eigenschaften mit eigenen Bezeichnungen anzulegen (wie Anzeigename, Vorname, Nachname, Markierungen für gelöschte Einträge, usw.).
- Create Public Folder gibt an, ob das Benutzerkonto über die Berechtigung verfügt, öffentliche Ordner unterhalb des momentan ausgewählten Ordners anzulegen.
- Create Top-Level Public Folder gibt an, ob das Benutzerkonto über die Berechtigung verfügt, öffentliche Ordner auf der obersten Ebene in der Ordnerhierarchie anzulegen.
- Full Store Access gibt an, ob das Benutzerkonto über die Berechtigung verfügt, in vollem Umfang auf die Datenbanken des Informationsspeichers zuzugreifen.
- Mail-Enable Public Folder gibt an, ob das Benutzerkonto über die Berechtigung verfügt, einem öffentlichen Ordner E-Mail-Adressen zuzuweisen.
- Modify Public Folder ACL gibt an, ob das Benutzerkonto über die Berechtigung verfügt, die ACLs eines öffentlichen Ordners zu modifizieren.
- Modify Public Folder Admin ACL gibt an, ob das Benutzerkonto über die Berechtigung verfügt, die ACLs eines öffentlichen Ordners für Administratoren zu verändern.
- Modify Public Folder Deleted Item Retention gibt an, ob das Benutzerkonto über die Berechtigung verfügt, die Zeitspanne in Tagen festzulegen, die gelöschte Objekte im öffentlichen Ordner erhalten bleiben sollen.
- Modify Public Folder Expiry gibt an, ob das Benutzerkonto über die Berechtigung verfügt, eine Altersgrenze für die Objekte im öffentlichen Ordner festzulegen.
- Modify Public Folder Quotas gibt an, ob das Benutzerkonto über die Berechtigung verfügt, eine Größenbeschränkung für den öffentlichen Ordner festzulegen.
- Modify Public Folder Replica List gibt an, ob das Benutzerkonto über die Berechtigung verfügt, die Liste der Replikate des Ordners zu modifizieren. Der Administrator muss diese Berechtigung sowohl
- auf der administrativen Gruppe als auch auf der öffentlichen Ordnerdatenbank besitzen, um ein Replikat erfolgreich anlegen und die Replikation von öffentlichen Ordnern verwalten zu können.
- Open Mail Send Queue gibt an, ob das Benutzerkonto über die Berechtigung verfügt, die ein- und ausgehenden Nachrichtenwarteschlangen des Informationsspeichers anzeigen zu können.
- Read All Metabase Properties gibt an, ob das Benutzerkonto über die Berechtigung verfügt, die Metabase der Internet Information Services zu lesen.
- Remove PF from Admin Group gibt an, ob das Benutzerkonto über die Berechtigung verfügt, einen öffentlichen Ordner aus der administrativen Gruppe zu entfernen.
- View Information Store Status gibt an, ob das Benutzerkonto über die Berechtigung verfügt, die Statusinformationen des Informationsspeichers anzuzeigen. Beispiele solcher Statusinformationen sind Informationen zu den momentan angemeldeten Benutzern und den ihnen zugeordneten Ressourcen.
Mailbox-Speicher
Es wird empfohlen, das "lockdown"-Skript (edslock.vbs) auf allen Exchange 2000 Servern auszuführen. Dadurch werden Implementierungsfehler behoben und Zugriffsmöglichkeiten auf die Mailbox-Stores des lokalen Servers eingeschränkt.
Zugriffsrechte auf die privaten Postfächer (Mailbox)
Die standardmäßig vergebenen Zugriffsrechte auf ein privates Postfach eines Benutzers brauchen im Allgemeinen nicht angepasst werden, da nur dem Postfach-Besitzer Leseberechtigungen und voller Zugriff auf das Postfach eingeräumt werden. Es ist zu beachten, dass diese Berechtigungen nicht über den Exchange System-Manager sondern mit Hilfe des MMC-Snap-Ins Active Directory Users and Computers in den Eigenschaften des jeweiligen Benutzerkontos vergeben werden (Registerkarte Exchange Advanced).
Einschränkung der Zugriffsrechte auf öffentliche Ordner
Die standardmäßig nach der Installation von Exchange 2000 vergebenen Zugriffsrechte erlauben den Mitgliedern der Gruppe Jeder (Everyone) das Erstellen von neuen öffentlichen Ordnern aus Outlook heraus. Dieses Recht sollte jedoch soweit wie möglich eingeschränkt werden, da der Besitzer eines öffentlichen Ordners dort auch Formulare veröffentlichen kann, die aktive Inhalte enthalten können. Da dies u. U. ein Sicherheitsrisiko darstellt, sollten nur wenige Personen das Recht besitzen, neue öffentliche Ordner anzulegen.
Es wird daher empfohlen, folgende Rechte nur vertrauenswürdigen Personen zu gewähren:
- Create Top-Level Public Folders
- Create Public Folders
- Create Named Properties
Der Gruppe Jeder sollten außerdem auch die administrativen Berechtigungen (z. B. das Recht, ACLs oder andere Eigenschaften eines Ordners zu ändern) explizit verwehrt werden.
Abbildung: Berechtigungen
Die Vergabe der Berechtigungen Create Public Folder, Create Top Level Public Folder, Modify Public Folder ACL, Modify Public Folder Admin ACL geschieht im Exchange System-Manager in den Eigenschaften des jeweiligen öffentlichen Ordners (Registerkarte Security). Weitere Zugriffsberechtigungen auf öffentliche Ordner werden in der Registerkarte Permissions vergeben. Dort befinden sich die drei Schaltflächen Client permissions, Directory rights und Administrative rights.
Sicherheitseinstellungen für Organisationsformularbibliotheken (OFL)
Ordnerformularbibliotheken werden bei der Erstellung eines Nachrichtenordners implizit angelegt. Diese erben die Einstellungen der Ordnerkonfiguration und die Benutzerberechtigungen. Auf der Ebene des Systemordners (der verborgen ist) liegt die Organisationsformularbibliothek. Standardmäßig kann nur der Administrator, der die Organisationsformularbibliothek erstellt hat, Outlook-Formulare dort registrieren.
Es wird empfohlen, die Berechtigungen für die Registrierung der Outlook-Formulare sehr restriktiv zu vergeben, da die Formulare auch mit aktiven Inhalten ausgestattet werden können. Sollen weitere Benutzer diese Berechtigungen besitzen, so kann dies mit Hilfe des Exchange System-Managers festgelegt werden: mit der rechten Maustaste unter EFORMS REGISTRY auf den Ordner der Organisationsformularbibliothek klicken, Properties wählen, zur Registerkarte Permissions wechseln und auf die Schaltfläche Client Permissions klicken, um weitere Benutzer anzugeben.
Vergabe der Berechtigung send on behalf und ähnlicher Berechtigungen
Folgende Exchange 2000 spezifische Berechtigungen sind bei der Festlegung von Stellvertretern für Benutzer von Bedeutung: Senden als (send as), Senden im Auftrag (send on behalf) und Empfangen als (receive as). Diese Berechtigungen werden mit dem MMC-Snap-In Active Directory Users and Computers in den Eigenschaften des jeweiligen Benutzers vergeben (send as und receive as auf der Registerkarte Security, send on behalf auf der Registerkarte Exchange General).
Von der Vergabe der Berechtigung send as an Benutzer wird grundsätzlich abgeraten. Falls notwendig, sollte stattdessen die Berechtigung send on behalf vergeben werden, die auch dann gesetzt wird, wenn ein Benutzer auf der Registerkarte Delegation in den Outlook-Einstellungen einen Benutzer als seinen Stellvertreter angibt.

Abbildung: Vergabe der Berechtigung sennd on behalf
Diese Berechtigungen sind in hohem Maße sicherheitsrelevant. Die Berechtigungen send on behalf und receive as sollten nur sehr restriktiv und die Berechtigung send as sollte gar nicht vergeben werden.
Ergänzende Kontrollfragen:
- Wurde die Rolle eines Exchange-Administrators definiert und eine entsprechende Benutzergruppe eingerichtet?
- Wurden die Zugriffsberechtigungen auf Exchange-Objekte auf der Grundlage der Sicherheitsrichtlinie festgelegt?
- Werden die Exchange-Objekte im Rahmen der Replikation des Active Directory geeignet verteilt?