M 4.164 Browser-Zugriff auf Exchange 2000
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Exchange 2000 bietet die Möglichkeit, auf Exchange-Server über das HTTP-Protokoll zuzugreifen. Benutzer erhalten damit über einen Web-Browser eine Oberfläche, die der von Outlook 2000 entspricht. Diese Zugriffsmöglichkeit trägt in der Exchange-Terminologie den Namen Outlook Web Access (OWA).
Eine weitere Funktionalität von Exchange 2000 ist der so genannte Web Store (Installable File System - IFS), der den Benutzern ein Web-basiertes Dateisystem zur Verfügung stellt. Dieses (virtuelle) Dateisystem IFS ist auch über das "normale" Windows-Dateisystem erreichbar. Das Laufwerk M ist dabei standardmäßig dem Web Store zugewiesen.
In der Vergangenheit gab es unter Verwendung der OWA-Funktionalität einige erfolgreiche Angriffe auf Exchange. Bei diesen Angriffen konnten auch Daten des Global Catalog Servers kompromittiert werden. Daher muss bei der Planung des Exchange-Einsatzes entschieden werden, ob die OWA-Funktionalität prinzipiell genutzt werden soll. Da OWA standardmäßig nach der Installation von Exchange 2000 zur Verfügung steht, muss es explizit deaktiviert werden, wenn es nicht benutzt werden soll.
Bei der Verwendung der OWA-Funktionalität sind vor allem die folgenden Aspekte sicherheitsrelevant:
- Authentisierung und
- Datenintegrität und Datenvertraulichkeit.
Während die Authentisierung gewährleistet werden kann, können Datenintegrität und Datenvertraulichkeit nicht wie gewünscht realisiert werden. Unter Verwendung von OWA ist das Signieren und Verschlüsseln der Daten nicht möglich. Die Vertraulichkeit der Datenübertragung kann jedoch durch die Nutzung einer SSL/TLS-Verbindung zum IIS-Server gewährleistet werden.
Aus diesen Gründen sollte auf den Einsatz der OWA-Funktionalität möglichst verzichtet werden.
Konfigurationswerkzeuge
Die Konfiguration erfolgt mit drei unterschiedlichen Werkzeugen: mit dem Internetdienst-Manager, dem Exchange System-Manager und dem MMC-Snap-In Active Directory Users and Computers.
Die Einstellungen der Standard-Webseite (unter anderem auch die Sicherheitseinstellungen) werden mit dem Internetdienst-Manager vorgenommen. Die Zugriffsrechte auf die virtuellen Verzeichnisse von OWA werden dagegen mit dem Exchange System-Manager konfiguriert. Die benutzerbezogenen Einstellungen, wie z. B. die Aktivierung/Deaktivierung des Browser-Zugriffs, werden mit dem MMC-Snap-In Active Directory Users and Computers vorgenommen (Registerkarte Exchange advanced, Schaltfläche Protocol settings | HTTP Settings).
Einige Einstellungen lassen sich mit dem Exchange System-Manager und mit dem Internetdienst-Manager vornehmen. In solchen Fällen wird empfohlen, den Exchange System-Manager zu verwenden.
Zugriffskontrolle, Authentisierung und Verschlüsselung
Jedes virtuelle Verzeichnis, auf das ein Benutzer zugreifen kann, besitzt in seinen Eigenschaften die Registerkarte Access, in der Einstellungen für die Zugriffskontrolle, Ausführungsberechtigungen sowie Authentisierung vorgenommen werden können. Jeder Zugriff auf Postfachressourcen muss authentisiert werden. Ebenso ist es ist nicht empfehlenswert, den anonymen Zugriff auf die MAPI-basierte öffentliche Ordnerhierarchie (als http://<Servername>/public veröffentlicht) zu erlauben. Denn standardmäßig weist das System den anonymen Benutzern das Gastkonto des IIS zu (IUSR_<Servername>), welches ein gültiges Windows 2000-Benutzerkonto ist. Deshalb werden in diesem Fall die Standardberechtigungen für Clients angewendet und nicht die Berechtigungen des Kontos Anonym. Man kann jedoch dem Gastkonto des IIS eine E-Mail-Adresse zuweisen und damit die Vergabe expliziter Zugriffsberechtigungen für anonyme Benutzer im Exchange System-Manager oder Outlook 2000 ermöglichen.
Beim Browser-Zugriff auf Exchange-Daten stehen folgende Authentisierungsmethoden zur Verfügung: Anonymer Zugriff, HTTP Basic Authentisierung sowie integrierte Windows 2000 Authentisierung. Die entsprechenden Einstellungen werden in den Eigenschaften des jeweiligen virtuellen HTTP-Serverobjektes in der Registerkarte Access vorgenommen. Es wird empfohlen, keinen anonymen Zugriff zu erlauben und die integrierte Windows 2000 Authentisierung zu verwenden. Es ist jedoch zu beachten, dass die integrierte Windows-Authentisierung nur bei Verwendung des Microsoft Internet Explorers als Web-Browser zur Verfügung steht. Beim Einsatz anderer Web-Browser sollte die HTTP Basic Authentisierung zusammen mit einer Verschlüsselung der Übertragungswege benutzt werden.
Bei der Verwendung von OWA wird generell empfohlen, die Verschlüsselung zu aktivieren, wenn Exchange-Daten über nicht vertrauenswürdige Netze transportiert werden (insbesondere im Internet). Die Verschlüsselung wird mit Hilfe des Internetdienst-Managers (IIS-Einstellungen) aktiviert. Es ist zu beachten, dass ein geeignetes Server-Zertifikat benötigt wird.
In der Registerkarte General kann über den so genannten Exchange-Pfad angegeben werden, ob der virtuelle HTTP-Server für den Zugriff auf Postfächer und öffentliche Ordner oder ausschließlich für den Zugriff auf öffentliche Ordner konfiguriert wird. Es wird empfohlen, für den Zugriff auf öffentliche Ordner dedizierte virtuelle Server einzurichten.
Es wird weiterhin empfohlen, Zugriffseinschränkungen auf Basis von IP-Adressen oder Domänennamen zu definieren, sofern die Menge der Clients festgelegt werden kann. Dies erfolgt in der Registerkarte Access (Bereich Connection control). Dabei sollten die erlaubten IP-Adressen bzw. Domänennamen angegeben und allen anderen der Zugriff verwehrt werden (default deny policy).
In den Einstellungen des HTTP-Protokolls können in der Registerkarte Access auch die Berechtigungen für eingehende Clientverbindungen beschränkt werden (Lesen, Schreiben, Skript-Quellzugriff sowie Verzeichnissuche). Es wird empfohlen, den Skript-Quellzugriff unter keinen Umständen zu gewähren.
Weiterhin sollte die Ausführung von Skripten und ausführbaren Dateien nach Möglichkeit verboten werden.
Deaktivieren virtueller Exchange HTTP-Server
Sämtliche virtuellen HTTP-Server können im Exchange System-Manager beendet bzw. angehalten werden. Es sollte beachtet werden, dass der Standard-HTTP-Server den Zugriff auf die Eigenschaften der öffentlichen Ordner über das virtuelle Verzeichnis Exadmin gewährleistet. Wenn dieser virtuelle Server beendet wird, können die Einstellungen der öffentlichen Ordner im Exchange System-Manager nicht mehr verwaltet werden. Es erscheint eine Fehlermeldung, dass der Zugriff auf die öffentlichen Ordner fehlgeschlagen ist.
Schulung der OWA-Benutzer
Vor der Verwendung der OWA-Funktionalität müssen die Benutzer entsprechend geschult werden. Dabei sollte besonders auf folgende Regeln geachtet werden:
- Nach Beendigung einer OWA-Sitzung sollten die Benutzer den Browser schließen, insbesondere dann, wenn sie sich an einem allgemein zugänglichen Computer befinden. Dadurch werden die Anmeldedaten gelöscht.
- Das Kennwort sollte unter keinen Umständen im Web-Browser gespeichert werden.
- Der lokale Zwischenspeicher des Browsers sollte nicht aktiviert sein. Anderenfalls verbleiben die Informationen auf der lokalen Festplatte und sind unter Umständen für andere Benutzer zugänglich.
- Der Cache des Browsers sollte gelöscht werden (manuell oder automatisch), wenn die Sitzung beendet wird.
Ergänzende Kontrollfragen:
- Ist entschieden, welche Personen Zugriff auf die Exchange-Daten über einen Web-Browser erhalten sollen?
- Findet eine den Sicherheitsanforderungen der Institution angepasste Benutzerauthentisierung statt?
- Gibt es eine Sicherheitsrichtlinie für die Verwendung der Web Stores?