M 2.248 Festlegung einer Sicherheitsrichtlinie für Exchange/ Outlook 2000
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter
Wie für jedes in einer Behörde oder einem Unternehmen eingesetzte Client-Server-System muss auch für den Einsatz von Exchange 2000 Servern und Outlook 2000 Clients eine geeignete Sicherheitsrichtlinie festgelegt werden. Da sich Exchange 2000 sehr stark in die Windows 2000 Umgebung integriert, speziell in das Windows 2000 Active Directory, muss die Windows 2000 Sicherheitsrichtlinie berücksichtigt werden (siehe hierzu M 2.228 Festlegen einer Windows 2000 Sicherheitsrichtliniesowie M 2.229 Planung des Active Directory).
In der Sicherheitsrichtlinie für Exchange/Outlook 2000 ist festzulegen,
- welche Benutzer auf welche Server zugreifen dürfen und welche Benutzer auf welche Server nicht zugreifen sollen (Ausschlussliste),
- welche Benutzer mit welchen Rechten auf welche E-Mail-Datenbanken (Mail Store) zugreifen dürfen,
- welche anderen Server auf einen Exchange-Server zugreifen dürfen,
- wie E-Mail-Datenbanken repliziert werden,
- welche Bestandteile von E-Mail-Datenbanken repliziert werden und
- von wo aus auf einen Exchange-Server zugegriffen werden darf.
Wird die Sicherheitsrichtlinie festgelegt, so sind außerdem auch folgende Aspekte zu berücksichtigen:
- Die Sicherheitsrichtlinie für Exchange/Outlook muss konform zu den geltenden generellen Sicherheitsrichtlinien des Unternehmens bzw. der Behörde sein.
- Es muss festgelegt werden, wann eine Kommunikationsabsicherung, z. B. für Netz- oder E-Mail-Kommunikation, vorgenommen werden muss (z. B. beim Zugriff mittels Browser oder generell beim Zugriff über das Internet). Dabei ist auch festzulegen, welche Mechanismen dafür genutzt werden sollen.
- Die Gruppen für die Exchange-Administration, die Routing Groups, die Zugriffsberechtigungen zwischen diesen Gruppen (Benutzer- und Server-orientiert) und die Replikation von E-Mail-Datenbanken müssen geplant werden.
- Für die Kommunikationsbeziehungen nach außen müssen jeweils dedizierte Sicherheitsrichtlinien festgelegt werden. Dabei ist auf Konsistenz mit anderen Richtlinien zu achten, die dem Schutz der physischen und logischen Grenzen der Organisation dienen.
Die Sicherheitsrichtlinie muss an alle mittel- und unmittelbar betroffenen Personen der Organisation verteilt und am besten in Form einer internen Schulung dargestellt werden.
Ergänzende Kontrollfragen:
- Können alle relevanten Sicherheitsvorschriften auf Exchange/Outlook 2000 abgebildet werden?
- Müssen existierende Sicherheitsvorschriften geändert werden?
- Werden alle Benutzer über neue oder veränderte Sicherheitsvorschriften informiert?