M 4.166 Sicherer Betrieb von Exchange/Outlook 2000
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Nach der Installation und Konfiguration von Exchange/Outlook 2000 müssen Maßnahmen zur Gewährleistung des sicheren Betriebs ergriffen werden. Folgende sicherheitsrelevante Aspekte sind dabei zu berücksichtigen:
- Umsetzung der Sicherheitsrichtlinien der betreffenden Organisation (siehe M 2.248 Festlegung einer Sicherheitsrichtlinie für Exchange/ Outlook 2000),
- Sicherer Betrieb des zugrunde liegenden Betriebssystems (siehe M 4.146 Sicherer Betrieb von Windows Client-Betriebssystemen),
- Administrative Aspekte,
- Software- und Systempflege,
- Virenschutz,
- Systemüberwachung,
- Datensicherung und
- Ausfallsicherheit bzw. Schadenbegrenzung bei einem Ausfall.
Administrative Aspekte
Bei der Administration und der Vergabe von Berechtigungen sollte stets das Prinzip des geringsten Privilegs (least privilege) beachtet werden. Dies gilt vor allem in Bezug auf die Exchange-Administratoren: Jeder Administrator erhält nur diejenigen Rechte, die zur Wahrnehmung seiner Aufgaben notwendig sind.
Es wird empfohlen, administrative Tätigkeit in Windows und Exchange soweit wie möglich zu trennen. Es sollte jedoch beachtet werden, dass dies nicht uneingeschränkt möglich ist: Für einige Aufgaben benötigen Exchange-Administratoren auch lokale Administratorrechte unter Windows 2000 (so z. B. zum Starten und Stoppen der Exchange-Dienste).
Software- und Systempflege
Eine wichtige Voraussetzung für den sicheren Betrieb ist, dass alle sicherheitsrelevanten Service Packs, Updates und Patches für das Softwareprodukt eingespielt werden. Es ist daher erforderlich, dass sich die Administratoren regelmäßig über neu bekannt gewordene Schwachstellen in Exchange 2000 und Windows 2000 informieren und ggf. geeignete Maßnahmen zu deren Beseitigung zeitnah umsetzt. Vor dem Einspielen eines Service Packs, Updates oder Patches in das Produktivsystem sollte dies jedoch zunächst in einer Testumgebung geschehen. So kann überprüft werden, ob unerwünschte Seiteneffekte zu erwarten sind. Darüber hinaus sollten die Konfigurationseinstellungen des Gesamtsystems regelmäßig daraufhin überprüft werden, ob sie den Vorgaben entsprechen und den Sicherheitsanforderungen genügen.
Virenschutz
Eine der größten Gefahren für den sicheren Betrieb eines E-Mail-Systems besteht darin, dass unter Umständen Computer-Viren, Würmer und andere Schadprogramme eingeschleust werden können. Zur Abwehr sollte ein Viren-Schutzprogramm eingesetzt werden, dessen Muster-Datenbank periodisch aktualisiert werden muss. Weitere Details zum Virenschutz finden sich in dem entsprechenden Baustein B 1.6 Schutz vor Schadprogrammen sowie in den Maßnahmen M 4.33 Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und Datenübertragung und M 6.23 Verhaltensregeln bei Auftreten von Schadprogrammen.
Systemüberwachung
Um die Sicherheit im laufenden Betrieb zu gewährleisten und mögliche Gefährdungen frühzeitig zu erkennen, sollte das Exchange-System permanent überwacht werden. Empfehlungen hierzu finden sich in M 4.167 Überwachung und Protokollierung von Exchange 2000 Systemen.
Datensicherung
Als Grundlage für die schnelle Wiederherstellung der Daten - z. B. nach einem Systemausfall - muss regelmäßig eine Datensicherung des Exchange-Systems angelegt werden (siehe M 6.32 Regelmäßige Datensicherung und M 6.49 Datensicherung einer Datenbank). Zur Datensicherung kann das Windows 2000 Backup Utility verwendet werden (siehe M 6.78 Datensicherung unter Windows Clients).
Es wird empfohlen, zumindest den Mailbox Store, den Public Store sowie die Transaction Logs zu sichern. Die Art des Backups (vollständig oder inkrementell) spielt an dieser Stelle keine besondere Rolle. Da Exchange/Outlook-Systeme zum ordnungsgemäßen Betrieb das Windows 2000 Active Directory benötigen, sollte dieses ebenso gesichert werden (siehe dazu M 4.146 Sicherer Betrieb von Windows Client-Betriebssystemen).
Es wird weiterhin empfohlen, bereits gelöschte Exchange-Objekte in Postfächern und öffentlichen Ordnern erst nach einigen Tagen und auch erst nach einer abgeschlossenen Datensicherung permanent zu löschen. Diese Einstellungen können für jeden einzelnen Informationsspeicher vorgenommen werden. Außerdem wird empfohlen, gelöschte Postfächer innerhalb einer bestimmten Zeitspanne nicht permanent zu löschen (die Standardeinstellung beträgt 30 Tage). Diese Werte müssen an die jeweiligen Anforderungen des Unternehmens bzw. der Behörde angepasst werden.
Exchange 2000 Server bietet eine eigene Programmierschnittstelle ( API ) zur Sicherung und Wiederherstellung der Datenbanken an (Esebcli2.dll). Dies ermöglicht dem Sicherungsprogramm von Windows 2000, die Sicherung und Wiederherstellung online durchzuführen, d. h. ohne dass die Exchange-Dienste heruntergefahren werden. Die Online-Sicherung empfiehlt sich für häufig (z. B. täglich) durchgeführte Backups.
Zur Offline-Sicherung einer Installation von Exchange 2000 Server müssen die Exchange-Dienste heruntergefahren werden. Anschließend ist das Exchange-Verzeichnis (z. B. c:\Programme\Exchsrvr\) inklusive sämtlicher Unterverzeichnisse zu sichern.
Damit werden die gesamten binären Daten des Exchange-Servers erfasst, unter anderem auch die Nachrichtenwarteschlangen des MTAs und der Gateway-Connectoren. Diese Variante empfiehlt sich für die weniger häufig durchgeführten Sicherungen (z. B. einmal wöchentlich).
Die Automatisierung des Sicherungsprozesses wird über die Einstellungen des Windows 2000 Servers konfiguriert. Sofern keine anderen Automatismen zur Durchführung einer Sicherung innerhalb der Organisation etabliert sind, wird die Verwendung dieses Windows-eigenen Mechanismus empfohlen.
Bei der Datensicherung sind auch Clients zu berücksichtigen. Auf lokalen Benutzersystemen abgelegte Daten, wie z. B. persönliche Outlook-Ordner, müssen in die Sicherung einbezogen werden.
Besonderes Augenmerk erfordert das Backup von Daten, die durch Verschlüsselung, Zugangskennwörter oder andere Mechanismen geschützt sind. In der Regel müssen die sensitiven Zugangsinformationen dann ebenfalls gesichert werden, damit sie bei der Wiederherstellung der Daten verfügbar sind.
Ausfallsicherheit
Für den sicheren und unterbrechungsfreien Betrieb von Exchange 2000 muss der Global Catalog Server stets erreichbar sein. Um die Auswirkung des Ausfalls eines Exchange 2000 Servers zu verringern, können Exchange-Daten durch Partitionierung auf mehrere Server verteilt werden. Der Ausfall eines einzelnen Servers betrifft dann nur einen Teil der Daten. Die Partitionierung ist bedarfsgerecht zu planen und durchzuführen.
Müssen Daten öffentlicher Ordner stets im vollen Umfang verfügbar sein, sollten Replikate angelegt werden, so dass die Daten auf mehrere Server verteilt werden. Beim Ausfall eines einzelnen Servers kann immer noch auf die Replikate auf anderen Servern zugegriffen werden.
Durch das so genannte Clustering existiert eine Möglichkeit, mehrere physikalische Server als einen virtuellen Server zu betreiben. Beim Ausfall eines Servers erfolgt ein automatisches Failover und die restlichen Server des Clusters übernehmen die Aufgaben des ausgefallenen Servers. Ob diese Funktion eingesetzt werden sollte, muss jeweils im Einzelfall entschieden werden.
Bei hohen Anforderungen an die Verfügbarkeit sollte darüber nachgedacht werden, redundante Verbindungen innerhalb der Exchange-Organisation und gegebenenfalls auch von/nach außen einzurichten (siehe M 4.162 Sichere Konfiguration von Exchange 2000 Servern).
Als Vorsorge sollte schließlich ein praktikabler Notfallplan vorliegen (siehe hierzu die Maßnahme M 6.82 Erstellen eines Notfallplans für den Ausfall von Exchange-Systemen).
Schutz vor Denial-of-Service-Attacken (DoS)
Als Schutz vor DoS -Attacken wird empfohlen, Einschränkungen der maximal möglichen Nachrichten- bzw. Speichergrößen einzuführen. Dies gilt vor allem für eingehende Verbindungen.
Ein weiterer Mechanismus ist die Filterung von Nachrichten. Damit können zwar keine großangelegten Spam-Angriffe abgewehrt werden, jedoch kann dieser Mechanismus für die Filterung einzelner Absender sinnvoll eingesetzt werden.
Ergänzende Kontrollfragen:
- Wurde ein Notfallplan für den Ausfall des Exchange-Systems erarbeitet?
- Werden regelmäßig Datensicherungen von Exchange, Outlook und Active Directory durchgeführt?
- Informieren sich die Administratoren regelmäßig über neu entdeckte Schwachstellen?