M 4.167 Überwachung und Protokollierung von Exchange 2000 Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Die Überwachung und die Protokollierung eines Exchange 2000 Systems sind aus vielen Gründen notwendig: Zum einen hilft die aktivierte Überwachung, potentielle Schwachstellen möglichst frühzeitig zu erkennen und zu beseitigen. Zum anderen dient die Protokollierung dazu, Verstöße gegen die Sicherheitsrichtlinie zu erkennen (siehe M 2.248 Festlegung einer Sicherheitsrichtlinie für Exchange/ Outlook 2000) oder Nachforschungen über einen Sicherheitsvorfall anzustellen.

Das Exchange-System sollte gemeinsam mit dem Windows 2000 Betriebssystem überwacht werden. Weitere Informationen zu der Überwachung von Windows 2000 finden sich in M 4.148 Überwachung eines Windows 2000/XP Systems.

Um eine hinreichende Überwachung und Protokollierung zu erreichen, sollten Einstellungen in folgenden Bereichen konfiguriert werden:

Überwachungswerkzeuge

Für die Überwachung der Exchange-Umgebung stehen dem Systemadministrator eine Reihe von Werkzeugen zur Verfügung:

Allgemeines

Es wird empfohlen, keine Umlaufprotokollierung für Protokolldateien zu aktivieren. Anderenfalls werden Einträge irgendwann überschrieben, was es einem Angreifer ermöglicht, seine Spuren durch das Erzeugen vieler Protokolleinträge zu verwischen.

Das System sollte außerdem nicht so konfiguriert werden, dass nach dem Vollwerden einer Protokolldatei der Dienst gestoppt oder heruntergefahren wird. Dies kann von einem Angreifer für DoS -Attacken ausgenutzt werden.

Unabhängig von den Überwachungsrichtlinien von Windows 2000 protokolliert der Informationsspeicherdienst im Anwendungsprotokoll, wenn ein Benutzer ein Postfach nicht mit dem primären Konto öffnet.

In einer Exchange 2000 Umgebung stehen mehrere Formate für Protokolldateien zur Verfügung. Es wird empfohlen, das W3C Extended Log File Format zu benutzen.

Überwachen der Systemressourcen

Die Systemressourcen, wie z. B. der verfügbare virtuelle Speicherplatz, die CPU-Auslastung, der freie Festplattenplatz oder das Wachstum der Nachrichtenwarteschlangen, können und sollten überwacht werden. Dies wird auf der Registerkarte Monitoring in den Eigenschaften eines Exchange-Servers aktiviert.

Es besteht die Möglichkeit, zwei Werte für die jeweilige Ressource anzugeben: einen Wert für den Warnzustand und einen Wert für den kritischen Zustand. Diese Werte sollten an die Anforderungen des Unternehmens bzw. der Behörde angepasst werden.

Zumindest folgende Ressourcen sollten überwacht werden:

Etwa die Hälfte oder mehr des verfügbaren Speicherplatzes sollte frei bleiben. Dieser Festplattenplatz kann dann für die Komprimierung der Datenbanken oder die Offline-Reparatur von beschädigten Datenbanken verwendet werden.

Konfiguration von automatischen Benachrichtigungen

Exchange 2000 kann so konfiguriert werden, dass eine automatische Benachrichtigung verschickt wird, wenn einer der überwachten Parameter einen bestimmten Status erreicht. Es wird empfohlen, die automatische Benachrichtigung für überwachte Exchange-Server zu aktivieren, wenn ein Parameter den kritischen Status erreicht hat.

Eine automatische Benachrichtigung kann über E-Mail oder über ein Skript erfolgen, das vom Administrator definierte Aktionen durchführen kann, wie z. B. Stoppen eines Dienstes oder ähnliches. Da eine E-Mail-Benachrichtigung aus einer Reihe von WMI-Platzhaltern besteht (Windows Management Instrumentation), kann sie an die eigenen Anforderungen angepasst werden.

Wird die E-Mail-Benachrichtigung genutzt, so sollte ein interner SMTP-Server angegeben werden, der anonyme Weiterleitungen (Relay) zulässt.

Automatische Benachrichtigungen werden im Exchange System-Manager im Bereich Tools/Monitoring und Logging der Exchange-Organisation definiert. Bei beiden Arten der automatischen Benachrichtigung muss der zu überwachende Server angegeben werden.

Protokollierung

Die Diagnose-Protokollierung eines Servers ist nützlich, wenn Nachforschungen über Sicherheitsvorfälle angestellt werden. Diese Art der Protokollierung erfolgt pro Server: Sie wird in den Eigenschaften eines Exchange-Servers auf der Registerkarte Diagnostic Logging konfiguriert.

Die Diagnose-Protokollierung sollte für die Protokollierung der POP3- und IMAP4-Ereignisse eingesetzt werden, da für diese Protokolle (im Gegensatz zu SMTP, HTTP und NNTP) keine andere Protokollierungsmöglichkeit existiert. Deshalb sollte für die Komponenten POP3Svc und IMAP4Svc die Protokollierung der Kategorie Authentication auf die maximal mögliche Protokollierungsstufe (Maximum) gesetzt werden.

Nachfolgend werden die empfohlenen Einstellungen für die Protokollierung aufgeführt:

Protokollierung der Internet-Protokolle

Die Protokollierung der SMTP- und NNTP-Protokolle wird im Exchange System-Manager in den Eigenschaften der virtuellen Server auf der Registerkarte General aktiviert. Die HTTP-Protokollierung wird im Internetdienst-Manager in den Eigenschaften des zu überwachenden virtuellen HTTP-Servers eingeschaltet.

Die Protokollierung der IMAP4- und POP3-Protokolle wird dagegen nicht mit einem Konfigurationswerkzeug, sondern durch Einträge in die Windows 2000 Registry aktiviert:

Die relevanten Werte hierbei sind: POP3 Protocol Log Path und POP3 Protocol Log Level sowie IMAP4 Protocol Log Path und IMAP4 Protocol Log Level. Der jeweils erste Wert verweist auf das Verzeichnis, in dem die Protokolldateien erstellt werden (das Namensformat ist L0000001.log). Der zweite Wert bezieht sich auf den Detailgrad der Protokollierung. Die Skala reicht dabei von 0 (keine Protokollierung) bis hin zu 5 (größter Detailgrad). Damit die Änderungen wirksam werden, ist ein Neustart der Dienste erforderlich.

Protokollierung für Instant Messaging

Um die Protokollierung für Instant Messaging zu aktivieren, sollte im Internetdienst-Manager in den Eigenschaften des virtuellen Verzeichnisses InstMsg auf der Registerkarte Website das Kontrollkästchen Enable Logging ausgewählt werden. Die Protokolldatei befindet sich dann im Verzeichnis \Winnt\System32\Logfiles\W3svc1.

Nachrichtentracking

Mit dem Nachrichtentracking lassen sich nicht nur vermisste Nachrichten in Warteschlangen aufspüren und Verzögerungen innerhalb des Übertragungspfades erkennen, sondern auch Hinweise darüber finden, ob bestimmte Nachrichten erfolgreich zugestellt wurden. Beim aktivierten Nachrichtentracking werden Statusinformationen in täglichen Protokolldateien aufgezeichnet und im Exchange-Log-Verzeichnis gespeichert (z. B. \Programme\Exchsrvr \<Servername>.log). Der Dateiname folgt dabei dem Schema <JJJJMMTT>.log. Diese Trackingprotokolle werden auf allen Exchange 2000 Servern über die Freigabe <Servername>.log sämtlichen Domänenbenutzern zugänglich gemacht. Die Gruppe Everyone sollte aus der Zugriffskontrollliste dieser Freigabe entfernt werden.

Ergänzende Kontrollfragen: