M 4.161 Sichere Installation von Exchange/Outlook 2000

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Eine sichere Software-Installation ist immer eine Grundvoraussetzung für den reibungslosen und sicheren Betrieb des Systems. Vor der Installation von Exchange/Outlook sollte zunächst eine Sicherungskopie der bestehenden E-Mail-Daten angelegt und sorgfältig verwahrt werden. Dies ist sowohl auf der Server-Seite (z. B. durch ein Backup der Daten einer früheren Exchange-Version) als auch auf der Client-Seite notwendig.

In diesem Dokument werden Empfehlungen zu folgenden Themen in Bezug auf Exchange gegeben:

Weiterhin werden in dieser Maßnahme auch Empfehlungen zur Installation von Outlook 2000 gegeben. Diese betreffen vor allem die Vorkonfiguration von Outlook 2000 mittels des Microsoft Office 2000 Custom Installation Wizards.

Vorbereitung der Installation von Exchange 2000

Eine der Voraussetzungen für einen sicheren Betrieb von Exchange/Outlook 2000 ist die sichere Konfiguration des jeweils zugrunde liegenden Betriebsystems - Windows 2000 Server bzw. Professional. Das aktuelle Service Pack und alle verfügbaren Sicherheitsupdates bzw. -patches müssen installiert werden. Mehr über die sichere Installation, Konfiguration und Betrieb von Windows 2000 Server bzw. Professional kann den entsprechenden Bausteinen zu Windows 2000 entnommen werden (z. B.M 4.150 Konfiguration von Windows 2000 als Workstation oderM 4.139 Konfiguration von Windows 2000 als Server).

Aus Integritätsgründen wird empfohlen, die Exchange-Installation auf einer eigenen Partition oder, wenn möglich, auf einer separaten Festplatte vorzunehmen. Als Dateisystem muss NTFS zum Einsatz kommen.

Es wird empfohlen, den Exchange-Server als Member-Server einer Domäne zu installieren. Der Exchange Server darf unter keinen Umständen auf einem Domänen-Controller installiert werden, da dies negative Auswirkungen auf die Sicherheit des gesamten Windows-Systems hätte.

Es wird dringend empfohlen, keine deutsche, sondern die englische Originalversion der Exchange 2000 Software zu installieren. Dies hat vor allem den Vorteil, dass Sicherheits-Updates, -Patches und Service Packs erfahrungsgemäß für die Originalversion früher veröffentlicht werden als für die lokalisierten Versionen der Software.

Keine weiteren Dienste auf dem Exchange-Rechner

Die Einrichtung eines dedizierten Servers für Exchange 2000 ist aus Sicherheitssicht vorteilhaft. Auf diesem sollten also nur die für den Betrieb von Exchange 2000 unbedingt notwendigen Dienste in Betrieb genommen werden.

Benutzung eines dedizierten Installationskontos

Die Installation von Exchange 2000 sollte nicht unter einem bereits vorhandenen Benutzerkonto mit Administratorrechten durchgeführt werden. Da dem Installationskonto nach der Installation volle administrative Rechte auf Exchange eingeräumt werden, wird empfohlen, ein dediziertes Benutzerkonto für die Installation von Exchange 2000 anzulegen. Dieses Installationskonto muss administrative Rechte für den lokalen Rechner besitzen sowie Mitglied in den Gruppen der Enterprise- und Schema-Administratoren sein. Nach erfolgreicher Installation sollte der Benutzer wieder aus den Gruppen der Enterprise- und Schema-Administratoren entfernt werden.

Bei der Installation weiterer Exchange-Server sollten ebenfalls jeweils dedizierte Benutzerkonten verwendet werden. Für die Installation weiterer Exchange-Server sind jedoch keine Enterprise- bzw. Schema-Administratorrechte notwendig. Es ist ausreichend, wenn diese dedizierten Konten die Rechte voller Exchange-Administratoren sowie Domain-Administratoren besitzen.

Unbeaufsichtigte Installation der zusätzlichen Exchange-Server

Bei der Installation zusätzlicher Exchange-Server empfiehlt sich eine so genannte unbeaufsichtigte Installation von Exchange. Dies führt einerseits zu einer Verminderung des Installationsaufwands und ermöglicht es andererseits, die Installation an weitere Personen zu delegieren.

Die Grundlage für die Installation ohne Aufsicht ist eine Setup-Initialisierungsdatei. Diese kann beispielsweise mit e:\...\exchange-install-cd\...\setup.exe /CreateUnattend c:\temp\setup.ini erstellt werden. Die so erstellte Initialisierungsdatei setup.ini ist eine lesbare Textdatei mit Einstellungen für die einzelnen Exchange Komponenten, und kann daher auch zur Dokumentation einer Installation benutzt werden. Die Installation auf einem weiteren Rechner wird dann mit e:\...\exchange-install-cd\...\setup.exe /UnattendFile c:\temp\setup.ini angestoßen.

Die Initialisierungsdatei kann sensitive Informationen in den Einstellungen für die Exchange-Komponenten beinhalten. Ist dies der Fall, sollte die Initialisierungsdatei verschlüsselt werden.

Verschlüsselung der Setup-Initialisierungsdatei

Um sensitive Informationen, wie z. B. Kennwörter für den Schlüsselverwaltungsdienst, vor dem Zugriff durch unberechtigte Personen zu schützen, kann die Initialisierungsdatei auch in einer verschlüsselten Form erzeugt werden. Von dieser Möglichkeit sollte vor allem bei der Delegation einer Exchange-Installation Gebrauch gemacht werden.

Die Erstellung einer verschlüsselten Initialisierungsdatei erfolgt beispielsweise mit dem Kommando e:\...\exchange-install-cd\...\setup.exe /EncryptedMode /UnattendFile c:\temp\setup.ini. Die Installation wird mit e:\...\exchange-install-cd\...\setup.exe /UnattendFile c:\temp\setup.ini genauso wie bei einer unverschlüsselten Initialisierungsdatei angestoßen.

Installation von Exchange 2000

Während der eigentlichen Exchange-Installation sind folgende sicherheitsrelevante Aspekte zu berücksichtigen:

Der letzte Aspekt ist nur dann zu berücksichtigen, wenn der Domain-Controller der aktuellen Domäne mit Pre-Windows 2000 kompatiblen Einstellungen aufgesetzt wurde. Dies ist während der Installation von Exchange Server an der Meldung des Installationsassistenten zu erkennen, dass die Domäne aufgrund der exstierenden Pre-Windows 2000 kompatiblen Einstellungen als unsichere Domäne erkannt wurde.

In diesem Fall wird empfohlen, die Zusammensetzung der Gruppe Pre-Windows 2000 Compatible Access zu überprüfen und alle Mitglieder aus dieser Gruppe zu entfernen, die nicht unbedingt dieser Gruppe angehören müssen.

Bei der Auswahl der zu installierenden Komponenten sollen nur die absolut notwendigen Komponenten ausgewählt werden. Soll zu einem späteren Zeitpunkt die Funktionalität des Exchange-Servers erweitert werden, so können fehlende Komponenten jederzeit nachinstalliert werden.

Der Installationspfad muss auf die neu eingerichtete und mit NTFS formatierte Partition gesetzt werden. Eine dedizierte Partition sollte, wie bereits erwähnt, in der Phase der Installationsvorbereitung angelegt werden.

Wichtig ist, dass die Information über die einzurichtende Exchange-Organisation, die während der Installation des primären Exchange-Servers eingegeben wird, später nicht mehr geändert werden kann.

Abschluss der Exchange-Installation

Service Packs, Sicherheits-Updates und -Patches

Nach der erfolgten Installation von Exchange 2000 müssen alle verfügbaren Service Packs, Sicherheits-Updates und -Patches für Exchange 2000 eingespielt werden. Da Exchange 2000 den Microsoft Internet Information Server (IIS) benutzt, müssen auch alle entsprechenden Service Packs, Sicherheits-Updates und -Patches für den IIS installiert werden.

Grundsätzlich gilt, dass alle auf dem Exchange-Rechner laufenden Dienste und Anwendungen aktualisiert und auf den neuesten Stand gebracht werden müssen.

Anzeige der Administrativ- und Routinggruppen

Nach der Installation von Exchange 2000 werden die existierenden Administrativ- und Routing-Gruppen standardmäßig nicht angezeigt. Um ihre Anzeige zu aktivieren, müssen die Optionen Display administrative groups und Display routing groups in den generellen Eigenschaften der Exchange-Organisation aktiviert werden. Die Eigenschaften der Exchange-Organisation können mit dem Exchange-spezifischen Werkzeug System-Manager eingesehen werden.

Allgemeines zur Installation von Outlook 2000

Microsoft Outlook kann in einer der folgenden Installationsarten installiert werden:

Die erste Variante gestattet nur die Pflege von Kontakten, Terminen und Dokumenten. Die Internet-Unterstützung ermöglicht das Versenden und Empfangen von E-Mail-Nachrichten über E-Mail-Protokolle - wie POP3, SMTP und IMAP. Um jedoch in einer Exchange 2000 Umgebung spezifische Exchange-Funktionen nutzen zu können, muss Outlook 2000 explizit als Exchange-Client installiert werden. Diese letzte Installationsart wird hier betrachtet.

Es besteht die Möglichkeit mit Administrationswerkzeugen aus dem Office 2000 Resource Kit, eine vorkonfigurierte Version von Outlook 2000 für die spätere Verteilung/Installation zentral durch den Administrator zu erzeugen. Die Erstellung einer vorkonfigurierten Version verhilft zu einem gleichmäßigen Sicherheitsniveau.

Für ein Unternehmen wird empfohlen, angepasste und vorkonfigurierte Versionen von Outlook 2000 zu erstellen und zu verteilen. Für die Erstellung einer an die Bedürfnisse des Unternehmens angepassten Version von Outlook 2000 wird der Office 2000 Custom Installation Wizard aus dem Microsoft Office 2000 Resource Kit benutzt.

Vorkonfiguration von Outlook 2000 mit dem Custom Installation Wizard

Mit Hilfe des Office 2000 Custom Installation Wizards kann nicht nur Outlook 2000, sondern das ganze Microsoft Office Paket vorkonfiguriert werden. Das Ergebnis des Microsoft Office 2000 Custom Installation Wizard ist ein Windows Installer Transform - eine MST-Datei mit Installationsangaben für den Microsoft Installer.

Der Custom Installation Wizard bietet bei der Installation einer neuen Version an, alte Versionen der Office-Komponenten - wie Outlook, Word, PowerPoint, Excel oder Access - zu deinstallieren. Es wird empfohlen, die alten Versionen von Outlook bei der Installation von Outlook 2000 zu entfernen.

Auswahl der zu installierenden Outlook 2000 Komponenten

Es wird empfohlen, den elektronischen Formulardesigner ( EFD ) den Outlook-Benutzern nicht zur Verfügung zu stellen, da die Verwendung von Formularen mit aktiven Inhalten eine potentielle Bedrohung für das Intranet der Organisation darstellt. Diese Komponente sollte während der Erstellung einer angepassten Version von Outlook 2000 nicht in das Installationspaket aufgenommen werden. Ebenso wird empfohlen, die Komponenten Collaboration Data Objects und Netzordner nicht zu installieren.

Der Installation Wizard bietet die Möglichkeit, bereits bestehende Einstellungen von Microsoft Office als Vorlage für die Anpassung zu benutzen. Um die Einstellungen des Office-Pakets in eine Datei zu exportieren, wird das Werkzeug Office 2000 Profile Wizard eingesetzt. Wird im Custom Installation Wizard kein existierendes Office-Profil als Vorlage angegeben, so werden die Standard-Einstellungen von Office 2000 benutzt. Es wird empfohlen, das Profil einer bestehenden, geeignet konfigurierten Installation von Outlook 2000 zu benutzen (siehe Maßnahme M 4.165 Sichere Konfiguration von Outlook 2000).

Je nach Betriebsart von Outlook 2000 (als Exchange-Client oder nur als Internet-Mail-Client) sind entsprechende Einstellungen vorzunehmen.

Für Outlook 2000 als Exchange-Client können Einstellungen für Standardprofile, Exchange-Server, persönliche Outlook-Ordner, POP3- und SMTP-Protokolle vorgenommen werden. Für Standardprofile können Dienste (wie z. B. MS Exchange Server Service, Personal Folder Service oder Address Book Service) angegeben werden, die in einem Standardprofil enthalten sein sollen. In den Einstellungen für persönliche Outlook-Order (Personal Folder) sollte die optimale Verschlüsselung ausgewählt werden (siehe Maßnahme M 4.165 Sichere Konfiguration von Outlook 2000). In den POP3- bzw. SMTP-Einstellungen sollten die sichere Kennwort-Authentisierung und die Benutzung von SSL aktiviert werden. Dies erfordert selbstverständlich auch eine entsprechende Konfiguration des Exchange-Servers.

Für Outlook 2000 als Internet-Mail-Client können unter anderem Einstellungen für POP3, SMTP und LDAP vorgenommen werden. Es wird für alle Protokolle empfohlen, die sichere Kennwort-Authentisierung und die Benutzung von SSL zu aktivieren. Dies erfordert selbstverständlich auch eine entsprechende Konfiguration der Server-Seite.

Der Custom Installation Wizard bietet auch eine Möglichkeit, die alte Version des Internet Explorers auf die Version 5 zu aktualisieren. Hierbei wird empfohlen, für den Internet Explorer auch eine an die Bedürfnisse des Unternehmens bzw. der Behörde angepasste Version der Browser-Software zu erstellen. Dies ist mit dem Internet Explorer Adminstration Kit (IEAK) möglich. Mit dem IEAK können unter anderem auch die Einstellungen für die Internet-Zonen des Internet Explorers anpasst werden, welche direkten Einfluss auf der Sicherheit von Outlook 2000 bezüglich der Verarbeitung von E-Mail-Anlagen haben (siehe Maßnahme M 4.165 Sichere Konfiguration von Outlook 2000).

Installation/Verteilung von Outlook 2000

Nach der Installation und der Konfiguration der Exchange 2000 Systeme werden die Outlook 2000 Clients verteilt. Die Installation der Clients erfolgt in der Regel über einen Software-Verteilungsmechanismus, so können z. B. die msi-Packages auch über das Active Directory an die Clients verteilt werden.

Einzelplatzinstallation von Outlook 2000

Bei einer Einzelplatzinstallation von Outlook 2000 ist der administrative Aufwand für die Erstellung eines angepassten Installationspakets zu hoch. So kann die Outlook 2000 Software auch lokal installiert werden. Bei solch einer Installation sollten dieselben Empfehlungen (z. B. Auswahl der zu installierenden Komponenten) wie oben beschrieben beachtet werden. Weiterhin sind die Empfehlungen aus der Maßnahme M 4.165 Sichere Konfiguration von Outlook 2000 bereits bei der Installation umzusetzen.

Ergänzende Kontrollfragen: