M 4.167 Überwachung und Protokollierung von Exchange 2000 Systemen
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter
Die Überwachung und die Protokollierung eines Exchange 2000 Systems sind aus vielen Gründen notwendig: Zum einen hilft die aktivierte Überwachung, potentielle Schwachstellen möglichst frühzeitig zu erkennen und zu beseitigen. Zum anderen dient die Protokollierung dazu, Verstöße gegen die Sicherheitsrichtlinie zu erkennen (siehe M 2.248 Festlegung einer Sicherheitsrichtlinie für Exchange/ Outlook 2000) oder Nachforschungen über einen Sicherheitsvorfall anzustellen.
Das Exchange-System sollte gemeinsam mit dem Windows 2000 Betriebssystem überwacht werden. Weitere Informationen zu der Überwachung von Windows 2000 finden sich in M 4.148 Überwachung eines Windows 2000/XP Systems.
Um eine hinreichende Überwachung und Protokollierung zu erreichen, sollten Einstellungen in folgenden Bereichen konfiguriert werden:
- Überwachen von Systemressourcen auf kritische Werte,
- Erzeugen automatischer Benachrichtigungen beim Erreichen kritischer Werte,
- Protokollierung der Internet-Protokolle (auf Basis virtueller Server),
- Protokollierung der Dienstkomponenten eines Exchange 2000 Servers (Diagnose-Protokollierung) und
- Nachrichtentracking.
Überwachungswerkzeuge
Für die Überwachung der Exchange-Umgebung stehen dem Systemadministrator eine Reihe von Werkzeugen zur Verfügung:
- Der Event Viewer von Windows 2000 hält unter den Rubriken Application, Security und System auch Exchange 2000 Ereignisse fest.
- Spezielle ExchangeMonitors (Server & Link Monitors) erlauben die gezielte Abfrage von Server- und Verbindungsstatus.
- Das Message Tracking Center (MTC) erlaubt die Aufzeichnung sämtlicher über einen Exchange-Server übertragenen E-Mails.
- Der Windows 2000 SystemMonitor ermöglicht die graphische Darstellung der Performance einer Vielzahl von Systemparametern.
- Die Microsoft MADMAN (Mail and Directory Management) MIB (Management Information Base) erlaubt die Aufzeichnung Exchange-spezifischer Ereignisse auf Basis des standardisierten Protokolls SNMP (Simple Network Management Protocol).
Allgemeines
Es wird empfohlen, keine Umlaufprotokollierung für Protokolldateien zu aktivieren. Anderenfalls werden Einträge irgendwann überschrieben, was es einem Angreifer ermöglicht, seine Spuren durch das Erzeugen vieler Protokolleinträge zu verwischen.
Das System sollte außerdem nicht so konfiguriert werden, dass nach dem Vollwerden einer Protokolldatei der Dienst gestoppt oder heruntergefahren wird. Dies kann von einem Angreifer für DoS -Attacken ausgenutzt werden.
Unabhängig von den Überwachungsrichtlinien von Windows 2000 protokolliert der Informationsspeicherdienst im Anwendungsprotokoll, wenn ein Benutzer ein Postfach nicht mit dem primären Konto öffnet.
In einer Exchange 2000 Umgebung stehen mehrere Formate für Protokolldateien zur Verfügung. Es wird empfohlen, das W3C Extended Log File Format zu benutzen.
Überwachen der Systemressourcen
Die Systemressourcen, wie z. B. der verfügbare virtuelle Speicherplatz, die CPU-Auslastung, der freie Festplattenplatz oder das Wachstum der Nachrichtenwarteschlangen, können und sollten überwacht werden. Dies wird auf der Registerkarte Monitoring in den Eigenschaften eines Exchange-Servers aktiviert.
Es besteht die Möglichkeit, zwei Werte für die jeweilige Ressource anzugeben: einen Wert für den Warnzustand und einen Wert für den kritischen Zustand. Diese Werte sollten an die Anforderungen des Unternehmens bzw. der Behörde angepasst werden.
Zumindest folgende Ressourcen sollten überwacht werden:
- der freie Speicherplatz,
- die CPU-Auslastung und
- der allgemeine Serverzustand (das Ereignis Stopped).
Etwa die Hälfte oder mehr des verfügbaren Speicherplatzes sollte frei bleiben. Dieser Festplattenplatz kann dann für die Komprimierung der Datenbanken oder die Offline-Reparatur von beschädigten Datenbanken verwendet werden.
Konfiguration von automatischen Benachrichtigungen
Exchange 2000 kann so konfiguriert werden, dass eine automatische Benachrichtigung verschickt wird, wenn einer der überwachten Parameter einen bestimmten Status erreicht. Es wird empfohlen, die automatische Benachrichtigung für überwachte Exchange-Server zu aktivieren, wenn ein Parameter den kritischen Status erreicht hat.
Eine automatische Benachrichtigung kann über E-Mail oder über ein Skript erfolgen, das vom Administrator definierte Aktionen durchführen kann, wie z. B. Stoppen eines Dienstes oder ähnliches. Da eine E-Mail-Benachrichtigung aus einer Reihe von WMI-Platzhaltern besteht (Windows Management Instrumentation), kann sie an die eigenen Anforderungen angepasst werden.
Wird die E-Mail-Benachrichtigung genutzt, so sollte ein interner SMTP-Server angegeben werden, der anonyme Weiterleitungen (Relay) zulässt.
Automatische Benachrichtigungen werden im Exchange System-Manager im Bereich Tools/Monitoring und Logging der Exchange-Organisation definiert. Bei beiden Arten der automatischen Benachrichtigung muss der zu überwachende Server angegeben werden.
Protokollierung
Die Diagnose-Protokollierung eines Servers ist nützlich, wenn Nachforschungen über Sicherheitsvorfälle angestellt werden. Diese Art der Protokollierung erfolgt pro Server: Sie wird in den Eigenschaften eines Exchange-Servers auf der Registerkarte Diagnostic Logging konfiguriert.
Die Diagnose-Protokollierung sollte für die Protokollierung der POP3- und IMAP4-Ereignisse eingesetzt werden, da für diese Protokolle (im Gegensatz zu SMTP, HTTP und NNTP) keine andere Protokollierungsmöglichkeit existiert. Deshalb sollte für die Komponenten POP3Svc und IMAP4Svc die Protokollierung der Kategorie Authentication auf die maximal mögliche Protokollierungsstufe (Maximum) gesetzt werden.
Nachfolgend werden die empfohlenen Einstellungen für die Protokollierung aufgeführt:
- Die Komponente MSExchangeMTA (Microsoft Exchange Message Transfer Agent) in der Kategorie Security auf die maximal mögliche Protokollierungsstufe einstellen.
- Die Komponente MSExchangeIS (Microsoft Exchange Information Store Service) in folgenden Kategorien auf die maximale Protokollierungsstufe einstellen:
- Logons
- Access Control
- Send On Behalf Of
- Send As
Protokollierung der Internet-Protokolle
Die Protokollierung der SMTP- und NNTP-Protokolle wird im Exchange System-Manager in den Eigenschaften der virtuellen Server auf der Registerkarte General aktiviert. Die HTTP-Protokollierung wird im Internetdienst-Manager in den Eigenschaften des zu überwachenden virtuellen HTTP-Servers eingeschaltet.
Die Protokollierung der IMAP4- und POP3-Protokolle wird dagegen nicht mit einem Konfigurationswerkzeug, sondern durch Einträge in die Windows 2000 Registry aktiviert:
- HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ POP3Svc \ Parameters
- HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ IMAP4Svc \ Parameters
Die relevanten Werte hierbei sind: POP3 Protocol Log Path und POP3 Protocol Log Level sowie IMAP4 Protocol Log Path und IMAP4 Protocol Log Level. Der jeweils erste Wert verweist auf das Verzeichnis, in dem die Protokolldateien erstellt werden (das Namensformat ist L0000001.log). Der zweite Wert bezieht sich auf den Detailgrad der Protokollierung. Die Skala reicht dabei von 0 (keine Protokollierung) bis hin zu 5 (größter Detailgrad). Damit die Änderungen wirksam werden, ist ein Neustart der Dienste erforderlich.
Protokollierung für Instant Messaging
Um die Protokollierung für Instant Messaging zu aktivieren, sollte im Internetdienst-Manager in den Eigenschaften des virtuellen Verzeichnisses InstMsg auf der Registerkarte Website das Kontrollkästchen Enable Logging ausgewählt werden. Die Protokolldatei befindet sich dann im Verzeichnis \Winnt\System32\Logfiles\W3svc1.
Nachrichtentracking
Mit dem Nachrichtentracking lassen sich nicht nur vermisste Nachrichten in Warteschlangen aufspüren und Verzögerungen innerhalb des Übertragungspfades erkennen, sondern auch Hinweise darüber finden, ob bestimmte Nachrichten erfolgreich zugestellt wurden. Beim aktivierten Nachrichtentracking werden Statusinformationen in täglichen Protokolldateien aufgezeichnet und im Exchange-Log-Verzeichnis gespeichert (z. B. \Programme\Exchsrvr \<Servername>.log). Der Dateiname folgt dabei dem Schema <JJJJMMTT>.log. Diese Trackingprotokolle werden auf allen Exchange 2000 Servern über die Freigabe <Servername>.log sämtlichen Domänenbenutzern zugänglich gemacht. Die Gruppe Everyone sollte aus der Zugriffskontrollliste dieser Freigabe entfernt werden.
Ergänzende Kontrollfragen:
- Wird der freie Speicherplatz überwacht?
- Erfolgt eine automatische Benachrichtigung, wenn ein überwachter Parameter den kritischen Zustand erreicht hat?
- Enthält die Sicherheitsrichtlinie zum Einsatz von Exchange/Outlook detaillierte Vorgaben für die Systemüberwachung?