M 4.163 Zugriffsrechte auf Exchange 2000 Objekte

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Sicherheit von Exchange 2000 wird unter anderem von der Sicherheit des Active Directory von Windows 2000 bestimmt. Ein wesentlicher Bestandteil der Installation von Exchange 2000 ist die Schema-Erweiterung des Active Directory, bei der Exchange-spezifische Objekte und zusätzliche Attribute zu bereits bestehenden Objekten dem Verzeichnisdienst hinzugefügt werden. Die wichtigsten Objekte sind: Mailbox, Custom Recipient, Distribution List, Connectors, Public Folder sowie Server.

Diese Objekte speichern zum großen Teil personen- und organisationsbezogene Daten, steuern die Verteilung von E-Mails und müssen daher vor unberechtigten Zugriffen geschützt werden. Die Vergabe der Zugriffsrechte auf die Exchange-Objekte ist von zentraler Bedeutung für die Sicherheit einer Exchange-Installation. Die Zugriffssteuerung erfolgt über Access Control Lists ( ACL s). Die Vergabe der Zugriffsberechtigungen auf die Exchange-Objekte geschieht wie im Active Directory üblich. Deshalb sei in diesem Zusammenhang auf folgende Maßnahmen der Bausteine Windows 2000 Server und Active Directory verwiesen:

Konfigurationswerkzeuge

Die Administration der Exchange 2000 Objekte erfolgt - wie bei Windows 2000 üblich - über die sogenannte Microsoft Management Console (MMC) und zugehörige Snap-Ins: Exchange System, Exchange Message Tracking System und Exchange Advanced Security.

Das Dienstprogramm ADSI Edit kann zur Anzeige der Informationen im Active Directory verwendet werden.

Administration der Zugriffsrechte

Nach der Standardinstallation von Exchange 2000 unter dem Administratorkonto besitzen Domänen- und Enterprise-Administratoren volle Administrationsrechte über die Exchange-Organisation. Dies ist jedoch unerwünscht, da so keine klare Trennung der Administrationsaufgaben möglich ist. Daher wird empfohlen, die Installation unter einem gesonderten Benutzerkonto durchzuführen, wie es in der Maßnahme M 4.161 Sichere Installation von Exchange/Outlook 2000 beschrieben wird.

Auf der Ebene der Organisation oder der administrativen Gruppen sollte für die Zuweisung von Berechtigungen stets der Assistent für die Zuweisung von Verwaltungsberechtigungen auf Exchange-Objekte im Exchange System Manager verwendet werden.

Konfiguration von Exchange 2000 spezifischen Benutzerberechtigungen

Die Exchange 2000 spezifischen Berechtigungen können individuellen Benutzer- und Gruppenkonten zugewiesen werden (über die Registerkarte Security in den jeweiligen Benutzer-Objekteinstellungen). Eine gruppenorientierte Berechtigungsvergabe ist dabei grundsätzlich vorzuziehen.

Die folgenden Berechtigungen sollten grundsätzlich nur die Exchange-Administratoren besitzen:

Mailbox-Speicher

Es wird empfohlen, das "lockdown"-Skript (edslock.vbs) auf allen Exchange 2000 Servern auszuführen. Dadurch werden Implementierungsfehler behoben und Zugriffsmöglichkeiten auf die Mailbox-Stores des lokalen Servers eingeschränkt.

Zugriffsrechte auf die privaten Postfächer (Mailbox)

Die standardmäßig vergebenen Zugriffsrechte auf ein privates Postfach eines Benutzers brauchen im Allgemeinen nicht angepasst werden, da nur dem Postfach-Besitzer Leseberechtigungen und voller Zugriff auf das Postfach eingeräumt werden. Es ist zu beachten, dass diese Berechtigungen nicht über den Exchange System-Manager sondern mit Hilfe des MMC-Snap-Ins Active Directory Users and Computers in den Eigenschaften des jeweiligen Benutzerkontos vergeben werden (Registerkarte Exchange Advanced).

Einschränkung der Zugriffsrechte auf öffentliche Ordner

Die standardmäßig nach der Installation von Exchange 2000 vergebenen Zugriffsrechte erlauben den Mitgliedern der Gruppe Jeder (Everyone) das Erstellen von neuen öffentlichen Ordnern aus Outlook heraus. Dieses Recht sollte jedoch soweit wie möglich eingeschränkt werden, da der Besitzer eines öffentlichen Ordners dort auch Formulare veröffentlichen kann, die aktive Inhalte enthalten können. Da dies u. U. ein Sicherheitsrisiko darstellt, sollten nur wenige Personen das Recht besitzen, neue öffentliche Ordner anzulegen.

Es wird daher empfohlen, folgende Rechte nur vertrauenswürdigen Personen zu gewähren:

Der Gruppe Jeder sollten außerdem auch die administrativen Berechtigungen (z. B. das Recht, ACLs oder andere Eigenschaften eines Ordners zu ändern) explizit verwehrt werden.

Die Vergabe der Berechtigungen Create Public Folder, Create Top Level Public Folder, Modify Public Folder ACL, Modify Public Folder Admin ACL geschieht im Exchange System-Manager in den Eigenschaften des jeweiligen öffentlichen Ordners (Registerkarte Security). Weitere Zugriffsberechtigungen auf öffentliche Ordner werden in der Registerkarte Permissions vergeben. Dort befinden sich die drei Schaltflächen Client permissions, Directory rights und Administrative rights.

Sicherheitseinstellungen für Organisationsformularbibliotheken (OFL)

Ordnerformularbibliotheken werden bei der Erstellung eines Nachrichtenordners implizit angelegt. Diese erben die Einstellungen der Ordnerkonfiguration und die Benutzerberechtigungen. Auf der Ebene des Systemordners (der verborgen ist) liegt die Organisationsformularbibliothek. Standardmäßig kann nur der Administrator, der die Organisationsformularbibliothek erstellt hat, Outlook-Formulare dort registrieren.

Es wird empfohlen, die Berechtigungen für die Registrierung der Outlook-Formulare sehr restriktiv zu vergeben, da die Formulare auch mit aktiven Inhalten ausgestattet werden können. Sollen weitere Benutzer diese Berechtigungen besitzen, so kann dies mit Hilfe des Exchange System-Managers festgelegt werden: mit der rechten Maustaste unter EFORMS REGISTRY auf den Ordner der Organisationsformularbibliothek klicken, Properties wählen, zur Registerkarte Permissions wechseln und auf die Schaltfläche Client Permissions klicken, um weitere Benutzer anzugeben.

Vergabe der Berechtigung send on behalf und ähnlicher Berechtigungen

Folgende Exchange 2000 spezifische Berechtigungen sind bei der Festlegung von Stellvertretern für Benutzer von Bedeutung: Senden als (send as), Senden im Auftrag (send on behalf) und Empfangen als (receive as). Diese Berechtigungen werden mit dem MMC-Snap-In Active Directory Users and Computers in den Eigenschaften des jeweiligen Benutzers vergeben (send as und receive as auf der Registerkarte Security, send on behalf auf der Registerkarte Exchange General).

Von der Vergabe der Berechtigung send as an Benutzer wird grundsätzlich abgeraten. Falls notwendig, sollte stattdessen die Berechtigung send on behalf vergeben werden, die auch dann gesetzt wird, wenn ein Benutzer auf der Registerkarte Delegation in den Outlook-Einstellungen einen Benutzer als seinen Stellvertreter angibt.

Diese Berechtigungen sind in hohem Maße sicherheitsrelevant. Die Berechtigungen send on behalf und receive as sollten nur sehr restriktiv und die Berechtigung send as sollte gar nicht vergeben werden.

Ergänzende Kontrollfragen: