M 2.247 Planung des Einsatzes von Exchange/Outlook 2000
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Bevor Exchange/Outlook 2000 eingeführt wird, muss entschieden werden, für welche Einsatzzwecke das System genutzt werden soll. Von der Nutzungsart hängt ab, welche Server-Variante beschafft werden muss, z. B. Exchange 2000 Enterprise Server oder Exchange 2000 Conferencing Server, und sie bestimmt Art und den Umfang der notwendigen Planungen. Insbesondere hängen auch die festzulegenden Sicherheitsrichtlinien stark vom geplanten Einsatzszenario ab.
Generell kann grob zwischen drei verschiedenen Einsatzvarianten von Exchange-Servern unterschieden werden:
- Einsatz als Intranet-Server und Zugriff über Outlook 2000 Clients. In diesem Szenario liegt das Hauptaugenmerk auf dem Einsatz als internes System zur Bürokommunikation (E-Mail, Terminvereinbarung, Koordination von Gruppenarbeit).
- Einsatz als Intranet-Server und Zugriff über Web-Clients. In diesem Szenario liegt der Schwerpunkt auf der Nutzung von Browsern zum Zugriff auf einen Exchange-Server. Da an der Web-Schnittstelle des Exchange-Servers gänzlich andere Sicherheitsmechanismen genutzt werden, wird die sichere Konfiguration der Web-Schnittstelle als eigenes Szenario betrachtet.
- Einsatz in der DMZ (Demilitarisierte Zone). Ein Exchange-Server kann auch als öffentlich zugänglicher Informations-Server in einer DMZ eingesetzt werden. Diese Nutzungsart erfordert aufgrund der exponierten Stellung des Servers besondere Aufmerksamkeit bei der Systemkonfiguration.
Innerhalb dieser Einzelszenarien kann weiter dahingehend unterschieden werden, welche Funktionen von Exchange genutzt werden sollen, z. B. interne E-Mail, Internet-Mail, Konferenz-Funktionen, Instant Messaging, LDAP-Server oder HTML-Server. Eine Unterscheidung auf dieser Ebene soll hier nicht erfolgen. Grundsätzlich gilt jedoch, dass für die Nutzung jeder Funktionalität eine eigene Planung erforderlich ist, bei der auch Sicherheitsaspekte zu berücksichtigen sind. Für einige Funktionen existieren passende, allgemeine Bausteine in den IT-Grundschutz-Katalogen, siehe beispielsweise Baustein B 5.3 E-Mail, die dann zur Anwendung kommen.
Grundsätzlich müssen bei der Einsatzplanung folgende Aspekte berücksichtigt werden:
- Exchange 2000 integriert sich in das Active Directory (AD) von Windows 2000. Daher sollte die Exchange 2000 Planung mit der Planung des Active Directory (siehe M 2.229 Planung des Active Directory) abgestimmt sein. Bei der Installation von Exchange 2000 wird eine Schema-Erweiterung des Active Directories durchgeführt. Damit beeinflusst eine Exchange-Installation das Active Directory nachhaltig, so dass der Schema-Administrator des Windows 2000 Systems unbedingt beteiligt werden muss. Außerdem müssen die an der Planung beteiligten Personen ausreichende Kenntnisse über den generellen Aufbau des Windows 2000/XP Systems haben, insbesondere über die Verteilung der Domänen-Controller und die Erreichbarkeit des sogenannten Global Catalog Servers.
- Bei der Planung des Einsatzes von Exchange 2000 und Outlook 2000 ist über die Aufteilung in sogenannte Routing Groups zu entscheiden. Dies sind Verbände von Exchange-Servern, die über eine spezielle Hochgeschwindigkeitsverbindung miteinander kommunizieren. Dies löst das Site-Konzept (Standort-Konzept) von Exchange 5.5 ab. Weiterhin ist über die Aufteilung der Exchange-Server in administrative Gruppen zu entscheiden.
- Die E-Mail-Datenbanken können partitioniert und auf verschiedene Exchange-Server verteilt werden. Damit lassen sich E-Mail-Daten mit unterschiedlichem Schutzbedarf auf entsprechend physikalisch gesicherte Server aufteilen. Bei bedarfsgerechter Planung kann dies gleichzeitig die Performance und die Ausfallsicherheit erhöhen. Dies gilt auch für den Einsatz der Replikation der E-Mail-Datenbanken, die genutzt werden kann, um die Ausfallsicherheit zu erhöhen.
- Begleitend zur Planung des gewünschten Einsatzszenarios und der Verteilung der Exchange-Server ist eine Sicherheitsrichtlinie zu entwerfen, in der die für Exchange spezifischen Aspekte behandelt werden. Die dabei zu berücksichtigenden Gesichtspunkte sind in der Maßnahme M 2.248 Festlegung einer Sicherheitsrichtlinie für Exchange/ Outlook 2000 zusammengefasst.
- Die Konfiguration des Exchange-Systems erfolgt über die Mechanismen der System- und Gruppenrichtlinien von Windows 2000/XP. Diese Einstellungen müssen mit den allgemeinen Richtlinieneinstellungen von Windows 2000/XP abgestimmt sein (siehe auch M 2.231 Planung der Gruppenrichtlinien unter Windows 2000 und M 2.326 Planung der Windows XP Gruppenrichtlinien).
- Für die Anbindung eines Exchange-Systems an fremde E-Mail/Messaging-Systeme, z. B. X.400 oder ccMail, stehen sogenannte Connectoren zur Verfügung, welche die Verbindung zwischen den verschiedenen E-Mail-Systemen herstellen. Der Einsatz dieser Connectoren ist sorgfältig zu planen, um einen reibungslosen Ablauf des E-Mail-Verkehrs zu gewährleisten.
- Um die Weiterleitung von E-Mails über die eingerichteten Routing Groups hinweg zu ermöglichen, muss der Einsatz sogenannter Bridgehead Server geplant werden. Da diese Server in der Regel mit fremden Netzen kommunizieren müssen, sollten sie in einer demilitarisierten Zone (DMZ) oder zumindest hinter einer Firewall (siehe Baustein B 3.301 Sicherheitsgateway (Firewall)) platziert werden.
- Der Einsatz der Outlook 2000 Clients, deren Zugriffsmöglichkeiten auf das Exchange-System und die Absicherung dieser Zugriffe müssen geplant werden. Es ist ferner die Frage zu beantworten, ob eine Anbindung als MAPI-Client gewünscht ist oder nicht. In der Vergangenheit wurde die MAPI-Schnittstelle häufig zur Verbreitung von Programmen mit Schadfunktionen (z. B. Viren, Würmer, usw.) missbraucht.
- Die Administration des Exchange/Outlook 2000 Systems muss geplant werden. Die Aufgaben reichen dabei von der Festlegung der Verantwortlichkeiten inklusive Stellvertreterregelung in der Organisation bis zur Definition geeigneter Administrationsrollen. In den entsprechenden Domänen müssen dann Benutzergruppen mit passenden Rechten eingerichtet werden.
- Die E-Mail-Konten und die verwendeten Newsgroups der Organisation müssen geplant werden.
- Der Einsatz eines integrierten Viren-Schutzprogramms im Exchange/Outlook 2000 System muss geplant werden. Dabei ist zu entscheiden, ob ein solches Programm Server- und/oder Client-seitig eingesetzt wird.
- Die Behandlung aktiver Inhalte muss konsistent geplant werden. Dabei muss eine organisationsweit einheitliche Vorgehensweise festgelegt werden, nachdem die jeweiligen Vor- und Nachteile gegeneinander abgewogen wurden.
- Die organisationsweite Verwendung von "Out-of-Office"-Nachrichten muss entschieden werden, da bei der Verwendung dieser Funktionalität interne, personenbezogene Information, wie z. B. die Abwesenheit einer konkreten Person, auch nach außen gelangen können.
- Die Verwendung von E-Mail-Filtern zur Abwehr von Spam-Mail (unerwünschte Werbe-E-Mail) muss geplant werden.
- Für die Benutzung der Kalenderfunktion und der Aufgabenliste müssen ggf. die Zugriffsmöglichkeiten fremder Benutzer auf diese Funktionen festgelegt werden.
- In der Planung ist zu berücksichtigen, welche Outlook-Benutzer einen gemeinsamen Rechner verwenden. Entsprechend sind Profile auf diesen Rechnern anzulegen und gegenseitig abzusichern.
- Sollen Chat-, Instant Messaging-, Audio- oder Videokonferenz-Dienste in der Organisation genutzt werden, so muss deren Einsatz konzipiert werden.
- Es muss ein Konzept für Audit und Protokollierung entworfen werden. Dazu ist festzulegen, wie die Audit- und Protokollierungsfunktion des Exchange-Systems genutzt wird. Wird bereits ein unternehmensweites Audit- oder Protokollierungssystem eingesetzt, so ist zu entscheiden, ob und wie die Exchange-Integration erfolgt. Es ist darauf zu achten, den Datenschutzbeauftragten und den Personal- bzw. Betriebsrat frühzeitig in die Planung einzubeziehen, da im Rahmen der Überwachung auch personenbezogene Daten anfallen können.
- Für das Exchange-System muss ein Backup-Konzept und ein Notfallvorsorge-Konzept erstellt werden. Dabei ist auf die Integration in existierende Konzepte zu achten.
- Erfolgt der Zugriff auf ein Exchange-System über HTTP (HyperText Transfer Protocol) so ergeben sich besondere Sicherheitsaspekte. Diese sogenannte OWA-Funktionalität (Outlook Web Access) war in der Vergangenheit (speziell bei Exchange 5.5) oftmals das Ziel von Angriffen. Die Absicherung und die Konfiguration muss deshalb besonders sorgfältig ge-plant und umgesetzt werden. In Anbetracht der Sicherheitsrisiken beim Einsatz der OWA-Funktionalität muss im Unternehmen bzw. in der Behörde zunächst prinzipiell die Frage geklärt werden, ob der Browser-Zugriff überhaupt genutzt werden soll. Wird die OWA-Funktionalität genutzt, so ist allgemein folgendes zu beachten:
- Es ist zu entscheiden, auf welche Inhalte zugegriffen werden darf, z. B. öffentliche Verzeichnisse (public folders), Newsgroups oder auch auf die eigene Inbox.
- Die Aufstellung des Exchange-Servers, auf den über das Internet zugegriffen werden kann, ist sorgfältig zu planen. Hierbei geht es sowohl um die geeignete Abschottung nach außen als auch nach innen. In den meisten Fällen sollte der von außen erreichbare Exchange-Server in einer sogenannten Demilitarisierten Zone (DMZ) aufgestellt werden. Weitere Hinweise hierzu finden sich im Baustein B 3.301 Sicherheitsgateway (Firewall).
- Es ist zu beachten, dass ohne den Einsatz von Verschlüsselung, z. B. mit Hilfe von SSL, die zwischen Client und Server ausgetauschten Nachrichten unter Umständen von unberechtigten Dritten mitgelesen werden können. Der Einsatz von SSL muss genau geplant werden, damit eine sichere beidseitige Authentisierung von Client und Server erreicht werden kann.
Die Planung des Exchange/Outlook-Systems darf nur dann als abgeschlossen betrachtet werden, wenn auch das sogenannte Roll-out im Detail geplant worden ist. Dabei wird u. a. die Installationsreihenfolge der einzelnen Exchange-Server und aller Outlook-Clients festgelegt.
Ergänzende Kontrollfragen:
- Wurde das unterliegende Windows 2000/XP System bedarfsgerecht geplant?
- Wurde der Schema-Administrator in die Planung des Exchange-Systems einbezogen?
- Existiert ein Plan zur Verteilung der Exchange/Outlook-Software?