Download
microsoft exchange server 2000 n.
Skip this Video
Loading SlideShow in 5 Seconds..
Microsoft Exchange Server 2000 PowerPoint Presentation
Download Presentation
Microsoft Exchange Server 2000

Microsoft Exchange Server 2000

129 Vues Download Presentation
Télécharger la présentation

Microsoft Exchange Server 2000

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Microsoft Exchange Server 2000 GET secure, STAY secure! Verwendung von Microsoft Security Tools Mario Bono

  2. Agenda • Get secure • Stay secure Sicherheitskonzept • MSBSA • Hotfixes • Tools • Patch Management • MSUS • Checklisten • Dienste • MS WUPD Microsoft Security Tool Kit Security Operations Guides (W2K/E2K) • Server Security (Firewalls/DMZ) • Netzwerk Traffic • Client Zugriff Securing E2K & OWA Q & A

  3. Sicherheitskonzept Programm – integriert Microsoft Produkte, Support und Dienstleistungen (Microsoft Security Tool Kit) Phase 1: GET secure • Unterstützung für Windows NT 4.0 und Windows 2000 • Enthält Tools und Richtlinien zum sicheren Betreiben eines Servers der am Internet angeschlossen ist Phase 2: STAY secure • Tools, Updates • Patches, Consulting

  4. Microsoft Security Tool Kit http://www.microsoft.com/technet/ treeview/default.asp?url=/ technet/security/tools/Default.asp

  5. Microsoft Security Tool Kit Arbeitsstationen und Server • Security Checklisten • Security Vorlagen Hot Fixes • Windows Update • Microsoft Base Security Analyzer • HFNetCheck • QChain • Critical Update Notification IIS Dienste • IIS Checklisten • IIS Lockdown Tool • URLScan

  6. Checklisten / Vorlagen Vorhanden für: • Windows NT 4.0 • Windows NT 4.0 Terminal Server • Windows 2000 • Windows XP

  7. IIS Dienste Das Toolkit enthält Checklisten zum Sicheren betreiben von Internet Information Server und Internet Explorer • IE (für alle Versionen) • IIS 5.0 • IIS 4.0

  8. IIS TOOLS IIS Lockdown Wizard • Konfiguriert IIS auf Windows NT 4.0 oder Windows 2000 Server URLScan • Windows 2000 SP1 oder später • Analysiert vom IIS empfangene HTTP Anfragen

  9. Hotfixes - MS Windows Update Update bei Publikation der Sicherheits Bulletins Voraussetzungen: • Internet Explorer muss Cookies und • ActiveX Controls erlauben • Lokale Administrator Berechtigungen

  10. MS Baseline Security Analyzer Unterstützte Plattformen: • Windows 2000 Professional/Server • Windows XP Home Edition/Professional Voraussetzungen: • Lokale Administrator Berechtigungen • Mehr Sicherheits-Checks als Microsoft Windows Update • Unterstützung Remoter Workstations und Server

  11. MS Baseline Security Analyzer Überprüfung folgender Produkte/Services: • Windows NT 4.0 Workstation/Server • Windows 2000 Professional/Server • Windows XP Home Edition/Professional • IIS 4.0/5.0 • SQL 7.0/2000 • Erkennt SQL Server Instanzen • IE 5.01+

  12. MS Baseline Security Analyzer Überprüfung folgender Produkte/Services Fortsetzung: • Exchange und Windows Media Player • Office 97, 2000, XP • Support für Software Update Services (SUS) http://www.microsoft.com/technet/ security/tools/Tools/mbsahome.asp

  13. The Hotfix Network Checker Anwendung für Server und Client Workstations • Remote Unterstützung • Mehr Security-Checks als Windows Update • Windows 2000, IIS 4.0, IIS 5.0, SQL Server 7.0, SQL Server 2000, Internet Explorer 5.01 and later • Download verfügbarer Updates und Fixes als .XML Zusätzliche Funktionalität in der Pro und LT Version • Download der LT Version • http://www.shavlik.com

  14. Hotfix Allgemeine Überlegungen • Viele Neustarts • Reihenfolge Hotfix Installationbeachten Lösung • Windows Critical Update Notification • Security Tool Kit: QChain Tool

  15. QChain verwenden In Betriebssystem Integriert Seit SP3 integriert QChain verwenden QChain Entscheidungs Baum BetriebssystemWindows NT 4.0? Betriebssystem Windows XP? BetriebssystemWindows 2000 SP3 oder später

  16. Hotfix B Hotfix A Hotfix B Hotfix A X.dll (v3) X.dll (v1) X.dll (v3) X.dll (v1) QChain Tool QChain Tool X.dll (v3) Server Hotfix C Hotfix C X.dll (v2) X.dll (v2) X.dll (v2) QChain Tool - Funktionsweise Richtige Version Falsche Version

  17. QChain Tool für Windows NT 4.0 Switch – Z unterdrückt den Neustart @echo offsetlocalset PATHTOFIXES=E:\Hotfix %PATHTOFIXES%\Q123456i.exe -z -m%PATHTOFIXES%\Q123321i.exe -z -m%PATHTOFIXES%\Q123789i.exe -z -m%PATHTOFIXES%\qchain.exe Switch – M Unattended Mode

  18. QChain Tool für Windows 2000 @echo offsetlocalset PATHTOFIXES=E:\hotfix%PATHTOFIXES%\Q123456_w2k_sp2_x86.exe -z -m%PATHTOFIXES%\Q123321_w2k_sp2_x86.exe -z -m%PATHTOFIXES%\Q123789_w2k_sp2_x86.exe -z -m%PATHTOFIXES%\qchain.exe HotfixWindows 2000

  19. Critical Update Notification Service Informiert über neue Updates Drei Optionen: • Automatischer Download und Benachrichtigung über Installation • Benachrichtigung bei Download und Installation • Manuell

  20. Unternehmensweites Patch Management Windows Update Site – Permission Denied Keine Tests = keine Installation; Unternehmensweite Sicherheitsrichtlinien Lösung: • Microsoft Software Update Services (SUS)

  21. SUS Komponenten MSUS Server • Wird im Intranet zur Verfügung gestellt • Synchronisation mit Windows Update Site • Kontrolle über Update und Hotfix Verteilung Auto Update Client • Beruht auf Windows XP Auto Update • Check Intranet und öffentliche Windows Update Site • Zentralisierte Konfiguration • Auto-Download und Installation

  22. Microsoft Software Update Services A Administrator definiert Updates MSUS Server Konfiguration und Verteilung Per Group Policy Internet B Server A Download GEPRÜFTER Updates C C Microsoft Windows Update Server B Workstations

  23. MSUS Überlegungen Kann verwendet werden für: • Rollout von Hotfixes und • Security Updates Keine Unterstützung für: • Service Packs • Verteilung über Group Policies

  24. Security Operations Guide For Windows 2000 Server Chapter 1 - Introduction Chapter 2 - Understanding Security Risk Chapter 3 - Managing Security with Windows 2000 Group Policy Chapter 4 - Securing Servers Based on Role Chapter 5 - Patch Management Chapter 6 - Auditing and Intrusion Detection Chapter 7 - Responding to Incidents http://www.microsoft.com/technet/security/prodtech/windows/windows2000/staysecure/

  25. Sicherheitsvorlagen …

  26. Tool EventComb • Zentralisierte Auswertung der Event Logs • multi-threaded • Speicherung und Weiterverarbeitung per CSV Text File

  27. Security Operations Guide For Exchange 2000 Server Chapter 1 – Introduction Chapter 2 – Securing your Exchange 2000 Environment Chapter 3 – Securing Exchange 2000 Servers based on Role Chapter 4 – Securing Exchange Communications http://www.microsoft.com/technet/security/prodtech/mailexch/opsguide/default.asp

  28. Sicherheit: E2K & OWA Zuerst – Sicherheit beim Zugriff auf Server! • Firewalls/DMZ • Virus Protection Netzwerkzugriffe zwischen Servern • Protokolle • Ports • Spoofing usw. Clientzugriffe sichern • MAPI – OUTLOOK • OWA

  29. Serverzugriffe Hardening Windows 2000 - siehe Sicherheitsvorlagen Unnötige Dienste deaktivieren Firewalls • Deaktivieren nicht benötigter Ports • ISA server versus Hardwarelösungen • Spezial HW bietet weniger Angriffspunkte • Teurer in der Anschaffung • ISA server • Integration mit Microsoft Server & Backoffice Familie • Günstigere Anschaffung

  30. Einfache Firewall HTTP, IMAPoder POP3 Client Active Directory Global Catalog Server Internet Exchange 2000 Server Exchange 2000 Front-EndServer Firewall Offene Ports: 443, 993, 995 Exchange 2000 Server

  31. Typische DMZ Konfiguration HTTP, IMAPoder POP3 Client Active Directory Global Catalog Server DMZ Internet Exchange 2000 Server Exchange 2000 Front-EndServers Firewall Offene Ports:443, 993, 995 Firewall OffenePorts: 80143, 110, LDAP, … Exchange 2000 Server

  32. Firewalls und Client Zugriffe Zugriff auf “Internen” (Firewall) Exchange Server vom Internet • Inbound RPC Zugriff auf Firewall • Typisches Szenario für Roaming Users Zugriff auf Exchange Server (DMZ) von Intern • Untypisches Szenario • Outbound RPC Zugriff erlauben Best Practice: VPN´s = keine Probleme mehr

  33. (HTTP, IMAP, POP) DMZ Überlegungen • FE und BE müssen dem gleichen Forest angehören • FE benötigt Zugriff auf DNS Server • FE benötigt RPC beim Zugriff auf AD • nur wenn Authentisierung eingeschalten ist

  34. RPCs in der DMZ • IIS verwendet RPCs für Authentisierung • Vor SP2, RPCs zum Auffinden von DCs • RPC nicht erforderlich; Einschränkungen: • Explizites Logon erforderlich http://server/exchange/user • Kein Load Balancing für Öffentliche Ordner

  35. Port Filtering in der DMZBenötigte Ports • Client Mail Zugriff • 443 TCP vom Internet (HTTPS) • 80 TCP zum Intranet (HTTP) • LDAP • 389 TCP und UDP • 3268 TCP (Globaler Catalog) • Kerberos • 88 TCP und UDP • DNS (oder DNS Server in DMZ) • 53 TCP und UDP

  36. Port Filtering in der DMZBenötigte Ports … • IPsec (optional) • Kerberos Ports • Securing Kerberos with IPSec on DCs broken in Win2K SP2 (Q309304) oder SP3 • 500 UDP: Internet Key Exchange (IKE) • ESP (Encapsulating Security Payload ): Port 50 • AH (Authentication Header): Port 51 • RPCs (optional) • 135 und 1024 oder.. • 135 und Single Port (Konfiguration, Q224196)

  37. Überlegungen zu SPAM Relaying • Was ist SPAM Relaying? O MAIL FROM: <info@bono.to> RCPT TO: <billi@MS.com> 550 5.7.1 Unable to relay for <billi@MS.com> “Evil Spammer” Bono.to

  38. Überlegungen zu SMTP  • Definition SPAM Relaying? Bono.to MAIL FROM: <info@bono.to> RCPT TO: <virus@bono.to> • Falsch “Von:” • Richtig “An:” • Nachricht • Filter greifen nicht? “EVIL Spammer”

  39. SMTP Server Einstellungen • Relay Einstellungen • Best Practice: • Default!

  40. Anti-Spoofing: ResolveP2 • Problem: irgend jemand übermittelt eine Nachricht • Von: Info@Bono.to • Beim Öffnen dieser erscheint: • Von: Mario Bono • Betreff: DU BIST GEFEUERT • Eigenschaften des Senders anzeigen • Name wird aufgelöst

  41. ResolveP2 • Was ist “P2”? • X.400 Name für “Body” der Nachricht • Envelope (Umschlag) ist P1 • Bei SMTP, P2 entspricht dem „Body“ nach RFC 2822 • Anzeige der Clients immer in Form vonVon: und An: oder P2 • Was bedeutet “resolve”? • Werden Informationen die bei Zustellung einer Nachricht zum Server und Abruf durch MAPI Clients mit dem Adressbuch abgeglichen? • Ja, wenn Übereinstimmungen gefunden werden sieht die E-Mail wie von “Intern” aus.

  42. ResolveP2 History • Exchange 5.0 • Default: “resolve everything” • Regkey zum Deaktivieren • Exchange 5.5: • Default: “resolve nothing” • Regkey zum Aktivieren • Exchange 2000 • Default: “resolve everything”, keine Kontrolle bei E2K RTM • Exchange 2000 SP1: ResolveP2 Regkey

  43. Exchange 2000 SP1+ ResolveP2 • Registry Key für ResolveP2 • Siehe KB-Artikel Q288635 • Outlook XP Erweiterungen • Vorschaufenster unterscheidet zwischen unaufgelösten Adressen ohne die Nachricht zu öffnen • Bei Antworten; nicht aufgelöste Adressen werden als <xxxx@yyyy.com>Name dargestellt

  44. Allgemeine Überlegungen zu SMTP • Internet Mail ist nicht sicher! • Ausnahme Verschlüsselung • Jeder kann E-Mails an jeden senden • “Evil People” • Können immer mit Ihrer Adresse als Absender auftreten! • Aber nicht über Ihren Server, wenn Relaying ausgeschalten ist!

  45. Authentisierung zwischen Servern im Netzwerk • Automatische Server zu Server Authentisierung mit X-EXPS • Kerberos/NTLM • Default SMTP Protokoll Erweiterungen in Exchange 2000 SMTP AUTH (RFC 2554) • Verbindung zu externen Systemen,wird am SMTP Connector eingestellt

  46. Verschlüsselung zwischen Servern im Netzwerk • IPSec • Einfache Konfiguration • Über Group Policy Einstellung: “erfordert Verschlüsselung des Inbound Traffics, Port 25” auf allen Exchange Servern http://www.microsoft.com/windows2000/techinfo/ planning/security/ipsecsteps.asp • Einsatz von IPSec Accelerator Ethernet Cards

  47. Client Zugriff • Outlook (MAPI) Clients • Outlook Web Access (HTTP) Clients

  48. Netzwerk Sicherheit mit Outlook Clients • Verschlüsselung • in Mail Einstellungen ändern • MAPI RPC • Am FE keine Mailboxen • Verwendet UDP vom Server zum Client für Benachrichtigung über neue E-Mail

  49. OWA Verschlüsselung zwischen Servern • Traffic von FE zu BE • Isolierte Netzwerke • IPSec? (RFCs 1825, 1826, 1827) • Internet Key Exchange (IKE): RFC 2409 • Encapsulating Security Payload (ESP) oder Authentication Header (AH) • Client (respond only) policy • ISA can inspect IPSec’d traffic

  50. OWA Authentisierung am Server • (Optional) FE Authentisierung aktiviert • Erfordert RPC • Deaktivieren anonymer Anfragen auf BE • SMTP Domain auf virtuellem Server • Benutzer benötigt E-Mail Adresse der Domain um sich anzumelden