Exchange Server 2003 mit „Sicherheit-im-Standard“: Aktualisieren von Exchange 2000 Server
Letztes Änderungsdatum des Themas: 2006-10-31
Beim Aktualisieren von Exchange 2000 auf Exchange 2003 konfigurieren Exchange 2003-ForestPrep und das Exchange 2003-Setupprogramm die meisten „Sicherheit-im-Standard“-Einstellungen, die bei neuen Installationen von Exchange 2003 implementiert werden. In diesem Thema wird erläutert, welche Sicherheitseinstellungen bei einer Aktualisierung automatisch konfiguriert werden und welche manuell konfiguriert werden sollten.
Nachrichtenbeschränkungen
Einer der effektivsten DOS-Angriffe (Denial Of Service) erfolgt durch die Belastung eines Nachrichtensystems mit sehr großen Nachrichten, 20 MB und größer. Diese Angriffstaktik zwingt den Nachrichtenserver zum Verschieben großer Datenblöcke, damit verbunden zu Auswirkungen auf das E/A-System des Computers, bis hin zu Verzögerung oder Unterbrechung des Nachrichtendiensts.
Als Antwort auf diese Angriffstaktik beschränkt Exchange 2003 alle Nachrichten auf einen Größe von 10 MB (10240 KB). Dies gilt auch für Nachrichten, die in der Exchange-Organisation gesendet oder empfangen werden. Zusätzlich gilt die Beschränkung auf 10 MB auch für alle Nachrichten, die in Öffentliche Ordner übermittelt werden.
Während einer Aktualisierung ändert das Exchange-Setup keine bereits vorhandenen Beschränkungen. Das Exchange-Setup ändert diese Einstellungen nur, wenn die vorhandenen Beschränkungen auf Unbegrenzt festgelegt sind.
Verwenden Sie im Exchange-System-Manager zur Konfiguration der Einstellungen zum Senden und Empfangen von Nachrichten die Registerkarte Standard in den Eigenschaften von Globale Nachrichtenübermittlung.
Zur Konfiguration der maximalen Nachrichtengröße in den Öffentlichen Ordnern verwenden Sie im Exchange-System-Manager die Registerkarte Grenzwerte in den Eigenschaften von Öffentliche Informationsspeicher.
Exchange 2003 stellt Nachrichtenbeschränkungen auch für MIME zur Verfügung. Diese Beschränkungen werden auch bei einer Aktualisierung auf Exchange 2003 angewendet. In der folgenden Tabelle werden diese Einstellungen beschrieben.
.gif "note") Anmerkung: |
|---|
| Wird eine MIME-Beschränkung erreicht, erhält der Absender der Nachricht einen Unzustellbarkeitsbericht (NDR). |
MIME-Beschränkungen
Grenzwert |
Wert |
Beschreibung |
Verschachtelungsebenen |
30 |
Anzahl der verschachtelten MIME-Bestandteile einer Nachricht. |
Nachrichtentext |
250 |
Maximale Anzahl der Nachrichtentext-Bestandteile einer Nachricht. |
Kopfzeilengröße Nachrichten-ID |
1877 Bytes |
Maximale Größe der Kopfzeile einer Nachrichten-ID. |
Kopfzeilengröße Betreff |
2000 Bytes |
Maximale Größe der Betreff-Kopfzeile. |
Kopfzeilengröße MIME |
2000 Bytes jeweils |
Maximale Größe für jede der folgenden Kopfzeilen: Typ, Beschreibung, Disposition, Übermittlungskodierung, ID, Basis, Speicherort. |
Dienste
Das Exchange 2003-Setup ändert keine bestehenden Dienstkonfigurationen. Die Anwendung der Vorlagen für Exchange-Sicherheitsgruppenrichtlinien oder aber die Konfiguration der Dienste zur Übereinstimmung mit der Serverfunktion wird dringend empfohlen.
Outlook Mobile Access
Die Einstellung zur Aktivierung der Outlook Mobile Access-Funktionen wird durch die Ausführung von ForestPrep festgelegt. In der Standardeinstellung wird Outlook Mobile Access von ForestPrep nicht aktiviert. Ist Outlook Mobile Access bereits aktiviert, wird es im Laufe einer Aktualisierung von ForestPrep jedoch nicht deaktiviert.
Laufwerk M:
Während der Aktualisierung von Exchange 2000 entfernt das Exchange 2003-Setup das Laufwerk M.
Authentifizierung für virtuelle Server
Beim Aktualisieren von Exchange 2000 sichert das Exchange 2003-Setup einige virtuelle Serverinstanzen von POP3, IMAP4 und NNTP ab.
Virtuelle POP3- und IMAP4-Server
Beim Aktualisieren eines als Front-End-Server konfigurierten Exchange 2000-Computers deaktiviert das Exchange 2003-Setupprogramm den anonymen Zugriff und aktiviert die Standardauthentifizierung für virtuelle POP3- und IMAP4-Server. Wenn Sie einen Back-End-Server aktualisieren, werden die virtuellen Serverinstanzen nicht geändert.
Virtuelle NNTP-Server
Beim Aktualisieren ändert das Exchange 2003-Setup die Standardinstanzen der virtuellen NNTP-Server. Insbesondere wird die anonyme Authentifizierung deaktiviert und stattdessen die Standardauthentifizierung und integrierte Windows-Authentifizierung aktiviert. Virtuelle Server, die nicht dem Standard entsprechen (nicht vom Setup erstellte virtuelle Serverinstanzen), werden beim Aktualisieren nicht geändert. Stellen Sie eine entsprechende Authentifizierung sicher, wenn Sie neue virtuelle NNTP-Server erstellt haben.
Lokale Zugriffsverweigerung für Domänenbenutzer
In Exchange 2003 können sich Domänenbenutzer nicht lokal am Exchange-Server anmelden. Beim Aktualisieren konfiguriert das Exchange 2003-Setupprogramm die lokale Computerrichtlinie, damit der lokale Zugriff für Domänenbenutzer verweigert wird.
Erstellen von Öffentlichen Ordnern der obersten Ebene
Mitglieder der Gruppe Jeder und anonyme Benutzer können in Exchange 2003 keine Öffentlichen Ordner der obersten Ebene erstellen. ForestPrep konfiguriert diese Einstellungen für die Zugriffssteuerung beim Aktualisieren.
Konfigurieren der Zugriffssteuerung
Beim Aktualisieren und bei neuen Installationen wendet das Exchange 2003-Setupprogramm Zugriffssteuerungslisten (ACLs) auf Verzeichnisse an, die es in Übereinstimmung mit den ACLs erstellt, die im Verzeichnis Programme festgelegt sind. Wenn von einem Administrator die Standard-ACLs im Verzeichnis Programme geändert wurden, verwendet Exchange 2003-Setup diese Änderung für die meisten Verzeichnisse, die während des Setups erstellt werden. Abgesehen von ausdrücklichen Änderungen werden die Verzeichnisse stark eingeschränkt. Unabhängig von den möglicherweise in Ihrem Verzeichnis Programme vorhandenen ACLs, konfiguriert das Exchange-Setupprogramm das Verzeichnis Mailroot (in \Programme\Exchsrvr) jedoch derart, dass der Zugriff durch Gastkonten oder anonyme Benutzer entfernt wird.
Die Konfiguration der Zugriffssteuerung für Exchange-Verzeichnisse wird dringend empfohlen. Informationen zum Konfigurieren der Zugriffssteuerung für die Exchange-Verzeichnisse finden Sie unter Absichern von Back-End-Servern.