(0) exportieren Drucken
Alle erweitern
0 von 1 fanden dies hilfreich - Dieses Thema bewerten.

Sicherheitshandbuch für Exchange 2007

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2007-09-17

In der Vergangenheit hat das Exchange-Team für jede Version von Microsoft Exchange Server ein eigenständiges Sicherheitshandbuch mit Informationen zu Berechtigungen und Sicherheit veröffentlicht. Dieser Ansatz war sinnvoll, um Dienste und Verzeichnisse nach dem Ausführen von Exchange-Setup zu sperren. Bei dem auf Serverfunktionen basierenden Setup in Microsoft Exchange Server 2007 aktiviert Microsoft Exchange jedoch nur die Dienste, die von der jeweils installierten Serverfunktion benötigt werden. Microsoft Exchange muss nach der Installation nicht mehr hinsichtlich der Sicherheit optimiert werden. Es ist als standardmäßig sicher ausgelegt.

Daher erfordert Exchange 2007 kein Sperren oder Härten, im Gegensatz zu früheren Versionen von Exchange Server, in denen IT-Administratoren mithilfe mehrerer Verfahren Sperrungen für die Server vornehmen mussten, auf denen Exchange Server ausgeführt wurde.

Dieses Handbuch wurde für IT-Administratoren geschrieben, die für die Absicherung der Exchange 2007-Bereitstellung verantwortlich sind. Es ist dazu bestimmt, den IT-Administrator beim Verständnis und der Verwaltung der gesamten Sicherheitsumgebung zu unterstützen, in der Exchange installiert ist. Folgende Informationen sind in diesem Handbuch enthalten:

Anfang 2002 führte Microsoft die Microsoft-Initiative "Trustworthy Computing" ein. Seit der Einführung dieser Initiative hat sich der Entwicklungsprozess bei Microsoft und im Exchange Server-Team auf die Entwicklung von Software konzentriert, die standardmäßig sicher ist. Weitere Informationen finden Sie unter Trustworthy Computing.

In Exchange 2007 wurde Trustworthy Computing in den folgenden vier Kernbereichen implementiert:

  • Sicherer Entwurf (Secure by Design)   Exchange 2007 wurde in Übereinstimmung mit dem Trustworthy Computing-Sicherheitsentwicklungs-Lebenszyklus entworfen und entwickelt. Der erste Schritt bei der Erstellung eines sichereren Messagingsystems bestand darin, Bedrohungsmodelle zu entwerfen und jedes Feature bereits in der Entwurfsphase zu testen. Mehrere sicherheitsbezogene Verbesserungen wurden in Codierungsprozess und -methoden integriert. Integrierte Tools erkennen Pufferüberläufe und andere potenzielle Sicherheitsbedrohungen, bevor der Code in das endgültige Produkt eingebaut wird. Natürlich ist es unmöglich, bereits beim Entwurf alle unbekannten Sicherheitsbedrohungen zu berücksichtigen. Kein System kann 100-prozentige Sicherheit garantieren. Indem jedoch beim gesamten Entwurfsprozess sichere Entwurfsgrundsätze angewendet wurden, bietet Exchange 2007 noch mehr Sicherheit als frühere Versionen.
  • Standardmäßige Sicherheit (Secure by Default)   Ein Ziel von Exchange 2007 war die Entwicklung eines Systems, in dem der Großteil der Netzwerkkommunikation standardmäßig verschlüsselt wird. Mit Ausnahme der SMB-Clusterkommunikation (Server Message Block) und eines Teils der UM-Kommunikation (Unified Messaging) wurde dieses Ziel erreicht. Durch die Verwendung von selbstsignierten Zertifikaten, dem Kerberos-Protokoll, SSL (Secure Sockets Layer) und anderer dem Industriestandard entsprechenden Verschlüsselungstechniken sind fast alle Exchange 2007-Daten im Netzwerk geschützt. Zusätzlich ermöglicht das auf Serverfunktionen basierenden Setup, mit Exchange 2007 nur die für eine bestimmte und geeignete Serverfunktion benötigten Dienste und zugehörigen Berechtigungen zu installieren. In früheren Versionen von Exchange Server mussten alle Dienste für alle Funktionen installiert werden. 
    noteHinweis:
    Zum Verschlüsseln von SMB und für die UM-Kommunikation muss IPsec (Internet Protocol Security) bereitgestellt werden. Zukünftige Versionen dieses Handbuchs enthalten möglicherweise Informationen zur Verschlüsselung von SMB und zur UM-Kommunikation.
  • Antispam- und Antivirusfunktionen   Exchange 2007 enthält eine Suite von Antispam-Agents, die im Umkreisnetzwerk ausgeführt werden. Die Antivirusfunktionen wurden durch Hinzufügen von Microsoft Forefront Security für Exchange Server als Microsoft-Lösung weiter verbessert.
  • Sichere Bereitstellung (Secure by Deployment)   Während der Entwicklung von Exchange 2007 wurde die Vorversion in der Microsoft-IT-Produktionsumgebung bereitgestellt. Basierend auf den Daten dieser Bereitstellung wurde der Microsoft Exchange Best Practice Analyzer aktualisiert, um reale Sicherheitskonfigurationen zu untersuchen, und in der Exchange 2007-Hilfe wurden bewährte Methoden für vor und nach der Bereitstellung dokumentiert. 
    In der Vergangenheit wurde die Berechtigungsverwaltung nach Abschluss der Dokumentation des Kernprodukts dokumentiert und ausgeliefert. Wir sind uns allerdings bewusst, dass die Berechtigungsverwaltung kein Add-In-Prozess ist. Sie sollte in die gesamten Planungs- und die Bereitstellungsphasen der Exchange 2007-Bereitstellung integriert sein. Daher haben wir die Dokumentation zur Berechtigungsverwaltung optimiert und in die Kerndokumentation integriert, um einen nahtlosen Kontext für Administratoren zur Planung und Bereitstellung des Verwaltungsmodells zur Verfügung zu stellen.
  • Kommunikation   Nach der Freigabe von Exchange 2007 bemüht sich das Exchange-Team, die Software kontinuierlich zu aktualisieren und Sie auf dem Laufenden zu halten. Indem Sie Ihr System mit Microsoft Update auf dem neuesten Stand halten, stellen Sie sicher, dass in Ihrer Organisation stets die aktuellsten Sicherheitsupdates installiert werden. Exchange 2007 enthält auch Antispamaktualisierungen. Zusätzlich können Sie sich durch Abonnement der technischen Sicherheitsbenachrichtigungen von Microsoft stets über die neuesten Sicherheitsprobleme in Exchange 2007 informieren.

Inhalt dieses Handbuchs

Betrachten wir nun einige der grundlegenden bewährten Methoden, die Ihnen beim Erstellen und Verwalten einer sichereren Umgebung helfen. Grundsätzlich besteht die wirksamste Vorgehensweise zur Optimierung Ihrer Exchange 2007-Umgebung hinsichtlich der Sicherheit darin, Software- und Antivirussignaturdateien immer auf dem aktuellen Stand zu halten und regelmäßig Analysetools auszuführen. 

In diesem Abschnitt werden einige bewährte Methoden beschrieben, um eine Exchange 2007-Umgebung abzusichern und die Sicherheit beizubehalten.

Die folgenden Tools werden von Microsoft bereitgestellt, um eine sichere Umgebung zu erstellen. Führen Sie die folgenden Tools vor der Installation von Exchange 2007 aus:

  • Microsoft Update
  • Exchange Best Practices Analyzer
  • Microsoft Baseline Security Analyzer
  • IIS-Sperrprogramm (Internet Information Services) und URLScan, nur für Umgebungen, in denen Sie Windows Server 2003 nach der Aktualisierung von Windows 2000 Server ausführen.
  • Exchange-Vorlagen für den Sicherheitskonfigurations-Assistenten

Microsoft Update ist ein neuer Dienst, der dieselben Downloads wie Windows Update sowie zusätzlich aktuelle Updates für andere Microsoft-Programme bereitstellt. Mithilfe dieses Diensts können Sie die Sicherheit und Leistung des Computers optimieren.

Ein wichtiges Feature von Microsoft Update ist die Windows-Funktion Automatische Updates. Dieses Feature installiert automatisch wichtige Updates, die für die Sicherheit und Zuverlässigkeit des Computers unerlässlich sind. Ohne diese Sicherheitsupdates ist der Computer anfälliger für Angriffe durch Internetbetrüger und bösartige Software (oder Malware).

Am zuverlässigsten ist es, sich die Microsoft-Updates mithilfe der Windows-Funktion Automatische Updates automatisch auf den Computer installieren zu lassen. Sie können Automatische Updates aktivieren, wenn Sie sich bei Microsoft Update anmelden.

Windows analysiert daraufhin die auf dem Computer installierte Microsoft-Software und überprüft, welche aktuellen und früheren wichtigen Updates benötigt werden. Diese werden dann heruntergeladen und automatisch installiert. Anschließend wiederholt Windows diesen Aktualisierungsvorgang für wichtige Updates, sobald Sie sich beim Internet anmelden.

noteHinweis:
Wenn Sie Automatische Updates bereits verwenden, funktioniert Microsoft Update weiterhin so, wie Sie es eingerichtet haben.

Zum Aktivieren von Microsoft Update besuchen Sie Microsoft Update.

Der Standardmodus von Microsoft Update erfordert, dass jeder Exchange-Computer mit dem Internet verbunden ist, um die automatischen Updates zu empfangen. Wenn Sie Server betreiben, die nicht mit dem Internet verbunden sind, können Sie WSUS (Windows Server Update Services) installieren, um die Verteilung der Updates auf die Computer in der Organisation zu verwalten. Dann können Sie Microsoft Update auf den internen Exchange Server-Computern so konfigurieren, dass sie die Updates vom internen WSUS-Server anfordern. Weitere Informationen finden Sie unter Microsoft Windows Server Update Services 3.0

WSUS ist nicht die einzige verfügbare Microsoft Update-Verwaltungslösung Weitere Informationen dazu, welche Microsoft Update-Verwaltungslösung Ihre Anforderungen am besten erfüllt, finden Sie unter MBSA, MU, WSUS, Essentials 2007 oder SMS 2003?.

Exchange 2007 verwendet außerdem die Microsoft Update-Infrastruktur, um die Antispamfilter auf dem neuesten Stand zu halten. Bei manuellen Updates muss der Administrator standardmäßig Microsoft Update besuchen und die Inhaltsfilteraktualisierungen herunterladen und installieren. Alle zwei Wochen stehen aktualisierte Inhaltsfilterdaten zum Download zur Verfügung.

Bei manuellen Updates mithilfe von Microsoft Update sind keine Microsoft-Zuverlässigkeitsdienst- oder Spamsignaturdaten eingeschlossen. Der IP-Zuverlässigkeitsdienst von Microsoft sowie Spamsignaturdaten sind nur in Verbindung mit den automatischen Antispamaktualisierungen von Forefront Security für Exchange Server erhältlich.

noteHinweis:
Automatische Forefront-Antispamaktualisierungen sind ein Premiumfeature, für das entweder eine Exchange Enterprise-Clientzugriffslizenz für jedes Benutzerpostfach oder eine Forefront Security für Exchange Server-Lizenz erforderlich ist.

Weitere Informationen zum Aktivieren von automatischen Forefront-Antispamaktualisierungen finden Sie unter Antispamaktualisierungen.

Exchange Best Practices Analyzer ist eines der effektivsten Tools, mit dessen regelmäßiger Ausführung Sie überprüfen können, ob Ihre Exchange-Umgebung sicher ist. Exchange Best Practices Analyzer untersucht automatisch eine Microsoft Exchange-Bereitstellung und ermittelt, ob die Konfiguration den bewährten Methoden von Microsoft entspricht. Sie können Exchange Best Practices Analyzer auf einem Clientcomputer installieren, auf dem Microsoft .NET Framework 1.1 ausgeführt wird. Bei Vorhandensein eines geeigneten Netzwerkzugriffs untersucht Exchange Best Practices Analyzer alle Ihre Microsoft Active Directory-Verzeichnisdienst- und Exchange-Server.

Weitere Informationen, einschließlich bewährter Methoden, finden Sie im Abschnitt "Ausführen von Exchange Best Practices Analyzer" weiter unten in diesem Handbuch sowie unter Microsoft Exchange Best Practices Analyzer v2.8.

Das Tool Microsoft Baseline Security Analyzer (MBSA) wurde für IT-Spezialisten entwickelt, um in kleinen und mittleren Unternehmen den Sicherheitsstatus in Übereinstimmung mit den Microsoft-Sicherheitsempfehlungen zu ermitteln. Verbessern Sie den Sicherheitsverwaltungsprozess mithilfe von MBSA, um häufige fehlerhafte Sicherheitskonfigurationen und fehlende Sicherheitsupdates in Ihren Computersystemen zu ermitteln. 

Sie können MBSA von der Website Microsoft Baseline Security Analyzer herunterladen.

Standardmäßig verfügen IIS Version 6.0 und IIS Version 7.0, die mit Windows Server bzw. Windows Server 2008 installiert werden, über sicherheitsbezogene Konfigurationseinstellungen, die denjenigen des IIS-Sperrprogramms gleichen. Daher brauchen Sie das IIS-Sperrprogramm auf Webservern mit IIS Version 6.0 oder IIS Version 7.0 nicht auszuführen. Wenn Sie jedoch von einer früheren Version von IIS nach IIS Version 6.0 oder IIS Version 7.0 aktualisieren, empfiehlt es sich, das IIS-Sperrprogramm auszuführen, um die Sicherheit des Webservers zu verbessern. 

Sie sollten URLScan nicht mit IIS Version 6.0 oder IIS Version 7.0 ausführen, weil das Risiko einer Fehlkonfiguration viel größer als der Nutzen von URLScan ist.

Weitere Informationen finden Sie unter So wird's gemacht: Verwenden von "IIS Lockdown.exe".

Der Sicherheitskonfigurations-Assistent (Security Configuration Wizard, SCW) ist ein Tool, das mit Windows Server 2003 Service Pack 1 eingeführt wurde. Verwenden Sie den SCW, um die Angriffsfläche für Server zu minimieren, indem Sie Windows-Funktionen deaktivieren, die für die Serverfunktionen von Exchange 2007 nicht erforderlich sind. Der SCW automatisiert die bewährte Sicherheitsmethode, die Angriffsfläche eines Servers zu verringern. Der SCW verwendet eine auf Serverfunktionen basierende Metapher, um Dienste anzufordern, die für die Anwendungen auf einem Server erforderlich sind. Dieses Tool verringert die Empfänglichkeit von Windows-Umgebungen für die Ausnutzung von Sicherheitsrisiken.

Weitere Informationen zum Erstellen von Exchange 2007-Vorlagen für den Sicherheitskonfigurations-Assistenten finden Sie im Abschnitt "Verwenden des Sicherheitskonfigurations-Assistenten zum Absichern von Windows für die Exchange-Serverfunktionen" weiter unten in diesem Handbuch.

In diesem Abschnitt erhalten Sie Empfehlungen zu bewährten Methoden zum Beibehalten der Sicherheit Ihrer Exchange 2007-Umgebung.

Wie im voranstehenden Abschnitt erwähnt, ist Exchange Best Practices Analyzer eines der effektivsten Tools, mit dessen regelmäßiger Ausführung Sie überprüfen können, ob Ihre Exchange-Umgebung sicher ist.

Für die meisten Umgebungen empfiehlt sich die Ausführung von Exchange Best Practices Analyzer mindestens einmal im Vierteljahr. Es hat sich jedoch als optimale Vorgehensweise erwiesen, das Tool einmal im Monat auf allen Servern auszuführen, auf denen Exchange Server installiert ist.

Zusätzlich sollten Sie Exchange Best Practices Analyzer in den folgenden Situationen ausführen:

  • Nach jeder wesentlichen Konfigurationsänderung an einem Exchange-Server. Sie sollten das Tool beispielsweise nach dem Hinzufügen oder Entfernen von Connectors oder nach dem Erstellen einer EdgeSync-Verbindung zu einem Edge-Transport-Server ausführen.
  • Sofort nach dem Installieren oder Entfernen einer neuen Exchange-Serverfunktion.
  • Nach dem Installieren eines Service Packs für Windows oder Exchange Server.
  • Nach dem Installieren von Software von Drittanbietern auf einem Computer, auf dem Microsoft Exchange ausgeführt wird.

Über E-Mail-Systeme verbreitete Viren, Würmer und andere bösartige Inhalte sind zur zerstörerischen Realität geworden, mit der die meisten Administratoren von Microsoft Exchange konfrontiert sind. Aus diesem grund müssen Sie eine defensive Antivirusbereitstellung für alle Messagingsysteme entwickeln. In diesem Abschnitt erhalten Sie Empfehlungen zu bewährten Methoden für die Bereitstellung von Antivirussoftware für Exchange 2007 und Microsoft Office Outlook 2007.

Sie sollten insbesondere zwei wichtige Änderungen in Exchange 2007 bei der Auswahl eines Antivirussoftwarelieferanten berücksichtigen:

  • Exchange 2007 basiert auf einer 64-Bit-Architektur.
  • Wie weiter unten in diesem Thema ausführlicher beschrieben wird, enthält Exchange 2007 neue Transport-Agent-Funktionen.

Diese beiden Änderungen bedeuten, dass Antiviruslieferanten Exchange 2007-spezifische Software zur Verfügung stellen müssen. Antivirussoftware, die für frühere Versionen von Exchange Server geschrieben wurde, funktioniert wahrscheinlich nicht ordnungsgemäß mit Exchange 2007.

Um intensiven Schutz zu erreichen, empfiehlt es sich, zusätzlich zu Antivirussoftware auf dem Benutzerdesktop auch auf dem SMTP-Gateway (Simple Mail Transfer Protocol) oder auf den Exchange-Servern, auf denen die Postfächer gespeichert sind, speziell für Messagingsysteme entwickelte Antivirussoftware bereitzustellen.

Anhand des Verhältnisses zwischen den Kosten, die Sie auf sich nehmen wollen, und dem Risiko, das Sie einzugehen bereit sind, entscheiden Sie, welchen Typ Antivirussoftware Sie verwenden und wo die Software bereitgestellt wird. Beispielweise führen einige Unternehmen die Antivirusmessagingsoftware auf dem SMTP-Gateway, das Antivirusscannen auf Dateiebene auf dem Exchange-Server und die Antivirusclientsoftware auf dem Benutzerdesktop aus. Durch diese Vorgehensweise werden ein für das Messaging spezifischer Schutz auf dem Gateway, ein allgemeiner Schutz auf Dateiebene auf dem E-Mail-Server sowie der Schutz auf dem Client ermöglicht. Andere Unternehmen sind bereit, höhere Kosten auf sich zu nehmen, und verbessern die Sicherheit, indem sie Antivirusmessagingsoftware auf dem SMTP-Gateway, das Antivirusscannen auf Dateiebene auf dem Exchange-Server und die Antivirusclientsoftware auf dem Benutzerdesktop ausführen sowie zusätzlich Antivirussoftware einsetzen, die mit Exchange VSAPI 2.5 (Virus Scanning Application Programming Interface) auf dem Exchange-Postfachserver kompatibel ist.

Der wichtigste Ort, an dem Messagingantivirussoftware ausgeführt werden sollte, ist die erste Verteidigungslinie in Ihrer Organisation. In Exchange 2007 befindet sich die erste Verteidigungslinie am Umkreisnetzwerk auf dem Edge-Transport-Server.

Um besser vor organisationsinternen Virenausbrüchen geschützt zu sein oder als zweite Verteidigungslinie wird empfohlen, transportbasierte Antivirussoftware auf dem Hub-Transport-Server in der Organisation auszuführen.

In Exchange 2007 reagieren Agents auf Transportereignisse auf ähnliche Weise wie Ereignissenken in früheren Versionen von Microsoft Exchange. Drittanbieter können angepasste Agents entwickeln, um das zugrunde liegende MIME-Analysemodul von Exchange für eine stabile Virenüberprüfung auf Transportebene zu nutzen.

Viele Drittanbietersoftwarelieferanten stellen Exchange 2007-spezifische Agents zur Verfügung, die das MIME-Analysemodul für den Exchange-Transport nutzen. Wenden Sie sich an Ihren Antiviruslieferanten, um weitere Informationen zu erhalten.

Außerdem enthält Microsoft Forefront Security für Exchange Server einen Transportantivirus-Agent für Exchange 2007. Weitere Informationen zum Installieren und Konfigurieren des Antivirus-Agents von Forefront Security für Exchange Server finden Sie unter Schützen Ihrer Microsoft Exchange-Organisation mit Microsoft Forefront Security für Exchange Server.

noteHinweis:
Objekte, die nicht übertragen werden, z. B. Elemente in Öffentlichen Ordnern, gesendete Elemente und Kalenderelemente, die nur auf einem Postfachserver gescannt werden können, sind durch die Virenprüfung auf Transportebene nicht geschützt.

Sie können Virenscanner auf Dateiebene auf den folgenden beiden Klassen von Computern ausführen:

  • Benutzerdesktops
  • Server

Zusätzlich zu Virenscannern auf Dateiebene sollten Sie erwägen, eine Microsoft VSAPI-Lösung auf dem Exchange-Postfachserver auszuführen.

Desktopvirenscans

Die Benutzer sollten unbedingt die aktuellste Version von Outlook verwenden. Wenn Sie veraltete E-Mail-Clients auf dem Desktop ausführen, gehen Sie aufgrund des Objektmodells und der Verarbeitung von Anlagen in älteren E-Mail-Clients ein großes Risiko ein. Aus diesem Grund sind Microsoft Office Outlook 2003 und Office Outlook 2007 standardmäßig die einzigen MAPI-Clients, von denen Exchange 2007 Verbindungen annimmt. Weitere Informationen zu den Risiken, die mit der Ausführung älterer Versionen von E-Mail-Clients verbunden sind, finden Sie unter Verfahren zum Sichern von Outlook.

Nachdem Sie die Aktualisierung auf Outlook 2003 oder Outlook 2007 durchgeführt haben, vergewissern Sie sich, dass Sie ein Antivirussoftwareprodukt auf Dateiebene auf allen Desktopcomputern installiert haben. Führen Sie außerdem die folgenden Vorsichtsmaßnahmen aus:

  • Entwickeln Sie einen Plan, der gewährleistet, dass die Antivirensignaturdateien auf allen Desktops automatisch aktualisiert werden.
  • Stellen Sie sicher, dass eine End-to-End-Aktualisierungsverwaltungslösung in Ihrer Organisation für den Kampf gegen Viren entwickelt und gepflegt wird.

Servervirenscans

Erwägen Sie, ggf. eine allgemeine Richtlinie anzuwenden, Scans auf Dateiebene auf allen Desktop- und Servercomputern im Unternehmen auszuführen. Dazu sollte auf allen Computern mit Exchange Server eine Form von Antivirusscan auf Dateiebene ausgeführt werden. Für jede Serverfunktion müssen Sie eine zusätzliche Konfiguration für Scans auf Dateiebene durchführen, damit bestimmte Verzeichnisse, Dateitypen und Prozesse nicht gescannt werden. Es empfiehlt sich beispielsweise, niemals Antivirussoftware auf Dateiebene für die Exchange-Informationsspeicher-Datenbanken auszuführen. Weitere Konfigurationsinformationen finden Sie unter Antivirenscans auf Dateiebene für Exchange 2007.

Postfachdatenbankscans mit VSAPI

Eine Microsoft VSAPI-Scanlösung (Virus Scanning API) kann für viele Unternehmen eine wichtige Verteidigungsebene bieten. Erwägen Sie, eine VSAPI-Antiviruslösung auszuführen, wenn eine der folgenden Bedingungen zutrifft:

  • Ihre Organisation stellt keine vollständigen und zuverlässigen Desktop-Antivirenscanprodukte bereit.
  • Ihre Organisation wünscht den zusätzlichen Schutz, den Scans des Informationsspeichers zur Verfügung stellen können.
  • Ihr Unternehmen hat benutzerdefinierte Anwendungen mit programmseitigem Zugriff auf eine Exchange-Datenbank entwickelt.
  • Ihre Benutzercommunity veröffentlicht regelmäßig Nachrichten in Öffentlichen Ordnern.

Antiviruslösungen, die Exchange VSAPI verwenden, werden unmittelbar im Exchange-Informationsspeicherprozess ausgeführt. VSAPI-Lösungen sind wahrscheinlich die einzigen Lösungen, die Schutz vor Angriffsvektoren bieten, die infizierte Inhalte in den Exchange-Informationsspeicher platzieren und dabei die standardmäßigen Scans auf den Clients und während der Übertragung umgehen. VSAPI ist beispielsweise die einzige Lösung, die die Daten überprüft, die über CDO (Collaboration Data Objects), WebDAV und Exchange-Webdienste an eine Datenbank übertragen werden.

Außerdem stellt eine VSAPI-Antiviruslösung bei einem Virusausbruch häufig die schnellste Möglichkeit dar, Viren aus einem infizierten Postspeicher zu entfernen und zu löschen.

Ausführlichere Informationen zum Ausführen von Forefront Security für Exchange Server, das ein VSAPI-Scanmodul enthält, finden Sie unter Schützen Ihrer Microsoft Exchange-Organisation mit Microsoft Forefront Security für Exchange Server.

Spam- und Virenfilter werden durch Microsoft Exchange Hosted Services erweitert oder stehen dort als Dienst zur Verfügung. Exchange Hosted Services ist eine Gruppe von vier unterschiedlichen Hosted Services:

  • Hosted Filtering unterstützt Organisationen beim Schutz vor per E-Mail übertragener Malware.
  • Mit Hosted Archive können Aufbewahrungsanforderungen bezüglich Kompatibilität eingehalten werden.
  • Mit Hosted Encryption können vertrauliche Daten verschlüsselt werden.
  • Mit Hosted Continuity bleibt der E-Mail-Zugriff während und im Anschluss an Notfallsituationen erhalten.

Diese Dienste werden auf allen intern verwalteten Exchange-Servern vor Ort oder in Hosted Exchange-E-Mail-Dienste integriert, die über Dienstanbieter zur Verfügung gestellt werden. Weitere Informationen zu Exchange Hosted Services finden Sie unter Microsoft Exchange Hosted Services.

Ein ausführliches Whitepaper über die Bereitstellung einer Exchange 2007 Server-Antiviruslösung bei MSIT finden Sie unter Microsoft Exchange Server 2007-Edge-Transport und Messagingschutz.

Forefront Security für Exchange Server enthält eine Antiviruslösung mit einem Mehrfachscanmodul für Exchange Transport-Serverfunktionen sowie eine VSAPI-Lösung für den Exchange-Postfachserver. Bewährte Methoden für eine End-to-End-Antiviruslösung finden Sie unter Schützen Ihrer Microsoft Exchange-Organisation mit Microsoft Forefront Security für Exchange Server.

Wie weiter oben erwähnt, ist es eine bewährte Methode, Microsoft Update auszuführen. Zusätzlich zum Ausführen von Microsoft Update auf allen Servern ist es außerdem sehr wichtig, alle Clientcomputer auf dem aktuellen Stand zu halten und die Antivirusupdates auf allen Computern in der Organisation zu verwalten.

Außer für die Microsoft-Software sollten Sie auch für alle anderen Softwareprogramme in der Organisation stets die neuesten Updates ausführen.

Ältere Versionen von Outlook enthielten Sicherheitslücken, die möglicherweise eine Verbreitung von Viren erleichtern. Als bewährte Methode sollten Sie Exchange 2007 so konfigurieren, dass nur MAPI-Verbindungen von Outlook 2007-, Outlook 2003- und Outlook 2002-Clients akzeptiert werden. Indem Sie die Versionen der Outlook-Clients einschränken, die eine Verbindung mit Exchange herstellen dürfen, können Sie das Risiko von Viren und anderen Malwareangriffen erheblich reduzieren. Als bewährte Methode empfiehlt sich, die in der Organisation ausgeführten Softwareversionen zu verringern und zu standardisieren.

Weitere Informationen dazu, wie Sie den Outlook-Clientzugriff auf Exchange 2007 verhindern, finden Sie unter Alle Versionen von Outlook können auf den Server zugreifen.

In Exchange 2007 können Sie mithilfe der Anlagenfilterung Filter auf Serverebene anwenden, um die von Benutzern empfangenen Anlagen zu steuern. Die Bedeutung der Anlagenfilterung nimmt in modernen Umgebungen ständig zu. Zahlreiche Anlagen enthalten schädliche Viren oder unangebrachtes Material, das den Computern von Benutzern oder der Organisation beachtlichen Schaden zufügen kann, indem wichtige Unterlagen beschädigt oder vertrauliche Informationen der Öffentlichkeit zugänglich gemacht werden.

noteHinweis:
Als bewährte Methode empfiehlt es sich, keine Anlagen von digital signierten, verschlüsselten oder durch Rechte geschützten E-Mail-Nachrichten zu entfernen. Wenn Sie Anlagen von solchen Nachrichten entfernen, wird die digital signierte Nachricht ungültig und verschlüsselte bzw. durch Rechte geschützte Nachrichten werden unlesbar.

Folgende Arten der Anlagenfilterung können zur Steuerung der Anlagen, die in Ihrer Organisation ein- oder ausgehen, verwendet werden:

  • Filterung anhand von Dateinamen oder Dateinamenerweiterungen   Sie können Anlagen filtern, indem Sie den genauen Dateinamen oder die Dateinamenerweiterung angeben, der/die gefiltert werden soll. Ein Beispiel für einen genauen Dateinamenfilter ist die Datei BadFilename.exe. Ein Beispiel für einen Dateinamenerweiterungs-Filter ist *.exe.
  • Filterung anhand von MIME-Inhaltstypen von Dateien   Sie können Anlagen auch filtern, indem Sie den zu filternden MIME-Inhaltstyp angeben. MIME-Inhaltstypen zeigen an, ob eine Anlage z. B. ein JPEG-Bild, eine ausführbare Datei, eine Microsoft Office Excel 2003-Datei oder ein anderer Dateityp ist. Inhaltstypen werden als type/subtype ausgedrückt. Beispielsweise wird der Inhaltstyp für JPEG-Bilder als image/jpeg ausgedrückt.
    Führen Sie den folgenden Befehl aus, um eine vollständige Liste aller Dateinamenerweiterungen und Inhaltstypen anzuzeigen, auf die die Anlagenfilterung angewendet werden kann:
    Get-AttachmentFilterEntry | FL
    
    Um das Cmdlet Get-AttachmentFilterEntry auf einem Computer ausführen zu können, der einer Domäne angehört, muss dem von Ihnen verwendeten Konto die Rolle Exchange-Administrator mit Leserechten übertragen worden sein.
    Um das Cmdlet Get-AttachmentFilterEntry auf einem Computer ausführen zu können, auf dem die Serverfunktion Edge-Transport installiert ist, müssen Sie sich mit einem Konto anmelden, das Mitglied der lokalen Gruppe Administratoren auf diesem Computer ist.
    Weitere Informationen zu Berechtigungen, zum Delegieren von Rollen und zu den Rechten, die für die Verwaltung von Exchange 2007 erforderlich sind, finden Sie unter Überlegungen zu Berechtigungen.

Falls eine Anlage einem dieser Filterkriterien entspricht, können Sie eine der folgenden Aktionen zur Ausführung mit der Anlage konfigurieren:

  • Ganze Nachricht mit Anlage blocken   Eine Anlage, die einem Anlagenfilter entspricht, kann zusammen mit der gesamten E-Mail-Nachricht am Eingang in das Messagingsystem gehindert werden. Wenn eine Anlage zusammen mit der E-Mail-Nachricht geblockt wird, erhält der Absender eine Benachrichtigung über den Übermittlungsstatus (Delivery Status Notification, DSN), dass die Nachricht einen nicht zugelassenen Anlagedateinamen enthält.
  • Anlage entfernen, aber Nachricht passieren lassen   Eine Anlage, die einem Anlagenfilter entspricht, kann entfernt werden, während die E-Mail-Nachricht sowie alle anderen Anlagen, die dem Filter nicht entsprechen, zugelassen werden. Wenn eine Anlage entfernt wird, wird sie durch eine Textdatei ersetzt, in der erläutert wird, warum die Anlage entfernt wurde. Diese Aktion ist die Standardeinstellung.
  • Nachricht mit Anlage ohne Benachrichtigung löschen   Eine Anlage, die einem Anlagenfilter entspricht, kann zusammen mit der gesamten E-Mail-Nachricht am Eingang in das Messagingsystem gehindert werden. Wenn eine Anlage zusammen mit der E-Mail-Nachricht geblockt wird, erhält weder der Absender noch der Empfänger darüber eine Benachrichtigung.
    CautionAchtung:
    E-Mail-Nachrichten und Anlagen, die geblockt wurden, bzw. Anlagen die entfernt wurden, können nicht abgerufen werden. Stellen Sie beim Konfigurieren von Anlagenfiltern sicher, dass alle möglichen Dateinamenentsprechungen sorgfältig untersucht werden. Überprüfen Sie außerdem, dass rechtmäßige Anlagen von dem Filter unberührt bleiben.

Weitere Informationen finden Sie unter Konfigurieren von Anlagenfiltern.

Die von Forefront Security für Exchange Server bereitgestellte Dateifilterungsfunktion beinhaltet erweiterte Funktionen, die im standardmäßigen Anlagenfilter-Agent der Exchange Server 2007 Standard Edition nicht verfügbar sind.

Beispielsweise können Containerdateien, also Dateien, die andere Dateien enthalten, auf nicht ordnungsgemäße Dateitypen überprüft werden. Die Filterung von Forefront Security für Exchange Server kann die folgenden Containerdateien durchsuchen und Aktionen für eingebettete Dateien vornehmen:

  • PKZip (ZIP)
  • GNU Zip (GZIP)
  • Selbstextrahierende ZIP-Archive
  • ZIP-Dateien (ZIP)
  • Java-Archive (JAR)
  • TNEF (winmail.dat)
  • Structured Storage (DOC, XLS, PPT und andere)
  • MIME (EML)
  • SMIME (EML)
  • UUEncode (UUE)
  • Unix-Tape-Archiv (TAR)
  • RAR-Archiv (RAR)
  • MACBinary (BIN)
noteHinweis:
Der standardmäßige Anlagenfilter-Agent in Exchange 2007 Standard Edition löscht Dateitypen, sogar wenn sie umbenannt wurden. Durch die Anlagenfilterung wird ebenfalls sichergestellt, dass komprimierte ZIP- und LZH-Dateien keine geblockten Anlagen enthalten, indem ein Abgleich der Dateinamenerweiterung mit den Dateien in komprimierten ZIP- oder LZH-Dateien durchgeführt wird. Die Dateifilterung in Forefront Security für Exchange Server kann darüber hinaus feststellen, ob eine geblockte Anlage in einer Containerdatei umbenannt wurde.

Dateien können ebenfalls nach Dateigröße gefiltert werden. Des Weiteren können Sie Forefront Security für Exchange Server so konfigurieren, dass auf Grundlage von Übereinstimmungen mit Dateifiltern Dateien isoliert oder E-Mail-Nachrichten gesendet werden.

Weitere Informationen finden Sie unter Schützen Ihrer Microsoft Exchange-Organisation mit Microsoft Forefront Security für Exchange Server.

Die meisten Benutzer melden sich bei ihrem lokalen Computer und bei Remotecomputern mit einer Kombination aus ihrem Benutzernamen und einem über die Tastatur eingegebenen Kennwort an. Obwohl für alle häufig verwendeten Betriebssysteme alternative Technologien zur Authentifizierung verfügbar sind, z. B. Biometrik, SmartCards und Einmalkennwörter, verlassen sich die meisten Unternehmen nach wie vor auf traditionelle Kennwörter und werden dies wohl auch noch über Jahre weiter tun. Daher ist es sehr wichtig, dass Unternehmen Kennwortrichtlinien für ihre Computer definieren und durchsetzen. Dazu gehört die Pflicht, sichere Kennwörter zu verwenden. Sichere Kennwörter erfüllen verschiedene Anforderungen hinsichtlich ihrer Komplexität, wodurch sie für einen Angreifer schwieriger zu entschlüsseln sind. Dazu gehören Anforderungen an die Kennwortlänge und die verwendeten Zeichenkategorien. Indem Sie in Ihrer Organisation Richtlinien für sichere Kennwörter etablieren, können Sie verhindern, dass ein Angreifer die Identität von Benutzern annimmt, und können Ihr Unternehmen so vor Verlust, Preisgabe oder Zerstörung sensibler Information schützen.

Weitere Informationen finden Sie unter Erzwingen der Verwendung sicherer Kennwörter in der gesamten Organisation.

Wenn Sie ein Postfach für einen Benutzer erstellen, lautet die entsprechende SMTP-Adresse für diesen Benutzer standardmäßig username@contoso.com, wobei username der Windows-Benutzerkontoname ist.

Es wird empfohlen, eine neue SMTP-Adresse für Benutzer zu erstellen, um die Windows-Benutzernamen vor böswilligen Benutzern zu verschleiern.

Angenommen, der Benutzer Kweku Ako-Adjei verfügt über den Windows-Benutzernamen "KwekuA". Der Administrator kann nun die SMTP-Adresse Kweku.Ako-Adjei@contoso.com erstellen, um den Windows-Benutzernamen zu verschleiern.

Das Verwenden einer getrennten SMTP-Adresse ist keine besonders starke Sicherheitsmaßnahme. Es stellt allerdings eine weitere Hürde für bösartige Benutzer dar, die versuchen, unter Verwendung eines bekannten Benutzernamens in Ihr Unternehmen einzudringen.

Weitere Informationen zum Hinzufügen von SMTP-Adressen für vorhandene Benutzer finden Sie unter Erstellen einer E-Mail-Adressenrichtlinie.

Die Serverfunktion ClientAccess ermöglicht den Zugriff auf Microsoft Outlook Web Access, Microsoft Exchange ActiveSync, Outlook Anywhere, sowie auf POP3 (Post Office Protocol, Version 3) und IMAP4 (Internet Message Access Protocol, Version 4rev1). Außerdem unterstützt sie die Dienste AutoErmittlung und Verfügbarkeit. Für jedes der Protokolle und Dienste gibt es eindeutige Sicherheitsanforderungen.

Eine der wichtigsten, sicherheitsbezogenen Aufgaben, die Sie für die Serverfunktion ClientAccess ausführen können, ist die Konfiguration einer Authentifizierungsmethode. Die Serverfunktion ClientAccess wird standardmäßig mit einem selbstsignierten, digitalen Zertifikat installiert. Ein digitales Zertifikat hat folgende zwei Funktionen:

  • Es bestätigt, dass sein Inhaber tatsächlich der oder das ist, was er vorgibt zu sein.
  • Es schützt Daten, die online ausgetauscht werden, vor Diebstahl und Manipulationen.

Obwohl das standardmäßige, selbstsignierte Zertifikat von Exchange ActiveSync und Outlook Web Access unterstützt wird, handelt es sich dabei nicht um die sicherste Authentifzierungsmethode. Außerdem wird es von Outlook Anywhere nicht unterstützt. Wenn Sie zusätzliche Sicherheit benötigen, sollten Sie Ihren Exchange 2007-Clientzugriffsserver so konfigurieren, dass dieser ein vertrauenswürdiges Zertifikat entweder einer Zertifizierungsstelle eines kommerziellen Drittanbieters oder einer vertrauenswürdigen Zertifizierungsstelle mit einer Windows Public-Key-Infrastruktur verwendet. Sie können die Authentifizierung separat für Exchange ActiveSync, Outlook Web Access, Outlook Anywhere, POP3 und IMAP4 konfigurieren.

Weitere Informationen zum Konfigurieren der Authentifizierung finden Sie unter den folgenden Themen:

Nachdem Sie die Sicherheit der Kommunikation zwischen den Clients und dem Exchange 2007-Server optimiert haben, müssen Sie auch die Sicherheit der Kommunikation zwischen dem Exchange 2007-Server und weiteren Servern in Ihrer Organisationen optimieren. Die Kommunikation über HTTP, Exchange ActiveSync, POP3 und IMAP4 zwischen dem Clientzugriffsserver und anderen Servern, wie z. B. den Exchange 2007-Servern, auf denen die Serverfunktion Mailbox installiert ist, Domänencontrollern und globalen Katalogservern, ist standardmäßig verschlüsselt.

Weitere Informationen zum Verwalten der Sicherheit verschiedener Komponenten Ihres Clientzugriffsservers finden Sie unter den folgenden Themen:

Inhalt dieses Handbuchs

Exchange 2007 enthält ein neues Feature mit der Bezeichnung "Domänensicherheit". Domänensicherheit bezieht sich auf die Funktionssammlung in Exchange 2007 und Outlook 2007, die eine relativ kostengünstige Alternative zu S/MIME oder anderen Sicherheitslösungen auf Nachrichtenebene darstellt. Der Zweck der Funktion "Domänensicherheit" besteht darin, Administratoren ein Verfahren an die Hand zu geben, um gesicherte Nachrichtenpfade über das Internet mit Geschäftspartnern verwalten zu können. Nachdem diese gesicherten Nachrichtenpfade konfiguriert wurden, werden Nachrichten, die den gesicherten Pfad von einem authentifizierten Absender aus durchlaufen haben, Benutzern in der Benutzeroberfläche von Outlook und Outlook Web Access als "domänengesichert" angezeigt.

Domänensicherheit verwendet TLS (Transport Layer Security) mit gegenseitiger Authentifizierung, um sitzungsbasierte Authentifizierung und Verschlüsselung zur Verfügung zu stellen. TLS mit gegenseitiger Authentifizierung unterscheidet sich von der üblichen TLS-Implementierung. Hierbei prüft normalerweise der Client, dass eine sichere Verbindung zum gewünschten Server hergestellt wird, indem er das Serverzertifikat überprüft. Dies geht im Rahmen einer TLS-Aushandlung ein. In diesem Szenario authentifiziert der Client den Server, bevor der Client Daten überträgt. Der Server authentifiziert die Sitzung mit dem Client jedoch nicht.

Bei der gegenseitigen TLS-Authentifizierung prüft jeder Server die Verbindung mit dem jeweils anderen Server, indem er dessen Zertifikat überprüft. In diesem Szenario, in dem Nachrichten von externen Domänen über überprüfte Verbindungen in einer Exchange 2007-Umgebung eingehen, zeigt Outlook 2007 das Symbol für eine gesicherte Domäne an.

Weitere Informationen zur Planung und Bereitstellung von Domänensicherheit in der Organisation finden Sie im Whitepaper: Domänensicherheit in Exchange 2007.

Inhalt dieses Handbuchs

Standardmäßig sind fast alle von Exchange 2007 verwendeten Datenpfade geschützt. In diesem Abschnitt werden Informationen über Ports, Authentifizierung und Verschlüsselung für alle von Exchange 2007 verwendeten Datenpfade bereitgestellt. Der Abschnitt "Anmerkungen" im Anschluss an die einzelnen Tabellen verdeutlicht oder definiert nicht standardmäßige Authentifizierungs- oder Verschlüsselungsmethoden.

Die folgende Tabelle enthält Informationen über Ports, Authentifizierung und Verschlüsselung für Datenpfade zwischen Hub-Transport- und Edge-Transport-Servern und zu oder von anderen Exchange 2007-Servern und -Diensten.

Transportserver-Datenpfade

Datenpfad Erforderliche Ports Standardauthentifizierung Unterstützte Authentifizierung Verschlüsselung unterstützt? Standardmäßig verschlüsselt?

Hub-Transport-Server zu Hub-Transport-Server

25/TCP (Secure Sockets Layer [SSL]), 587/TCP (SSL)

Kerberos

Kerberos

Ja (TLS)

Ja

Hub-Transport-Server zu Edge-Transport-Server

25/TCP (SSL)

Direkte Vertrauensstellung

Direkte Vertrauensstellung

Ja (TLS)

Ja

Edge-Transport-Server zu Hub-Transport-Server

25/TCP (SSL)

Direkte Vertrauensstellung

Direkte Vertrauensstellung

Ja (TLS)

Ja

Edge-Transport-Server zu Edge-Transport-Server

25/TCP (SSL), 389/TCP/UDP und 80/TCP (Zertifikatauthentifizierung)

Anonym, Zertifikat

Anonym, Zertifikat

Ja (TLS)

Nein

Postfachserver an Hub-Transport-Server über den Microsoft Exchange-Mailübergabedienst

135/TCP (RPC)

NTLM. Bei Verbindung mit einem Dienstkonto (lokal) wird Kerberos verwendet.

NTLM/Kerberos

Ja (RPC-Verschlüsselung)

Ja

Hub-Transport- an Postfachserver über MAPI

135/TCP (RPC)

NTLM. Bei Verbindung mit einem Dienstkonto (lokal) wird Kerberos verwendet.

NTLM/Kerberos

Ja (RPC-Verschlüsselung)

Ja

Microsoft Exchange-EdgeSync-Dienst

50636/TCP (SSL), 50389/TCP (Kein SSL)

Standardauthentifizierung

Standardauthentifizierung

Ja (LDAPS)

Ja

ADAM-Verzeichnisdienst (Active Directory Application Mode) auf Edge-Transport-Server

50389/TCP (Kein SSL)

NTLM/Kerberos

NTLM/Kerberos

Nein

Nein

Active Directory-Verzeichnisdienstzugriff von Hub-Transport-Server

389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC-Netzwerkanmeldung)

Kerberos

Kerberos

Ja (Kerberos-Verschlüsselung)

Ja

Der gesamte Verkehr zwischen Hub-Transport-Servern wird mithilfe von TLS mit selbstsignierten Zertifikaten, die standardmäßig vom Exchange 2007-Setup installiert werden, verschlüsselt.

Der gesamte Verkehr zwischen Edge-Transport-Servern und Hub-Transport-Servern wird authentifiziert und verschlüsselt. Der zugrundeliegende Mechanismus für Authentifizierung und Verschlüsselung ist gegenseitiges TLS. Statt die X.509-Gültigkeitsprüfung zu verwenden, verwenden Exchange 2007-Benutzer direkte Vertrauensstellungen zum Authentifizieren der Zertifikate. "Direkte Vertrauensstellung" bedeutet, dass die Anwesenheit des Zertifikats in Active Directory oder ADAM die Gültigkeit des Zertifikats bezeugt. Active Directory wird als vertrauenswürdiger Speicherungsmechanismus angesehen. Wenn die direkte Vertrauensstellung verwendet wird, ist es nicht von Bedeutung, ob das Zertifikat selbstsigniert oder von einer Zertifizierungsstelle signiert ist. Wenn Sie einen Edge-Transport-Server für eine Exchange-Organisation abonnieren, veröffentlicht das Edge-Abonnement das Edge-Transport-Serverzertifikat für die Überprüfung durch die Hub-Transport-Server in Active Directory. Der Microsoft Exchange-EdgeSync-Dienst aktualisiert ADAM mit dem Satz von Hub-Transport-Serverzertifikaten, damit diese vom Edge-Transport-Server überprüft werden können.

Standardmäßig wird der Verkehr zwischen Edge-Transport-Servern in verschiedenen Organisationen verschlüsselt. Standardmäßig erstellt Exchange 2007-Setup ein selbstsigniertes Zertifikat, und TLS ist aktiviert. Dadurch kann jedes sendende System die bei Microsoft Exchange eingehende SMTP-Sitzung verschlüsseln. Ebenfalls standardmäßig versucht Exchange 2007, TLS für alle Remoteverbindungen zu verwenden.

Die Authentifizierungsmethoden für Verkehr zwischen Hub-Transport-Servern und Postfachserver unterscheiden sich, wenn die Serverfunktionen Hub-Transport und Mailbox auf dem gleichen Computer ausgeführt werden. Bei lokaler Nachrichtenübermittlung wird Kerberos-Authentifizierung verwendet. Bei Remote-Nachrichtenübermittlung wird NTLM-Authentifizierung verwendet.

Exchange 2007 unterstützt außerdem Domänensicherheit. Domänensicherheit bezieht sich auf die Funktionssammlung Exchange 2007 und Outlook 2007, die eine relativ kostengünstige Alternative zu S/MIME oder anderen Sicherheitslösungen auf Nachrichtenebene darstellt. Der Zweck der Funktion "Domänensicherheit" besteht darin, Administratoren ein Verfahren an die Hand zu geben, um gesicherte Nachrichtenpfade zwischen Domänen über das Internet verwalten zu können. Nachdem diese gesicherten Nachrichtenpfade konfiguriert wurden, werden Nachrichten, die den gesicherten Pfad von einem authentifizierten Absender aus durchlaufen haben, Benutzern in der Benutzeroberfläche von Outlook und Outlook Web Access als "domänengesichert" angezeigt. Weitere Informationen finden Sie unter Planen der Domänensicherheit.

Auf Hub-Transport-Servern und Edge-Transport-Servern werden möglicherweise viele Agents ausgeführt. Im allgemeinen, arbeiten Antispam-Agents auf der Grundlage von Informationen, die für den Computer, auf dem der Agent ausgeführt wird, lokal sind. Daher ist nur wenig Kommunikation mit Remotecomputern erforderlich. Eine Ausnahme stellt jedoch die Empfängerfilterung dar. Diese erfordert Aufrufe von entweder ADAM oder Active Directory. Es stellt das optimale Verfahren dar, Empfängerfilterung auf dem Edge-Transport-Server auszuführen. In diesem Fall befindet sich das ADAM-Verzeichnis auf dem gleichen Computer wie der Edge-Transport-Server, und es ist keine Remotekommunikation erforderlich. Wenn die Empfängerfilterung auf dem Hub-Transport-Server installiert und konfiguriert wurde, greift die Empfängerfilterung auf Active Directory zu.

Der Protokollanalyse-Agent wird vom Absenderzuverlässigkeits-Feature in Exchange 2007 verwendet. Dieser Agent nimmt auch verschiedene Verbindungen zu außerhalb befindlichen Proxyservern vor, um die Pfade eingehender Nachrichten auf verdächtige Verbindungen zu prüfen.

Alle anderen Antispamfunktionen verwenden Daten, die ausschließlich auf dem lokalen Computer erfasst, gespeichert und verwendet werden. Häufig werden die Daten, wie etwa Daten zur Aggregation sicherer Listen oder Empfängerdaten für die Empfängerfilterung, mithilfe des Microsoft Exchange-EdgeSync-Diensts per Push in das lokale ADAM-Verzeichnis hochgeladen.

Journal- und Nachrichtenklassifizierung werden auf Hub-Transport-Servern ausgeführt und basieren für ihre Funktion auf Active Directory-Daten.

Im Kontext der Serverfunktion Mailbox hängt es vom Benutzer- oder Prozesskontext, unter dem der Verbraucher der Exchange-Geschäftslogikschicht ausgeführt wird, ab, ob NTLM oder Kerberos als Authentifizierung verwendet wird. In diesem Kontext kann jede Anwendung oder jeder Prozess, der die Exchange-Geschäftslogikschicht verwendet, den Verbraucher darstellen. In vielen der Zellen unter "Standardauthentifizierung" in der Tabelle "Postfachserver-Datenpfade" in diesem Abschnitt ist die Authentifizierung als "NTLM/Kerberos" aufgeführt.

Die Exchange-Geschäftslogikschicht wird für den Zugriff auf den und die Kommunikation mit dem Exchange-Informationsspeicher verwendet. Die Exchange-Geschäftslogikschicht wird außerdem vom Exchange-Informationsspeicher für die Kommunikation mit externen Anwendungen und Prozessen verwendet.

Wenn der Verbraucher der Exchange-Geschäftslogikschicht als Konto Lokales System ausgeführt wird, wird als Authentifizierungsmethode vom Verbraucher zum Exchange-Informationsspeicher immer Kerberos verwendet. Kerberos wird verwendet, weil der Verbraucher durch die Verwendung des Computerkontos Lokales System authentifiziert sein muss, und es muss eine beiderseitige Vertrauensstellung bestehen.

Wenn der Verbraucher der Exchange-Geschäftslogikschicht nicht als Lokales System ausgeführt wird, ist die verwendete Authentifizierungsmethode NTLM. Wenn z. B. ein Administrator ein Cmdlet der Exchange-Verwaltungsshell ausführt, das die Exchange-Geschäftslogikschicht verwendet, wird NTLM verwendet.

Der RPC-Verkehr wird immer verschlüsselt.

Die folgende Tabelle enthält Informationen über Ports, Authentifizierung und Verschlüsselung für Datenpfade zu und von Postfachservern

Postfachserver-Datenpfade

Datenpfad Erforderliche Ports Standardauthentifizierung Unterstützte Authentifizierung Verschlüsselung unterstützt? Standardmäßig verschlüsselt?

Protokollversand (Fortlaufende lokale Replikation und fortlaufende Clusterreplikation)

445/Frei wählbarer Port (Seeding)

NTLM/Kerberos

NTLM/Kerberos

Ja (IPsec)

Nein

Sicherung per Volumeschattenkopie-Dienst (VSS)

Lokaler Nachrichtenblock (SMB)l

NTLM/Kerberos

NTLM/Kerberos

Nein

Nein

Legacy-Sicherung/Seeding

Frei wählbarer Port

NTLM/Kerberos

NTLM/Kerberos

Ja (IPsec)

Nein

Clustering

135 /TCP (RPC) Siehe "Anmerkungen zu Postfachservern" am Ende dieser Tabelle.

NTLM/Kerberos

NTLM/Kerberos

Ja (IPsec)

Nein

MAPI-Zugriff

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Ja (RPC-Verschlüsselung)

Ja

Postfach-Assistenten

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Nein

Nein

Verfügbarkeits-Webdienst (ClientAccess zu Mailbox)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Ja (RPC-Verschlüsselung)

Ja

Active Directory-Zugriff

389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC-Netzwerkanmeldung)

Kerberos

Kerberos

Ja (Kerberos-Verschlüsselung)

Ja

Inhaltsindizierung

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Ja (RPC-Verschlüsselung)

Ja

Administrator-Remotezugriff (Remoteregistrierung)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Ja (IPsec)

Nein

Administrator-Remotezugriff (SMB/Datei)

445/TCP (SMB)

NTLM/Kerberos

NTLM/Kerberos

Ja (IPsec)

Nein

RPC-Zugriff für den Empfängeraktualisierungsdienst

135/TCP (RPC)

Kerberos

Kerberos

Ja (RPC-Verschlüsselung)

Ja

Microsoft Exchange Active Directory-Topologiedienstzugriff

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Ja (RPC-Verschlüsselung)

Ja

Legacyzugriff auf den Microsoft Exchange-Systemaufsichtsdienst (Überwachen auf Anforderungen)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Nein

Nein

Legacyzugriff vom Microsoft Exchange-Systemaufsichtsdienst auf Active Directory

389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC-Netzwerkanmeldung)

Kerberos

Kerberos

Ja (Kerberos-Verschlüsselung)

Ja

Legacyzugriff auf den Microsoft Exchange-Systemaufsichtsdienst (als MAPI-Client)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Ja (RPC-Verschlüsselung)

Ja

Zugriff auf das Offlineadressbuch (OAB)Active Directory

135/TCP (RPC)

Kerberos

Kerberos

Ja (RPC-Verschlüsselung)

Ja

Empfängeraktualisierung auf Active Directory

389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC-Netzwerkanmeldung)

Kerberos

Kerberos

Ja (Kerberos-Verschlüsselung)

Ja

DSAccess auf Active Directory

389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC-Netzwerkanmeldung)

Kerberos

Kerberos

Ja (Kerberos-Verschlüsselung)

Ja

Zugriff von Outlook auf das Offlineadressbuch (OAB)

80/TCP, 443/TCP (SSL)

NTLM/Kerberos

NTLM/Kerberos

Ja (HTTPS)

Nein

WebDav

80/TCP, 443/TCP (SSL)

Standardauthentifizierung, NTLM, Aushandeln

Standardauthentifizierung, NTLM, Aushandeln

Ja (HTTPS)

Ja

Wenn "Aushandeln" aufgelistet ist, wird für die HTTP-Authentifizierung zuerst Kerberos und anschließend NTLM probiert.

Für die knoteninterne Kommunikation kommunizieren die Clusterknoten über den UDP-Port 3343 (User Datagram Protocol). Die einzelnen Knoten im Cluster tauschen regelmäßig sequenzierte Unicast-UDP-Datagramme mit allen anderen Knoten im Cluster aus. Der Zweck dieses Austauschs ist, zu bestimmen, ob aktuell alle Knoten ordnungsgemäß ausgeführt werden, und die Überwachung des Status der Netzwerkverbindungen.

Zwar können WebDav-Anwendungen oder Clients Verbindungen mit dem Postfachserver mithilfe von 80/TCP oder 443/TCP herstellen, in den meisten Fällen stellt die Anwendung oder stellen Clients Verbindungen jedoch zum Clientzugriffsserver her. Anschließend stellt der Clientzugriffsserver eine Verbindung mit dem Postfachserver über 80/TCP oder 443/TCP her.

Der in der Tabelle "Postfachserver-Datenpfade" in diesem Abschnitt aufgelistete Clusterdatenpfad verwendet dynamisches RPC (TCP) zum Kommunizieren von Clusterstatus und Aktivität unter den verschiedenen Clusterknoten. Der Clusterdienst (ClusSvc.exe) verwendet außerdem UDP/3343 und zufällig zugewiesene hohe TCP-Ports für die Kommunikation unter den Clusterknoten.

Sofern nicht anders vermerkt, werden Clientzugriffstechnologien, wie etwa Office Outlook Web Access, POP3 oder IMAP4, durch die Authentifizierung und Verschlüsselung von der Clientanwendung zum Clientzugriffsserver beschrieben.

Die folgende Tabelle enthält Informationen über Port, Authentifizierung und Verschlüsselung für Datenpfade zwischen Clientzugriffsservern und anderen Servern und Clients.

Clientzugriffsserver-Datenpfade

Datenpfad Erforderliche Ports Standardauthentifizierung Unterstützte Authentifizierung Verschlüsselung unterstützt? Standardmäßig verschlüsselt?

AutoErmittlungsdienst

80/TCP, 443/TCP (SSL)

Standard-/Integrierte Windows-Authentifizierung (Aushandeln)

Standardauthentifizierung, Digest, NTLM, Aushandeln (Kerberos)

Ja (HTTPS)

Ja

Verfügbarkeitsdienst

80/TCP, 443/TCP (SSL)

NTLM/Kerberos

NTLM, Kerberos

Ja (HTTPS)

Ja

Outlook Web Access

80/TCP, 443/TCP (SSL)

Formularbasierte Authentifizierung

Standardauthentifizierung, Digest, Formularbasierte Authentifizierung, NTLM (nur Version 2), Kerberos, Zertifikat

Ja (HTTPS)

Ja, mithilfe eines selbstsignierten Zertifikats

POP3

110/TCP (TLS), 995/TCP (SSL)

Standardauthentifizierung, NTLM, Kerberos

Standardauthentifizierung, NTLM, Kerberos

Ja (SSL, TLS)

Ja

IMAP4

143/TCP (TLS), 993/TCP (SSL)

Standardauthentifizierung, NTLM, Kerberos

Standardauthentifizierung, NTLM, Kerberos

Ja (SSL, TLS)

Ja

Outlook Anywhere (früher als "RPC über HTTP" bezeichnet).

80/TCP, 443/TCP (SSL)

Standardauthentifizierung

Standardauthentifizierung oder NTLM

Ja (HTTPS)

Ja

Exchange ActiveSync-Anwendung

80/TCP, 443/TCP (SSL)

Standardauthentifizierung

Standardauthentifizierung, Zertifikat

Ja (HTTPS)

Ja

Clientzugriffsserver zu Unified Messaging-Server

5060/TCP, 5061/TCP, 5062/TCP, ein dynamischer Port

Nach IP-Adresse

Nach IP-Adresse

Ja (Session Initiation Protocol [SIP] über TLS)

Ja

Clientzugriffsserver auf Postfachserver, der eine frühere Version von Exchange Server ausführt

80/TCP, 443/TCP (SSL)

NTLM/Kerberos

Aushandeln (Kerberos mit Fallback auf NTLM oder optional Standardauthentifizierung), POP/IMAP unverschlüsselter Text

Ja (IPsec)

Nein

Clientzugriffsserver auf Exchange 2007-Postfachserver

RPC. Siehe "Anmerkungen zu Clientzugriffsservern" nach dieser Tabelle.

Kerberos

NTLM/Kerberos

Ja (RPC-Verschlüsselung)

Ja

Clientzugriffsserver zu Clientzugriffsserver (Exchange ActiveSync)

80/TCP, 443/TCP (SSL)

Kerberos

Kerberos, Zertifikat

Ja (HTTPS)

Ja, mithilfe eines selbstsignierten Zertifikats

Clientzugriffsserver zu Clientzugriffsserver (Outlook Web Access)

80/TCP, 443/TCP (SSL)

Kerberos

Kerberos

Ja (HTTPS)

Ja

WebDAV

80/TCP, 443/TCP (SSL)

HTTP-Standardauthentifizierung oder formularbasierte Outlook Web Access-Authentifizierung

Standardauthentifizierung, formularbasierte Outlook Web Access-Authentifizierung

Ja (HTTPS)

Ja

Die Clientzugriffsserver kommunizieren mit dem Postfachserver mithilfe vieler Ports. Mit einigen Ausnahmen werden diese Ports vom RPC-Dienst bestimmt und sind nicht fest.

Wenn "Aushandeln" aufgelistet ist, wird für die HTTP-Authentifizierung zuerst Kerberos und anschließend NTLM probiert.

Wenn ein Exchange 2007-Clientzugriffsserver mit einem Postfachserver kommuniziert, der Exchange Server 2003 ausführt, besteht die optimale Methode in der Verwendung von Kerberos und der Deaktivierung von NTLM-Authentifizierung und Standardauthentifizierung. Darüber hinaus besteht eine optimale Methode im Konfigurieren von Outlook Web Access zur Verwendung von formularbasierter Authentifizierung mit einem vertrauenswürdigen Zertifikat. Damit Exchange ActiveSync-Clients über den Exchange 2007-Clientzugriffsserver mit dem Exchange 2003-Back-End-Server kommunizieren können, muss die integrierte Windows-Authentifizierung für das virtuelle Verzeichnis Microsoft-Server-ActiveSync auf dem Exchange 2003-Back-End-Server aktiviert sein. Wenn Sie den Exchange-System-Manager auf dem Exchange 2003-Server verwenden möchten, um die Authentifizierung in einem virtuellen Exchange 2003-Verzeichnis zu verwalten, sollten Sie den in Microsoft Knowledge Base-Artikel 937301, Ereignis-ID 1036 wird auf einem Exchange 2007-Server protokolliert, der die Serverfunktion "ClientAccess" ausführt, wenn mobile Geräte eine Verbindung zum Exchange 2007-Server herstellen, um auf Postfächer auf einem Exchange 2003-Back-End-Server zuzugreifen, beschriebenen Hotfix herunterladen und installieren. 

Weitere Informationen finden Sie unter Verwalten der Clientzugriffssicherheit.

IP-Gateways unterstützen nur zertifikatbasierte Authentifizierung, die gegenseitige TLS und IP-basierte Authentifizierung für SIP/TCP-Verbindungen (Session Initiation Protocol) verwenden. IP-Gateways unterstützen weder NTLM- noch Kerberos-Authentifizierung. Wenn Sie IP-basierte Authentifizierung verwenden, werden daher die Verbindungs-IP-Adresse(n) zum Bereitstellen des Authentifizierungsmechanismus für unverschlüsselte (TCP-) Verbindungen verwendet. Wenn in Unified Messaging IP-basierte Authentifizierung verwendet wird, überprüft der Unified Messaging-Server, ob die IP-Adresse zum Herstellen von Verbindungen berechtigt ist. Die IP-Adresse wird auf dem IP-Gateway oder dem IP-PBX konfiguriert.

Die folgende Tabelle enthält Informationen über Port, Authentifizierung und Verschlüsselung für Datenpfade zwischen Unified Messaging-Servern und anderen Servern und Clients.

Unified Messaging-Server-Datenpfade

Datenpfad Erforderliche Ports Standardauthentifizierung Unterstützte Authentifizierung Verschlüsselung unterstützt? Standardmäßig verschlüsselt?

Unified Messaging-Fax

5060/TCP, 5061/TCP, 5062/TCP, ein dynamischer Port

Nach IP-Adresse

Nach IP-Adresse

SIP über TLS, das Medium wird jedoch nicht verschlüsselt

Ja für SIP

Unified Messaging-Telefoninteraktion (PBX)

5060/TCP, 5061/TCP, 5062/TCP, ein dynamischer Port

Nach IP-Adresse

Nach IP-Adresse

SIP über TLS, das Medium wird jedoch nicht verschlüsselt

Ja für SIP

Unified Messaging-Webdienst

80/TCP, 443/TCP (SSL)

Integrierte Windows-Authentifizierung (Aushandeln)

Standardauthentifizierung, Digest, NTLM, Aushandeln (Kerberos)

Ja (SSL)

Ja

Unified Messaging zu Hub-Transport

25/TCP (SSL)

Kerberos

Kerberos

Ja (TLS)

Ja

Unified Messaging-Server zu Postfachserver

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Ja (RPC-Verschlüsselung)

Ja

Wenn Sie ein UM-IP-Gatewayobjekt (Unified Messaging) in Active Directory erstellen, müssen Sie die IP-Adresse des physischen IP-Gateways oder der IP-PBX-Anlage (Private Branch eXchange, Nebenstellenanlage) definieren. Wenn Sie die IP-Adresse im UM-IP-Gatewayobjekt definieren, wird die IP-Adresse einer Liste der gültigen IP-Gateways hinzugefügt, mit denen dem Unified Messaging-Server die Kommunikation erlaubt ist. Wenn der UM-IP-Gateway erstellt wird, wird er einem UM-Wählplan zugeordnet. Das Zuordnen des UM-IP-Gateways zu einem Wählplan ermöglicht den diesem Wählplan zugeordneten Unified Messaging-Servern das Verwenden von IP-basierter Authentifizierung zum Kommunizieren mit dem IP-Gateway. Wenn der UM-IP-Gateway nicht erstellt wurde oder nicht für die Verwendung der richtigen IP-Adresse konfiguriert ist, schlägt die Authentifizierung fehl, und die Unified Messaging-Server akzeptieren keine Verbindungen von der IP-Adresse des betreffenden IP-Gateways.

In der RTM-Version (Release to Manufacturing) von Exchange 2007 kann ein Unified Messaging-Server an Port  5060/TCP (ungesichert) oder an Port  5061/TCP (gesichert) kommunizieren, jedoch nicht an beiden. In Exchange 2007 Service Pack 1 (SP1) überwacht ein Unified Messaging-Server gleichzeitig Port 5060/TCP und Port 5061/TCP.

Weitere Informationen finden Sie unter Grundlegendes zu Unified Messaging VoIP-Sicherheit und Grundlagen zu Protokollen, Ports und Diensten in Unified Messaging.

Inhalt dieses Handbuchs

In diesem Abschnitt wird erläutert, wie Sie den Sicherheitskonfigurations-Assistent (Security Configuration Wizard, SCW) verwenden, um die Angriffsfläche für Server zu minimieren, indem Sie Windows-Funktionen deaktivieren, die für die Serverfunktionen von Exchange 2007 nicht erforderlich sind.

Exchange 2007 stellt eine SCW-Vorlage für jede Exchange 2007-Serverfunktion zur Verfügung. Durch Verwenden dieser Vorlage in Verbindung mit dem Sicherheitskonfigurations-Assistenten kann das Windows-Betriebssystem so konfiguriert werden, dass Dienste und Ports gesperrt werden, die für die einzelnen Exchange-Serverfunktionen nicht benötigt werden. Beim Ausführen des SCWs erstellen Sie eine benutzerdefinierte Sicherheitsrichtlinie für Ihre Umgebung. Sie können die benutzerdefinierte Richtlinie auf alle Exchange-Server in Ihrer Organisation anwenden. Die folgende Funktionalität kann mithilfe des SCWs konfiguriert werden:

  • Serverfunktion   Der SCW verwendet die Serverfunktionsinformationen, um Dienste zu aktivieren und Ports in der lokalen Firewall zu öffnen.
  • Clientfeatures   Server fungieren auch als Clients für andere Server. Wählen Sie nur die Clientfeatures aus, die für Ihre Umgebung erforderlich sind.
  • Verwaltungsoptionen   Wählen Sie die Optionen aus, die für Ihre Umgebung erforderlich sind, wie etwa Sicherung und Fehlerberichterstattung.
  • Dienste   Wählen Sie die Dienste aus, die für den Server erforderlich sind, und legen Sie den Startmodus für Dienste fest, die von der Richtlinie nicht angegeben werden. Nicht angegebene Dienste sind auf dem ausgewählten Server nicht installiert und werden in der Sicherheitskonfigurationsdatenbank nicht aufgelistet. Die von Ihnen konfigurierte Sicherheitsrichtlinie wird möglicherweise auf Server angewendet, die andere Dienste ausführen als der Server, auf dem die Richtlinie erstellt wird. Sie können die Richtlinieneinstellung für die Aktion auswählen, die beim Erkennen eines nicht angegebenen Geräts auf einem Server, auf den diese Richtlinie angewendet wird, ausgeführt werden soll. Sie können die Aktion so einrichten, dass der Startmodus des Diensts nicht geändert und der Dienst nicht deaktiviert wird.
  • Netzwerksicherheit   Wählen Sie die Ports aus, die für die einzelnen Netzwerkschnittstellen geöffnet werden sollen. Der Zugriff auf Ports kann auf der Basis der lokalen Netzwerkschnittstelle oder auf der Basis von IP-Remoteadressen und Subnetzen eingeschränkt werden.
  • Registrierungseinstellungen   Verwenden Sie die Registrierungseinstellungen, um Protokolle zu konfigurieren, die für die Kommunikation mit anderen Computern verwendet werden.
  • Überwachungsrichtlinie   Die Überwachungsrichtlinie bestimmt, welche Erfolgs- und Fehlerereignisse für welche Dateisystemobjekte protokolliert werden.

Führen Sie die folgenden Schritte aus, um eine Sicherheitsrichtlinie mithilfe des Sicherheitskonfigurations-Assistenten zu konfigurieren, nachdem Sie eine Exchange-Serverfunktion installiert haben:

  1. Installieren Sie den SCW.
  2. Registrieren Sie die SCW-Erweiterung.
  3. Erstellen Sie eine benutzerdefinierte Sicherheitsrichtlinie, und wenden Sie die Richtlinie auf den lokalen Server an.
  4. Wenn eine bestimmte Funktion auf mehreren Exchange-Servern in Ihrer Organisation ausgeführt wird, können Sie die benutzerdefinierte Sicherheitsrichtlinie auf jeden dieser Exchange-Server anwenden.

Der folgende Abschnitt enthält Verfahren für jeden der voranstehenden Schritte.

Damit Sie die folgenden Verfahren ausführen können, muss Folgendes an das verwendete Konto delegiert worden sein:

  • die Exchange Server-Administrator-Rolle und die lokale Gruppe Administratoren für den Zielserver

Um die folgenden Verfahren auf einem Computer ausführen zu können, auf dem die Serverfunktion Edge-Transport installiert ist, müssen Sie sich mit einem Konto anmelden, das Mitglied der lokalen Gruppe Administratoren auf diesem Computer ist.

Weitere Informationen zu Berechtigungen, zum Delegieren von Rollen und zu den Rechten, die für die Verwaltung von Exchange 2007 erforderlich sind, finden Sie unter Überlegungen zu Berechtigungen.

Dieses Verfahren muss auf jedem Server mit Exchange 2007 ausgeführt werden, auf den eine SCW-Sicherheitsrichtlinie angewendet werden soll.

So installieren Sie den Sicherheitskonfigurations-Assistenten
  1. Klicken Sie in der Systemsteuerung auf Software.

  2. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen, um den Assistenten für Windows-Komponenten zu starten.

  3. Aktivieren Sie im Dialogfeld Windows-Komponenten das Kontrollkästchen Sicherheitskonfigurations-Assistent, und klicken Sie dann auf Weiter.

  4. Warten Sie, bis die Installation abgeschlossen ist, und klicken Sie dann auf Fertig stellen.

Um den SCW nach Abschluss dieses Verfahrens zu öffnen, klicken Sie auf Start, zeigen Sie auf Alle Programme, dann auf Verwaltung, und klicken Sie anschließend auf Sicherheitskonfigurations-Assistent.

Die Erweiterungen der Exchange Server-Funktionen ermöglichen Ihnen die Verwendung von SCW zum Erstellen einer Sicherheitsrichtlinie, die auf die jeweilige Funktionalität der einzelnen Microsoft Exchange-Serverfunktionen abgestimmt ist. Die Erweiterungen werden mit Exchange 2007 bereitgestellt und müssen registriert werden, damit eine benutzerdefinierte Sicherheitsrichtlinie erstellt werden kann.

Dieses Registrierungsverfahren muss auf jedem Server mit Exchange 2007 ausgeführt werden, auf den eine SCW-Sicherheitsrichtlinie angewendet werden soll. Für die verschiedenen Exchange 2007-Serverfunktionen sind zwei verschiedene Erweiterungen erforderlich. Für die Serverfunktionen Mailbox, Hub-Transport, UnifiedMessaging und ClientAccess wird die Erweiterungsdatei Exchange2007.xml registriert. Für die Serverfunktion Edge-Transport wird die Erweiterungsdatei Exchange2007Edge.xml registriert.

noteHinweis:
Die SCW-Erweiterungsdateien von Exchange 2007 befinden sich im Verzeichnis %Exchange%\Scripts. Das Standardinstallationsverzeichnis von Exchange lautet Programme\Microsoft\Exchange Server. Wenn Sie während der Serverinstallation ein benutzerdefiniertes Verzeichnis als Speicherort ausgewählt haben, kann dieses Verzeichnis abweichen.
importantWichtig:
Die SCW-Registrierung funktioniert auch, wenn Exchange 2007 in einem benutzerdefinierten Verzeichnis installiert ist. Zum Aktivieren von SCW müssen Sie aber Probleme manuell umgehen, damit das benutzerdefinierte Installationsverzeichnis erkannt wird. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 896742, Nach dem Ausführen des Sicherheitskonfigurations-Assistenten in Windows Server 2003 SP1 können Outlook-Benutzer eventuell keine Verbindung zu ihren Konten herstellen.
So registrieren Sie die Sicherheitskonfigurations-Assistentenerweiterung auf einem Computer mit einer der Serverfunktionen "Mailbox", "Hub-Transport", "UnifiedMessaging" oder "ClientAccess"
  1. Öffnen Sie ein Eingabeaufforderungsfenster. Geben Sie den folgenden Befehl ein, um das SCW-Befehlszeilentool zum Registrieren der Exchange 2007-Erweiterung in der lokalen Sicherheitskonfigurationsdatenbank zu verwenden:

    scwcmd register /kbname:Ex2007KB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007.xml"
    
  2. Überprüfen Sie, dass der Befehl erfolgreich abgeschlossen wurde, indem Sie die Datei SCWRegistrar_log.xml anzeigen, die sich im Verzeichnis %windir%\security\msscw\logs befindet.

So registrieren Sie die Sicherheitskonfigurations-Assistentenerweiterung auf einem Computer mit der Serverfunktionen "Edge-Transport"
  1. Öffnen Sie ein Eingabeaufforderungsfenster. Geben Sie den folgenden Befehl ein, um das SCW-Befehlszeilentool zum Registrieren der Exchange 2007-Erweiterung in der lokalen Sicherheitskonfigurationsdatenbank zu verwenden:

    scwcmd register /kbname:Ex2007EdgeKB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\ Exchange2007Edge.xml"
    
  2. Überprüfen Sie, dass der Befehl erfolgreich abgeschlossen wurde, indem Sie die Datei SCWRegistrar_log.xml anzeigen, die sich im Verzeichnis %windir%\security\msscw\logs befindet.

Verwenden Sie dieses Verfahren, um eine neue benutzerdefinierte Sicherheitsrichtlinie für ihre Umgebung zu erstellen. Nachdem Sie eine benutzerdefinierte Richtlinie erstellt haben, verwenden Sie diese, um dieselbe Sicherheitsstufe auf alle Exchange 2007-Server anzuwenden, auf denen dieselben Serverfunktionen in der Organisation ausgeführt werden.

noteHinweis:
Bei einigen Schritten des folgenden Verfahrens sind keine spezifischen Konfigurationsdetails für alle Seiten im Sicherheitskonfigurations-Assistenten angegeben. In diesen Fällen empfiehlt es sich, die Standardauswahl beizubehalten, wenn Sie nicht sicher sind, welche Dienste oder Features zu aktivieren sind. Wie es bei sämtlichen Inhalten der Exchange 2007-Hilfedatei der Fall ist, finden Sie die aktuellsten Informationen zur Verwendung des Sicherheitskonfigurations-Assistenten mit Exchange 2007 im Exchange Server TechCenter.
So verwenden Sie den Sicherheitskonfigurations-Assistenten zum Erstellen einer benutzerdefinierten Sicherheitsrichtlinie
  1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Sicherheitskonfigurations-Assistent, um das Tool zu starten. Klicken Sie auf dem Begrüßungsbildschirm auf Weiter.

  2. Klicken Sie auf der Seite Konfigurationsaktion auf Neue Sicherheitsrichtlinie erstellen und anschließend auf Weiter.

  3. Überprüfen Sie auf der Seite Server auswählen, ob der richtige Servername im Feld Server (DNS-Name, NetBIOS-Name oder IP-Adresse): angezeigt wird. Klicken Sie auf Weiter.

  4. Warten Sie auf der Seite Die Sicherheitskonfigurationsdatenbank wird verarbeitet, bis die Statusanzeige abgeschlossen ist, und klicken Sie dann auf Weiter.

  5. Klicken Sie auf der Seite Rollenbasierte Konfiguration auf Weiter.

  6. Wählen Sie auf der Seite Serverfunktionen auswählen die auf dem Computer installierten Exchange 2007-Serverfunktionen aus, und klicken Sie dann auf Weiter.

  7. Wählen Sie auf der Seite Clientfunktionen auswählen jede für Ihren Exchange-Server erforderliche Clientfunktion aus, und klicken Sie dann auf Weiter.

  8. Wählen Sie auf der Seite Verwaltungs- und weitere Optionen auswählen jede für Ihren Exchange-Server erforderliche Verwaltungsfunktion aus, und klicken Sie dann auf Weiter.

  9. Wählen Sie auf der Seite Zusätzliche Dienste auswählen jeden Dienst aus, der auf dem Exchange-Server aktiviert werden muss, und klicken Sie dann auf Weiter.

  10. Wählen Sie auf der Seite Nicht angegebene Dienste verwenden die Aktion aus, die ausgeführt werden soll, wenn ein auf dem lokalen Server aktuell nicht installierter Dienst gefunden wird. Sie können festlegen, dass keine Aktion ausgeführt werden soll, indem Sie Dienststartmodus nicht ändern auswählen, oder Sie können die automatische Deaktivierung des Dienstes festlegen, indem Sie Dienst deaktivieren auswählen. Klicken Sie auf Weiter.

  11. Überprüfen Sie auf der Seite Serviceänderungen bestätigendie Änderungen, die diese Richtlinie an der aktuellen Dienstkonfiguration vornehmen soll. Klicken Sie auf Weiter.

  12. Überprüfen Sie auf der Seite Netzwerksicherheit, ob Diesen Abschnitt auslassen nicht aktiviert ist, und klicken Sie dann auf Weiter.

  13. Wenn Sie den Sicherheitskonfigurations-Assistenten auf einem Edge-Transport-Server ausführen, müssen Sie auf der Seite Eingehende Ports öffnen und Anwendungen genehmigen zwei Ports für die LDAP-Kommunikation mit ADAM (Active Directory Application Mode) öffnen.

    1. Klicken Sie auf Hinzufügen. Geben Sie auf der Seite Anschluss oder Anwendung hinzufügen im Feld Portnummer: den Wert 50389 ein. Aktivieren Sie das Kontrollkästchen TCP, und klicken Sie dann auf OK.
    2. Klicken Sie auf Hinzufügen. Geben Sie auf der Seite Anschluss oder Anwendung hinzufügen im Feld Portnummer: den Wert 50636 ein. Aktivieren Sie das Kontrollkästchen TCP, und klicken Sie dann auf OK.
  14. (Nur Edge-Transport-Server) Auf der Seite Eingehende Ports öffnen und Anwendungen genehmigen müssen Sie die Ports für jeden Netzwerkadapter konfigurieren.

    1. Wählen Sie Port 25, und klicken Sie dann auf Erweitert. Klicken Sie auf der Seite Porteinschränkungen auf die Registerkarte Beschränkungen der lokalen Schnittstelle. Wählen Sie Über die folgenden lokalen Schnittstellen, aktivieren Sie die Kontrollkästchen für den internen Netzwerkadapter und für den externen Netzwerkadapter, und klicken Sie dann auf OK.
    2. Wählen Sie Port 50389, und klicken Sie dann auf Erweitert. Klicken Sie auf der Seite Porteinschränkungen auf die Registerkarte Beschränkungen der lokalen Schnittstelle. Wählen Sie Über die folgenden lokalen Schnittstellen, aktivieren Sie nur das Kontrollkästchen der internen Netzwerkkarte, und klicken Sie dann auf OK.
    3. Wählen Sie Port 50636, und klicken Sie dann auf Erweitert. Klicken Sie auf der Seite Porteinschränkungen auf die Registerkarte Beschränkungen der lokalen Schnittstelle. Wählen Sie Über die folgenden lokalen Schnittstellen, aktivieren Sie nur das Kontrollkästchen der internen Netzwerkkarte, und klicken Sie dann auf OK.
    noteHinweis:
    Ferner können für jeden Port Einschränkungen für Remoteadressen konfiguriert werden.
  15. Klicken Sie auf der Seite Eingehende Ports öffnen und Anwendungen genehmigen auf Weiter.

  16. Überprüfen Sie auf der Seite Portkonfiguration bestätigen, ob die Konfiguration für eingehende Ports richtig ist, und klicken Sie dann auf Weiter.

  17. Aktivieren Sie auf der Seite Registrierungseinstellungen das Kontrollkästchen Diesen Abschnitt auslassen, und klicken Sie dann auf Weiter.

  18. Aktivieren Sie auf der Seite Überwachungsrichtlinie das Kontrollkästchen Diesen Abschnitt auslassen, und klicken Sie dann auf Weiter.

  19. Aktivieren Sie auf der Seite Internet Information Services (IIS) das Kontrollkästchen Diesen Abschnitt auslassen, und klicken Sie dann auf Weiter.

  20. Klicken Sie auf der Seite Sicherheitsrichtlinie speichern auf Weiter.

  21. Geben Sie auf der Seite Name der Sicherheitsrichtliniendatei einen Dateinamen für die Sicherheitsrichtlinie und eine optionale Beschreibung ein. Klicken Sie auf Weiter. Wenn nach dem Anwenden der Richtlinie ein Neustart des Servers erforderlich ist, wie ein Dialogfeld angezeigt. Klicken Sie auf OK, um das Dialogfeld zu schließen.

  22. Wählen Sie auf der Seite Sicherheitsrichtlinie anwenden die Option Später anwenden oder Jetzt anwenden aus, und klicken Sie dann auf, Weiter.

  23. Klicken Sie auf der letzten Seite des Sicherheitskonfigurations-Assistenten auf Fertig stellen.

Nachdem Sie die Richtlinie erstellt haben, können Sie sie auf mehrere Computer anwenden, auf denen dieselben Serverfunktionen in der Organisation ausgeführt werden.

So verwenden Sie den Sicherheitskonfigurations-Assistenten, um eine vorhandene Richtlinie anzuwenden
  1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Sicherheitskonfigurations-Assistent, um das Tool zu starten. Klicken Sie auf dem Begrüßungsbildschirm auf Weiter.

  2. Wählen Sie auf der Seite Konfigurationsaktion die Option Vorhandene Sicherheitsrichtlinie anwenden aus. Klicken Sie auf Durchsuchen, wählen Sie die XML-Datei für Ihre Richtlinie aus, und klicken Sie dann auf Öffnen. Klicken Sie auf Weiter.

  3. Überprüfen Sie auf der Seite Server auswählen, ob der richtige Servername im Feld Server (DNS-Name, NetBIOS-Name oder IP-Adresse): angezeigt wird. Klicken Sie auf Weiter.

  4. Klicken Sie auf der Seite Sicherheitsrichtlinie anwenden auf Sicherheitsrichtlinie anzeigen, wenn Sie die Richtliniendetails anzeigen möchten, und klicken Sie dann auf Weiter.

  5. Warten Sie auf der Seite Sicherheitsrichtlinie wird übernommen, bis die Statusanzeige Die Richtlinie wurde angewendet anzeigt, und klicken Sie dann auf Weiter.

  6. Klicken Sie auf der letzten Seite des Sicherheitskonfigurations-Assistenten auf Fertig stellen.

Inhalt dieses Handbuchs

Der Sicherheitskonfigurations-Assistent (Security Configuration Wizard, SCW) verwendet XML-Registrierungsdateien, die Sie beim Konfigurieren des Windows-Betriebssystems für die Zusammenarbeit mit anderen Anwendungen unterstützen. Die vom SCW verwendeten Registrierungsdateien definieren die Sicherheitskonfiguration, die für den Betrieb einer bestimmten Anwendung erforderlich ist. Zumindest definiert die Sicherheitskonfiguration die Dienste und Ports, die für eine bestimmte Anwendung erforderlich sind.

In diesem Thema werden die Dienste und Ports beschrieben, die für jede der Serverfunktionen von Exchange 2007 aktiviert werden, wenn der SCW mit den standardmäßigen Exchange 2007-Registrierungsdateien ausgeführt wird.

Exchange 2007 enthält zwei Registrierungsdateien für SCW. Die allgemeine Exchange 2007-Registrierungsdatei trägt den Namen Exchange2007.xml. Sie definiert die Sicherheitskonfiguration für alle Microsoft Exchange-Serverfunktionen, mit Ausnahme der Serverfunktion Edge-Transport. Die Registrierungsdatei für die Serverfunktion Edge-Transport trägt den Namen Exchange2007Edge.xml. Sie definiert die Sicherheitskonfiguration für Edge-Transport-Server.

Die Registrierungsdateien werden bei der Installation von Exchange 2007 im Verzeichnis %Programfiles%\Microsoft\Exchange Server\Scripts gespeichert.

Für die aktivierten Dienste wird der Startwert entweder auf Automatisch oder auf Manuell festgelegt.

Aktivierte Ports geben Programmdateien an (.exe), die von der Windows-Firewall als vertrauenswürdig angesehen werden, um Ports für die bestimmte Anwendung zu öffnen.

Die vom SCW verwendeten Exchange 2007-Registrierungsdateien geben die Port-Programmdateien entsprechend ihrem standardmäßigen Speicherplatz an. In den meisten Fällen ist der Standardspeicherort unter %Programfiles%\Microsoft\Exchange Server\bin. Wenn Sie Exchange an einem anderen Speicherort installiert haben, müssen Sie den Wert <Path> im Abschnitt <Port> der Exchange 2007-Registrierungsdateien bearbeiten, damit er den richtigen Installationsort angibt.

Die folgenden Dienste werden von der Exchange 2007-Registrierungsdatei (Exchange2007.xml) für die Serverfunktion Mailbox aktiviert.

Für den Microsoft-Suchdienst (Exchange Server) und die Microsoft Exchange-Überwachung wird manueller Start festgelegt. Für alle anderen Dienste ist der automatische Start festgelegt.

 

Dienstkurzname Dienstname

MSExchangeIS

Microsoft Exchange-Informationsspeicher

MSExchangeADTopology

Microsoft Exchange Active Directory-Topologie

MSExchangeRepl

Microsoft Exchange-Replikationsdienst

MSExchangeMailboxAssistants

Microsoft Exchange-Postfach-Assistenten

MSExchangeSearch

Microsoft Exchange-Suchindizierung

MSExchangeServiceHost

Microsoft Exchange-Diensthost

MSExchangeMonitoring

Microsoft Exchange-Überwachung

MSExchangeSA

Microsoft Exchange-Systemaufsicht

MSExchangeMailSubmission

Microsoft Exchange-Mailübergabedienst

msftesql-Exchange

Microsoft Suche (Exchange Server)

Die folgenden Ports sind aktiviert:

 

Portname Zugeordnete Programmdatei

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSExchangeISPorts

Store.exe

MSExchangeReplPorts

Microsoft.Exchange.Cluster.Replayservice.exe

MSExchangeMailboxAssistantsPorts

MSExchangeMailboxAssistants.exe

MSExchangeSearchPorts

Microsoft.Exchange.Search.Exsearch.exe

MSExchangeServiceHostPorts

Microsoft.Exchange.ServiceHost.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

MSExchangeSAPorts

Mad.exe

MSExchangeMailSubmissionPorts

MSExchangeMailSubmission.exe

msftesql-ExchangePorts

Msftesql.exe

MSExchangeTransportLogSearchPorts

MSExchangeTransportLogSearch.exe

Die Dienste und Ports, die für die Serverfunktion Mailbox aktiviert und im Abschnitt "Serverfunktion Mailbox" weiter oben in diesem Thema beschrieben sind, sind für die Serverfunktion ClusteredMailbox aktiviert.

Darüber hinaus ist für den Microsoft-Clusterdienst der automatische Start festgelegt.

 

Dienstkurzname Dienstname

ClusSvc

Microsoft-Clusterdienst

Die folgenden Ports sind zusätzlich aktiviert.

noteHinweis:
Der Standardpfad für clusterspezifische Programmdateien ist %windir%\Cluster. Der Standardpfad für Powershell.exe ist %windir%\system32\windowspowershell\v1.0.

 

Portname Zugeordnete Programmdatei

ExSetupPorts

ExSetup.exe

clussvcPorts

Clussvc.exe

CluAdminPorts

CluAdmin.exe

resrcmonPorts

Resrcmon.exe

msftefdPorts

Msftefd.exe

powershellPorts

Powershell.exe

Die folgenden Dienste werden von der Exchange 2007-Registrierungsdatei (Exchange2007.xml) für die Serverfunktion Hub-Transport aktiviert.

Für Microsoft Exchange-Überwachung ist der manuelle Start festgelegt. Für alle anderen Dienste ist der automatische Start festgelegt.

 

Dienstkurzname Dienstname

MSExchangeADTopology

Microsoft Exchange Active Directory-Topologiedienst

MSExchangeTransport

Microsoft Exchange-Transportdienst

MSExchangeAntispamUpdate

Microsoft Exchange-Antispamaktualisierungs-Dienst

MSExchangeEdgeSync

Microsoft Exchange EdgeSync-Dienst

MSExchangeTransportLogSearch

Microsoft Exchange-Transportprotokoll-Suchdienst

MSExchangeMonitoring

Microsoft Exchange-Überwachung

Die folgenden Ports sind aktiviert:

 

Portname Zugeordnete Programmdatei

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSExchangeTransportPorts

MSExchangeTransport.exe

EdgeTransportPorts

EdgeTransport.exe

MSExchangeAntispamUpdatePorts

Microsoft.Exchange.AntispamUpdateSvc.exe

MSExchangeEdgeSyncPorts

Microsoft.Exchange.EdgeSyncSvc.exe

MSExchangeTransportLogSearchPorts

MSExchangeTransportLogSearch.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

Die folgenden Dienste werden von der Registrierungsdatei (Exchange2007Edge.xml) für die Serverfunktion Edge-Transport aktiviert.

Für die Microsoft Exchange-Überwachung und den Microsoft Exchange-Transportprotokoll-Suchdienst wird manueller Start festgelegt. Für alle anderen Dienste ist der automatische Start festgelegt.

 

Dienstkurzname Dienstname

MSExchangeTransport

Microsoft Exchange-Transportdienst

MSExchangeAntispamUpdate

Microsoft Exchange-Antispamaktualisierungs-Dienst

ADAM_MSExchange

Microsoft Exchange ADAM

EdgeCredentialSvc

Microsoft Exchange-Anmeldeinformationsdienst

MSExchangeTransportLogSearch

Microsoft Exchange-Transportprotokoll-Suchdienst

MSExchangeMonitoring

Microsoft Exchange-Überwachung

Die folgenden Ports sind aktiviert:

noteHinweis:
Der Standardpfad für Dsadmin.exe ist %windir%\ADAM.

 

Portname Zugeordnete Programmdatei

MSExchangeTransportPorts

MSExchangeTransport.exe

EdgeTransportPorts

EdgeTransport.exe

MSExchangeAntispamUpdatePorts

Microsoft.Exchange.AntispamUpdateSvc.exe

ADAM_MSExchangePorts

Dsamain.exe

EdgeCredentialSvcPorts

EdgeCredentialSvc.exe

MSExchangeTransportLogSearchPorts

MSExchangeTransportLogSearch.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

Die folgenden Dienste werden von der Exchange 2007-Registrierungsdatei (Exchange2007.xml) für die Serverfunktion ClientAccess aktiviert.

Für die Microsoft Exchange-Überwachung, den Microsoft Exchange-POP3-Dienst und den Microsoft Exchange IMAP4-Dienst wird manueller Start festgelegt. Für alle anderen Dienste ist der automatische Start festgelegt.

 

Dienstkurzname Dienstname

MSExchangeADTopology

Microsoft Exchange Active Directory-Topologiedienst

MSExchangePOP3

Microsoft Exchange POP3-Dienst

MSExchangeIMAP4

Microsoft Exchange IMAP4-Dienst

MSExchangeFDS

Microsoft Exchange-Dateiverteilungsdienst

MSExchangeServiceHost

Microsoft Exchange-Diensthost

MSExchangeMonitoring

Microsoft Exchange-Überwachung

Die folgenden Ports sind aktiviert:

noteHinweis:
Der Standardpfad für die Dateien Pop3Service.exe und Imap4Service.exe ist %Programfiles%\Microsoft\Exchange Server\ClientAccess\PopImap.

 

Portname Zugeordnete Programmdatei

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSExchangePOP3Ports

Microsoft.Exchange.Pop3Service.exe

MSExchangeIMAP4Ports

Microsoft.Exchange.Imap4Service.exe

MSExchangeFDSPorts

MSExchangeFDS.exe

MSExchangeServiceHostPorts

Microsoft.Exchange.ServiceHost.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

Die folgenden Dienste werden von der Exchange 2007-Registrierungsdatei (Exchange2007.xml) für die Serverfunktion UnifiedMessaging aktiviert.

Für Microsoft Exchange-Überwachung ist der manuelle Start festgelegt. Für alle anderen Dienste ist der automatische Start festgelegt.

 

Dienstname Anzeigename

MSExchangeADTopology

Microsoft Exchange Active Directory-Topologiedienst

MSSpeechService

Microsoft Exchange-Sprachmodul

MSExchangeUM

Microsoft Exchange Unified Messaging

MSExchangeFDS

Microsoft Exchange-Dateiverteilungsdienst

MSExchangeMonitoring

Microsoft Exchange-Überwachung

Die folgenden Ports sind aktiviert:

noteHinweis:
Der Standardpfad für die Datei SpeechService.exe ist %Programfiles%\Microsoft\Exchange Server\UnifiedMessaging.

 

Portname Zugeordnete Programmdatei

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSSPorts

SpeechService.exe

MSExchangeUMPorts

umservice.exe

UMWorkerProcessPorts

UMWorkerProcess.exe

MSExchangeFDSPorts

MSExchangeFDS.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

Inhalt dieses Handbuchs

In diesem Abschnitt werden Links zu zusätzlicher sicherheitsbezogener Exchange-Dokumentation bereitgestellt. Die aktuelle Liste sicherheitsbezogener Inhalte finden Sie unter Sicherheit und Schutz.

Um zu gewährleisten, dass Sie die neuesten Informationen lesen, und zusätzliche Exchange Server 2007-Dokumentation zu finden, besuchen Sie das Exchange Server TechCenter.
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.