Verwenden des Sicherheitskonfigurations-Assistenten zum Absichern von Windows für die Exchange-Serverfunktionen

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2007-03-23

Der Sicherheitskonfigurations-Assistent (Security Configuration Wizard, SCW) ist ein Tool, das mit Microsoft Windows Server 2003 Service Pack 1 eingeführt wurde. Verwenden Sie den SCW, um die Angriffsfläche für Server zu minimieren, indem Sie Windows-Funktionen deaktivieren, die für die Serverfunktionen von Microsoft Exchange Server 2007 nicht erforderlich sind. Der SCW automatisiert die bewährte Sicherheitsmethode, die Angriffsfläche eines Servers zu verringern. Der SCW verwendet eine auf Serverfunktionen basierende Metapher, um Dienste anzufordern, die für die Anwendungen auf einem Server erforderlich sind. Dieses Tool verringert die Empfänglichkeit von Windows-Umgebungen für die Ausnutzung von Sicherheitsrisiken.

Verwenden des Sicherheitskonfigurations-Assistenten

Exchange 2007 stellt eine SCW-Vorlage für jede der Exchange 2007-Serverfunktionen zur Verfügung. Durch Verwenden dieser Vorlage in Verbindung mit dem Sicherheitskonfigurations-Assistenten kann das Windows-Betriebssystem so konfiguriert werden, dass Dienste und Ports gesperrt werden, die für die einzelnen Exchange-Serverfunktionen nicht benötigt werden. Beim Ausführen des SCWs erstellen Sie eine benutzerdefinierte Sicherheitsrichtlinie für Ihre Umgebung. Sie können die benutzerdefinierte Richtlinie auf alle Exchange-Server in Ihrer Organisation anwenden. Die folgende Funktionalität kann mithilfe des SCWs konfiguriert werden:

  • Serverfunktion   Der SCW verwendet die Serverfunktionsinformationen, um Dienste zu aktivieren und Ports in der lokalen Firewall zu öffnen.

  • Clientfeatures   Server fungieren auch als Clients für andere Server. Wählen Sie nur die Clientfeatures aus, die für Ihre Umgebung erforderlich sind.

  • Verwaltungsoptionen   Wählen Sie die Optionen aus, die für Ihre Umgebung erforderlich sind, wie etwa Sicherung und Fehlerberichterstattung.

  • Dienste   Wählen Sie die Dienste aus, die für den Server erforderlich sind, und legen Sie den Startmodus für Dienste fest, die von der Richtlinie nicht angegeben werden. Nicht angegebene Dienste sind auf dem ausgewählten Server nicht installiert und werden in der Sicherheitskonfigurationsdatenbank nicht aufgelistet. Die von Ihnen konfigurierte Sicherheitsrichtlinie wird möglicherweise auf Server angewendet, die andere Dienste ausführen als der Server, auf dem die Richtlinie erstellt wird. Sie können die Richtlinieneinstellung für die Aktion auswählen, die beim Erkennen eines nicht angegebenen Geräts auf einem Server, auf den diese Richtlinie angewendet wird, ausgeführt werden soll. Die Aktion kann so festgelegt werden, dass der Startmodus des Diensts nicht geändert oder der Dienst aktiviert wird.

  • Netzwerksicherheit   Wählen Sie die Ports aus, die für die einzelnen Netzwerkschnittstellen geöffnet werden sollen. Der Zugriff auf Ports kann auf der Basis der lokalen Netzwerkschnittstelle oder auf der Basis von IP-Remoteadressen und Subnetzen eingeschränkt werden.

  • Registrierungseinstellungen   Verwenden Sie die Registrierungseinstellungen, um Protokolle zu konfigurieren, die für die Kommunikation mit anderen Computern verwendet werden.

  • Überwachungsrichtlinie   Die Überwachungsrichtlinie bestimmt, welche Erfolgs- und Fehlerereignisse für welche Dateisystemobjekte protokolliert werden.

Weitere Informationen zum SCW finden Sie in der Hilfe zum Systemkonfigurations-Assistenten oder englischsprachig unter Windows Server 2003 Security Configuration Wizard.

Weitere Informationen zu den Diensten und Ports, die durch die Exchange 2007-SCW-Registrierungsdateien aktiviert werden, finden Sie unter Von den Exchange 2007 SCW-Registrierungsdateien aktivierte Programmdateien für Dienste und Ports.

Verwenden der Exchange Server 2007-SCW-Vorlage

Führen Sie die folgenden Schritte aus, um eine Sicherheitsrichtlinie mithilfe des Sicherheitskonfigurations-Assistenten zu konfigurieren, nachdem Sie eine Exchange-Serverfunktion installiert haben:

  1. Installieren Sie den SCW. Weitere Informationen finden Sie unter Installieren des Sicherheitskonfigurations-Assistenten.

  2. Registrieren Sie die SCW-Erweiterung. Weitere Informationen finden Sie unter Registrieren der SCW-Erweiterungen der Exchange-Serverfunktion.

  3. Erstellen Sie eine benutzerdefinierte Sicherheitsrichtlinie, und wenden Sie die Richtlinie auf den lokalen Server an. Weitere Informationen finden Sie unter Erstellen einer neuen Richtlinie des Sicherheitskonfigurations-Assistenten für eine Exchange-Serverfunktion.

  4. Wenn eine bestimmte Funktion auf mehreren Exchange-Servern in Ihrer Organisation ausgeführt wird, können Sie die benutzerdefinierte Sicherheitsrichtlinie auf jeden dieser Server anwenden. Weitere Informationen finden Sie unter Anwenden einer vorhandenen Richtlinie des Sicherheitskonfigurations-Assistenten auf eine Exchange-Serverfunktion.