Checkliste für Bereitstellungssicherheit
Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Letztes Änderungsdatum des Themas: 2007-12-11
Microsoft Exchange Server 2007 wurde entwickelt, um in den meisten Kundenszenarien standardmäßig sicher zu sein. Im Allgemeinen bedeutet "standardmäßig sicher" bei Exchange 2007, dass die folgenden Bedingungen erfüllt sind:
Konten, die von Exchange 2007 verwendet werden, weisen die minimal für die Ausführung der erforderlichen Aufgabensätze erforderlichen Rechte auf.
Standardmäßig werden Dienste nur gestartet, wenn sie benötigt werden.
Die ACL-Rechte (Access Control List, Zugriffssteuerungsliste) für Exchange-Objekte sind minimiert.
Verwaltungsberechtigungen werden entsprechend dem Umfang der Änderungen am Objekt festgelegt, die für eine bestimmte Änderung erforderlich sind.
Alle internen, standardmäßigen Nachrichtenpfade sind verschlüsselt.
Viele andere Features wurden entwickelt, um direkt bei der ursprünglichen Installation eine relativ sichere Nachrichtenumgebung bereitzustellen.
In diesem Thema werden einige empfehlenswerte Schritte beschrieben, die Sie ausführen können, um die Nachrichtenumgebung vor und nach dem Installieren von Microsoft Exchange besser abzusichern. Bei jeder Installation einer neuen Exchange-Serverfunktion sollte diese Checkliste durchgegangen werden.
Wie es bei sämtlichen Inhalten der Exchange 2007-Hilfedatei der Fall ist, finden Sie die aktuellsten Inhalte unter Exchange Server TechCenter.
Vor der Installation
Führen Sie die folgenden Verfahren durch, bevor Sie Exchange 2007 installieren.
| Verfahren | Geprüft |
|---|---|
Führen Sie Microsoft Update aus. |
|
Führen Sie das Microsoft Tool zur Entfernung schädlicher Software (Malicious Software Removal Tool) aus. Das Tool zur Entfernung schädlicher Software ist in Microsoft-Update enthalten. Weitere Informationen über das Tool finden Sie unter Malicious Software Removal Tool. |
|
Führen Sie den Microsoft Baseline Security Analyzer aus. |
|
Nach der Installation
Es ist empfehlenswert, für alle Exchange 2007-Serverfunktionen den Sicherheitskonfigurations-Assistenten (Security Configuration Wizard, SCW) auszuführen. Darüber hinaus wird empfohlen, die Authentifizierungsebene des LAN-Managers für Server zu erhöhen, die Windows Server 2003 ausführen.
Sicherheitskonfigurations-Assistent (SCW)
Der Sicherheitskonfigurations-Assistent (Security Configuration Wizard, SCW) ist ein Tool, das mit Microsoft Windows Server 2003 Service Pack 1 (SP1) eingeführt wurde. Sie können mithilfe des Sicherheitskonfigurations-Assistenten (Security Configuration Wizard, SCW) die Angriffsfläche für Server minimieren, indem Sie Windows-Funktionen deaktivieren, die für die Serverfunktionen von Exchange 2007 nicht erforderlich sind. Der SCW automatisiert die bewährte Sicherheitsmethode, die Angriffsfläche eines Servers zu verringern. Der SCW verwendet eine auf Serverfunktionen basierende Metapher, um Dienste anzufordern, die für die Anwendungen auf einem Server erforderlich sind. Dieses Tool verringert die Empfänglichkeit von Windows-Umgebungen für die Ausnutzung von Sicherheitsrisiken. Weitere Informationen finden Sie unter Verwenden des Sicherheitskonfigurations-Assistenten zum Absichern von Windows für die Exchange-Serverfunktionen.
LAN-Manager-Authentifizierungsebene
Es wird empfohlen, für jeden Servercomputer mit Exchange, der unter Windows Server 2003 ausgeführt wird, die Authentifizierungsebene des LAN-Managers festzulegen, die im Windows Server 2003-Sicherheitshandbuch (in englischer Sprache) für Ihre jeweilige Umgebung empfohlen wird. Diese Einstellung bestimmt, welches Abfrage/Rückmeldung-Authentifizierungsprotokoll für Netzwerkanmeldungen verwendet wird. Diese Auswahl wirkt sich auf die Ebene des Authentifizierungsprotokolls aus, das von Clientcomputern verwendet wird, die Sicherheitsebene, die ausgehandelt wird, sowie die Authentifizierungsebene, die von Servern akzeptiert wird. Um die Authentifizierungsebene des LAN-Managers zu ändern, müssen Sie den Eintrag LmCompatibilityLevel in der Registrierung ändern.
.gif "Caution") Achtung: |
|---|
| UNRESOLVED_TOKEN_VAL(exRegistry) |
Im Folgenden finden Sie die LAN-Manager-Authentifizierungsebenen, die im Windows Server 2003-Sicherheitshandbuch (in englischer Sprache) empfohlen werden:
Legacyclientumgebung Im Windows Server 2003-Sicherheitshandbuch (in englischer Sprache) wird eine Legacyclientumgebung als eine Umgebung definiert, die aus einer Active Directory-Verzeichnisdienstdomäne mit Mitgliedsservern und Domänencontrollern besteht, die Windows Server 2003 ausführen, sowie einigen Clientcomputern, die Microsoft Windows 98 und Windows NT 4.0 ausführen. Auf Computern, die Windows 98 ausführen, muss die Active Directory-Clienterweiterung (DSCLient) installiert sein. Weitere Informationen zur Installation von DSClient finden Sie im Knowledge Base-Artikel 288358 SO WIRD'S GEMACHT: Installieren von Active Directory Client Extension. Wenn Sie eine Legacyclientumgebung haben, wird im Windows Server 2003-Sicherheitshandbuch (in englischer Sprache) empfohlen, den Wert von LmCompatibilityLevel auf 3 festzulegen.
Unternehmensclientumgebung Im Windows Server 2003-Sicherheitshandbuch (in englischer Sprache) wird eine Unternehmensclientumgebung als eine Umgebung definiert, die aus einer Active Directory-Domäne mit Mitgliedsservern und Domänencontrollern besteht, die Windows Server 2003 mit SP1 ausführen, sowie Clientcomputern, die Windows 2000 Server und Windows XP ausführen. Für eine Unternehmensclientumgebung wird im Windows Server 2003-Sicherheitshandbuch (in englischer Sprache) empfohlen, den Wert von LmCompatibilityLevel auf 4 festzulegen.
Darüber hinaus stellen Clusterumgebungen Anforderungen an die LAN-Manager-Authentifizierungsebene. In einer fortlaufenden Clusterreplikationsumgebung (Cluster Continuous Replication, CCR) müssen Sie den Wert von LmCompatibilityLevel für jeden Domänencontroller in der Organisation auf denselben Wert festlegen wie den von LmCompatibilityLevel für Ihre Servercomputer mit Exchange. Weicht der Wert des Eintrags LmCompatibilityLevel für einen Domänencontroller von dem des Eintrags LmCompatibilityLevel für einen Servercomputer mit Exchange ab, können Fehler bei der Replikation auftreten. Es wird empfohlen, zuerst den Wert von LmCompatibilityLevel für alle Domänencontroller in einer Domäne festzulegen und anschließend den Wert von LmCompatibilityLevel für jeden Cluster.
Um den Wert von LmCompatibilityLevel für einen Cluster festzulegen, müssen Sie den Wert auf allen Knoten des Clusters gleichzeitig ändern und dann jeden Knoten des Clusters neu starten. Es wird empfohlen, den Registrierungseintrag zu ändern und jeden Computer in einem Cluster manuell neu zu starten, statt ein Gruppenrichtlinienobjekt zu verwenden. Auf diese Weise können Sie sicherstellen, dass alle Knoten des Clusters gleichzeitig neu gestartet werden.
Hinweis
Standardmäßig ist der Wert von LmCompatibilityLevel auf Computern, die Windows Server 2008 ausführen auf 3 oder höher festgelegt.
Weitere Informationen zu den Authentifizierungsebenen des LAN-Managers finden Sie in "Kapitel 4: Die Mitgliedsserver-Basisrichtlinie" im Windows Server 2003-Sicherheitshandbuch (in englischer Sprache). Weitere Informationen zum Ändern des Registrierungseintrags LmCompatibilityLevel zum Festlegen der LAN-Manager-Authentifizierungsebene finden Sie unter How to Configure the LAN Manager Authentication Level. Sie können ein Gruppenrichtlinienobjekt verwenden, um den Registrierungseintrag LmCompatibilityLevel auf allen Computern in Ihrer Organisation festzulegen. Weitere Informationen finden Sie unter How to Configure the LAN Manager Authentication Level.