Erstellen einer neuen Richtlinie des Sicherheitskonfigurations-Assistenten für eine Exchange-Serverfunktion

  • Artikel

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2007-01-02

In diesem Thema wird erläutert, wie eine neue Sicherheitsrichtlinie mithilfe des Sicherheitskonfigurations-Assistenten (Security Configuration Wizard, SCW) in Microsoft Exchange Server 2007 für einen Computer erstellt wird, auf dem eine Exchange-Serverfunktion installiert ist. Der SCW ist ein Tool, das mit Microsoft Windows Server 2003 Service Pack 1 eingeführt wurde. Der SCW automatisiert bewährte Sicherheitsmethoden, um die Angriffsfläche eines Servers zu verringern.

Verwenden Sie dieses Verfahren, um eine neue benutzerdefinierte Sicherheitsrichtlinie für ihre Umgebung zu erstellen. Nachdem Sie eine benutzerdefinierte Richtlinie erstellt haben, verwenden Sie diese, um dieselbe Sicherheitsstufe auf alle Exchange 2007-Server anzuwenden, auf denen dieselben Serverfunktionen in der Organisation ausgeführt werden.

Bevor Sie beginnen

Bevor Sie beginnen, müssen Sie die folgenden Schritte ausführen:

Damit Sie das nachstehende Verfahren ausführen können, muss Folgendes an das verwendete Konto delegiert worden sein:

  • die Rolle Exchange-Serveradministrator und die Mitgliedschaft in der lokalen Gruppe Administratoren für den Zielserver

Um die folgenden Verfahren auf einem Computer ausführen zu können, auf dem die Serverfunktion Edge-Transport installiert ist, müssen Sie sich mit einem Konto anmelden, das Mitglied der lokalen Gruppe Administratoren auf dem betreffenden Computer ist.

Weitere Informationen zu Berechtigungen, zum Delegieren von Rollen und zu den Rechten, die für die Verwaltung von Microsoft Exchange Server 2007 erforderlich sind, finden Sie unter Überlegungen zu Berechtigungen.

Hinweis

Bei einigen Schritten des folgenden Verfahrens sind keine spezifischen Konfigurationsdetails für alle Seiten im Sicherheitskonfigurations-Assistenten angegeben. In diesen Fällen empfiehlt Microsoft, die Standardauswahl beizubehalten, wenn Sie nicht sicher sind, welche Dienste oder Features zu aktivieren sind. Wie es bei sämtlichen Inhalten der Exchange 2007-Hilfedatei der Fall ist, finden Sie die aktuellsten Informationen zur Verwendung des Sicherheitskonfigurations-Assistenten mit Exchange 2007 im Exchange Server TechCenter.

Verfahren

So verwenden Sie den Sicherheitskonfigurations-Assistenten zum Erstellen einer benutzerdefinierten Sicherheitsrichtlinie

  1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Sicherheitskonfigurations-Assistent, um das Tool zu starten. Klicken Sie auf dem Begrüßungsbildschirm auf Weiter.

  2. Klicken Sie auf der Seite Konfigurationsaktion auf Neue Sicherheitsrichtlinie erstellen und anschließend auf Weiter.

  3. Überprüfen Sie auf der Seite Server auswählen, ob der richtige Servername im Feld Server (DNS-Name, NetBIOS-Name oder IP-Adresse): angezeigt wird. Klicken Sie auf Weiter.

  4. Warten Sie auf der Seite Die Sicherheitskonfigurationsdatenbank wird verarbeitet, bis die Statusanzeige abgeschlossen ist, und klicken Sie dann auf Weiter.

  5. Klicken Sie auf der Seite Rollenbasierte Konfiguration auf Weiter.

  6. Wählen Sie auf der Seite Serverfunktionen auswählen die auf dem Computer installierten Exchange 2007-Serverfunktionen aus, und klicken Sie dann auf Weiter.

  7. Wählen Sie auf der Seite Clientfunktionen auswählen jede für Ihren Exchange-Server erforderliche Clientfunktion aus, und klicken Sie dann auf Weiter.

  8. Wählen Sie auf der Seite Verwaltungs- und weitere Optionen auswählen jede für Ihren Exchange-Server erforderliche Verwaltungsfunktion aus, und klicken Sie dann auf Weiter.

  9. Wählen Sie auf der Seite Zusätzliche Dienste auswählen jeden Dienst aus, der auf dem Exchange-Server aktiviert werden muss, und klicken Sie dann auf Weiter.

  10. Wählen Sie auf der Seite Nicht angegebene Dienste verwenden die Aktion aus, die ausgeführt werden soll, wenn ein auf dem lokalen Server aktuell nicht installierter Dienst gefunden wird. Sie können festlegen, dass keine Aktion ausgeführt werden soll, indem Sie Dienststartmodus nicht ändern auswählen, oder Sie können die automatische Deaktivierung des Dienstes festlegen, indem Sie Dienst deaktivieren auswählen. Klicken Sie auf Weiter.

  11. Überprüfen Sie auf der Seite Serviceänderungen bestätigendie Änderungen, die diese Richtlinie an der aktuellen Dienstkonfiguration vornehmen soll. Klicken Sie auf Weiter.

  12. Überprüfen Sie auf der Seite Netzwerksicherheit, ob Diesen Abschnitt auslassen nicht aktiviert ist, und klicken Sie dann auf Weiter.

  13. Wenn Sie den SCW auf einem Edge-Transport-Server ausführen, müssen Sie auf der Seite Eingehende Ports öffnen und Anwendungen genehmigen zwei Ports für die LDAP-Kommunikation mit ADAM (Active Directory Application Mode) öffnen.

    1. Klicken Sie auf Hinzufügen. Geben Sie auf der Seite Anschluss oder Anwendung hinzufügen im Feld Portnummer: den Wert 50389 ein. Aktivieren Sie das Kontrollkästchen TCP, und klicken Sie dann auf OK.

    2. Klicken Sie auf Hinzufügen. Geben Sie auf der Seite Anschluss oder Anwendung hinzufügen im Feld Portnummer: den Wert 50636 ein. Aktivieren Sie das Kontrollkästchen TCP, und klicken Sie dann auf OK.

  14. (Nur Edge-Transport-Server) Auf der Seite Eingehende Ports öffnen und Anwendungen genehmigen müssen Sie die Ports für jeden Netzwerkadapter konfigurieren.

    1. Wählen Sie Port 25, und klicken Sie dann auf Erweitert. Klicken Sie auf der Seite Porteinschränkungen auf die Registerkarte Beschränkungen der lokalen Schnittstelle. Wählen Sie Über die folgenden lokalen Schnittstellen, aktivieren Sie die Kontrollkästchen für den internen Netzwerkadapter und für den externen Netzwerkadapter, und klicken Sie dann auf OK.

    2. Wählen Sie Port 50389, und klicken Sie dann auf Erweitert. Klicken Sie auf der Seite Porteinschränkungen auf die Registerkarte Beschränkungen der lokalen Schnittstelle. Wählen Sie Über die folgenden lokalen Schnittstellen, aktivieren Sie nur das Kontrollkästchen für den internen Netzwerkadapter, und klicken Sie dann auf OK.

    3. Wählen Sie Port 50636, und klicken Sie dann auf Erweitert. Klicken Sie auf der Seite Porteinschränkungen auf die Registerkarte Beschränkungen der lokalen Schnittstelle. Wählen Sie Über die folgenden lokalen Schnittstellen, aktivieren Sie nur das Kontrollkästchen der internen Netzwerkkarte, und klicken Sie dann auf OK.

    Hinweis

    Ferner können für jeden Port Einschränkungen für Remoteadressen konfiguriert werden.

  15. Klicken Sie auf der Seite Eingehende Ports öffnen und Anwendungen genehmigen auf Weiter.

  16. Überprüfen Sie auf der Seite Portkonfiguration bestätigen, ob die Konfiguration für eingehende Ports richtig ist, und klicken Sie dann auf Weiter.

  17. Aktivieren Sie auf der Seite Registrierungseinstellungen das Kontrollkästchen Diesen Abschnitt auslassen, und klicken Sie dann auf Weiter.

  18. Aktivieren Sie auf der Seite Überwachungsrichtlinie das Kontrollkästchen Diesen Abschnitt auslassen, und klicken Sie dann auf Weiter.

  19. Aktivieren Sie auf der Seite Internet Information Services (IIS) das Kontrollkästchen Diesen Abschnitt auslassen, und klicken Sie dann auf Weiter.

  20. Klicken Sie auf der Seite Sicherheitsrichtlinie speichern auf Weiter.

  21. Geben Sie auf der Seite Name der Sicherheitsrichtliniendatei einen Dateinamen für die Sicherheitsrichtlinie und eine optionale Beschreibung ein. Klicken Sie auf Weiter. Wenn nach dem Anwenden der Richtlinie ein Neustart des Servers erforderlich ist, wie ein Dialogfeld angezeigt. Klicken Sie auf OK, um das Dialogfeld zu schließen.

  22. Wählen Sie auf der Seite Sicherheitsrichtlinie anwenden die Option Später anwenden oder Jetzt anwenden aus, und klicken Sie dann auf, Weiter.

  23. Klicken Sie auf der letzten Seite des Sicherheitskonfigurations-Assistenten auf Fertig stellen.

Weitere Informationen

Weitere Informationen hierzu finden Sie unter den folgenden Themen: