Fachartikel

Sicherheit in Exchange (2)

Bei einem Kommunikationsserver wie Exchange spielt die Sicherheit in doppelter Hinsicht eine Rolle: Einerseits gilt es zu verhindern, dass eingehende E-Mails oder sich verbindende Geräte Malware in das Netz einschleppen, andererseits ist auch der Server selbst zu sichern, da die Exchange-Organisation aus dem Internet zu erreichen ist. In der zweiten Folge des Workshops geht es darum, wie Sie eine Zertifikatänderung vorbereiten und wie Sie durch ActiveSync-Postfachrichtlinien für Sicherheit sorgen.
Mit Brief und Siegel – Exchange bringt zahlreiche Bordmittel mit, die das System selbst und den Versand und Empfang sicherer machen.
Vorbereiten der Zertifikatänderung
In Exchange 2016 verwalten Sie Serverzertifikate im EAC. Um dem Server ein Zertifikat zuzuweisen, klicken Sie auf "Server" und dann auf "Zertifikate". Jeder Exchange-Server in der Organisation erhält sein eigenes Zertifikat. Um ein neues Zertifikat zu installieren, klicken Sie zunächst auf das Pluszeichen. Der Assistent erstellt eine Zertifikatanforderung, die Sie dann entweder über die AD-Zertifikatdienste oder über das Webfrontend des Drittherstellers anfordern.

Klicken Sie auf das Pluszeichen im Fenster, um den Assistenten für die Installation von Zertifikaten zu starten. Im nächsten Schritt geben Sie den Namen ein, mit dem das Zertifikat angezeigt werden soll. Auf der nächsten Seite legen Sie fest, dass Sie untergeordnete Domänen mit dem Zertifikat anbinden wollen. Setzen Sie nur eine Domäne ein, ist das nicht notwendig. Danach wählen Sie den Exchange-Server aus, auf dem Sie die Anforderung des Zertifikats speichern wollen. Nun wählen Sie die Serverdienste aus, wobei Sie für jeden Serverdienst auf das Stiftsymbol klicken und für jeden Dienst den vollständigen DNS-Namen angeben, mit dem auf den Server zugegriffen wird.

Danach erhalten Sie eine Zusammenfassung aller DNS-Namen, die mit dem Zertifikat verknüpft werden. Anschließend geben Sie den Namen der Organisation und einige Daten zum Unternehmen ein. Im Anschluss speichern Sie die Anforderung als Textdatei in einer Freigabe im Netzwerk. Mit dieser Datei mit der Endung "REQ" fordern Sie das Zertifikat anschließend an. Sie sehen im EAC den Status des Zertifikats als "Ausstehende Anforderung".
Im nächsten Schritt öffnen Sie das Webfrontend des Zertifikatausstellers. Verwenden Sie die AD-Zertifikatdienste, erreichen Sie diese über die Adresse "https: //<Servername>/certsrv". Klicken Sie "Ein Zertifikat anfordern" und anschließend "Erweiterte Zertifikatanforderung". Nun wählen Sie die Option "Reichen Sie eine Zertifikatanforderung, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein".

Im nächsten Fenster geben Sie im Feld "Gespeicherte Anforderung" den Text der REQ-Datei ein, die Sie im Vorfeld erstellt haben. Sie öffnen die Datei im Editor und kopieren den Inhalt in die Zwischenablage, wobei Sie den kompletten Text der Datei verwenden müssen. Für die Zertifikatvorlage legen Sie nun "Webserver" fest und klicken auf "Einsenden". Anschließend laden Sie das Zertifikat als CER-Datei herunter und speichern diese auf dem Exchange-Server.

Als Nächstes integrieren Sie das neue Zertifikat im EAC in Exchange. Klicken Sie auf "Server / Zertifikate" und wählen Sie das Zertifikat in der Konsole mit dem Status "Ausstehende Anforderung". Hier klicken Sie "Abschließen". Jetzt wählen Sie die heruntergeladene CER-Datei aus und schließen den Vorgang ab. Das Zertifikat wird danach als "Gültig" angezeigt.

Erscheint ein Fehler, überprüfen Sie, ob das Zertifikat der Stammzertifizierungsstelle auf dem Exchange-Server bei den vertrauenswürdigen Stammzertifizierungsstellen hinterlegt ist. Dazu geben Sie Certlm.msc auf der Startseite oder im Startmenü ein und erweitern in der Konsole "Zertifikate / Vertrauenswürdige Stammzertifizierungsstellen / Zertifikate". Überprüfen Sie an dieser Stelle, ob das Zertifikat der Zertifizierungsstelle hinterlegt ist. Finden Sie das Zertifikat nicht, geben Sie in der Eingabeaufforderung Gpupdate /force ein, damit das Zertifikat der Stammzertifizierungsstelle von der internen Zertifizierungsstelle abgerufen wird.

Nach diesem Vorgang haben Sie das Zertifikat erfolgreich in Exchange integriert. Markieren Sie das Zertifikat, können Sie über das Stift-Symbol jederzeit Einstellungen ändern und dieses auch mit den anderen Diensten in Exchange verbinden. Dazu klicken Sie im neuen Fenster auf "Dienste", markieren die noch nicht ausgewählten Dienste und klicken auf "Speichern". In manchen Fällen werden Sie noch gefragt, ob bereits vorhandene Zertifikate überschrieben werden sollen. Das bestätigen Sie.

Sehr wichtig ist an dieser Stelle, dass Sie den Namen, mit dem der Server aus dem Internet erreichbar ist, als allgemeinen Name hinterlegen, wenn Sie ein Zertifikat ausstellen. Ansonsten erhalten Clients, die aus dem Internet auf den Server zugreifen, eine Fehlermeldung, da der Namen des Zertifikats nicht mit der URL für den Zugriff übereinstimmt. Dieser Bereich ist vor allem für die Verwendung von Outlook und Exchange ActiveSync wichtig. Falls ein Zertifikatfehler in Outlook Web App erscheint, können Anwender diesen ohne große Auswirkungen bestätigen, Outlook verweigert allerdings die Verbindung bei solchen Fehlern.

Arbeiten Sie mit den AD-Zertifikatdiensten, installiert der Exchange-Server das Zertifikat der Vertrauensstellung automatisch über die Gruppenrichtlinien. Das Zertifikat der Stammzertifizierungsstelle muss auf dem Exchange-Server hinterlegt sein, damit der Exchange-Server den Zertifikaten dieser Zertifizierungsstelle vertraut.

Seite 2: Sicherheit durch ActiveSync-Postfachrichtlinien



Seite 1 von 2 Nächste Seite >>
14.12.2020/jp/ln/Thomas Joos

Nachrichten

1000 Smartphones plus SIM-Karten für die Flutopfer [29.07.2021]

Viele Menschen in Rheinland-Pfalz und Nordrhein-Westfalen haben durch die Flutkatastrophe ihr gesamtes Hab und Gut verloren. Dazu zählen neben Wohnhäusern und Bekleidung auch Dokumente sowie technische Endgeräte. Der Smartphone-Hersteller OPPO stellt zusammen mit Vodafone den Betroffenen nun 1000 Geräte samt SIM-Karte zur Verfügung. [mehr]

Sichere Kommunikation in der Public Cloud [28.07.2021]

Mit dem Z1-SecureMail-Gateway-Release 4.23 bietet Zertificon nun eine Out-of-the-box Cloudintegration mit Microsoft 365 und Google Workspace. Unternehmen können dabei die Vorzüge der Gateway-basierten zentralen E-Mail-Verschlüsselung und -Signatur mit den genannten Cloudservices kombinieren. Für den Bereich Antivirus und Antispam arbeitet das Gateway mit den Engines von Microsoft und Google zusammen. [mehr]

Tipps & Tools

Smartphone auf Tauchstation [18.07.2021]

Egal ob in Balkonien oder doch weiter weg: Im Sommer sind Smartphones in der Regel mehr Gefahren wie Hitze, Sand und (Salz-)Wasser ausgesetzt als in anderen Jahreszeiten. Wer hier wirkungsvoll vorbeugen will, sollte sich eine Hülle wie beispielsweise den Handybeutel von Vooni anschaffen. Das Gadget lässt sich für die meisten Smartphone-Modelle verwenden und wasserdicht verschließen. [mehr]

GMail-Nachrichten zurückholen [16.07.2021]

Viele Exchange- oder auch WhatsApp-Nutzer freuen sich über die Rückholfunktion für versehentlich gesendete und noch ungelesene Nachrichten – unter Umständen lässt sich damit einer prekären Situation glimpflich aus dem Weg gehen. Auch GMail verfügt über ein solches Feature, das allerdings in der Grundeinstellung eine allzu schnelle Reaktion erfordert. In den Settings verschaffen Sie sich etwas mehr Zeit. [mehr]

Ablage für Webinhalte [11.07.2021]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen