Fachartikel

Sicherheit in Exchange (1)

Bei einem Kommunikationsserver wie Exchange spielt die Sicherheit in doppelter Hinsicht eine Rolle: Einerseits gilt es zu verhindern, dass eingehende E-Mails oder sich verbindende Geräte Malware in das Netz einschleppen, andererseits ist auch der Server selbst zu sichern, da die Exchange-Organisation aus dem Internet zu erreichen ist. Im ersten Teil lesen Sie, wie Sie Postfächer überwachen und Exchange-Zertifikate konfigurieren.
Mit Brief und Siegel – Exchange bringt zahlreiche Bordmittel mit, die das System selbst und den Versand und Empfang sicherer machen.
Exchange und Outlook ermöglichen es relativ einfach, dass Anwender oder Administratoren Zugriff auf Postfächer von Dritten erhalten. Da Postfächer oft vertrauliche Informationen enthalten, ist es wichtig zu verfolgen, wer sich an den Postfächern anmeldet und welche Aktionen Benutzer des Postfachs durchführen. Hier ist es besonders wichtig zu überprüfen, welche Benutzer Aktionen mit Postfächern durchführen, die nicht ihre eigenen sind.

Mit der Postfachüberwachungsprotokollierung im Exchange Admin Center (EAC) protokollieren und überprüfen Sie den Zugriff auf Postfächer durch den Postfachbesitzer, aber auch durch Stellvertreter und Administratoren. Sie können dabei genau festlegen, was überwacht werden soll. Dazu gehören die verschiedenen Aktionen, die Anwender in Postfächern durchführen und die sich durch das Protokoll nachverfolgen lassen. Auch die IP-Adresse des zugreifenden Gerätes kann an dieser Stelle festgehalten werden, genauso wie alle anderen Informationen, die zu einer zuverlässigen Überwachung gehören.


Postfachüberwachungsprotokolle nutzen
Exchange erstellt für jedes Postfach ein eigenes Protokoll und speichert es im Postfach selbst. Das heißt, beim Verschieben von Postfächern wandern auch die Protokolle mit. Außerdem sind die Protokolle so auch Teil der Datensicherung und damit jederzeit wiederherstellbar.

Damit der Datenspeicher von Postfächern nicht mit Protokollen vollkommen ausgelastet wird, löscht Exchange die Protokolle automatisch nach 90 Tagen. Die Aufbewahrungsfrist passen Sie mit dem Set-Mailbox-Cmdlet und der Option "AuditLogAgeLimit" an. Aktivieren Sie die gesetzliche Aufbewahrung für ein Postfach, werden die Protokolle in diesem Postfach nicht gelöscht. Das gilt auch für alle anderen Objekte im Postfach.

Um die Postfachüberwachungsprotokollierung einzuschalten, nutzen Sie:
Set-Mailbox -Identity "<Name>" -AuditEnabled $true
Um die Protokollierung wieder zu deaktivieren, dient folgender Befehl:
Set-Mailbox -Identity "<Name>" -AuditEnabled $false
Zum Überprüfen, ob die Postfachüberwachungsprotokollierung für ein Postfach erfolgreich aktiviert wurde, nutzen Sie:
Get-Mailbox "<Name>" | Format-List *audit*
In der Exchange Management Shell (EMS) können Sie die Überwachung für alle Benutzerpostfächer in der Organisation auf einmal aktivieren:
$UserMailboxes = Get-mailbox -Filter {(Recipi-entTypeDetails -eq 'UserMailbox')}

$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
Mit den Search-MailboxAuditLog- und New-MailboxAuditLogSearch-Cmdlets erstellen Sie Suchaufträge und durchsuchen die Postfächer. Die Suchergebnisse werden in der EMS angezeigt beziehungsweise auch per E-Mail an den Administrator zugestellt.

Im Gegensatz zur Überwachung von Benutzern, hält die Administratorüberwachungsprotokollierung alle Aktionen fest, die Administratoren in der Umgebung durchführen. Zusammen mit der Postfachüberwachungsprotokollierung können Sie dadurch umfassende Analysen der Verwendung und Konfiguration von Exchange-Umgebungen erhalten.



Seite 1 von 2 Nächste Seite >>
7.12.2020/jp/ln/Thomas Joos

Nachrichten

Ähnlichkeiten zwischen Sunburst und Kazuar-Backdoor [11.01.2021]

Experten von Kaspersky haben spezifische Code-Ähnlichkeiten zwischen Sunburst und bekannten Versionen der Kazuar-Backdoor gefunden. Diese Art von Malware ermöglicht einen Fernzugriff auf den Computer eines Opfers. Die Erkenntnisse könnten Sicherheitsforscher bei ihren Analysen des Angriffs weiterbringen. [mehr]

Blick auf 20 Jahre Cyberbedrohungen [5.01.2021]

Der Jahreswechsel ist ein guter Zeitpunkt, um die aktuelle Bedrohungslandschaft zu betrachten und Prognosen zu wagen, wohin sie sich entwickeln könnte. Der Report "Cyberthreats: A 20-Year Retrospective" von Sophos hingegen gibt einen Überblick über die Cyberbedrohungen und Ereignisse, die in den vergangenen 20 Jahren den größten Einfluss auf die Sicherheitslandschaft hatten. [mehr]

Vier-Augen-Prinzip [22.12.2020]

Tipps & Tools

Vorschau Februar 2021: Sichere Virtualisierung [18.01.2021]

Virtualisierung sorgt für deutlich mehr Flexibilität in der IT. Doch wollen auch virtuelle Umgebungen richtig abgesichert sein. Im Februar beleuchtet IT-Administrator den Themenschwerpunkt "Sichere Virtualisierung". Darin erfahren Sie, auf welchen Wegen Sie Ihre Hyper-V-Umgebung schützen und Backups ihrer virtuellen Umgebungen erstellen. Außerdem lesen Sie im Februar, was die Cybersicherheitsagentur ENISA in Sachen sichere Virtualisierung vorgibt und wie Sie Befehle in Kubernetes mit StatusBay analysieren, bevor diese zur Anwendung kommen. In den Tests werfen wir unter anderem einen Blick auf die Veeam Availability Suite. [mehr]

Ein frohes Neues! [1.01.2021]

"Liegt das neue Jahr vor dir und das alte hinter dir, lass das alte liegen und hebe das neue auf." Dieses Sprichwort bringt es ganz gut auf den Punkt. 2020 war kein leichtes Jahr, liegt aber hinter uns und wir können mit guten Vorsätzen und Zuversicht ins neue Jahr starten. Wir hoffen, dass Sie trotz der aktuellen Umstände eine frohe Weihnachtszeit hatten und drücken die Daumen für 2021. Damit Sie auch in diesem Jahr ausreichend mit Lesestoff versorgt sind, sollten Sie einen Blick auf unser Sonderheft "VMware vSpehere 7 – Server, Netze und Storage virtualisieren" werfen. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen