Fachartikel

Sicherheit in Exchange (1)

Bei einem Kommunikationsserver wie Exchange spielt die Sicherheit in doppelter Hinsicht eine Rolle: Einerseits gilt es zu verhindern, dass eingehende E-Mails oder sich verbindende Geräte Malware in das Netz einschleppen, andererseits ist auch der Server selbst zu sichern, da die Exchange-Organisation aus dem Internet zu erreichen ist. Im ersten Teil lesen Sie, wie Sie Postfächer überwachen und Exchange-Zertifikate konfigurieren.
Mit Brief und Siegel – Exchange bringt zahlreiche Bordmittel mit, die das System selbst und den Versand und Empfang sicherer machen.
Exchange und Outlook ermöglichen es relativ einfach, dass Anwender oder Administratoren Zugriff auf Postfächer von Dritten erhalten. Da Postfächer oft vertrauliche Informationen enthalten, ist es wichtig zu verfolgen, wer sich an den Postfächern anmeldet und welche Aktionen Benutzer des Postfachs durchführen. Hier ist es besonders wichtig zu überprüfen, welche Benutzer Aktionen mit Postfächern durchführen, die nicht ihre eigenen sind.

Mit der Postfachüberwachungsprotokollierung im Exchange Admin Center (EAC) protokollieren und überprüfen Sie den Zugriff auf Postfächer durch den Postfachbesitzer, aber auch durch Stellvertreter und Administratoren. Sie können dabei genau festlegen, was überwacht werden soll. Dazu gehören die verschiedenen Aktionen, die Anwender in Postfächern durchführen und die sich durch das Protokoll nachverfolgen lassen. Auch die IP-Adresse des zugreifenden Gerätes kann an dieser Stelle festgehalten werden, genauso wie alle anderen Informationen, die zu einer zuverlässigen Überwachung gehören.


Postfachüberwachungsprotokolle nutzen
Exchange erstellt für jedes Postfach ein eigenes Protokoll und speichert es im Postfach selbst. Das heißt, beim Verschieben von Postfächern wandern auch die Protokolle mit. Außerdem sind die Protokolle so auch Teil der Datensicherung und damit jederzeit wiederherstellbar.

Damit der Datenspeicher von Postfächern nicht mit Protokollen vollkommen ausgelastet wird, löscht Exchange die Protokolle automatisch nach 90 Tagen. Die Aufbewahrungsfrist passen Sie mit dem Set-Mailbox-Cmdlet und der Option "AuditLogAgeLimit" an. Aktivieren Sie die gesetzliche Aufbewahrung für ein Postfach, werden die Protokolle in diesem Postfach nicht gelöscht. Das gilt auch für alle anderen Objekte im Postfach.

Um die Postfachüberwachungsprotokollierung einzuschalten, nutzen Sie:
Set-Mailbox -Identity "<Name>" -AuditEnabled $true
Um die Protokollierung wieder zu deaktivieren, dient folgender Befehl:
Set-Mailbox -Identity "<Name>" -AuditEnabled $false
Zum Überprüfen, ob die Postfachüberwachungsprotokollierung für ein Postfach erfolgreich aktiviert wurde, nutzen Sie:
Get-Mailbox "<Name>" | Format-List *audit*
In der Exchange Management Shell (EMS) können Sie die Überwachung für alle Benutzerpostfächer in der Organisation auf einmal aktivieren:
$UserMailboxes = Get-mailbox -Filter {(Recipi-entTypeDetails -eq 'UserMailbox')}

$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
Mit den Search-MailboxAuditLog- und New-MailboxAuditLogSearch-Cmdlets erstellen Sie Suchaufträge und durchsuchen die Postfächer. Die Suchergebnisse werden in der EMS angezeigt beziehungsweise auch per E-Mail an den Administrator zugestellt.

Im Gegensatz zur Überwachung von Benutzern, hält die Administratorüberwachungsprotokollierung alle Aktionen fest, die Administratoren in der Umgebung durchführen. Zusammen mit der Postfachüberwachungsprotokollierung können Sie dadurch umfassende Analysen der Verwendung und Konfiguration von Exchange-Umgebungen erhalten.



Seite 1 von 2 Nächste Seite >>
7.12.2020/jp/ln/Thomas Joos

Nachrichten

Machine Learning für mehr Datensicherheit [24.09.2021]

Die Erfahrungen der vergangenen zwei Jahre sind eindeutig: Einen Ransomware-Angriff zu verhindern ist schwierig. Manche Experten sagen sogar, dass es selbst mit der neuesten Technologie und einem soliden, umfassenden Verteidigungsansatz nahezu unmöglich ist. Wenn es also keinen todsicheren Weg gibt, einen Angriff zu verhindern, ist die Wiederherstellung die nächstbeste Option. Bei einem Wiederherstellungsplan für Ransomware gibt es jedoch viele Entscheidungen und Nuancen. [mehr]

Automatisierte Cybersicherheit [23.09.2021]

LogPoint hat die angekündigte Übernahme des Unternehmens SecBI mit Sitz in Tel Aviv abgeschlossen. Die SOAR- und XDR-Plattform von SecBI soll nun nativ in LogPoint integriert werden, um so eine integrierte, grundlegende Security--Operations-Plattform zu schaffen. LogPoint SOAR soll zusammen mit LogPoint 7.0 im Dezember 2021 veröffentlicht werden, XDR folge Mitte 2022. [mehr]

Sicher aus der Ferne [20.09.2021]

Tipps & Tools

Studie: Über drei Viertel weltweiter Unternehmen nutzen Multicloud [17.08.2021]

Laut einer Umfrage von US-Anbieter Hashicorp setzen 76 Prozent der befragten, weltweit verteilten Unternehmen auf die Multicloud. Nähmen die Firmen nicht auch Hindernisse auf ihrem Weg in die Wolke wahr wie Kostenüberlegungen, Sicherheitsbedenken und Know-how-Mangel, wäre der Cloudanteil noch größer. [mehr]

Im Test: Red Hat OpenShift 4.7 [1.07.2021]

Leicht, effizient und komfortabel sollen IT-Verantwortliche dank OpenShift 4.7 von Red Hat in den Genuss von Container-Orchestrierung mit Kubernetes kommen. Ob dies gelingt, entscheidet sich in der Praxis an Punkten wie Betrieb, Wartung und Sicherheit sowie den vorhandenen Kubernetes-Funktionen. Im Test bewährte sich OpenShift 4.7 zwar sehr gut, gleichzeitig brachten Abweichungen von Red Hats Vorgaben jedoch Probleme mit sich. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen