Seite 2 - Sicherheit in Exchange (1)

Lesezeit
2 Minuten
Bis jetzt gelesen

Seite 2 - Sicherheit in Exchange (1)

07.12.2020 - 00:00
Veröffentlicht in:
Postfachüberwachung im EAC
Im Exchange Admin Center lässt sich unter "Verwaltung der Compliance / Überwachung" nach Einträgen aus dem Protokoll suchen und auch exportieren (als XML-Datei). Dazu wählen Sie auf der erwähnten Seite "Überwachung" den gewünschten Bericht und definieren, welcher Zeitraum im Bericht erfasst und angezeigt werden soll.

Im ersten Schritt sollten Sie die Überwachungsprotokollierung aktivieren und konfigurieren. Hier sollten Sie frühzeitig planen, für welche Postfächer die Funktion zum Einsatz kommen soll. Muss ein Postfach nicht mehr dauerhaft überwacht werden, kann es sinnvoll sein, die Überwachung wieder zu deaktivieren.

Standardmäßig können alle Administratoren im EAC auf alle Berichte im Bereich "Überwachung" zugreifen. Sollen andere Anwender ebenfalls das Recht erhalten, Berichte abzurufen, müssen diese natürlich nicht unbedingt Administratorrechte erhalten, sondern Sie sollten exakt definierte Rechte delegieren. Die einfachste Art, Benutzern Zugriff auf die Berichte in Exchange zu geben, ist das Hinzufügen der Benutzer zur Rollengruppe "Records Management". Diese Gruppe verfügt über das Recht, Überwachungsprotokolle zu lesen.

Diese Berechtigung vergeben Sie, indem Sie im EAC zu "Berechtigungen / Administratorrollen" navigieren. In der Liste mit den Rollengruppen klicken Sie zunächst auf "Records Management" und dann auf "Bearbeiten". Bei "Mitglieder" integrieren Sie über "Hinzufügen" einen Benutzer aus dem Active Directory (AD) in die Gruppe. An dieser Stelle lassen sich Benutzer auch wieder entfernen, wenn sie keinen Zugriff mehr auf die Berichte von Postfächern erhalten sollen.


Bild 1: Das Exchange Admin Center bietet zahlreiche Protokolle zur Überwachung des Servers.

Auf der Seite "Mitglieder auswählen" bestimmen Sie den Exchange-Empfänger, der Zugriff auf die Überwachungsprotokolle erhalten soll und nehmen ihn mit einem Klick auf "Hinzufügen" und dann auf "OK" in die Gruppe auf. Schließlich beenden Sie den Vorgang mir "Speichern" und nun kann der Benutzer auf die Berichte zugreifen und diese auch exportieren. Im EAC-Detailbereich zeigt sich der Benutzer bei "Mitglieder", wenn Sie die Gruppe anklicken. Dadurch lassen sich Gruppenmitgliedschaften recht schnell überprüfen.

Auf diese Weise kann der Benutzer im EAC die Berichte ausführen. Zusätzlich kann er das Postfachüberwachungsprotokoll und das Administratorüberwachungsprotokoll lesen und exportieren. Generell lassen sich an dieser Stelle auch reine Leserechte erteilen, wodurch sich Berichte zwar lesen, aber nicht exportieren lassen.

Diese Berechtigungen lassen sich auch in der Exchange Management Shell setzen:
New-ManagementRoleAssignment -Role "Audit Logs" -User <Name>


Exchange-Zertifikate konfigurieren
Exchange 2016 setzt auf SSL-gesicherte Verbindungen und Verschlüsselung. Aus diesem Grund benötigt jeder Exchange-Server ein eigenes Serverzertifikat. Während der Installation stellt sich jeder Exchange-Server ein selbstsigniertes Zertifikat aus und verwendet dieses für die einzelnen Verschlüsselungen.

Um eine Zertifikatanforderung in der EMS zu erstellen, wenn Sie zum Beispiel die Zertifizierungsstelle eines Drittherstellers verwenden müssen, nutzen Sie:
$RequestData = New-ExchangeCertificate -GenerateRequest -Server mail01 
-SubjectName "c=com, S=germany, L=berlin, O=Contoso, OU=ex,
CN=webmail.contoso.com" -DomainName webmail.contoso.com,autodiscover.contoso.com
-PrivateKeyExportable $true Set-Content -path \\mail01\c$\ download\ssl-request.req -value $RequestData
Ist der Befehl Ihrer Anforderungen entsprechend angepasst, erstellen Sie so eine Textdatei, in der die Zertifikatsanforderung abgelegt ist. Auf dieser Basis wird ein Zertifikat erstellt. Dieses können Sie ebenfalls in der EMS mit Exchange verbinden. Dazu verschieben Sie das heruntergeladene Zertifikat in das Verzeichnis, in das Sie bereits die Zertifikatsanforderung kopiert haben:
$Data = [Byte[]]$(Get-Content -Path "\\mail01\c$\download\ webmail.cer" 
-Encoding byte -ReadCount 0) Import-ExchangeCertificate -Server mail01 -FileData $Data |
EnableExchangeCertificate -Server mail01 -Services IIS
Das Problem dabei ist, dass kein Client dieser Zertifizierungsstelle vertraut, was in Zertifikatfehlermeldungen resultiert. In Exchange 2016 hat Microsoft das Problem aber entschärft, da sich die Server untereinander vertrauen. Sie müssen daher nicht unbedingt das Zertifikat anpassen. In produktiven Umgebungen ist es aber besser, wenn Sie auf Basis der AD-Zertifikatdienste ein neues Zertifikat ausstellen lassen und für Exchange nutzen. Dies sollten Sie so schnell wie möglich nach der Installation durchführen.

Internen Zertifizierungsstellen vertrauen Clients, die Mitglied der gleichen AD-Gesamtstruktur sind, automatisch. Bei Zertifizierungsstellen von Drittherstellern müssen Sie das Zertifikat der Zertifizierungsstelle – sofern diese noch nicht bekannt ist – manuell in die vertrauenswürdigen Stammzertifizierungsstellen integrieren.

Sie können bei einer Migration zu Exchange 2016/2019 auch das alte Zertifikat Ihrer Exchange-Server weiterverwenden. Dazu exportieren Sie das Zertifikat in der Zertifikatverwaltung oder in den Internetinformationsdiensten (IIS) in eine PFX-Datei und importieren diese anschließend in der neuen Serverversion.

Seite 1: Postfachüberwachungsprotokolle nutzen
Seite 2: Exchange-Zertifikate konfigurieren


Im zweiten Teil des Workshops geht es darum, wie Sie eine Zertifikatänderung vorbereiten und wie Sie durch ActiveSync-Postfachrichtlinien für Sicherheit sorgen. Im dritten Teil und letzten Teil erklären wir, was sie bei einem Virenscanner auf Dateisystemebene beachten müssen.

<< Vorherige Seite Seite 2 von 2


jp/ln/Thomas Joos

Ähnliche Beiträge

Mehr Datensicherheit durch ganzheitliche Plattformen

Die Folgen von Cyberangriffen sind für Unternehmen verheerend. Dies gilt vor allem für Attacken auf hybride IT-Umgebungen, die Datenverluste auf mehreren Plattformen zur Folge haben. Deshalb lohnt es sich, auf ganzheitliche Werkzeuge für eine sichere Kommunikation und Datenübertragung zu setzen. Welchen maßgeblichen Beitrag Produktivitätsplattformen in den Bereichen Verwaltung, Kosteneffizienz und Reaktionsschnelligkeit leisten, erklärt unser Artikel.

Sicherheit bei Videokonferenz-Systemen

Admins und Anwender sorgen sich zurecht um den Schutz ihrer Daten. Wie gut sind etwa die Inhalte von Onlinekommunikation vor Mithören und Cyberattacken geschützt? Viele Unternehmen haben erkannt, dass Abkommen in Bezug auf die Datenübertragung in ein Drittland wie die USA aufgrund der dortigen Rechtslage problematisch sind. Neben den gesetzlichen Rahmenbedingungen geht der Artikel auf mögliche Sicherheitslecks in Videokonferenz-Systemen ein und erklärt, warum eine echte Ende-zu-Ende-Verschlüsselung so wichtig ist.