Lesezeit
2 Minuten
Seite 2 - Sicherheit in Exchange (1)
Postfachüberwachung im EAC
Im Exchange Admin Center lässt sich unter "Verwaltung der Compliance / Überwachung" nach Einträgen aus dem Protokoll suchen und auch exportieren (als XML-Datei). Dazu wählen Sie auf der erwähnten Seite "Überwachung" den gewünschten Bericht und definieren, welcher Zeitraum im Bericht erfasst und angezeigt werden soll.
Im ersten Schritt sollten Sie die Überwachungsprotokollierung aktivieren und konfigurieren. Hier sollten Sie frühzeitig planen, für welche Postfächer die Funktion zum Einsatz kommen soll. Muss ein Postfach nicht mehr dauerhaft überwacht werden, kann es sinnvoll sein, die Überwachung wieder zu deaktivieren.
Standardmäßig können alle Administratoren im EAC auf alle Berichte im Bereich "Überwachung" zugreifen. Sollen andere Anwender ebenfalls das Recht erhalten, Berichte abzurufen, müssen diese natürlich nicht unbedingt Administratorrechte erhalten, sondern Sie sollten exakt definierte Rechte delegieren. Die einfachste Art, Benutzern Zugriff auf die Berichte in Exchange zu geben, ist das Hinzufügen der Benutzer zur Rollengruppe "Records Management". Diese Gruppe verfügt über das Recht, Überwachungsprotokolle zu lesen.
Auf der Seite "Mitglieder auswählen" bestimmen Sie den Exchange-Empfänger, der Zugriff auf die Überwachungsprotokolle erhalten soll und nehmen ihn mit einem Klick auf "Hinzufügen" und dann auf "OK" in die Gruppe auf. Schließlich beenden Sie den Vorgang mir "Speichern" und nun kann der Benutzer auf die Berichte zugreifen und diese auch exportieren. Im EAC-Detailbereich zeigt sich der Benutzer bei "Mitglieder", wenn Sie die Gruppe anklicken. Dadurch lassen sich Gruppenmitgliedschaften recht schnell überprüfen.
Auf diese Weise kann der Benutzer im EAC die Berichte ausführen. Zusätzlich kann er das Postfachüberwachungsprotokoll und das Administratorüberwachungsprotokoll lesen und exportieren. Generell lassen sich an dieser Stelle auch reine Leserechte erteilen, wodurch sich Berichte zwar lesen, aber nicht exportieren lassen.
Diese Berechtigungen lassen sich auch in der Exchange Management Shell setzen:
Exchange-Zertifikate konfigurieren
Exchange 2016 setzt auf SSL-gesicherte Verbindungen und Verschlüsselung. Aus diesem Grund benötigt jeder Exchange-Server ein eigenes Serverzertifikat. Während der Installation stellt sich jeder Exchange-Server ein selbstsigniertes Zertifikat aus und verwendet dieses für die einzelnen Verschlüsselungen.
Um eine Zertifikatanforderung in der EMS zu erstellen, wenn Sie zum Beispiel die Zertifizierungsstelle eines Drittherstellers verwenden müssen, nutzen Sie:
Internen Zertifizierungsstellen vertrauen Clients, die Mitglied der gleichen AD-Gesamtstruktur sind, automatisch. Bei Zertifizierungsstellen von Drittherstellern müssen Sie das Zertifikat der Zertifizierungsstelle – sofern diese noch nicht bekannt ist – manuell in die vertrauenswürdigen Stammzertifizierungsstellen integrieren.
Sie können bei einer Migration zu Exchange 2016/2019 auch das alte Zertifikat Ihrer Exchange-Server weiterverwenden. Dazu exportieren Sie das Zertifikat in der Zertifikatverwaltung oder in den Internetinformationsdiensten (IIS) in eine PFX-Datei und importieren diese anschließend in der neuen Serverversion.
Seite 1: Postfachüberwachungsprotokolle nutzen
Seite 2: Exchange-Zertifikate konfigurieren
Im zweiten Teil des Workshops geht es darum, wie Sie eine Zertifikatänderung vorbereiten und wie Sie durch ActiveSync-Postfachrichtlinien für Sicherheit sorgen. Im dritten Teil und letzten Teil erklären wir, was sie bei einem Virenscanner auf Dateisystemebene beachten müssen.
jp/ln/Thomas Joos
Im Exchange Admin Center lässt sich unter "Verwaltung der Compliance / Überwachung" nach Einträgen aus dem Protokoll suchen und auch exportieren (als XML-Datei). Dazu wählen Sie auf der erwähnten Seite "Überwachung" den gewünschten Bericht und definieren, welcher Zeitraum im Bericht erfasst und angezeigt werden soll.
Im ersten Schritt sollten Sie die Überwachungsprotokollierung aktivieren und konfigurieren. Hier sollten Sie frühzeitig planen, für welche Postfächer die Funktion zum Einsatz kommen soll. Muss ein Postfach nicht mehr dauerhaft überwacht werden, kann es sinnvoll sein, die Überwachung wieder zu deaktivieren.
Standardmäßig können alle Administratoren im EAC auf alle Berichte im Bereich "Überwachung" zugreifen. Sollen andere Anwender ebenfalls das Recht erhalten, Berichte abzurufen, müssen diese natürlich nicht unbedingt Administratorrechte erhalten, sondern Sie sollten exakt definierte Rechte delegieren. Die einfachste Art, Benutzern Zugriff auf die Berichte in Exchange zu geben, ist das Hinzufügen der Benutzer zur Rollengruppe "Records Management". Diese Gruppe verfügt über das Recht, Überwachungsprotokolle zu lesen.
Diese Berechtigung vergeben Sie, indem Sie im EAC zu "Berechtigungen / Administratorrollen" navigieren. In der Liste mit den Rollengruppen klicken Sie zunächst auf "Records Management" und dann auf "Bearbeiten". Bei "Mitglieder" integrieren Sie über "Hinzufügen" einen Benutzer aus dem Active Directory (AD) in die Gruppe. An dieser Stelle lassen sich Benutzer auch wieder entfernen, wenn sie keinen Zugriff mehr auf die Berichte von Postfächern erhalten sollen.
Bild 1: Das Exchange Admin Center bietet zahlreiche Protokolle zur Überwachung des Servers.
Auf der Seite "Mitglieder auswählen" bestimmen Sie den Exchange-Empfänger, der Zugriff auf die Überwachungsprotokolle erhalten soll und nehmen ihn mit einem Klick auf "Hinzufügen" und dann auf "OK" in die Gruppe auf. Schließlich beenden Sie den Vorgang mir "Speichern" und nun kann der Benutzer auf die Berichte zugreifen und diese auch exportieren. Im EAC-Detailbereich zeigt sich der Benutzer bei "Mitglieder", wenn Sie die Gruppe anklicken. Dadurch lassen sich Gruppenmitgliedschaften recht schnell überprüfen.
Auf diese Weise kann der Benutzer im EAC die Berichte ausführen. Zusätzlich kann er das Postfachüberwachungsprotokoll und das Administratorüberwachungsprotokoll lesen und exportieren. Generell lassen sich an dieser Stelle auch reine Leserechte erteilen, wodurch sich Berichte zwar lesen, aber nicht exportieren lassen.
Diese Berechtigungen lassen sich auch in der Exchange Management Shell setzen:
New-ManagementRoleAssignment -Role "Audit Logs" -User <Name>
Exchange-Zertifikate konfigurieren
Exchange 2016 setzt auf SSL-gesicherte Verbindungen und Verschlüsselung. Aus diesem Grund benötigt jeder Exchange-Server ein eigenes Serverzertifikat. Während der Installation stellt sich jeder Exchange-Server ein selbstsigniertes Zertifikat aus und verwendet dieses für die einzelnen Verschlüsselungen.
Um eine Zertifikatanforderung in der EMS zu erstellen, wenn Sie zum Beispiel die Zertifizierungsstelle eines Drittherstellers verwenden müssen, nutzen Sie:
$RequestData = New-ExchangeCertificate -GenerateRequest -Server mail01Ist der Befehl Ihrer Anforderungen entsprechend angepasst, erstellen Sie so eine Textdatei, in der die Zertifikatsanforderung abgelegt ist. Auf dieser Basis wird ein Zertifikat erstellt. Dieses können Sie ebenfalls in der EMS mit Exchange verbinden. Dazu verschieben Sie das heruntergeladene Zertifikat in das Verzeichnis, in das Sie bereits die Zertifikatsanforderung kopiert haben:
-SubjectName "c=com, S=germany, L=berlin, O=Contoso, OU=ex,
CN=webmail.contoso.com" -DomainName webmail.contoso.com,autodiscover.contoso.com
-PrivateKeyExportable $true Set-Content -path \\mail01\c$\ download\ssl-request.req -value $RequestData
$Data = [Byte[]]$(Get-Content -Path "\\mail01\c$\download\ webmail.cer"Das Problem dabei ist, dass kein Client dieser Zertifizierungsstelle vertraut, was in Zertifikatfehlermeldungen resultiert. In Exchange 2016 hat Microsoft das Problem aber entschärft, da sich die Server untereinander vertrauen. Sie müssen daher nicht unbedingt das Zertifikat anpassen. In produktiven Umgebungen ist es aber besser, wenn Sie auf Basis der AD-Zertifikatdienste ein neues Zertifikat ausstellen lassen und für Exchange nutzen. Dies sollten Sie so schnell wie möglich nach der Installation durchführen.
-Encoding byte -ReadCount 0) Import-ExchangeCertificate -Server mail01 -FileData $Data |
EnableExchangeCertificate -Server mail01 -Services IIS
Internen Zertifizierungsstellen vertrauen Clients, die Mitglied der gleichen AD-Gesamtstruktur sind, automatisch. Bei Zertifizierungsstellen von Drittherstellern müssen Sie das Zertifikat der Zertifizierungsstelle – sofern diese noch nicht bekannt ist – manuell in die vertrauenswürdigen Stammzertifizierungsstellen integrieren.
Sie können bei einer Migration zu Exchange 2016/2019 auch das alte Zertifikat Ihrer Exchange-Server weiterverwenden. Dazu exportieren Sie das Zertifikat in der Zertifikatverwaltung oder in den Internetinformationsdiensten (IIS) in eine PFX-Datei und importieren diese anschließend in der neuen Serverversion.
Seite 2: Exchange-Zertifikate konfigurieren
Im zweiten Teil des Workshops geht es darum, wie Sie eine Zertifikatänderung vorbereiten und wie Sie durch ActiveSync-Postfachrichtlinien für Sicherheit sorgen. Im dritten Teil und letzten Teil erklären wir, was sie bei einem Virenscanner auf Dateisystemebene beachten müssen.
<< Vorherige Seite | Seite 2 von 2 |
jp/ln/Thomas Joos