Fachartikel

Sicherheit in Exchange (2)

Bei einem Kommunikationsserver wie Exchange spielt die Sicherheit in doppelter Hinsicht eine Rolle: Einerseits gilt es zu verhindern, dass eingehende E-Mails oder sich verbindende Geräte Malware in das Netz einschleppen, andererseits ist auch der Server selbst zu sichern, da die Exchange-Organisation aus dem Internet zu erreichen ist. In der zweiten Folge des Workshops geht es darum, wie Sie eine Zertifikatänderung vorbereiten und wie Sie durch ActiveSync-Postfachrichtlinien für Sicherheit sorgen.
Mit Brief und Siegel – Exchange bringt zahlreiche Bordmittel mit, die das System selbst und den Versand und Empfang sicherer machen.
Vorbereiten der Zertifikatänderung
In Exchange 2016 verwalten Sie Serverzertifikate im EAC. Um dem Server ein Zertifikat zuzuweisen, klicken Sie auf "Server" und dann auf "Zertifikate". Jeder Exchange-Server in der Organisation erhält sein eigenes Zertifikat. Um ein neues Zertifikat zu installieren, klicken Sie zunächst auf das Pluszeichen. Der Assistent erstellt eine Zertifikatanforderung, die Sie dann entweder über die AD-Zertifikatdienste oder über das Webfrontend des Drittherstellers anfordern.

Klicken Sie auf das Pluszeichen im Fenster, um den Assistenten für die Installation von Zertifikaten zu starten. Im nächsten Schritt geben Sie den Namen ein, mit dem das Zertifikat angezeigt werden soll. Auf der nächsten Seite legen Sie fest, dass Sie untergeordnete Domänen mit dem Zertifikat anbinden wollen. Setzen Sie nur eine Domäne ein, ist das nicht notwendig. Danach wählen Sie den Exchange-Server aus, auf dem Sie die Anforderung des Zertifikats speichern wollen. Nun wählen Sie die Serverdienste aus, wobei Sie für jeden Serverdienst auf das Stiftsymbol klicken und für jeden Dienst den vollständigen DNS-Namen angeben, mit dem auf den Server zugegriffen wird.

Danach erhalten Sie eine Zusammenfassung aller DNS-Namen, die mit dem Zertifikat verknüpft werden. Anschließend geben Sie den Namen der Organisation und einige Daten zum Unternehmen ein. Im Anschluss speichern Sie die Anforderung als Textdatei in einer Freigabe im Netzwerk. Mit dieser Datei mit der Endung "REQ" fordern Sie das Zertifikat anschließend an. Sie sehen im EAC den Status des Zertifikats als "Ausstehende Anforderung".
Im nächsten Schritt öffnen Sie das Webfrontend des Zertifikatausstellers. Verwenden Sie die AD-Zertifikatdienste, erreichen Sie diese über die Adresse "https: //<Servername>/certsrv". Klicken Sie "Ein Zertifikat anfordern" und anschließend "Erweiterte Zertifikatanforderung". Nun wählen Sie die Option "Reichen Sie eine Zertifikatanforderung, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein".

Im nächsten Fenster geben Sie im Feld "Gespeicherte Anforderung" den Text der REQ-Datei ein, die Sie im Vorfeld erstellt haben. Sie öffnen die Datei im Editor und kopieren den Inhalt in die Zwischenablage, wobei Sie den kompletten Text der Datei verwenden müssen. Für die Zertifikatvorlage legen Sie nun "Webserver" fest und klicken auf "Einsenden". Anschließend laden Sie das Zertifikat als CER-Datei herunter und speichern diese auf dem Exchange-Server.

Als Nächstes integrieren Sie das neue Zertifikat im EAC in Exchange. Klicken Sie auf "Server / Zertifikate" und wählen Sie das Zertifikat in der Konsole mit dem Status "Ausstehende Anforderung". Hier klicken Sie "Abschließen". Jetzt wählen Sie die heruntergeladene CER-Datei aus und schließen den Vorgang ab. Das Zertifikat wird danach als "Gültig" angezeigt.

Erscheint ein Fehler, überprüfen Sie, ob das Zertifikat der Stammzertifizierungsstelle auf dem Exchange-Server bei den vertrauenswürdigen Stammzertifizierungsstellen hinterlegt ist. Dazu geben Sie Certlm.msc auf der Startseite oder im Startmenü ein und erweitern in der Konsole "Zertifikate / Vertrauenswürdige Stammzertifizierungsstellen / Zertifikate". Überprüfen Sie an dieser Stelle, ob das Zertifikat der Zertifizierungsstelle hinterlegt ist. Finden Sie das Zertifikat nicht, geben Sie in der Eingabeaufforderung Gpupdate /force ein, damit das Zertifikat der Stammzertifizierungsstelle von der internen Zertifizierungsstelle abgerufen wird.

Nach diesem Vorgang haben Sie das Zertifikat erfolgreich in Exchange integriert. Markieren Sie das Zertifikat, können Sie über das Stift-Symbol jederzeit Einstellungen ändern und dieses auch mit den anderen Diensten in Exchange verbinden. Dazu klicken Sie im neuen Fenster auf "Dienste", markieren die noch nicht ausgewählten Dienste und klicken auf "Speichern". In manchen Fällen werden Sie noch gefragt, ob bereits vorhandene Zertifikate überschrieben werden sollen. Das bestätigen Sie.

Sehr wichtig ist an dieser Stelle, dass Sie den Namen, mit dem der Server aus dem Internet erreichbar ist, als allgemeinen Name hinterlegen, wenn Sie ein Zertifikat ausstellen. Ansonsten erhalten Clients, die aus dem Internet auf den Server zugreifen, eine Fehlermeldung, da der Namen des Zertifikats nicht mit der URL für den Zugriff übereinstimmt. Dieser Bereich ist vor allem für die Verwendung von Outlook und Exchange ActiveSync wichtig. Falls ein Zertifikatfehler in Outlook Web App erscheint, können Anwender diesen ohne große Auswirkungen bestätigen, Outlook verweigert allerdings die Verbindung bei solchen Fehlern.

Arbeiten Sie mit den AD-Zertifikatdiensten, installiert der Exchange-Server das Zertifikat der Vertrauensstellung automatisch über die Gruppenrichtlinien. Das Zertifikat der Stammzertifizierungsstelle muss auf dem Exchange-Server hinterlegt sein, damit der Exchange-Server den Zertifikaten dieser Zertifizierungsstelle vertraut.

Seite 2: Sicherheit durch ActiveSync-Postfachrichtlinien



Seite 1 von 2 Nächste Seite >>
14.12.2020/jp/ln/Thomas Joos

Nachrichten

Ähnlichkeiten zwischen Sunburst und Kazuar-Backdoor [11.01.2021]

Experten von Kaspersky haben spezifische Code-Ähnlichkeiten zwischen Sunburst und bekannten Versionen der Kazuar-Backdoor gefunden. Diese Art von Malware ermöglicht einen Fernzugriff auf den Computer eines Opfers. Die Erkenntnisse könnten Sicherheitsforscher bei ihren Analysen des Angriffs weiterbringen. [mehr]

Blick auf 20 Jahre Cyberbedrohungen [5.01.2021]

Der Jahreswechsel ist ein guter Zeitpunkt, um die aktuelle Bedrohungslandschaft zu betrachten und Prognosen zu wagen, wohin sie sich entwickeln könnte. Der Report "Cyberthreats: A 20-Year Retrospective" von Sophos hingegen gibt einen Überblick über die Cyberbedrohungen und Ereignisse, die in den vergangenen 20 Jahren den größten Einfluss auf die Sicherheitslandschaft hatten. [mehr]

Vier-Augen-Prinzip [22.12.2020]

Tipps & Tools

Vorschau Februar 2021: Sichere Virtualisierung [18.01.2021]

Virtualisierung sorgt für deutlich mehr Flexibilität in der IT. Doch wollen auch virtuelle Umgebungen richtig abgesichert sein. Im Februar beleuchtet IT-Administrator den Themenschwerpunkt "Sichere Virtualisierung". Darin erfahren Sie, auf welchen Wegen Sie Ihre Hyper-V-Umgebung schützen und Backups ihrer virtuellen Umgebungen erstellen. Außerdem lesen Sie im Februar, was die Cybersicherheitsagentur ENISA in Sachen sichere Virtualisierung vorgibt und wie Sie Befehle in Kubernetes mit StatusBay analysieren, bevor diese zur Anwendung kommen. In den Tests werfen wir unter anderem einen Blick auf die Veeam Availability Suite. [mehr]

Ein frohes Neues! [1.01.2021]

"Liegt das neue Jahr vor dir und das alte hinter dir, lass das alte liegen und hebe das neue auf." Dieses Sprichwort bringt es ganz gut auf den Punkt. 2020 war kein leichtes Jahr, liegt aber hinter uns und wir können mit guten Vorsätzen und Zuversicht ins neue Jahr starten. Wir hoffen, dass Sie trotz der aktuellen Umstände eine frohe Weihnachtszeit hatten und drücken die Daumen für 2021. Damit Sie auch in diesem Jahr ausreichend mit Lesestoff versorgt sind, sollten Sie einen Blick auf unser Sonderheft "VMware vSpehere 7 – Server, Netze und Storage virtualisieren" werfen. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen