von Redaktion IT-A…
Lesezeit
2 Minuten
Sicherheit in Exchange (3)
Bei einem Kommunikationsserver wie Exchange spielt die Sicherheit in doppelter Hinsicht eine Rolle: Einerseits gilt es zu verhindern, dass eingehende E-Mails oder sich verbindende Geräte Malware in das Netz einschleppen, andererseits ist auch der Server selbst zu sichern, da die Exchange-Organisation aus dem Internet zu erreichen ist. Im dritten Teil erklären wir, was sie bei einem Virenscanner auf Dateisystemebene beachten müssen.
Virenscanner auf Dateisystemebene
Viele Unternehmen setzen auf Exchange-Servern Virenscanner auf Dateisystemebene ein. Sie müssen dazu auch in Exchange 2016 einige Dinge beachten. Etwa, dass solche Scanner keinen Schutz vor E-Mail-Viren bieten. Sie können lediglich eine Datei scannen, wenn sie in Verwendung ist, oder sie können in einem geplanten Intervall scannen. Dies kann bewirken, dass die Scanner ein Exchange-Protokoll oder eine Datenbankdatei sperren oder isolieren. Dies kann die Datenbank zerstören oder den Server zumindest deutlich langsamer reagieren lassen.
Bei Antivirenprogrammen auf Dateiebene unter Exchange müssen Sie bestimmte Ordner, Prozesse und Dateinamenerweiterungen sowohl von der speicherresidenten als auch von der Prüfung auf Dateiebene ausschließen. Auf Postfachservern gilt es, alle Postfachdatenbanken, Datenbankinhaltsindizes und Protokolldateien der Unterordner von "<Exchange-Installationspfad>\Mailbox" von der Prüfung auszunehmen. Die Speicherorte von Postfachdatenbank, Transaktionsprotokollen und Prüfpunktdateien lassen sich in der Exchange Management Shell wie folgt ermitteln:
Auf Servern, die Mitglied einer Datenbankverfügbarkeitsgruppe (Database Availability Group, DAG) sind, schließen Sie die Ordner "%WinDir%\Cluster" und "%SystemDrive%\DAGFileShareWitnesses\<DAGFQDN>" aus.
Weitere Ordner, die Sie nicht unter den Schutz eines Antivirusprogramms stellen sollten, zeigt die gleichnamige Tabelle am Ende des Artikels.
Interner Malwareschutz
Der Virenscanner ist in Exchange 2016 standardmäßig aktiviert. Sie können ihn aber jederzeit oder bereits bei der Installation deaktivieren. Die bereits vorhandene Antischadsoftware-Richtlinie steuert Einstellungen für den Scanner. Sie können diese Richtlinie nicht löschen, aber im EAC bearbeiten. Dazu öffnen Sie im EAC "Schutz/Schadsoftwarefilter" und doppelklicken die Standardrichtlinie "Default". Über "Einstellungen" richten Sie die Richtlinie nach Ihren Anforderungen ein:
Fazit
jp/ln/Thomas Joos
[2] www.it-administrator.de/downloads/ITA_Sonderheft_2_2018_ExchangeDateien.txt
Viele Unternehmen setzen auf Exchange-Servern Virenscanner auf Dateisystemebene ein. Sie müssen dazu auch in Exchange 2016 einige Dinge beachten. Etwa, dass solche Scanner keinen Schutz vor E-Mail-Viren bieten. Sie können lediglich eine Datei scannen, wenn sie in Verwendung ist, oder sie können in einem geplanten Intervall scannen. Dies kann bewirken, dass die Scanner ein Exchange-Protokoll oder eine Datenbankdatei sperren oder isolieren. Dies kann die Datenbank zerstören oder den Server zumindest deutlich langsamer reagieren lassen.
Bei Antivirenprogrammen auf Dateiebene unter Exchange müssen Sie bestimmte Ordner, Prozesse und Dateinamenerweiterungen sowohl von der speicherresidenten als auch von der Prüfung auf Dateiebene ausschließen. Auf Postfachservern gilt es, alle Postfachdatenbanken, Datenbankinhaltsindizes und Protokolldateien der Unterordner von "<Exchange-Installationspfad>\Mailbox" von der Prüfung auszunehmen. Die Speicherorte von Postfachdatenbank, Transaktionsprotokollen und Prüfpunktdateien lassen sich in der Exchange Management Shell wie folgt ermitteln:
Get-MailboxDatabase -Server <Servername> | fl *path*GroupMetrics-Dateien aus dem Ordner "Exchange-Installationspfad\GroupMetrics" sollten Sie ebenso wenig scannen wie Protokolldateien für die Nachrichtenverfolgung und Kalenderreparatur (Ordner "<Exchange-Installationspfad>\ TransportRoles\Logs" und "Exchange-Installationspfad\Logging"). Den Speicherort erfahren Sie mit:
Get-MailboxServer <Servername> | fl *path*Auch Offlineadressbuch-Dateien ("<Exchange-Pfad>\ClientAccess\OAB") und IIS-Systemdateien ([SystemRoot]\System32\inetsrv") sollten Sie ausschließen. Gleiches gilt für den temporären Ordner der Postfachdatenbank unter "<Exchange-Installationspfad>\\Mailbox\MDBTEMP".
Auf Servern, die Mitglied einer Datenbankverfügbarkeitsgruppe (Database Availability Group, DAG) sind, schließen Sie die Ordner "%WinDir%\Cluster" und "%SystemDrive%\DAGFileShareWitnesses\<DAGFQDN>" aus.
Weitere Ordner, die Sie nicht unter den Schutz eines Antivirusprogramms stellen sollten, zeigt die gleichnamige Tabelle am Ende des Artikels.
Viele Antivirenprogramme prüfen auch Prozesse, was Exchange negativ beeinflussen kann. Und neben Ordnern und Prozessen sollten Sie auch Exchangespezifische Dateinamenerweiterungen ausschließen. Beide Listen finden Sie unter [2].
Bild 2: Über die Antischadsoftware-Richtlinie lässt sich festlegen, wie Exchange mit Malware
in E-Mails umgeht und wer darüber benachrichtigt wird.
in E-Mails umgeht und wer darüber benachrichtigt wird.
Interner Malwareschutz
Der Virenscanner ist in Exchange 2016 standardmäßig aktiviert. Sie können ihn aber jederzeit oder bereits bei der Installation deaktivieren. Die bereits vorhandene Antischadsoftware-Richtlinie steuert Einstellungen für den Scanner. Sie können diese Richtlinie nicht löschen, aber im EAC bearbeiten. Dazu öffnen Sie im EAC "Schutz/Schadsoftwarefilter" und doppelklicken die Standardrichtlinie "Default". Über "Einstellungen" richten Sie die Richtlinie nach Ihren Anforderungen ein:
- Gesamte Nachricht löschen: Verhindert die Zustellung der E-Mail einschließlich Anlagen an die Empfänger.
- Alle Anlagen löschen und Standardwarntext verwenden: Löscht alle Anlagen, nicht nur infizierte und fügt der E-Mail eine Textdatei mit Standardwarntext hinzu. Der Text der E-Mail bleibt aber erhalten.
- Alle Anlagen löschen und benutzerdefinierten Warntext verwenden: Löscht alle Anlagen und fügt eine Textdatei mit einer Nachricht ein. Den Text können Sie selbst festlegen.
Wird im Nachrichtentext selbst Schadsoftware erkannt, löscht Exchange immer die gesamte E-Mail einschließlich Anlagen. Das gilt für alle ein- und ausgehenden E-Mails. Im Bereich "Benachrichtigungen" hinterlegen Sie, ob Exchange eine Benachrichtigungs-E-Mail an Absender oder Administratoren sendet, wenn eine Nachricht als Schadsoftware erkannt wird. Zusätzlich passen Sie den Inhalt unter "Benachrichtigungen anpassen" bei Bedarf an. Dies gilt ebenso für den Absender, in dessen Namen die E-Mail gesendet wird und den Betreff der Nachricht.
Fazit
Exchange bringt zahlreiche Bordmittel mit, die das System selbst und den Versand und Empfang sicherer machen. Während manche Werkzeuge nur in bestimmten Szenarien wie etwa bei Smartphones für mehr Sicherheit sorgen, sollten Administratoren Themen wie Postfachüberwachungsprotokolle oder Virenschutz stets im Auge behalten.
Im ersten Teil des Workshops lasen Sie, wie Sie Postfächer überwachen und Exchange-Zertifikate konfigurieren. Im zweiten Teil ging es darum, wie Sie eine Zertifikatänderung vorbereiten und wie Sie durch ActiveSync-Postfachrichtlinien für Sicherheit sorgen..
Im ersten Teil des Workshops lasen Sie, wie Sie Postfächer überwachen und Exchange-Zertifikate konfigurieren. Im zweiten Teil ging es darum, wie Sie eine Zertifikatänderung vorbereiten und wie Sie durch ActiveSync-Postfachrichtlinien für Sicherheit sorgen..
jp/ln/Thomas Joos
[2] www.it-administrator.de/downloads/ITA_Sonderheft_2_2018_ExchangeDateien.txt
