B 5.12 Exchange 2000 / Outlook 2000

Beschreibung
Der Exchange 2000 Server ist ein Managementsystem für Nachrichten, das überdies Funktionen im Bereich der Workflow-Unterstützung bietet. Es ist dazu gedacht, in mittleren bis großen Behörden bzw. Unternehmen den internen und externen E-Mail-Verkehr zu regeln. Ebenso werden Newsgroups, Kalender und Aufgabenlisten von Exchange verwaltet.
Outlook 2000 ist ein E-Mail-Client, der Bestandteil des Office 2000 Paketes von Microsoft ist. Neben der reinen E-Mail-Funktionalität bietet er eine Reihe von Zusatzfunktionen, die den Arbeitsprozess in Unternehmen und Behörden erleichtern sollen.
Es handelt sich hierbei um eine typische Client-Server-Anwendung, wobei Exchange 2000 die Server- und Outlook 2000 die Client-Komponente darstellt.
Unterschiede zur Vorgängerversion Exchange 5.5
Die Vorgängerversion von Exchange 2000 Server ist der Exchange 5.5 Server. Zwischen diesen Versionen besteht konzeptionell ein gravierender Unterschied. Exchange 2000 Server integriert sich tief in das Betriebssystem Windows 2000, speziell in das Active Directory. Dies betrifft die Organisation des Exchange Systems, dessen Administration und besonders auch die Sicherheit des Gesamtsystems durch die Verwendung der Systemrichtlinien von Windows 2000.
Das Standort-Konzept (Site) von Exchange 5.5 wurde fallen gelassen und stattdessen das Forest-Konzept von Windows 2000 übernommen, denen sich sogenannte Routing Groups von Exchange 2000 Servern unterordnen. Darüber hinaus haben sich interne Kommunikationsprotokolle geändert. Beispielsweise basiert in der neuen Version die interne E-Mail-Kommunikation innerhalb einer Routing Group ausschließlich auf dem "klassischen" Simple Mail Transfer Protocol (SMTP) anstelle der zuvor verwendeten Remote Procedure Calls (RPCs).
Weitere Unterschiede ergeben sich aus einer erweiterten Funktionalität und einer Vergrößerung des Leistungsspektrums: Die E-Mail- und Nachrichten-Datenbanken können in separat verwaltete Teile partitioniert und auf verschiedene Server verteilt werden. Dies dient zum einen der Skalierbarkeit des Systems und erhöht zum anderen auch die Ausfallsicherheit. Weiterhin wird eine verteilte Konfiguration unterstützt, eine vereinheitlichte Administration über die Microsoft Management Console (MMC) ermöglicht, mehrfache öffentliche Verzeichnisse bereitgestellt, Video- und Datenkonferenzen ermöglicht und Instant Messaging unterstützt.
Exchange 2000 Server integriert außerdem in hohem Maße die Internet Information Services (IIS) von Windows 2000. Dies führt zu zusätzlichen Gefährdungen und ist für einen gesicherten Betrieb des Systems unbedingt zu berücksichtigen. Betroffen ist davon unter anderem der sogenannte Web Store (Installable File System - IFS), der den lokalen und den entfernten (remote) Zugriff auf das Dateisystem erlaubt. Das Laufwerk M (Standardeinstellung) eines jeden Rechners, auf dem Exchange 2000 installiert wird, bietet einen direkten Zugang über das Dateisystem auf diesen Web Store. Dieses Laufwerk erhält automatisch eine Netzfreigabe, so dass weitere Applikationen darauf zugreifen können. Ein weiterer Punkt sind die Web Forms, die vom Exchange 2000 Server direkt an Browser übermittelt werden, um interaktive Arbeitsprozesse über Browser zu ermöglichen.
Zwischen der Exchange Store Architektur und den Internet Access Protokollen liegt eine spezielle Schicht, der Exchange Interprocess Communication Layer EXIPC, auch Epoxy-Layer genannt. Dieser besteht aus einem asynchron geteilten Speicherbereich, in welchem sowohl der Prozess STORE.EXE als auch die IIS-Protokolle Daten lesen und schreiben können. STORE.EXE ist ein wesentlicher Prozess des Exchange Servers. Dadurch wird ein schneller Datenaustausch ermöglicht, der aus Sicherheitssicht jedoch auch problematisch ist.
Die Zusammenarbeit von Client mit Server lässt sich auf vielfältige Art und Weise konfigurieren und betreiben. Hier ergeben sich zum Teil erhebliche Unterschiede in Bezug auf die Sicherheit. Weiterhin ist es möglich, den Exchange 2000 Server so zu konfigurieren, dass mittels des sogenannten Outlook Web Access (OWA) direkt über das Internet zugegriffen werden kann. Dies ist von erheblicher sicherheitstechnischer Relevanz, siehe M 4.164 Browser-Zugriff auf Exchange 2000 .
Allgemeine Gesichtspunkte beim Betrieb eines E-Mail-Systems
Für einen sicheren Betrieb des Exchange 2000 Systems gelten auch allgemeine IT-Sicherheitsaspekte eines E-Mail-Systems, wie z. B. die Frage der Internet-Anbindung, eventuelle unterliegende Verschlüsselungsmaßnahmen, Behandlung aktiver Inhalte, Einsatz von Anti-Viren-Software und vieles mehr. Diesbezüglich wird auf den Baustein B 5.3 E-Mail verwiesen. Die dort dargestellten Gefährdungen und Maßnahmen besitzen im Kontext von Exchange/Outlook 2000 uneingeschränkte Gültigkeit.
Wie in der bisherigen Übersicht dargestellt, spielt die Sicherheit von Windows 2000 eine zentrale Rolle für die Sicherheit von Exchange bzw. Outlook. Dies gilt sowohl für die Server als auch die Clients des betrachteten Netzes. In diesem Zusammenhang sei auf die Bausteine B 3.106 Server unter Windows 2000 und B 3.209 Client unter Windows XP sowie die dort aufgeführten Gefährdungen und Maßnahmen verwiesen.
Eine Ende-zu-Ende-Sicherheit auf Anwendungsebene (hier: Outlook-Client) kann mittels Verschlüsselung und Signatur von elektronischen Nachrichten erzielt werden. Die Konfiguration und der Betrieb eines solchen Systems setzen dabei entweder die Verwendung der Microsoft Public Key Infrastruktur (PKI) oder eine Plug-In-Lösung eines Drittherstellers voraus. Theoretisch ist es natürlich möglich, gänzlich auf eine PKI zu verzichten, jedoch sind dann die bekannten Skalierungsprobleme im Schlüsselmanagement oder die Probleme der Vertrauensbeziehungen zu lösen.
Betrachtete Versionen
Im folgenden sind die derzeit aktuellen (Stand Oktober 2001) Produktversionen aufgeführt. In der Folge bezeichnet Exchange 2000 Server jede dieser Produktausprägungen:
- Exchange 2000 Server:
- Dies ist die Grundausstattung des Produktes und richtet sich an kleine bis mittlere Unternehmen bzw. Behörden.
- Exchange 2000 Enterprise Server:
- Diese Ausprägung beinhaltet die Grundfunktionalität von Exchange 2000 sowie Mechanismen für eine bessere Skalierbarkeit des Systems, z. B. Verteilung der E-Mail-Datenbanken auf verschiedene Server, keine Beschränkungen in der Größe von Transaktionsdaten, Vier-Wege-Clustering.
- Exchange 2000 Conferencing Server:
- Diese Version bietet die umfassendste Funktionalität, unter anderem Werkzeuge zur Durchführung von Daten-, Audio- und Videokonferenzen, Load Balancing und Bandbreitenmanagement.
- Outlook 2000, Service Release 1
In diesem Baustein wird die englischsprachige Version des Produktes Exchange 2000 betrachtet. Dies erfolgt vor dem Hintergrund der allgemeinen Empfehlung, stets diejenige Version im Betrieb einzusetzen, für welche Software-Anpassungen und Fehlerbehebungen generell als erstes verfügbar sind.
Für die Office-Anwendung Outlook 2000 wird die deutsche Version betrachtet, da diese in deutschsprachigen Behörden und Unternehmen eine größere Verbreitung findet als die entsprechende englischsprachige Ausgabe.
Für ein Exchange/Outlook 2000 System können folgende Sicherheitsziele unterschieden werden:
- Zugangssicherheit: Die auf einem Exchange 2000 Server gespeicherten Daten dürfen nur berechtigten Benutzern zugänglich sein. Das heißt, der Zugriff auf den Server muss entsprechend geregelt sein. Dies wird in erster Linie durch geeignete Konfiguration des Windows 2000 Servers erreicht, auf dem die Exchange Services installiert werden. Um Rollenkonflikte und erhebliche zusätzliche Risiken zu vermeiden, sollte dies grundsätzlich ein Member Server des Netzes sein und kein Domänen-Controller.
- Zugriffskontrolle: Neben der Kontrolle des Serverzugriffs stellt der Zugriff auf Datenbankebene (Mail Stores) einen wichtigen Sicherheitsaspekt dar. Hier lässt sich mit Hilfe der Sicherheitseinstellungen des Active Directory (Access Control Lists auf die relevanten Objekte) ein Schutz erreichen.
- Kommunikationssicherheit: Wenn ein E-Mail-Client auf die Daten des Exchange 2000 Servers zugreift, werden die abgerufenen Daten über eine Netzverbindung (LAN, WAN oder Internet) übertragen. Um Vertraulichkeit und Integrität der Daten zu gewährleisten, lassen sich Schutzmaßnahmen auf verschiedenen Ebenen der Übertragung durchführen.
- Verfügbarkeit: Um die Produktivität innerhalb eines Unternehmens bzw. einer Behörde nicht zu gefährden, sind Anforderungen an die Verfügbarkeit des Systems zu stellen. Dies umso mehr, als E-Mail oft einen entscheidenden Anteil an der Abwicklung von Geschäftsprozessen hat. Maßnahmen zum Schutz der Verfügbarkeit sind die Verteilung der E-Mail-Datenbanken auf mehrere Server, allgemeine Spiegelungstechniken sowie die Erstellung eines Notfallplans.
Gefährdungslage
Für den IT-Grundschutz eines Exchange 2000 Systems inklusive zugeordneter Outlook 2000 Clients werden die folgenden typischen Gefährdungen angenommen:
Höhere Gewalt:
- | G 1.2 | Ausfall des IT-Systems |
Organisatorische Mängel:
- | G 2.1 | Fehlende oder unzureichende Regelungen |
- | G 2.2 | Unzureichende Kenntnis über Regelungen |
- | G 2.7 | Unerlaubte Ausübung von Rechten |
- | G 2.37 | Unkontrollierter Aufbau von Kommunikationsverbindungen |
- | G 2.55 | Ungeordnete E-Mail-Nutzung |
- | G 2.91 | Fehlerhafte Planung der Migration von Exchange 5.5 nach Exchange 2000 |
- | G 2.92 | Fehlerhafte Regelungen für den Browser-Zugriff auf Exchange |
- | G 2.95 | Fehlendes Konzept zur Anbindung anderer E-Mail-Systeme an Exchange/Outlook |
Menschliche Fehlhandlungen:
- | G 3.1 | Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer |
- | G 3.9 | Fehlerhafte Administration des IT-Systems |
- | G 3.16 | Fehlerhafte Administration von Zugangs- und Zugriffsrechten |
- | G 3.38 | Konfigurations- und Bedienungsfehler |
- | G 3.60 | Fehlkonfiguration von Exchange 2000 Servern |
- | G 3.61 | Fehlerhafte Konfiguration von Outlook 2000 Clients |
Technisches Versagen:
- | G 4.22 | Software-Schwachstellen oder -Fehler |
- | G 4.32 | Nichtzustellung einer Nachricht |
Vorsätzliche Handlungen:
- | G 5.9 | Unberechtigte IT-Nutzung |
- | G 5.19 | Missbrauch von Benutzerrechten |
- | G 5.23 | Computer-Viren |
- | G 5.77 | Mitlesen von E-Mails |
- | G 5.83 | Kompromittierung kryptographischer Schlüssel |
- | G 5.84 | Gefälschte Zertifikate |
- | G 5.85 | Integritätsverlust schützenswerter Informationen |
Maßnahmenempfehlungen
Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.
Zusätzlich zu der Absicherung der Komponenten von Exchange bzw. Outlook muss noch ein spezifisches Sicherheitskonzept erstellt werden, das sich konsistent in das bestehende betriebsweite Sicherheitskonzept integrieren lässt. Das Exchange/Outlook-System muss so konfiguriert werden, dass bereits bestehende Sicherheitsanforderungen umgesetzt werden. Darüber hinaus sind weitere, für Exchange bzw. Outlook spezifische Anforderungen zu erfüllen.
Ein Exchange/Outlook-System wird in der Regel im Umfeld mit weiteren Systemen eingesetzt, die den Zugriff auf das interne Netz von außen kontrollieren. Hierbei sind insbesondere Firewall-Systeme und Systeme zur Fernwartung zu nennen, mit denen Exchange 2000 zusammenarbeiten muss. Aus diesem Grund sind bei der Durchführung der für Exchange bzw. Outlook spezifischen Maßnahmen stets auch die entsprechenden Empfehlungen aus den jeweiligen Bausteinen zusätzlich betroffener Systeme zu berücksichtigen. Neben den Bausteinen der Schicht 3 sind unter anderem auch die folgenden Bausteine zu nennen:
- B 3.301 Firewall, sofern Exchange 2000 Systeme in einer Firewall-Umgebung eingesetzt werden.
- B 4.4 Remote Access, wenn der Zugriff auf das Exchange-System über Einwahlleitungen erfolgt.
Für die erfolgreiche Implementierung eines Exchange/Outlook-Systems sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Planung über die Installation bis hin zum Betrieb. Die einzelnen Schritte sowie die jeweiligen Maßnahmen, die auf diesem Weg zu beachten sind, sind nachstehend zusammengefasst:
- Nach der Entscheidung, Exchange 2000 als internes Kommunikationssystem einzusetzen, muss die Beschaffung der Software und eventuell zusätzlich benötigter Hardware erfolgen. Da Exchange 2000 in verschiedenen Ausprägungen erhältlich ist (siehe oben), hängt das zu beschaffende Softwareprodukt von den geplanten Einsatzszenarien ab. Daher sind folgende Maßnahmen zu ergreifen:
- Zunächst muss der Einsatz des Exchange/Outlook-Systems geplant werden (siehe M 2.247 Planung des Einsatzes von Exchange/Outlook 2000).
- Parallel dazu ist eine Sicherheitsrichtlinie zu erarbeiten (siehe M 2.248 Festlegung einer Sicherheitsrichtlinie für Exchange/ Outlook 2000), die einerseits bereits bestehende Sicherheitsrichtlinien im Kontext von Exchange/Outlook umsetzt und gleichzeitig für Exchange bzw. Outlook spezifische Ergänzungen definiert.
- Vor der tatsächlichen Verteilung des Exchange/Outlook-Systems müssen die Benutzer und Administratoren im Umgang mit den Produkten geschult werden. Insbesondere für Administratoren empfiehlt sich eine intensive und praxisnahe Schulung, die auf fundierte Kenntnisse bezüglich Windows 2000 und dessen Sicherheit aufsetzen sollte (siehe M 3.31 Schulung zur Systemarchitektur und Sicherheit von Exchange 2000 für Administratoren). Benutzern sollten die verfügbaren Sicherheitsmechanismen von Outlook 2000 detailliert erläutert werden (siehe M 3.32 Schulung zu Sicherheitsmechanismen von Outlook 2000 für Benutzer).
- Nachdem die organisatorischen und planerischen Vorbereitungen durchgeführt wurden, kann die Installation des Exchange/Outlook-Systems erfolgen. Folgende Maßnahmen sind dabei zu ergreifen:
- Die Systeme, auf denen Exchange/Outlook installiert werden soll, müssen geeignet abgesichert sein. Empfehlungen für die Betriebssystemplattform des Servers finden sich unter anderem in Baustein B 3.106 Server unter Windows 2000.
- Die Installation kann erst dann als abgeschlossen angesehen werden, wenn die Exchange/Outlook-Systeme in einen sicheren Zustand überführt wurden (siehe M 4.161 Sichere Installation von Exchange/Outlook 2000). Dadurch wird sichergestellt, dass in der anschließenden Konfigurationsphase nur berechtigte Administratoren auf das Exchange 2000 System zugreifen können.
- Nach der Installation erfolgt eine erstmalige Konfiguration des Exchange/Outlook-Systems, siehe M 4.162 Sichere Konfiguration von Exchange 2000 Server, M 4.165 Sichere Konfiguration von Outlook 2000 sowie M 4.164 Browser-Zugriff auf Exchange 2000.
- Nach der Erstinstallation und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Dabei sind aus Sicht der IT-Sicherheit folgende Aspekte zu beachten:
- Ein Exchange/Outlook-System ist in der Regel kontinuierlichen Veränderungen unterworfen. Entsprechend müssen die sicherheitsrelevanten Konfigurationsparameter ständig angepasst werden. Weiterhin hängt die Sicherheit bei einer verteilten Software-Architektur von der Sicherheit sämtlicher Teilsysteme ab. Dies gilt insbesondere für die Outlook-Clients. Die für den sicheren Betrieb relevanten Empfehlungen sind in M 4.166 Sicherer Betrieb von Exchange/Outlook 2000 und den Maßnahmen zur Kommunikationssicherung (siehe M 5.100 Einsatz von Verschlüsselungs- und Signaturverfahren für die Exchange 2000 Kommunikation) zusammengefasst.
- Neben der Absicherung des laufenden Betriebs sind auch die Maßnahmen zur Notfallvorsorge von zentraler Bedeutung. Hinweise zu diesem Thema finden sich in M 6.82 Erstellen eines Notfallplans für den Ausfall von Exchange-Systemen.
Nachfolgend wird das Maßnahmenbündel für den Einsatz von Exchange 2000 und Outlook 2000 vorgestellt.
Planung und Konzeption
- | M 2.247 | (A) | Planung des Einsatzes von Exchange/Outlook 2000 |
- | M 2.248 | (A) | Festlegung einer Sicherheitsrichtlinie für Exchange/ Outlook 2000 |
- | M 2.249 | (B) | Planung der Migration von "Exchange 5.5-Servern" nach "Exchange 2000" |
Umsetzung
- | M 3.31 | (A) | Schulung zur Systemarchitektur und Sicherheit von Exchange 2000 für Administratoren |
- | M 3.32 | (A) | Schulung zu Sicherheitsmechanismen von Outlook 2000 für Benutzer |
- | M 4.161 | (A) | Sichere Installation von Exchange/Outlook 2000 |
- | M 4.162 | (A) | Sichere Konfiguration von Exchange 2000 Servern |
- | M 4.163 | (A) | Zugriffsrechte auf Exchange 2000 Objekte |
- | M 4.164 | (A) | Browser-Zugriff auf Exchange 2000 |
- | M 4.165 | (A) | Sichere Konfiguration von Outlook 2000 |
- | M 5.99 | (C) | SSL/TLS-Absicherung für Exchange 2000 |
Betrieb
- | M 4.166 | (A) | Sicherer Betrieb von Exchange/Outlook 2000 |
- | M 4.167 | (B) | Überwachung und Protokollierung von Exchange 2000 Systemen |
- | M 5.100 | (Z) | Einsatz von Verschlüsselungs- und Signaturverfahren für die Exchange 2000 Kommunikation |
Notfallvorsorge
- | M 6.82 | (C) | Erstellen eines Notfallplans für den Ausfall von Exchange-Systemen |