G 3.60 Fehlerhafte Konfiguration von Exchange 2000 Servern
Generell ist die Fehlkonfigurationen eines Software-Systems häufig die Ursache für erfolgreiche Angriffe. Aufgrund der Komplexität eines Exchange 2000 Servers besteht auch hier die Gefahr, dass das Exchange System durch Fehlkonfigurationen nicht den geforderten Sicherheitsansprüchen genügt. Durch die Fülle an Konfigurationseinstellungen und durch die sich gegenseitig beeinflussenden Parameter können zahlreiche Sicherheitsprobleme entstehen.
Einige typische Fehlkonfigurationen werden im folgenden aufgeführt:
- Der Exchange 2000 Server wird auf einem Domänen-Controller und nicht als Member Server innerhalb des Netzes installiert.
- Dies hat erhebliche Konsequenzen für die Administrationsrechte auf dem Server und verhindert eine sinnvolle Rollentrennung der Administration. Der Hintergrund ist, dass Exchange als Service unter dem Account Local System abläuft und somit die vollständige Kontrolle über den Rechner hat, auf dem es abläuft. Würde Exchange auf einem Domänen Controller laufen, so hätte es unter anderem auch die Kontrolle über die Kerberos-Schlüssel. Weiterhin ergeben sich Nachteile bezüglich der Performance und unter dem Aspekt der Ausfallsicherheit.
- Die Zugriffsbeschränkungen auf einen Exchange 2000 Server sind unzureichend.
- Insbesondere in der Kombination mit schwachen oder falschen Zugriffsberechtigungen auf weitere Dienste oder E-Mail-Datenbanken können so Sicherheitsprobleme entstehen.
- Zugriffslisten (Access Control Lists, ACLs) sind fehlerhaft oder es werden unsichere Standard-ACLs verwendet.
- Jedes Exchange 2000 Objekt erhält bei der Erzeugung eine Zugriffsliste mit Standardeinträgen. Je nach Vorlage (Systemrichtlinie) bietet diese keinen ausreichenden Schutz für die E-Mail-Datenbank im Normalbetrieb. Dies gilt besonders dann, wenn die E-Mail-Datenbank von Exchange 5.5 nach Exchange 2000 migriert wurde. Unter Exchange 5.5 haben einige Objekte keinen Security Identifier (SID). Somit existiert für diese Objekte überhaupt keine ACL, bevor die SIDs nicht nachträglich konfiguriert wurden.
- Oft sind für die Erzeugung oder Initialisierung einer E-Mail-Datenbank zunächst umfangreiche Rechte notwendig, die für den laufenden Betrieb nicht mehr erforderlich sind. Werden die Standard-ACLs nicht verändert, kann dies dazu führen, dass Unbefugte auf die E-Mail-Datenbank zugreifen können oder Benutzern zu weitgehende Rechte eingeräumt werden.
- Es wird keine Verschlüsselung eingesetzt.
- Die Verschlüsselung der Netzkommunikation (Port-Verschlüsselung) sowie der E-Mail-Kommunikation ist bei einer Standardinstallation nicht aktiviert.
- Um die Verschlüsselung zu nutzen, muss diese explizit eingerichtet werden. Anderenfalls sind die E-Mail-Daten während des Zustellprozesses ungeschützt.
Die aufgeführten Aspekte sind Beispiele für mögliche Sicherheitsprobleme durch Fehlkonfigurationen. Abhängig vom jeweiligen Einsatzumfeld können weitere Problemfelder hinzukommen.