1 / 55

Microsoft Exchange Server 2000

Microsoft Exchange Server 2000. GET secure, STAY secure!. Verwendung von Microsoft Security Tools. Mario Bono. Agenda. Get secure Stay secure. Sicherheitskonzept. MSBSA Hotfixes Tools Patch Management MSUS. Checklisten Dienste MS WUPD. Microsoft Security Tool Kit.

darin
Download Presentation

Microsoft Exchange Server 2000

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Microsoft Exchange Server 2000 GET secure, STAY secure! Verwendung von Microsoft Security Tools Mario Bono

  2. Agenda • Get secure • Stay secure Sicherheitskonzept • MSBSA • Hotfixes • Tools • Patch Management • MSUS • Checklisten • Dienste • MS WUPD Microsoft Security Tool Kit Security Operations Guides (W2K/E2K) • Server Security (Firewalls/DMZ) • Netzwerk Traffic • Client Zugriff Securing E2K & OWA Q & A

  3. Sicherheitskonzept Programm – integriert Microsoft Produkte, Support und Dienstleistungen (Microsoft Security Tool Kit) Phase 1: GET secure • Unterstützung für Windows NT 4.0 und Windows 2000 • Enthält Tools und Richtlinien zum sicheren Betreiben eines Servers der am Internet angeschlossen ist Phase 2: STAY secure • Tools, Updates • Patches, Consulting

  4. Microsoft Security Tool Kit http://www.microsoft.com/technet/ treeview/default.asp?url=/ technet/security/tools/Default.asp

  5. Microsoft Security Tool Kit Arbeitsstationen und Server • Security Checklisten • Security Vorlagen Hot Fixes • Windows Update • Microsoft Base Security Analyzer • HFNetCheck • QChain • Critical Update Notification IIS Dienste • IIS Checklisten • IIS Lockdown Tool • URLScan

  6. Checklisten / Vorlagen Vorhanden für: • Windows NT 4.0 • Windows NT 4.0 Terminal Server • Windows 2000 • Windows XP

  7. IIS Dienste Das Toolkit enthält Checklisten zum Sicheren betreiben von Internet Information Server und Internet Explorer • IE (für alle Versionen) • IIS 5.0 • IIS 4.0

  8. IIS TOOLS IIS Lockdown Wizard • Konfiguriert IIS auf Windows NT 4.0 oder Windows 2000 Server URLScan • Windows 2000 SP1 oder später • Analysiert vom IIS empfangene HTTP Anfragen

  9. Hotfixes - MS Windows Update Update bei Publikation der Sicherheits Bulletins Voraussetzungen: • Internet Explorer muss Cookies und • ActiveX Controls erlauben • Lokale Administrator Berechtigungen

  10. MS Baseline Security Analyzer Unterstützte Plattformen: • Windows 2000 Professional/Server • Windows XP Home Edition/Professional Voraussetzungen: • Lokale Administrator Berechtigungen • Mehr Sicherheits-Checks als Microsoft Windows Update • Unterstützung Remoter Workstations und Server

  11. MS Baseline Security Analyzer Überprüfung folgender Produkte/Services: • Windows NT 4.0 Workstation/Server • Windows 2000 Professional/Server • Windows XP Home Edition/Professional • IIS 4.0/5.0 • SQL 7.0/2000 • Erkennt SQL Server Instanzen • IE 5.01+

  12. MS Baseline Security Analyzer Überprüfung folgender Produkte/Services Fortsetzung: • Exchange und Windows Media Player • Office 97, 2000, XP • Support für Software Update Services (SUS) http://www.microsoft.com/technet/ security/tools/Tools/mbsahome.asp

  13. The Hotfix Network Checker Anwendung für Server und Client Workstations • Remote Unterstützung • Mehr Security-Checks als Windows Update • Windows 2000, IIS 4.0, IIS 5.0, SQL Server 7.0, SQL Server 2000, Internet Explorer 5.01 and later • Download verfügbarer Updates und Fixes als .XML Zusätzliche Funktionalität in der Pro und LT Version • Download der LT Version • http://www.shavlik.com

  14. Hotfix Allgemeine Überlegungen • Viele Neustarts • Reihenfolge Hotfix Installationbeachten Lösung • Windows Critical Update Notification • Security Tool Kit: QChain Tool

  15. QChain verwenden In Betriebssystem Integriert Seit SP3 integriert QChain verwenden QChain Entscheidungs Baum BetriebssystemWindows NT 4.0? Betriebssystem Windows XP? BetriebssystemWindows 2000 SP3 oder später

  16. Hotfix B Hotfix A Hotfix B Hotfix A X.dll (v3) X.dll (v1) X.dll (v3) X.dll (v1) QChain Tool QChain Tool X.dll (v3) Server Hotfix C Hotfix C X.dll (v2) X.dll (v2) X.dll (v2) QChain Tool - Funktionsweise Richtige Version Falsche Version

  17. QChain Tool für Windows NT 4.0 Switch – Z unterdrückt den Neustart @echo offsetlocalset PATHTOFIXES=E:\Hotfix %PATHTOFIXES%\Q123456i.exe -z -m%PATHTOFIXES%\Q123321i.exe -z -m%PATHTOFIXES%\Q123789i.exe -z -m%PATHTOFIXES%\qchain.exe Switch – M Unattended Mode

  18. QChain Tool für Windows 2000 @echo offsetlocalset PATHTOFIXES=E:\hotfix%PATHTOFIXES%\Q123456_w2k_sp2_x86.exe -z -m%PATHTOFIXES%\Q123321_w2k_sp2_x86.exe -z -m%PATHTOFIXES%\Q123789_w2k_sp2_x86.exe -z -m%PATHTOFIXES%\qchain.exe HotfixWindows 2000

  19. Critical Update Notification Service Informiert über neue Updates Drei Optionen: • Automatischer Download und Benachrichtigung über Installation • Benachrichtigung bei Download und Installation • Manuell

  20. Unternehmensweites Patch Management Windows Update Site – Permission Denied Keine Tests = keine Installation; Unternehmensweite Sicherheitsrichtlinien Lösung: • Microsoft Software Update Services (SUS)

  21. SUS Komponenten MSUS Server • Wird im Intranet zur Verfügung gestellt • Synchronisation mit Windows Update Site • Kontrolle über Update und Hotfix Verteilung Auto Update Client • Beruht auf Windows XP Auto Update • Check Intranet und öffentliche Windows Update Site • Zentralisierte Konfiguration • Auto-Download und Installation

  22. Microsoft Software Update Services A Administrator definiert Updates MSUS Server Konfiguration und Verteilung Per Group Policy Internet B Server A Download GEPRÜFTER Updates C C Microsoft Windows Update Server B Workstations

  23. MSUS Überlegungen Kann verwendet werden für: • Rollout von Hotfixes und • Security Updates Keine Unterstützung für: • Service Packs • Verteilung über Group Policies

  24. Security Operations Guide For Windows 2000 Server Chapter 1 - Introduction Chapter 2 - Understanding Security Risk Chapter 3 - Managing Security with Windows 2000 Group Policy Chapter 4 - Securing Servers Based on Role Chapter 5 - Patch Management Chapter 6 - Auditing and Intrusion Detection Chapter 7 - Responding to Incidents http://www.microsoft.com/technet/security/prodtech/windows/windows2000/staysecure/

  25. Sicherheitsvorlagen …

  26. Tool EventComb • Zentralisierte Auswertung der Event Logs • multi-threaded • Speicherung und Weiterverarbeitung per CSV Text File

  27. Security Operations Guide For Exchange 2000 Server Chapter 1 – Introduction Chapter 2 – Securing your Exchange 2000 Environment Chapter 3 – Securing Exchange 2000 Servers based on Role Chapter 4 – Securing Exchange Communications http://www.microsoft.com/technet/security/prodtech/mailexch/opsguide/default.asp

  28. Sicherheit: E2K & OWA Zuerst – Sicherheit beim Zugriff auf Server! • Firewalls/DMZ • Virus Protection Netzwerkzugriffe zwischen Servern • Protokolle • Ports • Spoofing usw. Clientzugriffe sichern • MAPI – OUTLOOK • OWA

  29. Serverzugriffe Hardening Windows 2000 - siehe Sicherheitsvorlagen Unnötige Dienste deaktivieren Firewalls • Deaktivieren nicht benötigter Ports • ISA server versus Hardwarelösungen • Spezial HW bietet weniger Angriffspunkte • Teurer in der Anschaffung • ISA server • Integration mit Microsoft Server & Backoffice Familie • Günstigere Anschaffung

  30. Einfache Firewall HTTP, IMAPoder POP3 Client Active Directory Global Catalog Server Internet Exchange 2000 Server Exchange 2000 Front-EndServer Firewall Offene Ports: 443, 993, 995 Exchange 2000 Server

  31. Typische DMZ Konfiguration HTTP, IMAPoder POP3 Client Active Directory Global Catalog Server DMZ Internet Exchange 2000 Server Exchange 2000 Front-EndServers Firewall Offene Ports:443, 993, 995 Firewall OffenePorts: 80143, 110, LDAP, … Exchange 2000 Server

  32. Firewalls und Client Zugriffe Zugriff auf “Internen” (Firewall) Exchange Server vom Internet • Inbound RPC Zugriff auf Firewall • Typisches Szenario für Roaming Users Zugriff auf Exchange Server (DMZ) von Intern • Untypisches Szenario • Outbound RPC Zugriff erlauben Best Practice: VPN´s = keine Probleme mehr

  33. (HTTP, IMAP, POP) DMZ Überlegungen • FE und BE müssen dem gleichen Forest angehören • FE benötigt Zugriff auf DNS Server • FE benötigt RPC beim Zugriff auf AD • nur wenn Authentisierung eingeschalten ist

  34. RPCs in der DMZ • IIS verwendet RPCs für Authentisierung • Vor SP2, RPCs zum Auffinden von DCs • RPC nicht erforderlich; Einschränkungen: • Explizites Logon erforderlich http://server/exchange/user • Kein Load Balancing für Öffentliche Ordner

  35. Port Filtering in der DMZBenötigte Ports • Client Mail Zugriff • 443 TCP vom Internet (HTTPS) • 80 TCP zum Intranet (HTTP) • LDAP • 389 TCP und UDP • 3268 TCP (Globaler Catalog) • Kerberos • 88 TCP und UDP • DNS (oder DNS Server in DMZ) • 53 TCP und UDP

  36. Port Filtering in der DMZBenötigte Ports … • IPsec (optional) • Kerberos Ports • Securing Kerberos with IPSec on DCs broken in Win2K SP2 (Q309304) oder SP3 • 500 UDP: Internet Key Exchange (IKE) • ESP (Encapsulating Security Payload ): Port 50 • AH (Authentication Header): Port 51 • RPCs (optional) • 135 und 1024 oder.. • 135 und Single Port (Konfiguration, Q224196)

  37. Überlegungen zu SPAM Relaying • Was ist SPAM Relaying? O MAIL FROM: <info@bono.to> RCPT TO: <billi@MS.com> 550 5.7.1 Unable to relay for <billi@MS.com> “Evil Spammer” Bono.to

  38. Überlegungen zu SMTP  • Definition SPAM Relaying? Bono.to MAIL FROM: <info@bono.to> RCPT TO: <virus@bono.to> • Falsch “Von:” • Richtig “An:” • Nachricht • Filter greifen nicht? “EVIL Spammer”

  39. SMTP Server Einstellungen • Relay Einstellungen • Best Practice: • Default!

  40. Anti-Spoofing: ResolveP2 • Problem: irgend jemand übermittelt eine Nachricht • Von: Info@Bono.to • Beim Öffnen dieser erscheint: • Von: Mario Bono • Betreff: DU BIST GEFEUERT • Eigenschaften des Senders anzeigen • Name wird aufgelöst

  41. ResolveP2 • Was ist “P2”? • X.400 Name für “Body” der Nachricht • Envelope (Umschlag) ist P1 • Bei SMTP, P2 entspricht dem „Body“ nach RFC 2822 • Anzeige der Clients immer in Form vonVon: und An: oder P2 • Was bedeutet “resolve”? • Werden Informationen die bei Zustellung einer Nachricht zum Server und Abruf durch MAPI Clients mit dem Adressbuch abgeglichen? • Ja, wenn Übereinstimmungen gefunden werden sieht die E-Mail wie von “Intern” aus.

  42. ResolveP2 History • Exchange 5.0 • Default: “resolve everything” • Regkey zum Deaktivieren • Exchange 5.5: • Default: “resolve nothing” • Regkey zum Aktivieren • Exchange 2000 • Default: “resolve everything”, keine Kontrolle bei E2K RTM • Exchange 2000 SP1: ResolveP2 Regkey

  43. Exchange 2000 SP1+ ResolveP2 • Registry Key für ResolveP2 • Siehe KB-Artikel Q288635 • Outlook XP Erweiterungen • Vorschaufenster unterscheidet zwischen unaufgelösten Adressen ohne die Nachricht zu öffnen • Bei Antworten; nicht aufgelöste Adressen werden als <xxxx@yyyy.com>Name dargestellt

  44. Allgemeine Überlegungen zu SMTP • Internet Mail ist nicht sicher! • Ausnahme Verschlüsselung • Jeder kann E-Mails an jeden senden • “Evil People” • Können immer mit Ihrer Adresse als Absender auftreten! • Aber nicht über Ihren Server, wenn Relaying ausgeschalten ist!

  45. Authentisierung zwischen Servern im Netzwerk • Automatische Server zu Server Authentisierung mit X-EXPS • Kerberos/NTLM • Default SMTP Protokoll Erweiterungen in Exchange 2000 SMTP AUTH (RFC 2554) • Verbindung zu externen Systemen,wird am SMTP Connector eingestellt

  46. Verschlüsselung zwischen Servern im Netzwerk • IPSec • Einfache Konfiguration • Über Group Policy Einstellung: “erfordert Verschlüsselung des Inbound Traffics, Port 25” auf allen Exchange Servern http://www.microsoft.com/windows2000/techinfo/ planning/security/ipsecsteps.asp • Einsatz von IPSec Accelerator Ethernet Cards

  47. Client Zugriff • Outlook (MAPI) Clients • Outlook Web Access (HTTP) Clients

  48. Netzwerk Sicherheit mit Outlook Clients • Verschlüsselung • in Mail Einstellungen ändern • MAPI RPC • Am FE keine Mailboxen • Verwendet UDP vom Server zum Client für Benachrichtigung über neue E-Mail

  49. OWA Verschlüsselung zwischen Servern • Traffic von FE zu BE • Isolierte Netzwerke • IPSec? (RFCs 1825, 1826, 1827) • Internet Key Exchange (IKE): RFC 2409 • Encapsulating Security Payload (ESP) oder Authentication Header (AH) • Client (respond only) policy • ISA can inspect IPSec’d traffic

  50. OWA Authentisierung am Server • (Optional) FE Authentisierung aktiviert • Erfordert RPC • Deaktivieren anonymer Anfragen auf BE • SMTP Domain auf virtuellem Server • Benutzer benötigt E-Mail Adresse der Domain um sich anzumelden

More Related