Security Configuration Wizard für Exchange 2007 Edge Transport on Windows 2008 Server

Nachdem ich in meinem letzten Artikel gezeigt habe wie man den Security Configuration Wizard (SCW) installiert mchte ich nun am Beispiel eines Windows Exchange Server (Edge Transport) zeigen wie man diesen verwendet.

Als erster Schritt ist es notwendig die bei der Installation mitgelieferten Konfigurationsdateien im SCW zu registrieren. Der Exchange liefert hierfr in dem Unterordner „Scripts“ seines Installationsverzeichnisses zwei XML Dateien mit. Die Datei Exchange2007.xml ist dabei fr einen „normalen“ Exchange Server und die Datei Exchange2007Edge.xml fr einen Edge Transport Server. Fr Windows 2008 Server gibt es jeweils noch Dateien mit der Endung _WinSrv2008.

Da wir im aktuellen Beispiel einen Edge Transport Server hrten mchten kopieren wir die fr diesen relevante XML Datei nach %windir%\Security\msscw\kbs. Das Tatschliche registrieren der Rolle erfolgt mit folgendem Konsolenbefehl:

scwcmd register /kbfile:%windir%\security\msscw\kbs\Exchange2007Edge_WinSrv2008.xml /kbname:MSExchangeEdge

image

Nun Knnen wir den SCW an sich starten (Start – Suchen – SCW). Da wir noch keine Security Policy erstellt haben whlen wir im ersten Fenster „Create new security policy“ aus.

image

Da man den SCM auch remote verwenden kann wird man aufgefordert ein Zielsystem zu whlen:

image

Abhngig von der Leistung seines Systems kann man nun eine gewisse Zeit auf einen solchen Balken starren 🙂 .

image

Das folgende Fenster kann, nach genauem Studium der Warnung mit Weiter besttigt werden. Im darauf folgenden Fenster werden die von Windows erkannten installierten Rollen fr das System erkannt und vorausgewhlt. Wenn wir bei der Registrierung der Exchange Edge Server Rolle alles richtig gemacht haben, dann sollte diese hier aufgefhrt und ausgewhlt sein.

image

Dem neuen Rollen bzw. Features Ansatz von Microsoft folgend wird man im nchsten Schritt nach den installierten Features gefragt wobei auch hier bereits eine Vorauswahl erfolgt ist (das warten oben hat sich gelohnt 🙂 ). Allerdings sollte man den DNS Client in aller Regel nach nominieren.

image

Nun folgen noch die Options – wobei ich hier den Remote Desktop noch nominiert habe. Auch wenn die Maschine in der DMZ steht htte ich gerne die Mglichkeit diese zu steuern. Leider reicht mein Budget in meinem privaten Testlab nicht fr ein RemoteControlBoard (entsprechende Spenden werden jedoch jederzeit gerne angenommen…). Die Services „Microsoft Fibre Channel Platform Registration Service“ und „Smart Card“ sind dahingegen fr mich nicht notwendig (obwohl vorausgewhlt) und wurden daher von mir deaktiviert.

image

Nun kommen noch die zustzlichen Dienste die auf der Maschine laufen. Da es sich bei meiner Maschine um eine Testmaschine handelt die auf einem Hyper-V luft sind bei mir auch noch die damit verbundenen Dienste notwendig.

image

Langsam aber sicher geht es dem Ende entgegen. Im nachfolgenden Fenster erhalten wir nun die Wahl was mit Services geschehen soll, die nicht in den vorgenannten Dialogen an bzw. aus geschaltet wurden. Der sicherste Weg ist natrlich diese zu deaktivieren – und da wir diesen Wizard ausfhren um ein System fr die DMZ zu hrten wrde ich auch empfehlen diesen Weg zu gehen.

image

Nun bekommen wir noch eine Zusammenfassung (bitte genau Prfen!)

image image

Die Nachfolgenden Dialoge zeigen nun noch ein Mal die genauen Regeln, die definiert werden:

image

Da wir Mails ber den Port 25 entgegen nehmen wollen mssen wir hier noch eine Regel hinzufgen. Das erledigen wir mit einem Klick auf Add.

image

Unter dem Reiter Protokolls and Ports mssen wir nun den Typ sowie die Portnummer festlegen, die wir freigeben mchten. Da man In- und Outbound nicht zusammen anwhlen kann mssen wir diesen Schritt anschlieend noch mal wiederholen um auch noch eine Outbound Regel zu erstellen.

image

image

Da wir hier einen Edge Transport Server installieren wird hier keine der Optionen ausgewhlt:

image

image

image

Beim Auditing bin ich Mal wieder nicht der Meinung des Wizards. Hier wrde ich nicht nur erfolgreiche Events aufzeichnen sondern auch fehlgeschlagene. Nur so kann man Angriffsversuche erkennen und entsprechende Gegenmanahmen veranlassen.

image image

Jetzt wird es ernst:

image image

image

image

Wenn Ihr System nun nach einem Reboot noch alle Funktionen erfllt die es erfllen soll dann sollten Sie dem Ziel ein sicheres System zu erhalten ein gutes Stck nher gekommen sein! Sie sollten allerdings nicht vergessen regelmig Sicherheitpatches zu installieren, in die Logs zu schauen und gegebenenfalls den Wizard erneut zu starten um evtl. durch Updates aktivierte Services wieder los zu werden! Sollte der Server seinen Dienst nicht wie vorgesehen verrichten knnen Sie den Wizard einfach neu starten und die Rollback Option whlen.

Testen kann man die Funktion des Edge Transport Servers am besten indem man zum einen via telnet auf Port 25 herzustellen versucht und zum anderen indem man auf dem Mailbox Server folgenden Befehl in der Exchange Management Shell absetzt:

Test-EdgeSyncronization