Schlagwort-Archive: Exchange 2007

Security Configuration Wizard für Exchange 2007 Edge Transport on Windows 2008 Server

Nachdem ich in meinem letzten Artikel gezeigt habe wie man den Security Configuration Wizard (SCW) installiert möchte ich nun am Beispiel eines Windows Exchange Server (Edge Transport) zeigen wie man diesen verwendet.

Als erster Schritt ist es notwendig die bei der Installation mitgelieferten Konfigurationsdateien im SCW zu registrieren. Der Exchange liefert hierfür in dem Unterordner „Scripts“ seines Installationsverzeichnisses zwei XML Dateien mit. Die Datei Exchange2007.xml ist dabei für einen „normalen“ Exchange Server und die Datei Exchange2007Edge.xml für einen Edge Transport Server. Für Windows 2008 Server gibt es jeweils noch Dateien mit der Endung _WinSrv2008.

Da wir im aktuellen Beispiel einen Edge Transport Server härten möchten kopieren wir die für diesen relevante XML Datei nach %windir%\Security\msscw\kbs. Das Tatsächliche registrieren der Rolle erfolgt mit folgendem Konsolenbefehl:

scwcmd register /kbfile:%windir%\security\msscw\kbs\Exchange2007Edge_WinSrv2008.xml /kbname:MSExchangeEdge

image-thumb7-4495696

Nun Können wir den SCW an sich starten (Start – Suchen – SCW). Da wir noch keine Security Policy erstellt haben wählen wir im ersten Fenster „Create new security policy“ aus.

image-thumb8-2982890

Da man den SCM auch remote verwenden kann wird man aufgefordert ein Zielsystem zu wählen:

image-thumb9-7793681

Abhängig von der Leistung seines Systems kann man nun eine gewisse Zeit auf einen solchen Balken starren 🙂 .

image-thumb10-7195534

Das folgende Fenster kann, nach genauem Studium der Warnung mit Weiter bestätigt werden. Im darauf folgenden Fenster werden die von Windows erkannten installierten Rollen für das System erkannt und vorausgewählt. Wenn wir bei der Registrierung der Exchange Edge Server Rolle alles richtig gemacht haben, dann sollte diese hier aufgeführt und ausgewählt sein.

image-thumb11-4388934

Dem neuen Rollen bzw. Features Ansatz von Microsoft folgend wird man im nächsten Schritt nach den installierten Features gefragt wobei auch hier bereits eine Vorauswahl erfolgt ist (das warten oben hat sich gelohnt 🙂 ). Allerdings sollte man den DNS Client in aller Regel nach nominieren.

image-thumb12-4834058

Nun folgen noch die Options – wobei ich hier den Remote Desktop noch nominiert habe. Auch wenn die Maschine in der DMZ steht hätte ich gerne die Möglichkeit diese zu steuern. Leider reicht mein Budget in meinem privaten Testlab nicht für ein RemoteControlBoard (entsprechende Spenden werden jedoch jederzeit gerne angenommen…). Die Services „Microsoft Fibre Channel Platform Registration Service“ und „Smart Card“ sind dahingegen für mich nicht notwendig (obwohl vorausgewählt) und wurden daher von mir deaktiviert.

image-thumb13-1565758

Nun kommen noch die zusätzlichen Dienste die auf der Maschine laufen. Da es sich bei meiner Maschine um eine Testmaschine handelt die auf einem Hyper-V läuft sind bei mir auch noch die damit verbundenen Dienste notwendig.

image-thumb14-9080361

Langsam aber sicher geht es dem Ende entgegen. Im nachfolgenden Fenster erhalten wir nun die Wahl was mit Services geschehen soll, die nicht in den vorgenannten Dialogen an bzw. aus geschaltet wurden. Der sicherste Weg ist natürlich diese zu deaktivieren – und da wir diesen Wizard ausführen um ein System für die DMZ zu härten würde ich auch empfehlen diesen Weg zu gehen.

image-thumb15-3691875

Nun bekommen wir noch eine Zusammenfassung (bitte genau Prüfen!)

image-thumb16-2832626 image-thumb17-2886351

Die Nachfolgenden Dialoge zeigen nun noch ein Mal die genauen Regeln, die definiert werden:

image-thumb18-4446756

Da wir Mails über den Port 25 entgegen nehmen wollen müssen wir hier noch eine Regel hinzufügen. Das erledigen wir mit einem Klick auf Add.

image-thumb19-7397279

Unter dem Reiter Protokolls and Ports müssen wir nun den Typ sowie die Portnummer festlegen, die wir freigeben möchten. Da man In- und Outbound nicht zusammen anwählen kann müssen wir diesen Schritt anschließend noch mal wiederholen um auch noch eine Outbound Regel zu erstellen.

image-thumb20-3930235

image-thumb21-7156718

Da wir hier einen Edge Transport Server installieren wird hier keine der Optionen ausgewählt:

image-thumb22-8781962

image-thumb23-8487468

image-thumb24-3211819

Beim Auditing bin ich Mal wieder nicht der Meinung des Wizards. Hier würde ich nicht nur erfolgreiche Events aufzeichnen sondern auch fehlgeschlagene. Nur so kann man Angriffsversuche erkennen und entsprechende Gegenmaßnahmen veranlassen.

image-thumb25-4899590 image-thumb26-5964925

Jetzt wird es ernst:

image-thumb27-8761422 image-thumb28-5063090

image-thumb29-3173194

image-thumb30-4041217

Wenn Ihr System nun nach einem Reboot noch alle Funktionen erfüllt die es erfüllen soll dann sollten Sie dem Ziel ein sicheres System zu erhalten ein gutes Stück näher gekommen sein! Sie sollten allerdings nicht vergessen regelmäßig Sicherheitpatches zu installieren, in die Logs zu schauen und gegebenenfalls den Wizard erneut zu starten um evtl. durch Updates aktivierte Services wieder los zu werden! Sollte der Server seinen Dienst nicht wie vorgesehen verrichten können Sie den Wizard einfach neu starten und die Rollback Option wählen.

Testen kann man die Funktion des Edge Transport Servers am besten indem man zum einen via telnet auf Port 25 herzustellen versucht und zum anderen indem man auf dem Mailbox Server folgenden Befehl in der Exchange Management Shell absetzt:

Test-EdgeSyncronization

Ungenaue bzw. falsche Windows 2008 Server Hilfe

In den letzten Tagen ist mir schon des öfteren Aufgefallen, dass die Hilfetexte von Windows Server 2008 nicht immer so genau geschrieben sind wie man das erwartet. Ich gehöre bereits zu der Sorte ITler, die Systeme grundsätzlich in Englisch installiert um Übersetzungsfehlern aus dem Weg zu gehen. Nachfolgend mal mein Versuch analog der Hilfe den Security Configuration Wizard (SCW) zu installieren.

Das ist die Hilfe Seite, die man aus der Exchange Konsole heraus öffnen kann:

image-thumb2-3750063

Die Probleme fangen jedoch schon auf der ersten Seite an. Ich konnte nämlich weder in der „normalen“ Ansicht:

image-thumb3-2863641

noch im Classic View:

image-thumb4-5447641

… einen Programmpunkt mit der Bezeichnung „Add or Remove Programs“ finden. Gut als halbwegs schlauer Mensch klickt man dann mal dann auf „Programs and Features“. Nach längerem suchen wird man jedoch herausfinden, dass das eine Sackgasse ist… 🙁

Die meisten würden vermutlich an dieser Stelle aufgeben oder google bzw. das MCSEboard.de bemühen – ich hatte zum Glück vorher noch einen Geistesblitz. Das neue Startmenü hat bei Windows 2008 Server, wie Vista auch, so eine nette kleinen Suchbox. Diese verwende ich bereits sehr oft um Programme zu starten (der Weg ins Menü ist mir zu lang…) und was muß ich sagen – auch in diesem Fall konnte mir die Suche helfen:

image-thumb5-1350301 image-thumb6-5366072

Exchange 2007 & BlackBerry Enterprise Server

Heute habe ich auf ServerHowTo.de eine neue Anleitung veröffentlicht welche die Installation eines BlackBerry Enterprise Servers in einer Exchange 2007 Umgebung beschreibt. Finden können Sie die Anleitung unter:

http://www.ServerHowTo.de/(…)

Ergänzend zu dem Artikel noch einige Hinweise zum Thema Sicherheit.

Da der BlackBerry Server eine Verbindung ins Internet aufbaut um dort mit den Servern von RIM die Mails auszutauschen, gehört der BES bzw. besser der BlackBerry Router in eine DMZ die auf der einen Seite die Kommunikation mit den RIM Servern erlaubt und auf der anderen Seite die Verbindung zum Exchange Server ermöglicht.

Der Account (BESAdmin) unter dem i. d. R. der BlackBerry Enterprise Server installiert wird besitzt sehr weitgehende Rechte auf die Mailboxen der BlackBerry Benutzer. Es sollte daher sicher gestellt werden, dass der Account nur die nötigsten Rechte erhält. Das setzen des „senden als“ Recht für alle Benutzer sollte daher nur dann gewählt werden, wenn tatsächlich alle oder nahezu alle Benutzer in der Exchange Umgebung einen BlackBerry benutzen. Des Weiteren sollte das Passwort des BESAdmin in einem Notuserverfahren verwaltet werden um das unbemerkte mitlesen von fremden eMails durch Administratoren über diesen Account verhindern zu können.

Die BlackBerry Endgeräte bieten die Möglichkeit die gespeicherten Inhalte zu verschlüsseln. Diese Option sollte insbesondere dann aktiviert werden, wenn vertrauliche Informationen (was heute fast überall der Fall ist) über das Medium eMail ausgetauscht werden. Zusätzlich bietet der BlackBerry Enterprise Server die Möglichkeit ein gestohlenes oder verlorenes zu „putzen“ und zu deaktivieren. Gestohlene BlackBerry Endgeräte sind daher recht wertlos für einen Dieb.

Der BES verfügt über die Möglichkeit Richtlinien an die Clients zu verteilen. Die vorhandenen Einstellungen sollten entsprechend der Sicherheitsbedürfnisse des Unternehmens angepasst werden. Dinge wie das erzwingen von Anmeldepassworten sollten dabei obligatorisch sein und von den Anwendern auch nicht geändert werden können. Nach einem Update lohnt es sich i. d. R. immer einen Blick in die Richtlinien zu werfen – diese werden dabei regelmäßig erweitert.

Beim Patchen der Exchange und BES Server ist Vorsicht geboten. Nicht selten hört man, dass nach einem Patch des Exchange Servers die „senden als“ Rechte des BESAdmin verschwunden sind. Wenn Sie also nach einem Update von Ihren Benutzern hören, dass diese zwar Mails empfangen aber nicht senden können sollten Sie diese Berechtigungen zuerst prüfen. Des Weiteren ist der BES sehr empfindlich, was seine API zum Exchange Server angeht. Ein Update des Exchange Servers macht daher u. U. auch ein entsprechendes Update des BES notwendig!

Anonymous SMTP Verbindung auf einen Exchange 2007

Hi,

beim einrichten meines neuen Exchange 2007 hatte ich gleich das Vergnügen mich etwas näher mit der PowerShell zu beschäftigen. Einige (für mich wichtige) Befehle sind nämlich nur noch auf diesem Weg erreichbar. Folgender Aufbau: Ich erhalte meine Mails direkt via SMTP (MX Eintrag in meiner Maildomäne). Sicherheitsbewusst wie ich bin werden die Mails von einem System in meiner DMZ (ja, ich habe privat eine zweistuffige Firewall) entgegen genommen und dann an meinen Exchange weiter gegeben. Das Problem war nun, den Exchange Server dazu zu bekommen die Mails auch anzunehmen. Alle Einstellungen auf dem HubTransport Server bzw. dessen Receive Connectoren brachte leider nichts – mails gingen nicht durch. Nach ca. 3 Stunden klicken und googeln fand ich dann folgenden Artikel auf den technet Seiten:

http://technet.microsoft.com/en-us/library/bb232021.aspx

Dieser, zusammen mit den anderen ergoogelten Informationen brachten dann folgende Lösung des Problems (alles cmdlets):
# Erstellt einen neuen receive connector mit dem Namen „Firewall SMTP Proxy“ auf dem Exchange Server „JSW006“ Die Firewall von der die Mails kommen hat die IP 10.10.0.1 und die Maildomain wäre hier schmidtjohannes.de

new-ReceiveConnector -Name 'Firewall SMTP Proxy' -Usage 'Custom' -Bindings '0.0.0.0:25' -Fqdn 'schmidtjohannes.de' -RemoteIPRanges '10.10.0.1' -Server 'JSW006'

# Setzt die PermissionGroups auf Anonymous

set-ReceiveConnector -identity “Firewall SMTP Proxy″ -PermissionGroups AnonymousUsers

# Ordnet dem Connector die Notwendigen Rechte zu

Get-ReceiveConnector "Firewall SMTP Proxy" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

Die ersten beiden Aufgaben könnte man auch mit etwas klicken über die GUI erledigen. Den letzten kann man nur als cmdlet ausführen.