Exchange Server 2013: Sicherheitseinstellungen aktivieren und verwalten

Zertifikate in Exchange Server 2013 SP1 installieren

Für die Absicherung der Kommunikation mit den Serverdiensten, müssen in Exchange Server 2013 wie in den Vorgängerversionen Zertifikate installiert werden. Dazu kann man entweder ein Zertifikat von einer externen Zertifizierungsstelle verwenden oder die Active Directory-Zertifikatsdienste nutzen.

Die Zuweisung eines Zertifikats für Server erfolgt über das Exchange Admin Center von Exchange Server 2013. Hier klicken Sie auf Server und dann auf Zertifikate. Dadurch wird eine Zertifikatanforderung erstellt. Diese übertragen Sie zum Anbieter des Zertifikates oder den Active Directory-Zertifikatdiensten, um ein Zertifikat zu erhalten:

1. Klicken Sie auf das Pluszeichen im Fenster, um den Assistenten für die Installation von Zertifikaten zu starten.
2. Bestätigen Sie Anforderung eines Zertifikats von einer Zertifizierungsstelle erstellen.
3. Im nächsten Schritt des Assistenten geben Sie den Namen ein, mit dem das Zertifikat angezeigt werden soll.
4. Auf der nächsten Seite legen Sie fest, dass Sie untergeordnete Domänen mit dem Zertifikat anbinden wollen. Setzen Sie nur eine Domäne ein, ist das nicht notwendig.
5. Danach wählen Sie den Exchange-Server aus, auf dem Sie die Anforderung des Zertifikats speichern wollen.
6. Auf dem nächsten Fenster wählen Sie die Serverdienste aus. Klicken Sie auf den Serverdienst und auf das Stiftsymbol. Geben Sie für jeden Dienst den vollständigen DNS-Namen an, mit dem auf den Server zugegriffen wird.
7. Danach erhalten Sie eine Zusammenfassung aller DNS-Namen, die mit dem Zertifikat verknüpft werden.
8. Anschließend geben Sie den Namen der Organisation und einige Daten zum Unternehmen ein.
9. Danach speichern Sie die Anforderung als Textdatei in einer Freigabe im Netzwerk. Mit dieser Datei fordern Sie das Zertifikat anschließend an.
10. Sie sehen im Exchange Admin Center den Status des Zertifikats als Ausstehende Anforderung.

Laden Sie das Zertifikat als .cer-Datei herunter und speichern diese auf dem Exchange-Server. Über den Assistenten binden Sie das Zertifikat an:

1. Wechseln Sie im Exchange Admin Center zu Server/Zertifikate.
2. Klicken Sie auf das Zertifikat in der Konsole mit dem Status Ausstehende Anforderung und danach auf Abschließen.
3. Wählen Sie die heruntergeladene CER-Datei aus und schließen Sie den Vorgang ab. Das Zertifikat wird danach als gültig angezeigt.

Exchange-Zertifikate sind ein wichtiges Sicherheitskriterium in Exchange 2013 (Screenshot: Thomas Joos)

Exchange 2013 Anti-Spam Protection

In Exchange Server 2013 sind Funktionen für den Viren- und Spamschutz bereits standardmäßig integriert. Seit dem Service Pack 1 für Exchange Server 2013, lassen sich Edge-Transport-Server auf Basis von Exchange Server 2013 installieren. Diese sind für die Verbindung zum Internet der empfohlene und sichere Weg. Exchange Server 2013 SP1 arbeitet aber auch weiterhin mit Edge-Transport-Servern auf Basis von Exchange Server 2010 SP3 zusammen.

Auf Edge-Transport-Server lassen sich die Spamfilter in der grafischen Oberfläche steuern. In Exchange 2013 arbeiten Sie entweder mit Edge-Transport-Server auf Basis von Exchange 2010 oder Exchange 2013 (Screenshot: Thomas Joos)

Damit der Spamschutz  auf normalen Transport-Servern aktivieren werden kann, müssen zunächst die notwendigen Agenten installiert werden. Hierfür gibt man in der Exchange-Verwaltungsshell folgenden Befehl ein:

& $env:ExchangeInstallPath\Scripts\Install-AntiSpamAgents.ps1

Danach muss der Transportdienst auf den Servern neu gestartet werden. Dazu wird in der Exchange-VerwaltungsShell der Befehl Restart-Service MSExchangeTransport eingegeben. Sind einzelnen-Spamfilter aktiviert und konfiguriert, wird anschließend festgelegt, was Exchange mit den Spam-Mails machen soll. Der beste Weg dazu ist eine Transportregel zu erstellen. Die Konfiguration der Transportregeln findet sich in der Exchange-Verwaltungskonsole über Nachrichtenfluss/Regeln.

Für Spam-E-Mails erstellen Sie auf Wunsch eigene Regeln (Screenshot: Thomas Joos)

Verwaltungsrollengruppen steuern

Die Verwaltungsrollengruppen können in Exchange Server 2013 über den Bereich Berechtigungen gesteuert werden. Mit dem CMDlet Get-RoleGroup lassen sich die verschiedenen Gruppen auch in der Verwaltungsshell anzeigen. Get-RoleGroupMember zeigt die Mitglieder einer Gruppe an, zum Beispiel Get-RoleGroupMember „Organization Management“. Diese Gruppe verfügt über umfassende Rechte in der Verwaltung von Exchange. Um einen Benutzer in der Exchange-Verwaltungsshell einer solchen Gruppe hinzufügen, verwenden Sie den Befehl

Add-RoleGroupMember <Verwaltungsrollengruppe> -Member <Benutzerpostfach>

Wollen Sie Mitglieder aus einer Verwaltungsrollengruppe entfernen, verwenden Sie:

Remove-RoleGroupMember <Verwaltungsrollengruppe> -Member <Benutzerpostfach>

Wer es etwas komfortabler haben möchte, verwendet den RBAC-Manager http://rbac.codeplex.com. Das Tool benötigt keine Installation, sondern besteht aus einer Exe-Datei und einer XML-Steuerungsdatei. Sind die Exchange-Verwaltungstools auf einer Arbeitsstation installiert, lässt sich das Tool auch von einer Arbeitsstation aus nutzen. RBAC-Manager ermöglicht die Steuerung der Verwaltungsrollen, der Zuweisungsrichtlinien und der Verwaltungsrollengruppen.

Mit dem kostenlosen RBAC-Manager können Sie Berechtigungen in Exchange 2010/2013 effizient verwalten (Screenshot: Thomas Joos)