Bundesamt für Sicherheit in der Informationstechnik

M 4.163 Zugriffsrechte auf Exchange-Objekte

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Zugriffsberechtigungen auf Exchange-Objekte müssen auf der Grundlage der Sicherheitsrichtlinie festgelegt werden.

Einrichtung der Benutzerberechtigungen für die Exchange-Administration

Grundsätzlich sollte die Administration auf dem Gruppen- und nicht dem Personenprinzip aufgebaut werden: Berechtigungen sollten für Gruppen und nicht für einzelne Benutzerkonten vergeben werden. Dadurch wird die Verwaltung erheblich erleichtert und übersichtlicher gestaltet und eine mögliche Fehlerquelle beseitigt. Auch die Exchange-Administratoren sollten dabei über Gruppenmitgliedschaften verwaltet werden. Dafür muss deren Rollen klar definiert sein.

Serverseitige Benutzerprofile

Es wird empfohlen, bei Microsoft Exchange serverseitige Benutzerprofile zu verwenden. Besitzt ein Benutzer ein serverseitiges Profil, werden die Benutzereinstellungen bei jeder Anmeldung an der Domäne in die lokale Konfiguration ("Registry") der Arbeitsstation übernommen. Somit kann ein rechnerunabhängiger Zugriff auf Exchange-Daten erreicht werden.

Standard-NTFS-Berechtigungen anpassen

Die Standard-NTFS-Berechtigungen auf das Exchange-Verzeichnis müssen angepasst werden, so dass nur autorisierten Administratoren und Systemkonten der Zugriff auf sensitive Daten in diesem Verzeichnis (z. B. Datenbanken und Transaktionsprotokolle) erlaubt ist.

Ist die Benutzung von Outlook Web Access (OWA) geplant, muss für die Gruppe der authentisierten Benutzer ("Authenticated Users") Lese- und Ausführrecht gewährt werden.

Weitere Hinweise, wie die Anforderungen aus dieser Maßnahme konkret umgesetzt werden können, finden sich für die Version 2010 beispielsweise in folgenden Informationen des Microsoft Technet:

  • Das rollenbasierte Zugriffsmodell auf Exchange Objekte wird in "Understanding Permissions: Exchange 2010 Help" erläutert.
  • Für einfache E-Mail-Benutzer werden die Zugriffsrechte unter "Managing End Users: Exchange 2010 Help" behandelt.

Prüffragen:

  • Wurde die Rolle Exchange-Administrator definiert und eine entsprechende Benutzergruppe eingerichtet?

  • Wurden die Zugriffsberechtigungen auf Exchange-Objekte auf der Grundlage der Sicherheitsrichtlinie festgelegt?

Stand: 13. EL Stand 2013