Die Monitoring- und Reporting-Lösung MAILSCAPE von ENow hat zum vierten Mal in Folge den Readers Choice Award von MSExchange.org gewonnen.
MAILSCAPE konnte Exchange Administratoren in der ganzen Welt zum wiederholten Male vom Nutzen im täglichen Betrieb von Messaging-Infrastrukturen überzeugen.
“We’re honored that Exchange administrators around the globe not only recognize the features and capabilities of Mailscape, but also its long term value and consistency in a very competitive market space,” sagte ENow CEO Jay Gundotra.
Die Software wird von Kunden in mehr als 60 Ländern erfolgreich eingesetzt. Zu den Kunden gehören u.a. Facebook, DirecTV oder Wendy's.
MAILSCAPE von ENow erleichtert die Echtzeit-Überwachung Ihrer Exchange-Systeme, inklusive Exchange Online (Office 365), und stellt alle wichtigen Informationen in einer zentralen Dashboard-Übersicht dar. Zusätzlich überwacht Mailscape alle relevanten Sekundärsysteme (Domänen-Controller und andere Mail-Server).
Mit der intuitiven Dashboard-Technologie ist der aktuelle Status der Messaging-Umgebung auf einen Blick sichtbar. In Kombination mit FORESITE, UNISCOPE und COMPASS können Sie Ihre gesamten Messaging- und Collaboration-Umgebungen in einem zentralen Dashboard überwachen.
Die zahlreichen Auswertungen stellen aktuelle Daten über den Betrieb und die Auslastung der Systeme zur Verfügung und bieten alle notwendigen Informationen, um die weitere Entwicklung Ihrer Exchange-Umgebung zu planen und voran zu treiben.
Erfahren Sie mehr über Mailscape und testen Sie Mailscape für 21-Tage kostenlos: http://www.granikos.eu/de/mailscape
Microsoft bietet mit dem Microsoft Azure Trust Center eine zentrale Anlaufstelle, um sich über Compliance Zertifizierungen, authorisierte Dienstleister oder zum Thema Sicherheit in Azure zu informieren.
Im Bereich Resources stehen zahlreiche Best Practices und weitere Anleitungen zur Verfügung, um die Sicherheit eigener Azure Applikationen zu verbessern.
In dieser Woche hat Microsoft eine aktualisierte Liste der Dienstleister veröffentlicht, die mit Kundendaten in Azure arbeiten dürfen. Neben der Information, um welche Dienstleister es sich handelt, wird zusätzlich aufgezeigt, welche Funktionen/Rollen die einzelnen Dienstleister wahrnehmen.
Haben Sie Fragen rund um Azure oder planen Sie bereits konkret den Einsatz von Azure Diensten in Ihrem Unternehmen? Sprechen Sie uns an: info@granikos.eu
In den vorherigen Blog-Artikeln wurde allgemein über die Herausforderungen beim Thema E-Mail Sicherheit, die Möglichkeiten der TLS Übertragungsverschlüsselung und der E-Mail Signierung und Verschlüsselung mit S/MIME gesprochen.
In diesem Blog-Artikel werden die Verschlüsselungskomponenten beschrieben, die sowohl für die Sicherung des Übertragungskanals, als auch für die Nachrichtenverschlüsselung verwendet werden. Der Schwerpunkt des Artikels liegt auf der Security Provider Implementierung von Microsoft.
Secure Channel ist das Security Support Provider Interface (SSPI) von Microsoft und wird von den unterschiedlichen Betriebssystemen bei Authentifizierungsvorgängen und bei verschlüsselter Kommunikation verwendet. Die unterstützen Verschlüsselungsalgorithmen variieren sehr stark, je nach Version des verwendeten Betriebssystems.
Eine sog. Cipher Suite beschreibt ein Sammlung von kryptografischen Algorithmen, die zur Schlüsselerstellung, Schlüsselaustausch und zur Verbindungsherstellung verwendet werden. Im Regelfall verwenden Softwarekomponenten auf Windowssystemen (Client und Server) die SCHANNEL Konfigurationen zur Verschlüsselung und Abwicklung der Kommunikation.
Jede zur Verfügung stehende Cipher Suite beschreibt eine festgelegte Kombination von
Die von Windows Server 2012R2 unterstützten Cipher Suites sind:
TLS_RSA_EXPORT_WITH_RC4_40_MD5
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
SSL_CK_RC4_128_EXPORT40_MD5
SSL_CK_DES_64_CBC_WITH_MD5
TLS_RSA_WITH_DES_CBC_SHA
TLS_RSA_WITH_NULL_MD5
TLS_RSA_WITH_NULL_SHA
TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA
TLS_DHE_DSS_WITH_DES_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
Diese Suites werden zwar unterstützt, stehen aber nach einer Standardinstallation des Betriebssystems nicht zur Verfügung. Hierzu muss die SCHANNEL Konfiguration per Registry angepasst werden. Mehr dazu im Abschnitt "SCHANNEL Konfiguration".
Der Aufbau einer TLS Verbindung gliedert sich in 4 Schritte:
In der nachfolgenden Beschreibung entspricht der Client dem sendenden (Verbindung aufbauenden) System und der Server dem empfangenden System.
Hinweis: Bei der Konfiguration der Cipher Suites Reihenfolge sollte darauf geachtet werden, dass zwar zuerst Suites mit PFS konfiguriert werden, jedoch ein Fallback ohne PFS ebenfalls angeboten wird.
Die Cipher Suite Reihenfolge legt fest, welche Suite zuerst und welche zuletzt verwendet werden soll.
In der Windows Systemregistrierung die zur Verfügungen stehenden Cipher Suites nach einer Basis Installation nicht konfiguriert. Der nachfolgende Screenshot zeigt den Registrierungsschlüssel SCHANNEL.
Einzig die zur Verfügung stehenden Protokolle (SSL/TLS) sind konfiguriert.
Die verfügbaren Cipher Suites und die eigentliche Reihenfolge der Suites werden in zwei unterschiedlichen Registrierungsschlüsseln konfiguriert.
Verfügbare Cipher Suites: HKLM\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002
Reihenfolge der Cipher Suites: HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002
Hinweis: Der Registrierungsschlüssel für die Liste der Cipher Suites ist begrenzt auf 1023 Zeichen.
HINWEIS: Die direkte und eventuell fehlerhafte Anpassung der Windows Registry kann zur Instabilität des Betriebssystems führen. Die nachfolgende Beschreibung erfolgt nach bestem Wissen. Jedoch können wir keine Haftung für eventuelle Schäden übernehmen.
Die Konfiguration der Cipher Suites erfolgt im nachfolgenden Beispiel unter Verwendung des Tools IIS Crypto.
IIS Crypto ist ein Hilfsmittel, um die Konfiguration in der Windows Registry einfacher zu gestalten. Jedoch muss man bei Einsatz bedenken, dass beim Start des Programmes nicht die tatsächlich vorhandene Konfiguration der Systemregistrierung ausgelesen und angezeigt wird, sondern vielmehr die Standardkonfiguration von IIS Crypto.
IIS Crypto bietet vorkonfigurierte Konfigurationen für:
Nach der Anpassung der Cipher Suite Konfiguration (im nachfolgenden Beispiel die Best Practices Konfiguration), sind die neuen Schlüssel und Parameter in der Systemregistrierung vorhanden.
Je nach Typ (Protokoll oder Cipher Komponente) werden zur Aktivierung bzw. Deaktivierung folgende Schlüssel verwendet:
Eine Beschreibung zur manuellen Konfiguration der Systemregistrierung finden Sie bei Microsoft hier: http://support2.microsoft.com/default.aspx?scid=kb;EN-US;245030
Wenn eine besonderen Anforderungen an die Absicherung der Server-Kommunikation mit externen Systemen besteht, was eigentlich immer der Fall ist, muss eine zusätzlich Konfiguration des Secure Channel Providers erfolgen. Im Normallfall kann die einheitlich über Gruppenrichtlinien erfolgen. Verwenden Sie aber Systeme, die keine Mitgliedsserver einer Domäne sind, so müssen diese Systemen manuell über die Systemregistrierung oder durch Verwendung der lokalen Sicherheitsrichtlinie erfolgen.
Die Konfiguration des Secure Channel hat eine direkte Auswirkung auf die TLS Verschlüsselung aller TCP Protokolle. Durch die unterschiedlichen Implementierungen bei unterschiedlichen Betriebssystemen müssen die Anpassungen mit Bedacht durchgeführt werden.
Sollte es Gründe geben, dass Sie eine FIPS- oder PCI-konforme Konfiguration vornehmen müssen, gibt es allerdings keine Alternative zur Umsetzung der Vorgaben.
Haben Sie Fragen rund um das Thema E-Mail Verschlüsselung und E-Mail Sicherheit? Kontaktieren Sie uns unter: emailsecurity@granikos.eu.
In vorherigen Blog-Artikeln wurde allgemein das Thema E-Mail Verschlüsselung und E-Mail Sicherheit besprochen und auf die Verbindungsverschlüsselung mit TLS eingegangen. In diesem Artikel werden Möglichkeiten zum Einsatz von S/MIME zur Signierung und Verschlüsselung von E-Mail Nachrichten betrachtet.
In der heutigen Zeit kommt der Signierung und Verschlüsselung von E-Mail Nachrichten eine zentrale Rolle zu, um sich gegen Wirtschaftsspionage und anderen Zugriffe Dritter auf die Unternehmenskommunikation zu schützen. Die Sicherung des Nachrichtenverkehrs ist nur ein Baustein im gesamten Informationssicherheitskonzept eines Unternehmens. Weitere Punkte sind u.a. Schutz gegen den Verlust von Daten (Data Leackage Prevention, DLP), Berechtigungsmanagement (RMS) oder die Kontrolle von Zugriffsberechtigungen.
Das generelle Konzept zur Verschlüsselung von Nachrichten per S/MIME geht auf das Jahr 1995 zurück. Die aktuellen Implementierung von S/MIME 3.2 sind seit 2010 Stand der Technik.
Bei der Verwendung von S/MIME wird eine unverschlüsselte E-Mail Nachricht in einer sog. MIME gekapselt und nur signiert oder auch verschlüsselt. Neben diesem ersten Teil enthält die neue Nachricht auch die erforderliche Zertifikatsinformation zum Zugriff auf den Nachrichtenteil.
Zertifikate teilen sich in einen öffentlichen und einen privaten Schlüssel und bilden gemeinsam das Schlüsselpaar eines Anwenders. Im Standardfall wird das Schlüsselpaar auf einem Clientrechner eines Benutzers erzeugt und der öffentliche Schlüssel von einer Zertifizierungsstelle signiert. Der private Schlüssel verbleibt auf dem Rechner des Benutzers.
Da der private Schlüssel somit nur an einer Stelle gespeichert ist, jedoch für die Laufzeit des Zertifikates zum Entschlüsseln von Nachrichten benötigt wird, stellt dies ein Risiko dar. Kommt es ohne Datensicherung des privaten Schlüssels zu einem Schaden am Gerät, muss ein neues Zertifikat ausgestellt werden und alte, mit dem verlorenen Zertifikat verschlüsselte Nachrichten, können nicht mehr entschlüsselt werden. Mehr dazu im Abschnitt "Gateway-Lösungen".
Neben der Speicherung des Zertifikates auf dem Clientrechner können auch Signaturkarten verwendet werden. Der Einsatz von Signaturkarten erfordert allerdings auch den Einsatz von passenden Lesegeräten, die meist nicht für alle Arten von Clientgeräten zur Verfügung stehen. Die auf Signaturkarten gespeicherten Zertifikate sind durch eine PIN vor unbefugtem Zugriff geschützt.
Im Standardfall ist das S/MIME E-Mail Zertifikat auf dem Clientrechner eines Benutzers vorhanden. Dies bedeutet, dass der Benutzer auf diesem Clientrechner in der Lage ist, E-Mail Nachrichten zu signieren oder zu verschlüsseln. Und dies auch nur mit einem E-Mail Programm wie Outlook. Alternative Produkte verfügen eventuell über einen separaten Speicher für S/MIME Zertifikate und verwenden nicht den Zertifikatsspeicher des Betriebssystems.
In der heutigen Welt ist ein fester Clientrechner, sei es ein Desktop PC oder ein Laptop, nicht mehr das einzige Gerät, über das ein Mitarbeiter Zugriff auf E-Mails hat. Wenn in einem Unternehmen S/MIME verwendet wird, soll die Zugriff auf E-Mail Nachrichten und damit das Verfassen und Lesen von verschlüsselten Nachrichten auf allen Clients verfügbar sein.
Zu den Client-Optionen und Zugriffsarten gehören:
Je nach erforderlichem Einsatzszenario im Unternehmen, muss das S/MIME Zertifikat sowohl auf den Servern, als auch auf den auf den unterschiedlichen Endgeräten ausgerollt und installiert werden. Dies bringt ganz neue Herausforderungen mit sich. Gerade wenn unterschiedlichste Endgeräte zum Einsatz kommen oder eine BYOD Kultur etabliert ist, empfiehlt sich eine zentrale Gateway-Lösung für die E-Mail Verschlüsselung.
Der Einsatz von S/MIME Verschlüssung beim Zugriff auf Webmail (Outlook Web App) erfordert den Zugriff des Browsers auf den lokalen Zertifikatsspeicher. Hierzu muss eine separate Software-Komponente (S/MIME Plugin) installiert werden, die nur mit dem Internet Explorer funktioniert. Zusätzlich müssen die serverseitigen S/MIME Parameter für OWA im Exchange Server konfiguriert werden. Da die OWA S/MIME Implementierung aber nur ein Teil der zur Verfügung stehenden Crypto-Einstellungen unterstützt, müssen OWA S/MIME Einstellungen und die Crypto Konfigurationen des Betriebssystem im Einklang erfolgen. Ansonsten kommt es in OWA zu Fehlermeldungen und der Benutzer kann E-Mails nicht signieren, verschlüsseln oder entschlüsseln. Dies bedeutet, dass ein Benutzer per Outlook verschlüsselte E-Mails nicht in OWA öffnen kann.
Die zur Signierung und Verschlüsselung verwendeten Zertifikate werden von einer Zertifizierungsstelle signiert. Diese Zertifizierungsstelle ist Bestandteil einer sog. PKI und wird entweder von einem externen Anbieter oder aber vom eigenen Unternehmen betrieben.
Die Verwendung eines externen Anbieters von Zertifikaten hat den Vorteil, dass in den allermeisten Fällen die erforderlichen Zertifikate (Root- und Intermediate-Zertifikate) zur Überprüfung eines E-Mail Zertifikates bereits auf den jeweiligen Endgeräten zur Verfügung stehen. Die benötigten E-Mail Zertifikate für Mitarbeiter werden immer für einen bestimmten Zeitraum ausgestellt, wobei unterschiedliche Zeiträume mit unterschiedlichen Kosten verbunden sind.
Die Implementierung einer eigenen PKI ermöglicht es Unternehmen, die Zertifikatsinfrastruktur auch für andere Komponenten zu verwenden. Hierzu gehören u.a. interne Webserver, Lync Kommunikation oder Benutzerauthentifizierung.
Die Verwendung einer eigenen PKI erhöht aber auch die Komplexität der IT-Infrastruktur und will gut überlegt und geplant sein, da etablierte PKI für einen langen Zeitraum in Betrieb ist.
Für S/MIME bedeutet der Einsatz einer eigenen PKI, dass die erforderlichen Root- und Intermediate Zertifikate für externe E-Mail Empfänger zur Verfügung stehen müssen. Partnerunternehmen können diese Zertifikate mit Hilfe von Softwareverteilung intern zur Verfügung stellen. Andere Empfänger müssen in der Lage sein, sich diese Zertifikate von einer Webseite herunterladen zu können. Hinzu kommt, dass der Endpunkt zur Überprüfung von zurückgezogenen Zertifikaten ebenfalls aus dem Internet erreichbar sein muss.
Wie bereits oben beschrieben, ist die Ausstellung von E-Mail Signatur Zertifikaten auf Benutzerrechnern in Unternehmen als Risiko zu sehen. Ebenso können Benutzer nicht ohne weiteres die gewohnten unterschiedlichen Endgeräte verwenden, um S/MIME Nachrichten zu empfangen oder zu senden.
Hier setzen Gateway-Lösungen an, die zentral die Signierung und die Ver- und Entschlüsselung sicherstellen. Das Zertifikatmanagement, also die Ausstellung und das Widerrufen von Benutzerzertifikaten erfolgt ebenfalls zentral am Gateway.
Die öffentlichen Schlüssel von eingehenden Nachrichten werden automatisch ausgelesen und zentral gespeichert. Hierdurch stehen die öffentlichen Schlüssel von externen Kommunikationspartnern allen Mitarbeitern im Unternehmen für eine sichere E-Mail Kommunikation zur Verfügung.
Durch ein Regelwerk kann sichergestellt werden, dass E-Mails an Empfänger, die keine Verschlüsselung unterstützen, auch unverschlüsselt zugestellt werden. Die Verschlüsselung des Übertragungskanal ist weiterhin möglich.
Als Beispiel einer solchen Lösung sein hier enQsig von Net at Work, Paderborn, genannt. Diese zertifizierte Verschlüsselungslösung unterstützt neben der Verschlüsselung mit S/MIME auch PGP. Das Produkt verfügt über weitere Funktionen, die Sie gerne hier nachlesen können.
Eine zentrale Gateway-Lösung zur E-Mail Verschlüsselung stellt eine optimale Möglichkeit zur Implementierung sicherer E-Mail Kommunikation dar, bei gleichzeitiger Reduzierung des Aufwandes für die erforderliche IT-Infrastruktur und die notwendigen Prozesse.
Es gibt keinen wirklichen Grund, E-Mail Verschlüsselung nicht einzusetzen. Die Gefährdungen für sensible Unternehmenskommunikation werden in den nächsten Jahren eher steigen als sinken.
Und mit einer zentralen Gateway-Lösung ist es sowohl für mittelständische Unternehmen, als auch für Großkonzerne möglich, eine verlässliche Kommunikationsumgebung zu schaffen, die anderen technischen Entwicklungen nicht im Wege steht.
Das Exchange Blog Cumulative Update für Januar 2015 (CU0115) fasst interessante Themen rund um Exchange Server und Office 365 (Exchange Online), Azure und Lync des Monats Januar 2015 zusammen.
Alle Links für des CU 0115 finden Sie auch in unserem Bitly Bundle: http://bit.ly/CU0115Bundle
Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Installation oder Migration.
Sie denken über einen vollständigen Wechsel zu Office 365 oder eine Hybrid-Implementierung mit Office 365 nach? Wir beraten Sie umfassend und ausführlich über die Möglichkeiten der Office 365 Plattform.
Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (http://www.granikos.eu) oder nehmen Sie direkt mit uns Kontakt auf: info@granikos.eu