JRB - Fotolia

Exchange Server 2016: Die Datenschutz-Optionen konfigurieren

Unternehmen, die auf Exchange Server 2016 setzen, sollten sich mit Datenschutz und Datensicherheit bei der Speicherung und dem Umgang von Maildaten auseinandersetzen.

In Microsoft Exchange Server 2016 gibt es verschiedene Möglichkeiten, den Datenschutz zu verbessern. Aus diesem Grund sollte nach der Installation die Serverumgebung überprüft werden, im Hinblick auf eine Optimierung des Datenschutzes.

Hilfreich können zum Beispiel Aufbewahrungsrichtlinien sein. Die Verwaltung wird im Exchange Admin Center im Bereich Verwaltung der Compliance vorgenommen. Aufbewahrungsrichtlinien arbeiten mit Aufbewahrungstags (Retention Tags). Über diese wird festgelegt, wann Exchange eine E-Mail archivieren soll.

In den Retention Tags wird außerdem festgelegt, wie lange ein bestimmtes Objekt im Postfach verbleibt und was nach dem Ablauf passieren soll. Nach Ablauf der Zeit verschiebt Exchange das Objekt in das Archiv, löscht es oder fordert den Empfänger auf, eine bestimmte Aktion durchzuführen. Aufbewahrungstags werden in der Exchange Management Shell oder über Verwaltung der Compliance im Exchange Admin Center erstellt. In der Exchange Management Shell wird das Cmdlet New-RetentionPolicyTag verwendet. Mit dem Cmdlet Get-RetentionPolicyTag lassen Sie sich die erstellten Tags anzeigen.

Der folgende Befehl erstellt ein Standardrichtlinientag zum Verschieben aller E-Mails in das Archiv nach 2 Jahren (730 Tagen).

New-RetentionPolicyTag -Name "Move" -Type All -AgeLimitForRetention 730 -RetentionAction MoveToArchive

Mit dem Befehl Get-Command *retention* lassen Sie sich alle verfügbaren Cmdlets für Aufbewahrungsrichtlinien anzeigen. Im folgenden Beispiel wird das persönliche Tag „BusinessCritical“ erstellt. Elemente, auf die Anwender das Tag anwenden, verschiebt Exchange nach drei Jahren in das Archiv:

New-RetentionPolicyTag "BusinessCritical" -Type Personal -Comment "Kritische Geschäftsmails werden nach 3 Jahren automatisch archiviert" -RetentionEnabled $true -AgeLimitForRetention 1095 -RetentionAction MoveToArchive

Aufbewahrungsrichtlinien sind eine Bündelung mehrerer Aufbewahrungstags. Daher werden erst die verschiedenen Tags und danach die Aufbewahrungsrichtlinien auf Basis der erstellten Tags erstellt. Richtlinien werden an der gleichen Stelle im Exchange Admin Center über Verwaltung der Compliance/Aufbewahrungsrichtlinien angelegt.

Aufbewahrungsrichtlinien lassen sich auch in der Exchange Management Shell mit dem Cmdlet New-RetentionPolicy erstellen Der folgende Befehl erstellt die Aufbewahrungsrichtlinie „RP“, die das Tag „BusinessCritical“ nutzt:

New-RetentionPolicy "RP" -RetentionPolicyTagLinks "BusinessCritical"

Compliance-Archiv

Unternehmen müssen bestimmte Daten revisionssicher archivieren. Das soll eine nachträgliche Änderung der Daten verhindern. In Exchange 2010/2013 wird die gesetzliche Aufbewahrungspflicht auf Basis der Archivierung dargestellt. Exchange 2016 verwendet dazu die neuen Compliance-Archive.

Die Verwaltung des Datenschutzes wird über die Mitgliedschaft in der Rollengruppe „Discovery Management“ gesteuert. Standardmäßig enthält die Rollengruppe Discovery Management keine Mitglieder.

Journale nutzen

Journale können auch in Exchange 2016 alle Kommunikationsvorgänge aufzeichnen. Dadurch kann der Journal-Agent alle Nachrichten erfassen, die in einer bestimmten Postfachdatenbank gesendet werden. Mit Journalregeln können interne, externe oder beide Sorten Nachrichten in einem Journal erfasst werden.

Transportregeln für den Nachrichtenfluss erstellen

Unter Exchange Server 2016 besteht die Möglichkeit, ähnlich wie in Outlook, Regeln zu erstellen, auf deren Basis Nachrichten speziell behandelt werden. Der Hauptunterschied zwischen Transportregeln und den Regeln, die Sie in einer Client-Anwendung wie Outlook erstellen, besteht darin, dass mit Transportregeln Aktionen für E-Mails ausgeführt werden, während sie noch übertragen werden.

Dadurch lassen sich auch einige Einstellungen bezüglich des Datenschutzes steuern, zum Beispiel die Verschlüsselung von E-Mails. Unternehmen können mit Transportregeln eine Lösung zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) einführen.

E-Mail-Verschlüsselung mit Exchange 2016 und Outlook

Um E-Mail-Verschlüsselung in Unternehmen mit Exchange 2016 oder Office 365 zu integrieren, ist häufig die Verwendung von S/MIME der gängige Weg. Hier haben Anwender die Möglichkeit, auf Basis von Zertifikaten eigene E-Mails manuell zu signieren und zu verschlüsseln. Erstellen Anwender neue E-Mails, können sie diese digital signieren und verschlüsseln. Dazu werden im Trust Center die generellen Optionen für die Signierung oder Verschlüsselung von E-Mails konfiguriert. Anwender haben hier die Möglichkeit, genau festzulegen, wann Outlook E-Mails automatisch signieren oder verschlüsseln soll.

Wollen Anwender E-Mails zu bestimmten Empfänger verschlüsseln, also sicherstellen, dass nur der Empfänger die E-Mail lesen darf, benötigen sie das Zertifikat dieses Empfängers.

Zertifikatbasierte Authentifizierung mit ActiveSync und OWA

Wenn Unternehmen ihre Anmeldungen von Exchange ActiveSync über Zertifikate abwickeln lassen, müssen sich Benutzer mit ihren Endgeräten und Smartphones nicht mehr an den Servern anmelden und den Benutzernamen sowie das Kennwort eingeben. Die Anmeldung erfolgt über Zertifikate, die auf den Endgeräten installiert sind.

Es handelt sich bei dieser Art der Authentifizierung aber um keine Zwei-Wege-Anmeldung. Die Anmeldung an Exchange erfolgt ausschließlich über das auf dem Client installierte Zertifikat.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Office 365 Secure Score: Office-Sicherheit verbessern

Office 365: DLP-Richtlinien für die Cloud verwenden

Die Neuerungen des Exchange Server 2016

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

ComputerWeekly.de
Close