Frage zu heise-Artikel (bzgl. "Exchange Lücken")
Hallo zusammen.
Das Thema wurde jetzt ja bereits heiß und innig diskutiert, jedoch stelle ich mir als aufmerksamer Leser folgende Frage, in Bezug auf den Artikel von heise:
Artikel
Dort wird geschrieben: [...] Das CERT-Bund warnt in diesem Kontext: "Exchange-Server besitzen in vielen Infrastrukturen standardmäßig (teilweise ungerechtfertigt) sehr hohe Rechte im Active Directory. Es ist denkbar, dass weitergehende Angriffe mit den Rechten eines übernommenen Exchange-Servers potenziell mit geringem Aufwand auch die gesamte Domäne kompromittieren können." [...]
Es wird von sehr hohen, teilweise ungerechtfertigten Rechten geschrieben. Jetzt ist ja bekannt, dass Exchange ohnehin sehr hohe Rechte im AD hat und auch braucht.
Welche Möglichkeiten gibt es denn, diese Rechte von Exchange auf das AD so einzuschränken, dass die Sicherheit erhöht wird und das System dennoch funktioniert?! Allein die Deligierung über Gruppen wirds ja wohl nicht sein?!
Das Thema wurde jetzt ja bereits heiß und innig diskutiert, jedoch stelle ich mir als aufmerksamer Leser folgende Frage, in Bezug auf den Artikel von heise:
Artikel
Dort wird geschrieben: [...] Das CERT-Bund warnt in diesem Kontext: "Exchange-Server besitzen in vielen Infrastrukturen standardmäßig (teilweise ungerechtfertigt) sehr hohe Rechte im Active Directory. Es ist denkbar, dass weitergehende Angriffe mit den Rechten eines übernommenen Exchange-Servers potenziell mit geringem Aufwand auch die gesamte Domäne kompromittieren können." [...]
Es wird von sehr hohen, teilweise ungerechtfertigten Rechten geschrieben. Jetzt ist ja bekannt, dass Exchange ohnehin sehr hohe Rechte im AD hat und auch braucht.
Welche Möglichkeiten gibt es denn, diese Rechte von Exchange auf das AD so einzuschränken, dass die Sicherheit erhöht wird und das System dennoch funktioniert?! Allein die Deligierung über Gruppen wirds ja wohl nicht sein?!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 661154
Url: https://administrator.de/contentid/661154
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
2 Kommentare
Neuester Kommentar
Siehe Antwort von Dani hier:
Wie grundsätzlich verfahren mit Exchange Zero-Day-Exploit?
Wie grundsätzlich verfahren mit Exchange Zero-Day-Exploit?