Lista de comprobación de seguridad de la implementación
Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Última modificación del tema: 2007-12-11
Microsoft Exchange Server 2007 está diseñado para ser seguro de forma predeterminada para la mayoría de los escenarios. Normalmente para Exchange 2007, seguro de forma predeterminada significa que se cumplen las condiciones siguientes:
Las cuentas que usa Exchange 2007 tienen los derechos mínimos necesarios para realizar los conjuntos de tareas determinados.
De forma predeterminada, los servicios se inician solamente cuando se necesitan.
Los derechos de una lista de control de acceso (ACL) para objetos de Exchange se minimizan.
Los permisos administrativos se establecen de acuerdo con el ámbito de cambio del objeto que requiere una modificación determinada.
Todas las rutas de mensajes internos y predeterminados están cifradas.
Muchas otras características se han diseñado para proporcionar un entorno de mensajería relativamente seguro en la instalación inicial.
En este tema se describen algunos de los pasos recomendados que puede adoptar para asegurar mejor el entorno de mensajería antes de instalar Microsoft Exchange. Es aconsejable consultar esta lista de comprobación cada vez que instale una nueva función del servidor Exchange.
Como sucede con todo el contenido del archivo de Ayuda de Exchange 2007, el contenido más actualizado puede encontrarse en Exchange Server TechCenter.
Preinstalación
Antes de instalar Exchange 2007, realice los siguientes procedimientos.
| Procedimientos | Comprobación |
|---|---|
Ejecute Microsoft Update. |
|
Ejecute la Herramienta para la eliminación de software malintencionado de Microsoft. La Herramienta de eliminación de software malintencionado se incluye con una Actualización de Microsoft. Para obtener más información, consulte Herramienta para la eliminación de software malintencionado. |
|
Ejecute Microsoft Baseline Security Analyzer. |
|
Postinstalación
Se aconseja ejecutar el Asistente para configuración de seguridad (SCW) en todas las funciones del servidor de Exchange 2007. También se recomienda modificar el nivel de autenticación LAN Manager en servidores que ejecutan Windows Server 2003.
Asistente para configuración de seguridad
El SCW es una herramienta que se ha introducido con Microsoft Windows Server 2003 Service Pack 1 (SP1). Se puede usar para minimizar la superficie expuesta a ataques de los servidores deshabilitando la funcionalidad de Windows que no se requiera en las funciones del servidor de Exchange 2007. El SCW automatiza las prácticas recomendadas de seguridad de reducir la superficie expuesta a ataques de un servidor. Así, usa una metáfora basada en funciones para solicitar los servicios que requieren las aplicaciones de un servidor. Esta herramienta reduce la susceptibilidad de los entornos de Windows a la explotación de vulnerabilidades de la seguridad. Para obtener más información, consulte Uso del Asistente para la configuración de seguridad para asegurar Windows para las funciones del servidor de Exchange
Nivel de autenticación LAN Manager
Para cada servidor de Exchange que se ejecuta en Windows Server 2003, se recomienda configurar el nivel de autenticación LAN Manager indicado para su entorno en la Guía de seguridad de Windows Server 2003. Este valor determina el protocolo de autenticación de desafío/respuesta que se usa para inicios de sesión de red. Esta opción afecta al nivel de protocolo de autenticación que usan los equipos cliente, al nivel de seguridad que se negocia y al nivel de autenticación aceptado por los servidores. Para modificar el nivel de autenticación LAN Manager, se debe modificar la entrada de LmCompatibilityLevel del Registro.
Advertencia
UNRESOLVED_TOKEN_VAL(exRegistry)
A continuación, se muestran los niveles de autenticación LAN Manager recomendados en la Guía de seguridad de Windows Server 2003**:**
Entorno de cliente heredado En la Guía de seguridad de Windows Server 2003 un entorno de cliente heredado se define como un entorno que consta de un dominio del servicio de directorio de Active Directory con servidores miembro y controladores de dominio que ejecutan Windows Server 2003 y algunos equipos cliente que ejecutan Microsoft Windows 98 y Windows NT 4.0. Los equipos que ejecutan Windows 98 deben tener instalada la Extensión de cliente de Active Directory (DSCLient). Para obtener más información acerca de cómo instalar DSClient, consulte el artículo 288358 de Microsoft Knowledge Base, Cómo instalar la extensión del cliente de Active Directory. En la Guía de seguridad de Windows Server 2003 se recomienda establecer la entrada de LmCompatibilityLevel en 3 para entornos de cliente heredado.
Entorno de cliente de empresa En la Guía de seguridad de Windows Server 2003 un entorno de cliente de empresa se define como un entorno que consta de un dominio de Active Directory con servidores miembro y controladores de dominio que ejecutan Windows Server 2003 con SP1 y equipos cliente que ejecutan Windows 2000 Server y Windows XP. En la Guía de seguridad de Windows Server 2003 se recomienda establecer la entrada de LmCompatibilityLevel en 4 para entornos de cliente de empresa.
Además, los entornos de clúster también presentan requisitos relacionados con el nivel de autenticación LAN Manager.En un entorno de replicación continua en clúster (CCR), se debe establecer la entrada LmCompatibilityLevel de cada controlador de dominio de la organización en el mismo valor que la entrada LmCompatibilityLevel de los servidores de Exchange. Si la entrada LmCompatibilityLevel de un controlador de dominio no igual a la entrada LmCompatibilityLevel de un servidor de Exchange, es posible que se produzcan errores en la replicación. Se recomienda establecer primero la entrada LmCompatibilityLevel de todos los controladores de un dominio y, a continuación, establecer la entrada LmCompatibilityLevel de cada clúster.
Para establecer la entrada LmCompatibilityLevel de un clúster, se debe cambiar el valor de todos los nodos del clúster al mismo tiempo y, a continuación, reiniciar cada nodo. Se recomienda modificar la entrada del Registro y reiniciar cada equipo del clúster de forma manual en lugar de usar un objeto de directiva de grupo (GPO) para garantizar que se reinician todos los nodos del clúster a la vez.
Nota
De forma predeterminada, LmCompatibilityLevel de equipos que ejecutan Windows Server 2008 es 3 o superior.
Para obtener más información acerca de los niveles de autenticación LAN Manager, consulte el "Capítulo 4: directiva de línea de base de servidores miembro" de la Guía de seguridad de Windows Server 2003 (en inglés). Para obtener más información acerca de cómo modificar la entrada del Registro LmCompatibilityLevel para establecer el nivel de autenticación LAN Manager, consulte How to Configure the LAN Manager Authentication Level. Un GPO se puede usar para establecer la entrada del Registro de LmCompatibilityLevel de todos los equipos de la organización. Para obtener instrucciones detalladas, consulte How to Configure the LAN Manager Authentication Level.