Exportar (0) Imprimir
Expandir todo

Lista de comprobación de seguridad de la implementación

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2007-12-11

Microsoft Exchange Server 2007 está diseñado para ser seguro de forma predeterminada para la mayoría de los escenarios. Normalmente para Exchange 2007, seguro de forma predeterminada significa que se cumplen las condiciones siguientes:

  • Las cuentas que usa Exchange 2007 tienen los derechos mínimos necesarios para realizar los conjuntos de tareas determinados.
  • De forma predeterminada, los servicios se inician solamente cuando se necesitan.
  • Los derechos de una lista de control de acceso (ACL) para objetos de Exchange se minimizan.
  • Los permisos administrativos se establecen de acuerdo con el ámbito de cambio del objeto que requiere una modificación determinada.
  • Todas las rutas de mensajes internos y predeterminados están cifradas.
  • Muchas otras características se han diseñado para proporcionar un entorno de mensajería relativamente seguro en la instalación inicial.

En este tema se describen algunos de los pasos recomendados que puede adoptar para asegurar mejor el entorno de mensajería antes de instalar Microsoft Exchange. Es aconsejable consultar esta lista de comprobación cada vez que instale una nueva función del servidor Exchange.

Como sucede con todo el contenido del archivo de Ayuda de Exchange 2007, el contenido más actualizado puede encontrarse en Exchange Server TechCenter.

Antes de instalar Exchange 2007, realice los siguientes procedimientos.

 

Procedimientos Comprobación

Ejecute Microsoft Update.

 

Ejecute la Herramienta para la eliminación de software malintencionado de Microsoft. La Herramienta de eliminación de software malintencionado se incluye con una Actualización de Microsoft. Para obtener más información, consulte Herramienta para la eliminación de software malintencionado.

 

Ejecute Microsoft Baseline Security Analyzer.

 

Se aconseja ejecutar el Asistente para configuración de seguridad (SCW) en todas las funciones del servidor de Exchange 2007. También se recomienda modificar el nivel de autenticación LAN Manager en servidores que ejecutan Windows Server 2003.

El SCW es una herramienta que se ha introducido con Microsoft Windows Server 2003 Service Pack 1 (SP1). Se puede usar para minimizar la superficie expuesta a ataques de los servidores deshabilitando la funcionalidad de Windows que no se requiera en las funciones del servidor de Exchange 2007. El SCW automatiza las prácticas recomendadas de seguridad de reducir la superficie expuesta a ataques de un servidor. Así, usa una metáfora basada en funciones para solicitar los servicios que requieren las aplicaciones de un servidor. Esta herramienta reduce la susceptibilidad de los entornos de Windows a la explotación de vulnerabilidades de la seguridad. Para obtener más información, consulte Uso del Asistente para la configuración de seguridad para asegurar Windows para las funciones del servidor de Exchange

Para cada servidor de Exchange que se ejecuta en Windows Server 2003, se recomienda configurar el nivel de autenticación LAN Manager indicado para su entorno en la Guía de seguridad de Windows Server 2003. Este valor determina el protocolo de autenticación de desafío/respuesta que se usa para inicios de sesión de red. Esta opción afecta al nivel de protocolo de autenticación que usan los equipos cliente, al nivel de seguridad que se negocia y al nivel de autenticación aceptado por los servidores. Para modificar el nivel de autenticación LAN Manager, se debe modificar la entrada de LmCompatibilityLevel del Registro.

CautionPrecaución:
La modificación incorrecta del Registro puede causar problemas graves que podrían hacer necesario volver a instalar el sistema operativo. Es posible que los problemas debidos a una modificación incorrecta del Registro no se puedan resolver. Antes de modificar el Registro, realice una copia de seguridad de los datos valiosos.

A continuación, se muestran los niveles de autenticación LAN Manager recomendados en la Guía de seguridad de Windows Server 2003:

  • Entorno de cliente heredado   En la Guía de seguridad de Windows Server 2003 un entorno de cliente heredado se define como un entorno que consta de un dominio del servicio de directorio de Active Directory con servidores miembro y controladores de dominio que ejecutan Windows Server 2003 y algunos equipos cliente que ejecutan Microsoft Windows 98 y Windows NT 4.0. Los equipos que ejecutan Windows 98 deben tener instalada la Extensión de cliente de Active Directory (DSCLient). Para obtener más información acerca de cómo instalar DSClient, consulte el artículo 288358 de Microsoft Knowledge Base, Cómo instalar la extensión del cliente de Active Directory. En la Guía de seguridad de Windows Server 2003 se recomienda establecer la entrada de LmCompatibilityLevel en 3 para entornos de cliente heredado.
  • Entorno de cliente de empresa   En la Guía de seguridad de Windows Server 2003 un entorno de cliente de empresa se define como un entorno que consta de un dominio de Active Directory con servidores miembro y controladores de dominio que ejecutan Windows Server 2003 con SP1 y equipos cliente que ejecutan Windows 2000 Server y Windows XP. En la Guía de seguridad de Windows Server 2003 se recomienda establecer la entrada de LmCompatibilityLevel en 4 para entornos de cliente de empresa.

Además, los entornos de clúster también presentan requisitos relacionados con el nivel de autenticación LAN Manager.En un entorno de replicación continua en clúster (CCR), se debe establecer la entrada LmCompatibilityLevel de cada controlador de dominio de la organización en el mismo valor que la entrada LmCompatibilityLevel de los servidores de Exchange. Si la entrada LmCompatibilityLevel de un controlador de dominio no igual a la entrada LmCompatibilityLevel de un servidor de Exchange, es posible que se produzcan errores en la replicación. Se recomienda establecer primero la entrada LmCompatibilityLevel de todos los controladores de un dominio y, a continuación, establecer la entrada LmCompatibilityLevel de cada clúster.

Para establecer la entrada LmCompatibilityLevel de un clúster, se debe cambiar el valor de todos los nodos del clúster al mismo tiempo y, a continuación, reiniciar cada nodo. Se recomienda modificar la entrada del Registro y reiniciar cada equipo del clúster de forma manual en lugar de usar un objeto de directiva de grupo (GPO) para garantizar que se reinician todos los nodos del clúster a la vez.

noteNota:
De forma predeterminada, LmCompatibilityLevel de equipos que ejecutan Windows Server 2008 es 3 o superior.

Para obtener más información acerca de los niveles de autenticación LAN Manager, consulte el "Capítulo 4: directiva de línea de base de servidores miembro" de la Guía de seguridad de Windows Server 2003 (en inglés). Para obtener más información acerca de cómo modificar la entrada del Registro LmCompatibilityLevel para establecer el nivel de autenticación LAN Manager, consulte How to Configure the LAN Manager Authentication Level. Un GPO se puede usar para establecer la entrada del Registro de LmCompatibilityLevel de todos los equipos de la organización. Para obtener instrucciones detalladas, consulte How to Configure the LAN Manager Authentication Level.

Para asegurar que lee la información más actualizada y para buscar documentación adicional de Exchange Server 2007, visite Exchange Server TechCenter.
¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2014 Microsoft