Guía de seguridad de Exchange 2007

Artículo
08/09/2014

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2007-09-17

En el pasado, para cada versión de MicrosoftExchange Server, el equipo de Exchange publicaba guías independientes de refuerzo de seguridad con información sobre permisos y seguridad. Este método tenía sentido para bloquear servicios y directorios después de ejecutar la instalación de Exchange. Sin embargo, en MicrosoftExchange Server 2007 con la instalación basada en funciones de servidor, Microsoft Exchange habilita únicamente los servicios que necesite la función del servidor que se está instalando. Microsoft Exchange ya no se instala y por tanto su seguridad queda reforzada. Está diseñado para ser seguro de forma predeterminada.

Así pues, a diferencia de versiones anteriores de Exchange Server en las que los administradores tenían que llevar a cabo múltiples pasos para bloquear los servidores que ejecutaban Exchange Server, Exchange 2007 no necesita bloqueo ni refuerzo.

Contenido de esta guía

Esta guía está escrita para el administrador informático responsable de la seguridad de la implementación de Exchange 2007. Está diseñada para ayudar al administrador a comprender y administrar el entorno de seguridad general en que se encuentra instalado Exchange. En este tema se incluye la información siguiente:

Ciclo de vida del desarrollo de seguridad de Exchange 2007 Esta sección ofrece una breve descripción de cómo se desarrolló Exchange 2007.
Recomendaciones En esta sección se describen consejos para configurar y mantener un entorno seguro en Exchange 2007.
Protección de las rutas de acceso de Exchange Esta sección describe las especificaciones de cifrado y autenticación para todas las rutas de datos y de comunicación de redes que utiliza Exchange 2007.
Uso del Asistente para configuración de seguridad para asegurar Windows para las funciones de servidor de Exchange Esta sección ofrece instrucciones sobre cómo habilitar Exchange 2007 para el Asistente para configuración de seguridad de Windows (SCW).
Apéndice 1: Servicios y ejecutables de puertos habilitados por los archivos de registro del SCW de Exchange 2007 Este apéndice documenta servicios y ejecutables de puertos habilitados por los archivos de registro del SCW de Exchange 2007.
Apéndice 2: Documentación adicional sobre la seguridad en Exchange Este apéndice proporciona punteros a documentación relacionada con la seguridad en Exchange.

Ciclo de vida del desarrollo de seguridad de Exchange 2007

A principios de 2002 Microsoft introdujo la iniciativa Trustworthy Computing. Desde que se introdujo Trustworthy Computing, el proceso de desarrollo en Microsoft y en el equipo de Exchange Server se ha concentrado en desarrollar un software que sea seguro de forma predeterminada. Para obtener más información, consulte Trustworthy Computing.

En Exchange 2007 se ha implementado Trustworthy Computing en las siguientes cuatro áreas principales:

Seguro en el diseño Exchange 2007 se ha diseñado y desarrollado según el ciclo de vida del desarrollo de seguridad de Trustworthy Computing. El primer paso para crear un sistema de mensajería más seguro fue diseñar modelos de amenaza y poner a prueba cada opción a medida que se iba diseñando. Se integraron múltiples mejoras relacionadas con la seguridad en el proceso y las prácticas de codificación. Las herramientas de tiempo integradas detectan excesos en el búfer y otras amenazas potenciales de seguridad antes de que se compruebe el código en el producto final. Evidentemente no se puede diseñar una protección contra todas las amenazas de seguridad no conocidas. Ningún sistema puede garantizar una seguridad completa. Sin embargo, al incluir principios de diseño de seguridad en todo el proceso de diseño, Exchange 2007 es más seguro que versiones anteriores.
Seguro de forma predeterminada Uno de los objetivos de Exchange 2007 era desarrollar un sistema en que la mayoría de comunicaciones de red se codifiquen de forma predeterminada. Este objetivo se consiguió, excepto para las comunicaciones del clúster del bloqueo de mensajes de servidor (SMB) y algunas comunicaciones de mensajería unificada. Al usar certificados autofirmados, el protocolo Kerberos, el nivel de sockets seguros (SSL) y otras técnicas estándares de cifrado, casi toda la información en la red de Exchange 2007 queda protegida. Además, la instalación basada en funciones permite instalar Exchange 2007, de modo que solamente los servicios, y los permisos relacionados con esos servicios, se instalan con una función de servidor específica y apropiada. En versiones anteriores de Exchange Server había que instalar todos los servicios de funcionalidad.

Nota

Para cifrar las comunicaciones SMB y UM, es necesario implementar el protocolo de seguridad de Internet (IPsec). En versiones futuras de esta guía puede que se incluya información sobre el cifrado de comunicaciones SMB y UM.
Funcionalidad antivirus y contra correo electrónico no deseado Exchange 2007 incluye un conjunto de agentes contra correo electrónico no deseado que se ejecutan en la red perimetral. La funcionalidad del antivirus está mejorada aún más gracias a la adición de Microsoft Forefront Security para Exchange Server como solución Microsoft.
Implementación segura A medida que se fue desarrollando Exchange 2007, se implementó la versión de evaluación en el entorno de producción de TI Microsoft. Basado en datos de esa implementación, se ha actualizado el Microsoft Exchange Best Practice Analyzer para buscar configuraciones de seguridad reales, y se han documentado consejos para antes y después de la implementación en la Ayuda de Exchange 2007.

En el pasado, se documentaba la administración de permisos y se entregaba una vez finalizada la documentación del producto básico. Sin embargo, sabemos que la administración de permisos no es un proceso de complementos. Debería de integrarse en las fases de planeamiento e implementación general de Exchange 2007. Por tanto, se ha hecho más eficaz la documentación de permisos y se ha integrado en la documentación central para ofrecer a los administradores un contexto sin obstáculos a medida que planean e implementan su modelo administrativo
Comunicaciones Ahora que Exchange 2007 ha salido al mercado, el equipo de Exchange está entregado a mantener el software actualizado y a los usuarios informados. Manteniendo su sistema actualizado con Microsoft Update, puede estar seguro de que su organización dispone de las últimas actualizaciones de seguridad. Exchange 2007 también incluye actualizaciones contra correo electrónico no deseado. Además, si se suscribe a Notificaciones técnicas de seguridad de Microsoft, estará al día de los últimos problemas de seguridad en Exchange 2007.

Contenido de esta guía

Recomendaciones

Echemos un vistazo a las recomendaciones que le ayudarán a crear y mantener un entorno más seguro. En general, la manera más efectiva de optimizar la seguridad del entorno de Exchange 2007 es simplemente mantener actualizados el software y los archivos de firma de antivirus, y ejecutar herramientas de análisis regularmente.

Esta sección describe algunos consejos para crear y mantener la seguridad en un entorno Exchange 2007.

Creación de un entorno seguro

Microsoft ofrece las siguientes herramientas para crear un entorno seguro. Ejecute las siguientes herramientas antes de instalar Exchange 2007:

Microsoft Update
Exchange Best Practices Analyzer
Microsoft Baseline Security Analyzer
Internet Information Services (IIS) Lockdown Tool y URLScan, sólo para entornos en los que se esté ejecutando Windows Server 2003 después de haber actualizado desde Windows 2000 Server.
Plantillas de Exchange para el Asistente para configuración de seguridad (SCW)

Microsoft Update

Microsoft Update es un servicio nuevo que ofrece las mismas descargas que Windows Update, además de las últimas actualizaciones para otros programas de Microsoft. Le ayuda a mantener su equipo más seguro y con un rendimiento óptimo.

Una función clave de Microsoft Update es Windows Automatic Update. Esta función instala automáticamente actualizaciones de prioridad alta fundamentales para la seguridad y fiabilidad del equipo. Sin estas actualizaciones, el equipo es más vulnerable a ataques externos y de software malintencionado (malware).

El modo más confiable de recibir Microsoft Update es de forma automática en el equipo utilizando Actualizaciones automáticas de Windows. Puede activar Actualizaciones automáticas si se inscribe a Microsoft Update.

Entonces Windows analizará el software Microsoft instalado en su equipo en busca de actualizaciones actuales y antiguas de alta prioridad necesarias y seguidamente las descargará e instalará automáticamente. A continuación, siempre que se conecte a Internet, Windows repetirá este proceso para buscar nuevas actualizaciones de alta prioridad.

Nota

Si ya utiliza Actualizaciones automáticas, Microsoft Update seguirá operando según su configuración.

Para habilitar Microsoft Update, visite Microsoft Update.

El modo predeterminado de lMicrosoft Update exige que cada equipo Exchange esté conectado a Internet para recibir las actualizaciones automáticas. Si ejecuta servidores sin conexión a Internet, puede instalar Windows Server Update Services (WSUS) para administrar la distribución de actualizaciones en equipos de su organización. Así podrá configurar Microsoft Update en los equipos Exchange Server internos para que se ponga en contacto con el servidor WSUS interno en busca de actualizaciones. Para obtener más información, consulte Microsoft Windows Server Update Services 3.0.

WSUS no es la única solución de administración de Microsoft Update disponible. Para obtener más información acerca de la solución de administración de Microsoft Update que mejor satisface sus necesidades, visite MBSA, MU, WSUS, Essentials 2007 o SMS 2003?.

Actualizaciones contra correo electrónico no deseado

Exchange 2007 también utiliza la infraestructura de Microsoft Update para mantener los filtros contra correo no deseado actualizados. De forma predeterminada, con las actualizaciones manuales el administrador debe visitar Microsoft Update para descargar e instalar las actualizaciones de filtro de contenido. Cada dos semanas hay datos de actualización del filtro de contenido actualizados y listos para ser descargados.

Las actualizaciones manuales desde Microsoft Update no incluyen datos de firma de correo no deseado ni el servicio de reputación de IP de Microsoft. El servicio de reputación IP de Microsoft y los datos de firma de correo no deseado sólo están disponibles con Forefront Security para actualizaciones automáticas contra correo no deseado de Exchange Server.

Nota

Las actualizaciones automáticas contra correo no deseado de Forefront son una característica de alta calidad que requiere una licencia de acceso de cliente empresarial (CAL) de Exchange para cada buzón de usuario o una Forefront Security para licencia de Exchange Server.

Para obtener más información acerca de cómo habilitar las actualizaciones automáticas contra correo no deseado de Forefront, consulte Actualizaciones contra correo electrónico no deseado.

Microsoft Exchange Best Practices Analyzer

Exchange Best Practices Analyzer es una de las herramientas más efectivas que puede ejecutar de manera regular para ayudarle a comprobar que su entorno Exchange es seguro. La herramienta Exchange Best Practices Analyzer examina automáticamente su implementación de Microsoft Exchange y determina si la configuración se ha realizado de acuerdo con las prácticas recomendadas de Microsoft. Puede instalar Exchange Best Practices Analyzer en un equipo cliente que ejecute Microsoft .NET Framework 1.1. Con el acceso a redes apropiado, Exchange Best Practices Analyzer examina todo el servicio de directorio de Active Directory y los servidores de Exchange.

Para obtener más información, incluidas prácticas recomendadas, visite la sección "Ejecutar Exchange Best Practices Analyzer" más adelante en esta guía y Microsoft Exchange Best Practices Analyzer v2.8.

Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) es una herramienta diseñada para que el profesional de IT pueda ayudar a la pequeña y mediana empresa a determinar su estado de seguridad de acuerdo con las recomendaciones de seguridad de Microsoft. Mejore el proceso de administración de seguridad utilizando MBSA para detectar errores de configuración comunes y actualizaciones de seguridad que falten en sus equipos.

Descargue MBSA en Microsoft Baseline Security Analyzer.

IIS Lockdown Tool y URLScan

De manera predeterminada, las versiones de IIS 6.0 y 7.0, que se instalan con Windows Server y Windows Server 2008 respectivamente, tienen opciones de configuración relacionadas con la seguridad similares a las de IIS Lockdown Tool. Por lo tanto, no tiene que ejecutar IIS Lockdown Tool en servidores web con IIS versión 6.0 ó 7.0. Sin embargo, si está actualizando desde una versión anterior de IIS a IIS 6.0 o IIS 7.0, le recomendamos que ejecute IIS Lockdown Tool para mejorar la seguridad de su servidor web.

Le recomendamos que no ejecute URLScan con IIS versión 6.0 o IIS versión 7.0 porque el riesgo de errores en la configuración es mucho mayor que las ventajas que proporciona URLScan.

Para obtener más información, visite Cómo: Utilizar IISLockdown.exe.

Plantillas de Exchange 2007 para el Asistente para configuración de seguridad

El Asistente para configuración de seguridad (SCW) es una herramienta que se ha introducido con el Service Pack 1 de Windows Server 2003. Para minimizar el alcance de un ataque a servidores, utilice SCW para deshabilitar la funcionalidad de Windows que no se requiera en las funciones de servidor de Exchange 2007. El SCW automatiza las prácticas recomendadas de seguridad de reducir el alcance de un ataque a un servidor. El SCW usa una metáfora basada en funciones para solicitar los servicios que se requieren para las aplicaciones en un servidor. Esta herramienta reduce la susceptibilidad de los entornos de Windows a la explotación de la vulnerabilidad de la seguridad.

Para obtener más información acerca de cómo crear plantillas de Exchange 2007 para SCW, consulte la sección "Uso del Asistente para configuración de seguridad para asegurar Windows para las funciones de servidor de Exchange" más adelante en esta guía.

Mantenimiento de un entorno seguro

Esta sección ofrece recomendaciones de buenas prácticas para mantener un entorno seguro de Exchange 2007.

Ejecución de Best Practices Analyzer de Exchange

Como se ha mencionado en la sección anterior, Exchange Best Practices Analyzer es una de las herramientas más efectivas que puede ejecutar de manera regular para ayudarle a comprobar que su entorno Exchange es seguro.

Para la mayoría de los entornos, se recomienda ejecutar Exchange Best Practices Analyzer al menos una vez al trimestre. Sin embargo, se aconseja ejecutarlo una vez al mes en todos los servidores que ejecuten Exchange Server.

Además, debería ejecutar Exchange Best Practices Analyzer en los siguientes escenarios:

Siempre que haga cambios importantes en la configuración de un servidor Exchange. Por ejemplo, debería ejecutarlo después de agregar o eliminar conectores o de crear una conexión EdgeSync con un servidor Edge Transport.
Inmediatamente después de instalar una nueva función del servidor Exchange o de eliminar una función del servidor Exchange.
Después de instalar un Service Pack de Windows o un Service Pack de Exchange Server.
Después de instalar un software de terceros en un equipo que ejecute Microsoft Exchange.

Ejecución del Software Antivirus

Los virus, gusanos y otros contenidos malintencionados transmitidos por los sistemas de correo electrónico son una realidad destructiva a la que se enfrentan la mayoría de administradores de Microsoft Exchange. En consecuencia, debe desarrollar una implementación de antivirus defensiva para todos los sistemas de mensajería Esta sección ofrece recomendaciones de buenas prácticas para la implementación de un software antivirus para Exchange 2007 y MicrosoftOffice Outlook 2007.

Preste especial atención a dos cambios importantes en Exchange 2007 cuando seleccione un proveedor de software antivirus:

Exchange 2007 se basa en una arquitectura de 64 bits.
Como se describe en detalle más adelante en este tema, Exchange 2007 incluye una nueva funcionalidad de agente de transporte.

Estos dos cambios implican que los proveedores de antivirus deben proporcionar un software específico para Exchange 2007. Es poco probable que el software antivirus escrito para versiones anteriores de Exchange Server funcione correctamente con Exchange 2007.

Para usar un método de defensa en profundidad, se recomienda la implementación de un software antivirus que diseñado para sistemas de mensajería ya sea en la puerta de enlace de Protocolo simple de transferencia de correo (SMTP) o en los servidores Exchange que hospedan buzones de correo, además de un software antivirus en el escritorio del usuario.

Suya es la decisión de qué tipos de software antivirus usar y dónde implementar el software buscando el equilibrio adecuado entre el costo que está dispuesto a aceptar y el riesgo que está dispuesto a asumir. Por ejemplo, algunas organizaciones ejecutan un software antivirus para mensajería en la puerta de enlace SMTP, análisis antivirus en el nivel de archivos del servidor Exchange y un software antivirus del cliente en los equipos de escritorio del usuario. Este enfoque proporciona una protección específica para mensajería en la puerta de enlace, protección general en el nivel de archivos del correo de servidor y protección en el cliente. Otras organizaciones pueden tolerar costos superiores y mejoran la seguridad ejecutando software antivirus para mensajería en la puerta de enlace SMTP, análisis antivirus en el nivel de archivos del servidor Exchange y software antivirus del cliente en el escritorio de los usuarios, además de software antivirus compatible con Exchange Virus Scanning Application Programming Interface (VSAPI) 2.5 en el servidor de buzones de Exchange.

Ejecución del software antivirus en servidores de transporte de concentradores y de transporte perimetral

El lugar más importante para ejecutar software antivirus de mensajería está en la primera línea de defensa de la organización. En Exchange 2007, la primera línea de defensa se encuentra en el perímetro de la red, en el servidor de transporte perimetral.

Para protegerse mejor contra ataques de virus desde dentro de la organización y para servir como segunda línea de defensa, recomendamos ejecutar también software antivirus basado en el transporte en los servidores de transporte de concentradores dentro de la organización.

En Exchange 2007, los agentes actúan en los eventos de transporte, de manera muy similar a los receptores de eventos en versiones previas de Microsoft Exchange. Los programadores de terceras partes pueden escribir agentes personalizados para aprovechar las ventajas del motor de análisis MIME de Exchange subyacente para una mejor exploración antivirus del nivel de transporte.

Muchos proveedores de software de terceros proporcionan agentes específicos de Exchange 2007 que aprovechan el motor de análisis MIME de transporte de Exchange. Póngase en contacto con su proveedor de antivirus para obtener más información.

Además, Microsoft Forefront Security para Exchange Server incluye también un agente antivirus de transporte para Exchange 2007. Para obtener más información acerca de cómo instalar y configurar el agente antivirus Forefront Security para Exchange Server, consulte Protección de una organización de Microsoft Exchange con Microsoft Forefront Security para Exchange Server.

Nota

Los objetos que no se enrutan mediante transporte, como los elementos de las carpetas públicas, Elementos enviados y elementos de calendario, que sólo se pueden analizar en un servidor de buzones, no están protegidos por el análisis de virus sólo de transporte.

Ejecución del software antivirus en otros equipos en la organización

Puede ejecutar el análisis de virus en el nivel de archivos en las dos clases de equipos siguientes:

Escritorios de usuario
Servidores

Además del análisis de virus en el nivel de archivos, considere la posibilidad de ejecutar una solución Microsoft VSAPI en su servidor Buzón de correo Exchange.

Análisis de virus de escritorio

Se recomienda ejecutar la última versión de Outlook. Si ejecuta clientes de correo electrónico antiguos en el escritorio, asume un gran riesgo debido al modelo de objetos y al comportamiento de tratamiento de datos adjuntos en clientes de correo electrónico anteriores. De forma predeterminada, MicrosoftOfficeOutlook 2003 y Office Outlook 2007 son los únicos clientes MAPI de los que Exchange 2007 acepta conexiones. Para obtener más información acerca de los riesgos asociados con la ejecución de versiones anteriores de clientes de correo electrónico, consulte Pasos para la seguridad de Outlook (en inglés).

Después de haber realizado la actualización a Outlook 2003 o Outlook 2007, compruebe que ha instalado un producto de software antivirus en el nivel de archivo en todos los equipos de escritorio. Además, siga estos pasos:

Desarrolle un plan para garantizar que los archivos de firma de antivirus se actualicen automáticamente en todos los escritorios.
Asegúrese de que desarrolla y actualiza una solución de actualización de extremo a extremo en la organización para combatir los virus.

Análisis de virus en el servidor

Considere adoptar una directiva general que ejecute un análisis en el nivel de archivos en todos los equipos de escritorio y servidores de su organización. Por lo tanto, todos los equipos de Exchange Server deberían tener alguna forma de análisis antivirus en ejecución en el nivel de archivos. Para cada función del servidor debe realizar una configuración adicional en el análisis en el nivel de archivos, de modo que no se analicen algunos directorios, tipos de archivo y procesos. Por ejemplo, se recomienda no ejecutar nunca un software antivirus en el nivel de archivos en las bases de datos de almacenamiento de Exchange. Para obtener información acerca de configuración específica, consulte Análisis antivirus de archivos en Exchange 2007.

Análisis de la base de datos de buzón de correo con VSAPI

Una solución de análisis del interfaz de programación para aplicaciones de detección de virus (VSAPI) de Microsoft puede representar un nivel de defensa para muchas organizaciones. Debería considerar la posibilidad de ejecutar una solución antivirus VSAPI si se cumple alguna de las siguientes condiciones:

Su organización no tiene implementados productos de análisis de antivirus de escritorio confiables y exhaustivos.
Su organización desea una protección adicional que puede conseguir con el análisis del almacén.
Su organización ha desarrollado aplicaciones personalizadas con acceso programático a una base de datos de Exchange.
La comunidad de usuarios publica habitualmente mensajes en carpetas públicas.

Las soluciones antivirus que utilizan VSAPI de Exchange se ejecutan directamente en el proceso de almacenamiento de información de Exchange. Las soluciones VSAPI son probablemente las únicas soluciones capaces de proteger contra vectores de ataque que introduzcan contenido infectado en el almacén de información de Exchange a la vez que omiten el análisis estándar de cliente y transporte. Por ejemplo, VSAPI es la única solución que analiza la información enviada a la base de datos por objetos para colaboración de datos (CDO), WebDAV y los servicios web de Exchange.

Además, cuando se produce un ataque de virus, a menudo una solución antivirus VSAPI ofrece la manera más rápida de quitar y eliminar los virus de un almacén de correo infectado.

Para obtener información más específica acerca de cómo ejecutar Forefront Security para Exchange Server, que incluye un motor de análisis VSAPI, consulte Protección de la organización de Microsoft Exchange con Microsoft Forefront Security para Exchange Server.

Utilizar servicios hospedados de Exchange

El filtrado de virus y correo electrónico no deseado también está disponible como un servicio de Servicios hospedados de Microsoft Exchange. Los servicios hospedados de Exchange son un conjunto de cuatro servicios hospedados distintos:

Filtro hospedado, que permite a las organizaciones protegerse de correo electrónico de software malintencionado
Archivo hospedado, que les permite satisfacer los requisitos de retención
Cifrado hospedado, que les permite cifrar datos y conservar la confidencialidad
Continuidad hospedada, que les permite conservar el acceso al correo electrónico durante y después de situaciones de emergencia

Estos servicios se integran con cualquier servidor de Exchange instalado y administrado localmente o con servicios hospedados de correo electrónico de Exchange ofrecidos a través de los proveedores del servicio. Para obtener más información acerca de los servicios hospedados de Exchange, consulte Microsoft Exchange Hosted Services(en inglés).

Más información sobre el antivirus

Para obtener una nota del producto detallada acerca de la implementación de una solución antivirus de Exchange 2007, visite Microsoft Exchange Server 2007 Transporte perimetral y protección de mensajería.

Forefront Security para Exchange Server ofrece una solución de múltiples motores de análisis antivirus para funciones de servidor de Exchange Transporte y una solución VSAPI para el servidor de buzones de Exchange. Para consultar las recomendaciones para una solución antivirus de un extremo al otro, visite Protección de una organización de Microsoft Exchange con Microsoft Forefront Security for Exchange Server.

Mantenimiento del software al día

Como se ha mencionado en una sección anterior, se recomienda ejecutar Microsoft Update. Además de ejecutar Microsoft Update en todos los servidores, también es muy importante mantener todos los equipos cliente de su organización al día con actualizaciones antivirus.

Además del software Microsoft, asegúrese de que tiene las últimas actualizaciones de todo el software que se ejecuta en su organización.

Bloqueo de clientes heredados de Outlook

En versiones anteriores de Outlook había puntos vulnerables que aumentaban potencialmente la expansión de virus. Se aconseja que sólo permita que Exchange 2007 acepte conexiones MAPI de clientes de Outlook 2007, Outlook 2003 y Outlook 2002. Al restringir las versiones de Outlook de los clientes que se conectan a Exchange, puede reducir considerablemente el riesgo de ataques de virus y otro software malintencionado. Se recomienda reducir y estandarizar las versiones de software que se ejecutan en su organización.

Para obtener más información acerca de cómo eliminar el acceso de cliente de Outlook a Exchange 2007, visite Todas las versiones de Outlook pueden obtener acceso al servidor(en inglés).

Ejecución del filtrado de datos adjuntos

En Exchange 2007, el filtrado de datos adjuntos permite aplicar filtros al nivel del servidor para controlar los datos adjuntos que reciben los usuarios. El filtrado de datos adjuntos es cada vez más importante en los entornos actuales, en los que muchos de estos documentos contienen virus malintencionados o material inadecuado que pueden causar daños importantes en el equipo del usuario o en la organización, provocando daños en documentación importante o haciendo pública información confidencial.

Nota

Como práctica recomendada, no se deben eliminar los datos adjuntos de mensajes de correo electrónico con firma electrónica, cifrados o protegidos por la ley. Si los elimina de este tipo de mensajes, se invalidan los mensajes firmados digitalmente y los mensajes cifrados y protegidos por la ley no se podrán leer.

Tipos de filtrado de datos adjuntos en Exchange 2007

Hay disponibles los siguientes tipos de filtrado de datos adjuntos para controlar los datos adjuntos que entran o salen de la organización:

Filtrado basado en el nombre o la extensión del archivo Se pueden filtrar los datos adjuntos especificando el nombre de archivo exacto o la extensión que se deberá filtrar. Un ejemplo de nombre de archivo exacto es NombredeArchivoMalo.exe. Un ejemplo de extensión del archivo es *.exe.
Filtrado basado en el tipo de contenido MIME del archivo También se pueden filtrar los datos adjuntos especificando el tipo de contenido MIME que se filtrará. Los tipos de contenido MIME indican el tipo de datos adjuntos; si es una imagen JPEG, un archivo ejecutable, un archivo MicrosoftOffice Excel 2003 u otro tipo de archivo. Los tipos de contenido se expresan como type/subtype. Por ejemplo, el tipo de contenido de imagen JPEG se expresa como image/jpeg.

Para ver una lista completa de todas las extensiones de nombre archivo y los tipos de contenido que puede filtrar el sistema de filtrado de datos adjuntos, ejecute el siguiente comando:
```
Get-AttachmentFilterEntry | FL
```
Para ejecutar el cmdlet Get-AttachmentFilterEntry en un equipo que está unido a un dominio, la cuenta que use debe tener delegada la función Administradores con permiso de vista de Exchange.

Para ejecutar el cmdlet Get-AttachmentFilterEntry en un equipo que tiene instalada la función del servidor Transporte perimetral, debe iniciar sesión mediante una cuenta que sea miembro del grupo de administradores locales en dicho equipo.

Para obtener más información acerca de los permisos, la delegación de funciones y los derechos necesarios para administrar Exchange 2007, consulte Consideraciones sobre permisos.

Si los datos adjuntos coinciden con uno de estos criterios de filtrado, se puede configurar una de las siguientes acciones para llevarla a cabo con los datos adjuntos.

Bloquear tanto el mensaje como los datos adjuntos Se puede bloquear la entrada al sistema de datos adjuntos que coincidan con el filtro de datos adjuntos junto a su mensaje de correo electrónico. Si se bloquean los datos adjuntos y el mensaje de correo electrónico, el remitente recibe un mensaje de notificación de estado de entrega (DSN) que especifica que el mensaje contiene un nombre de datos adjuntos inaceptable.
Eliminar datos adjuntos pero dejar pasar el mensaje Se eliminan los datos adjuntos que coinciden con el filtro de datos adjuntos, pero se permite el paso al mensaje de correo electrónico y a cualquier otro tipo de datos adjuntos que no coincida con el filtro. Los datos adjuntos eliminados se reemplazan por un archivo de texto que explica por qué se han eliminado. Esta acción es la configuración predeterminada.
Eliminar en silencio tanto el mensaje como los datos adjuntos Se puede bloquear la entrada al sistema de datos adjuntos que coincidan con el filtro de datos adjuntos junto a su mensaje de correo electrónico. Si se bloquean el mensaje de correo electrónico y los datos adjuntos de esta forma, ni el remitente ni el destinatario reciben una notificación.

Advertencia

No se pueden recuperar los mensajes de correo electrónico ni los datos adjuntos que se hayan bloqueado o eliminado. Cuando se configuran filtros de datos adjuntos, asegúrese de que examina atentamente todas las posibles coincidencias de nombre de archivo y comprueba que los datos adjuntos legítimos no se verán afectados por el filtro.

Para obtener más información, consulte Cómo configurar el filtrado de datos adjuntos.

Filtrado de archivos con Forefront Security para Exchange Server

La funcionalidad de filtrado de archivos proporcionada con Forefront Security para Exchange Server incluye características avanzadas no disponibles en el agente de filtro de datos adjuntos predeterminado incluido en Exchange Server 2007 Standard Edition.

Por ejemplo, los archivos contenedores, que son archivos que contienen otros archivos, se pueden examinar en busca de tipos de archivos infractores. El filtrado de Forefront Security para Exchange Server puede detectar los siguientes archivos contenedores y actuar en los archivos incrustados:

PKZip (.zip)
GNU Zip (.gzip)
Archivos ZIP autoextraíbles
Archivos Zip (.zip)
Archivos Java (.jar)
TNEF (winmail.dat)
Almacenamiento estructurado (.doc, .xls, .ppt, y más)
MIME (.eml)
SMIME (.eml)
UUEncode (.uue)
Archivo de cinta Unix (.tar)
Archivo RAR (.rar)
MACBinary (.bin)

Nota

El agente de filtro de datos adjuntos que se incluye con Exchange 2007 Standard Edition detecta los tipos de archivos, incluso si se les ha cambiado el nombre. El filtrado de datos adjuntos comprueba además que los archivos Zip y LZH comprimidos no contengan datos adjuntos bloqueados mediante una comparación de las extensiones de nombre de archivo con los archivos del archivo Zip o LZH comprimido. El filtrado de archivos de Forefront Security para Exchange Server tiene además la capacidad de determinar si se ha cambiado el nombre de los datos adjuntos bloqueados en un archivo contenedor.

Además, puede filtrar los archivos por tamaño. Asimismo, puede configurar Forefront Security para Exchange Server poner en cuarentena los archivos filtrados o enviar notificaciones de correo electrónico basadas en las coincidencias del filtro de archivo.

Para obtener más información, visite Proteger su organización Microsoft Exchange con Microsoft Forefront Security para Exchange Server.

Exigencia de contraseñas seguras en su organización

La mayoría de los usuarios inician sesión en su equipo local o remoto escribiendo una combinación de su nombre de usuario y una contraseña. Aunque las tecnologías alternativas para autenticación, como la biometría, tarjetas inteligentes o contraseñas de una vez, están disponibles para todos los sistemas operativos conocidos, la mayoría de organizaciones todavía dependen de contraseñas tradicionales y seguirán haciéndolo durante los próximos años. Por lo tanto, es muy importante que las organizaciones definan y apliquen directivas para contraseñas en sus equipos. Esto incluye la exigencia del uso de contraseñas seguras. Las contraseñas seguras cumplen con varios requisitos de complejidad para que sean más difíciles de descifrar por un atacante. Entre estos requisitos están los de longitud de contraseña y los de categorías de caracteres. Al establecer directivas de contraseña segura en su organización, podrá impedir que un atacante usurpe la identidad del usuario y de este modo evitará la pérdida, exposición y daño de información confidencial.

Para obtener más información, consulte Exigencia de contraseñas seguras en toda su organización.

Separación de nombres de usuario de Windows y direcciones SMTP

De manera predeterminada, al crear un buzón para un usuario, la dirección SMTP resultante es username@contoso.com, de la cual username es el nombre de cuenta de usuario de Windows.

Se recomienda crear una nueva dirección SMTP para los usuarios y de este modo hacer los nombres de usuario de Windows más difíciles para usuarios malintencionados.

Por ejemplo, el usuario Kweku Ako-Adjei, con el nombre de usuario de Windows KwekuA. Para hacer el nombre de usuario de Windows más difícil, el administrador puede crear una dirección SMTP de Kweku.Ako-Adjei@contoso.com.

El uso de una dirección SMTP distinta no se considera una medida de seguridad muy fuerte. Sin embargo, sí que crea un obstáculo para aquellos usuarios malintencionados que intenten atacar su organización utilizando un nombre de usuario conocido.

Para obtener más información acerca de cómo agregar direcciones SMTP para usuarios existentes, visite Cómo crear una directiva de direcciones de correo electrónico.

Administración de la seguridad del acceso de cliente

El servidor de acceso de cliente proporciona acceso a Microsoft Outlook Web Access, Microsoft Exchange ActiveSync, Outlook en cualquier lugar, Protocolo de oficina de correos, versión 3 (POP3) y Protocolo de acceso a mensajes de Internet, versión 4 rev1 (IMAP4). Además, es compatible con el servicio de detección automática y el servicio de disponibilidad. Cada uno de estos protocolos y servicios tiene necesidades de seguridad únicas.

Administración de la autenticación

Una de las tareas de seguridad más importante que puede llevar a cabo para la función del servidor Acceso de cliente es la configuración de un método de autenticación. La función del servidor Acceso de cliente se instala con un certificado digital autofirmado predeterminado. Un certificado digital realiza dos tareas:

Autentica que su poseedor es quien dice ser.
Protege los datos intercambiados en línea contra robos o alteraciones.

Aunque el certificado predeterminado autofirmado es compatible con Exchange ActiveSync y Outlook Web Access, no es el método más seguro de autenticación. Además, no es compatible con Outlook en cualquier lugar. Para obtener seguridad adicional, tenga en cuenta la configuración del servidor de acceso de cliente de Exchange 2007 para que use un certificado de confianza tanto de una entidad de certificación (CA) de terceros o una CA de infraestructura de claves públicas (PKI) de confianza de Windows. Puede configurar por separado las autenticaciones para Exchange ActiveSync, Outlook Web Access, Outlook en cualquier lugar, POP3 e IMAP4.

Para obtener más información acerca de cómo configurar la autenticación, consulte los siguientes temas:

Mejorar las comunicaciones seguras entre el servidor de acceso de cliente y otros servidores

Después de optimizar la seguridad de sus comunicaciones entre los clientes y el servidor de Exchange 2007, debe optimizar la seguridad de las comunicaciones entre el servidor de Exchange 2007 y los demás servidores de la organización. De manera predeterminada, la comunicación por HTTP, Exchange ActiveSync, POP3 e IMAP4 entre el servidor de acceso de cliente y otros servidores, tales como los servidores de Exchange 2007 que tengan instalada la función del servidor Buzón de correo, controladores de dominio y servidores de catálogo global, está cifrada.

Para obtener más información acerca de cómo administrar la seguridad de los distintos componentes de su servidor de acceso de cliente, consulte los siguientes temas:

Contenido de esta guía

Comprensión de la seguridad de dominio

Exchange 2007 incluye una nueva característica llamada "Seguridad de dominio." La seguridad de dominio hace referencia al conjunto de funciones de Exchange 2007 y Outlook 2007 que proporciona una alternativa económica a S/MIME u otras soluciones de seguridad a nivel de mensajes. La finalidad del conjunto de funciones de seguridad de dominio es proporcionar a los administradores un método para administrar rutas de mensajes seguras en Internet con los socios empresariales. Una vez configuradas estas rutas de mensajes protegidas, los mensajes que han viajado correctamente a través de la ruta protegida desde un remitente autenticado se muestran a los usuarios en "Dominio protegido" en la interfaz de Outlook y Outlook Web Access.

La seguridad de dominio utiliza Seguridad de nivel de transporte (TLS) con autenticación mutua para proporcionar autenticación y cifrado basados en la sesión. La TLS con autenticación mutua difiere de la TLS en que se implementa por regla general. Normalmente, al implementar la TLS, el cliente comprueba si la conexión se establece de forma segura con el servidor en cuestión mediante la validación del certificado del servidor. Este certificado se recibe como parte de la negociación de la TLS. En este escenario, el cliente autentica el servidor antes de que el cliente transmita los datos. No obstante, el servidor no autentica la sesión con el cliente.

Con la autenticación de TLS mutua, cada servidor comprueba la conexión con el otro servidor mediante la validación de un certificado proporcionado por el otro servidor. En este escenario, donde los mensajes se reciben de dominios externos mediante conexiones comprobadas en un entorno de Exchange 2007, Outlook 2007 muestra el icono "Dominio seguro".

Para obtener más información acerca de cómo programar e implementar Seguridad de dominio en su organización, visite White Paper: Seguridad de dominio en Exchange 2007.

Contenido de esta guía

Protección de las rutas de acceso de Exchange

De manera predeterminada, casi todas las rutas de acceso utilizadas por Exchange 2007 están protegidas. En esta sección se proporcionan detalles sobre puertos, autenticación y cifrado para todas las rutas de datos utilizadas por Exchange 2007. La sección Notas que sigue a cada tabla aclara o define la autenticación no estándar o los métodos de cifrado.

Servidores de transporte

La tabla siguiente ofrece información sobre puertos, autenticación y cifrado para rutas de datos entre servidores de transporte de concentradores y de transporte perimetral, así como para y desde otros servidores y servicios de Exchange 2007.

Rutas de datos de servidores de transporte

Ruta de datos	Puertos necesarios	Autenticación predeterminada	Autenticación admitida	¿Se admite el cifrado?	¿Se cifra de forma predeterminada?
De servidor de transporte perimetral a servidor de transporte perimetral	25/TCP (Nivel de sockets seguros [SSL]), 587/TCP (SSL)	Kerberos	Kerberos	Sí (TLS)	Sí
De servidor de transporte perimetral a servidor de transporte perimetral	25/TCP (SSL)	Confianza directa	Confianza directa	Sí (TLS)	Sí
De servidor de transporte perimetral a servidor de transporte perimetral	25/TCP (SSL)	Confianza directa	Confianza directa	Sí (TLS)	Sí
De servidor de transporte perimetral a servidor de transporte perimetral	25/TCP (SSL), 389/TCP/UDP y 80/TCP (autenticación de certificados)	Anónimo, Certificado	Anónimo, Certificado	Sí (TLS)	No
De servidor de buzones a servidor de transporte perimetral a través del servicio de entrega de correo de Microsoft Exchange	135/TCP (RPC)	NTLM. Si realiza la conexión con una cuenta de servicios (local), se utiliza Kerberos.	NTLM/Kerberos	Sí (cifrado RPC)	Sí
De transporte de concentradores a servidor de buzones a través de MAPI	135/TCP (RPC)	NTLM. Si realiza la conexión con una cuenta de servicios (local), se utiliza Kerberos.	NTLM/Kerberos	Sí (cifrado RPC)	Sí
Servicio EdgeSync de Microsoft Exchange	50636/TCP (SSL), 50389/TCP (No SSL)	Básico	Básico	Sí (LDAPS)	Sí
Servicio de directorios de Active Directory Application Mode (ADAM) en un servidor de transporte perimetral	50389/TCP (No SSL)	NTLM/Kerberos	NTLM/Kerberos	No	No
Acceso de servicio de directorio de Active Directory desde un servidor de transporte perimetral	389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC netlogon)	Kerberos	Kerberos	Sí (cifrado Kerberos)	Sí

Notas sobre servidores de transporte

Todo el tráfico entre los servidores de transporte perimetral está cifrado mediante TLS con certificados autofirmados que se instalan de forma predeterminada en la instalación de Exchange 2007.

Todo el tráfico entre servidores de transporte perimetral y servidores de transporte perimetral está autenticado y cifrado. El mecanismo subyacente de autenticación y cifrado es TLS mutuo. En lugar de usar la validación X.509, Exchange 2007 utiliza la confianza directa para autenticar los certificados. Confianza directa significa que el certificado queda validado por su presencia en Active Directory o en el ADAM. Active Directory se considera un mecanismo de almacenamiento de confianza. Si se usa la confianza directa, da igual que el certificado tenga una firma personal o esté firmado por una entidad de certificación. Al suscribir un servidor Transporte perimetral a la organización de Exchange, la suscripción perimetral publica el certificado del servidor de transporte perimetral en Active Directory para que se validen los servidores de transporte perimetral. El servicio Microsoft Exchange Edgesync actualiza ADAM con el conjunto de certificados de servidor de transporte perimetral para que se valide el servidor de transporte perimetral.

De forma predeterminada, el tráfico entre los servidores de transporte perimetral en distintas organizaciones está cifrado. La instalación de Exchange 2007 crea un certificado autofirmado y se activa la TLS de forma predeterminada. Esto permite a cualquier sistema de envío cifrar la sesión SMTP entrante para Microsoft Exchange. También de forma predeterminada, Exchange 2007 intenta una TLS para todas las conexiones remotas.

Los métodos de autenticación para el tráfico entre servidores de transporte perimetral y servidores de buzones difiere cuando las funciones del servidor Transporte de concentradores y las funciones del servidor Buzón de correo están ubicados en el mismo equipo. Cuando la entrega de correo es local, se usa la autenticación Kerberos. Cuando la entrega de correo es remota, se usa la autenticación NTLM.

Exchange 2007 admite también la seguridad de dominio. La seguridad de dominio se refiere al conjunto de funcionalidad de Exchange 2007 y Outlook 2007 que proporciona una alternativa económica a S/MIME u otras soluciones de seguridad a nivel de mensajes en Internet. El objetivo del conjunto de características de seguridad de dominio es proporcionar a los administradores una manera de administrar rutas de mensajes protegidas entre dominios en Internet. Una vez configuradas estas rutas de mensajes protegidas, los mensajes que han viajado correctamente a través de la ruta protegida desde un remitente autenticado se muestran a los usuarios en "Dominio protegido" en la interfaz de Outlook y Outlook Web Access. Para obtener más información, consulte Planear la seguridad de dominio.

Muchos agentes pueden ejecutarse en los servidores de transporte perimetral y los servidores de transporte perimetral. Normalmente, los agentes contra correo electrónico no deseado confían en la información local del equipo en el que se ejecutan los agentes. Por lo tanto, se requiere muy poca comunicación con los equipos remotos. La excepción es el filtrado de destinatarios. Para ello es necesario llamar al ADAM o a Active Directory. Se recomienda ejecutar el filtrado de destinatarios en el servidor de transporte perimetral. En este caso, el directorio ADAM está en el mismo equipo que el servidor de transporte perimetral y no se requiere una comunicación remota. Una vez que se ha instalado y configurado el filtrado de destinatarios en el servidor de transporte perimetral, el filtrado de destinatarios obtiene acceso a Active Directory.

La función de reputación del remitente de Exchange 2007 utiliza el agente de análisis de protocolo. Este agente realiza también varias conexiones a servidores proxy externos para determinar las rutas de mensajes entrantes para conexiones sospechosas.

Todas las demás funciones contra correo electrónico no deseado utilizan datos recopilados, almacenados y a los que se obtiene acceso sólo en el equipo local. Con frecuencia, los datos, tales como la adición de listas seguras o los datos de remitentes para el filtrado de remitentes, se trasladan al directorio de ADAM local mediante el servicio Microsoft Exchange EdgeSync.

El registro en diario y la clasificación de mensajes se ejecutan en servidores de transporte perimetral y recurren a datos de Active Directory para funcionar.

Servidores de buzones

En el contexto de la función del servidor Buzón de correo, tanto si la autenticación es NTLM como Kerberos, recurre al contexto del usuario o proceso en el que se está ejecutando el cliente de nivel empresarial lógico de Exchange. En este contexto, el cliente es cualquier aplicación o proceso que utiliza el nivel empresarial lógico de Exchange. En muchas de las celdas de "Autenticación predeterminada" de la tabla "Rutas de datos de servidores de buzones" de esta sección, la autenticación se indica como "NTLM/Kerberos."

El nivel empresarial lógico de Exchange se utiliza para obtener acceso a y comunicarse con el almacén de Exchange. El nivel empresarial lógico de Exchange también se conoce desde el almacén de Exchange para comunicarse con aplicaciones y procesos externos.

Si el cliente del nivel empresarial lógico de Exchange se está ejecutando como sistema local, el método de autenticación siempre es Kerberos desde el cliente hasta el almacén de Exchange. Se utiliza Kerberos porque el cliente debe estar autenticado utilizando la cuenta de equipo Sistema local y debe existir una confianza autenticada bidireccional.

Si el cliente del nivel empresarial lógico de Exchange no se está ejecutando como sistema local, el método de autenticación es NTLM. Por ejemplo, cuando un administrador ejecuta un cmdlet del Shell de administración de Exchange que utiliza el nivel empresarial lógica de Exchange, se utiliza NTLM.

El tráfico RPC siempre está cifrado.

La tabla siguiente ofrece información sobre puertos, autenticación y cifrado para rutas de datos, así como para y desde servidores de buzones.

Rutas de datos de servidores de buzones

Ruta de datos	Puertos necesarios	Autenticación predeterminada	Autenticación admitida	¿Se admite el cifrado?	¿Se cifra de forma predeterminada?
Transporte de registros (replicación continua local y replicación continua en clúster)	445/puerto aleatorio (inicialización)	NTLM/Kerberos	NTLM/Kerberos	Sí (IPsec)	No
Copia de seguridad de servicio de instantáneas de volumen (VSS)	Bloqueo de mensajes local (SMB)l	NTLM/Kerberos	NTLM/Kerberos	No	No
Copia de seguridad/inicialización heredada	Puerto aleatorio	NTLM/Kerberos	NTLM/Kerberos	Sí (IPsec)	No
Organización por clústeres	135 /TCP (RPC) Consulte "Notas sobre servidores de buzones" después de esta tabla.	NTLM/Kerberos	NTLM/Kerberos	Sí (IPsec)	No
Acceso MAPI	135/TCP (RPC)	NTLM/Kerberos	NTLM/Kerberos	Sí (cifrado RPC)	Sí
Asistentes de buzones	135/TCP (RPC)	NTLM/Kerberos	NTLM/Kerberos	No	No
Servicio de Web de disponibilidad (Acceso de cliente a buzón)	135/TCP (RPC)	NTLM/Kerberos	NTLM/Kerberos	Sí (cifrado RPC)	Sí
Acceso de Active Directory	389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC netlogon)	Kerberos	Kerberos	Sí (cifrado Kerberos)	Sí
Indización de contenido	135/TCP (RPC)	NTLM/Kerberos	NTLM/Kerberos	Sí (cifrado RPC)	Sí
Acceso remoto de administrador (Registro remoto)	135/TCP (RPC)	NTLM/Kerberos	NTLM/Kerberos	Sí (IPsec)	No
Acceso remoto de administrador (SMB/archivo)	445/TCP (SMB)	NTLM/Kerberos	NTLM/Kerberos	Sí (IPsec)	No
Acceso de servicio de actualización de destinatarios RPC	135/TCP (RPC)	Kerberos	Kerberos	Sí (cifrado RPC)	Sí
Servicio de topología de Microsoft Exchange Active Directory	135/TCP (RPC)	NTLM/Kerberos	NTLM/Kerberos	Sí (cifrado RPC)	Sí
Acceso heredado de servicio Operador del sistema de Microsoft Exchange (escuchar las convocatorias)	135/TCP (RPC)	NTLM/Kerberos	NTLM/Kerberos	No	No
Acceso heredado de servicio Operador del sistema de Microsoft Exchange para Active Directory	389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC netlogon)	Kerberos	Kerberos	Sí (cifrado Kerberos)	Sí
Acceso heredado de servicio Operador del sistema de Microsoft Exchange (como cliente MAPI)	135/TCP (RPC)	NTLM/Kerberos	NTLM/Kerberos	Sí (cifrado RPC)	Sí
Active Directory de acceso a la libreta de direcciones sin conexión (OAB)	135/TCP (RPC)	Kerberos	Kerberos	Sí (cifrado RPC)	Sí
Actualización de destinatarios para Active Directory	389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC netlogon)	Kerberos	Kerberos	Sí (cifrado Kerberos)	Sí
DSAccess a Active Directory	389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC netlogon)	Kerberos	Kerberos	Sí (cifrado Kerberos)	Sí
Outlook que obtiene acceso a la libreta de direcciones sin conexión (OAB)	80/TCP, 443/TCP (SSL)	NTLM/Kerberos	NTLM/Kerberos	Sí (HTTPS)	No
WebDav	80/TCP, 443/TCP (SSL)	Básico, NTLM, Negociar	Básico, NTLM, Negociar	Sí (HTTPS)	Sí

Notas sobre servidores de buzones

Para la autenticación HTTP en la que se indica "Negociar", en primer lugar se intenta Kerberos y, a continuación, NTLM.

Para comunicaciones entre nodos, los nodos en clúster se comunican a través de Protocolo de datagramas de usuario (UDP) puerto 3343. Cada nodo del clúster cambia periódicamente los datagramas UDP de unidifusión secuenciados con todos los demás nodos del clúster. El propósito de este cambio es determinar si todos los nodos se están ejecutando correctamente y supervisar el estado de los vínculos de red.

Aunque las aplicaciones o los clientes WebDav pueden conectarse al servidor de buzones mediante 80/TCP o 443/TCP, en la mayoría de los casos la aplicación o clientes se conectan al servidor de acceso de cliente. A continuación, el servidor de acceso de cliente se conecta al servidor de buzones a través de 80/TCP o 443/TCP.

La ruta de datos en clúster mostrada en la tabla "Rutas de datos de servidores de buzones" de esta sección utiliza RPC dinámico (TCP) para comunicar el estado y la activa del clúster entre los diferentes nodos de clúster. El Servicio de clúster (ClusSvc.exe) usa también UDP/3343 y puertos TCP superiores asignados aleatoriamente para comunicarse entre nodos de clústeres.

Servidor de acceso de cliente

A no ser que se indique, las tecnologías de acceso de cliente, tales como Office Outlook Web Access, POP3 o IMAP4, se describen mediante la autenticación y cifrado desde la aplicación cliente al servidor de acceso de cliente.

La tabla siguiente ofrece información sobre el puerto, la autenticación y el cifrado para rutas de datos entre servidores de acceso de cliente y otros servidores y clientes.

Rutas de datos del servidor de acceso de cliente

Ruta de datos	Puertos necesarios	Autenticación predeterminada	Autenticación admitida	¿Se admite el cifrado?	¿Se cifra de forma predeterminada?
servicio Detección automática	80/TCP, 443/TCP (SSL)	Autenticación de Windows integrada/básica (Negociar)	Básico, Digest, NTLM, Negociar (Kerberos)	Sí (HTTPS)	Sí
Servicio Disponibilidad	80/TCP, 443/TCP (SSL)	NTLM/Kerberos	NTLM, Kerberos	Sí (HTTPS)	Sí
Outlook Web Access	80/TCP, 443/TCP (SSL)	Autenticación basada en formularios	Básico, Digest, Autenticación basada en formularios, NTLM (sólo v2), Kerberos, Certificar	Sí (HTTPS)	Sí, utilizando certificado autofirmado
POP3	110/TCP (TLS), 995/TCP (SSL)	Básico, NTLM, Kerberos	Básico, NTLM, Kerberos	Sí (SSL, TLS)	Sí
IMAP4	143/TCP (TLS), 993/TCP (SSL)	Básico, NTLM, Kerberos	Básico, NTLM, Kerberos	Sí (SSL, TLS)	Sí
Outlook en cualquier lugar (conocido anteriormente como RPC sobre HTTP )	80/TCP, 443/TCP (SSL)	Básico	Básico o NTLM	Sí (HTTPS)	Sí
Aplicación de Exchange ActiveSync	80/TCP, 443/TCP (SSL)	Básico	Básico, Certificar	Sí (HTTPS)	Sí
De servidor de acceso de cliente a servidor de mensajería unificada	5060/TCP, 5061/TCP, 5062/TCP, un puerto dinámico	Mediante dirección IP	Mediante dirección IP	Sí (Protocolo de inicio de sesión [SIP] sobre TLS)	Sí
De servidor de acceso de cliente a un servidor de buzones que ejecute una versión anterior de Exchange Server	80/TCP, 443/TCP (SSL)	NTLM/Kerberos	Negociar (Kerberos con retroceso a NTLM o Básico opcionalmente,) POP/IMAP texto sin formato	Sí (IPsec)	No
De servidor de acceso de cliente a servidor de buzones de Exchange 2007	RPC. Consulte "Notas sobre servidores de acceso de cliente" después de esta tabla.	Kerberos	NTLM/Kerberos	Sí (cifrado RPC)	Sí
De servidor de acceso de cliente a servidor de acceso de cliente (Exchange ActiveSync)	80/TCP, 443/TCP (SSL)	Kerberos	Kerberos, Certificar	Sí (HTTPS)	Sí, utilizando certificado autofirmado
De servidor de acceso de cliente a servidor de acceso de cliente (Outlook Web Access)	80/TCP, 443/TCP (SSL)	Kerberos	Kerberos	Sí (HTTPS)	Sí
WebDAV	80/TCP, 443/TCP (SSL)	HTTP Básico o autenticación basada en formularios de Outlook Web Access	Básico, autenticación basada en formularios de Outlook Web Access	Sí (HTTPS)	Sí

Notas sobre servidores de acceso de cliente

El servidor de acceso de cliente se comunica con el servidor de buzones a través de muchos puertos. Con algunas excepciones, estos puertos se determinan mediante el servicio RPC y no son fijos.

Para la autenticación HTTP en la que se indica "Negociar", en primer lugar se intenta Kerberos y, a continuación, se intenta NTLM.

Cuando un servidor de acceso de cliente de Exchange 2007 se comunica con un servidor de buzones que está ejecutando Exchange Server 2003, se aconseja usar Kerberos y deshabilitar la autenticación NTLM y la autenticación básica. Asimismo, se recomienda configurar Outlook Web Access para usar autenticaciones basadas en formularios con un certificado de confianza. Para que los clientes de Exchange ActiveSync se comuniquen a través del servidor de acceso de cliente de Exchange 2007 con el servidor back-end de Exchange 2003, la autenticación de Windows integrada tiene que estar habilitada en el directorio virtual Microsoft-Server-ActiveSync en el servidor back-end de Exchange 2003. Para usar el Administrador del sistema de Exchange en el servidor Exchange 2003 para administrar una autenticación en el directorio virtual de Exchange 2003, descargue e instale la revisión a la que se hace referencia en el artículo 937301 de Microsoft Knowledge Base, El id. de evento 1036 ha iniciado sesión en un servidor Exchange 2007 con función CAS cuando los dispositivos móviles se conectan al servidor Exchange 2007 para obtener acceso a buzones de un servidor back-end de Exchange 2003.

Para obtener más información, consulte Administración de la seguridad del acceso de cliente.

Servidor de mensajería unificada

Las puertas de enlace IP sólo admiten la autenticación basada en certificados que utilice autenticación basada en IP y autenticación TLS mutua para conexiones del Protocolo de inicio de sesión (SIP)/TCP. Las puertas de enlace IP no admiten la autenticación NTLM ni Kerberos. Por lo tanto, cuando utilice una autenticación basada en IP, se utiliza la dirección o direcciones IP de conexión para ofrecer un mecanismo de autenticación para conexiones (TCP) no cifradas. Cuando se utiliza una autenticación basada en IP en mensajería unificada, el servidor de mensajería unificada comprueba que la dirección IP tiene permiso para conectarse. La dirección IP se configura en la puerta de enlace IP o en la IP PBX.

La tabla siguiente ofrece información sobre el puerto, la autenticación y el cifrado para rutas de datos entre servidores de mensajería unificada y otros servidores.

Rutas de datos de los servidores de mensajería unificada

Ruta de datos	Puertos necesarios	Autenticación predeterminada	Autenticación admitida	¿Se admite el cifrado?	¿Se cifra de forma predeterminada?
Fax de mensajería unificada	5060/TCP, 5061/TCP, 5062/TCP, un puerto dinámico	Mediante dirección IP	Mediante dirección IP	SIP sobre TLS, pero el medio no está cifrado	Sí para SIP
Interacción de teléfono de mensajería unificada (PBX)	5060/TCP, 5061/TCP, 5062/TCP, un puerto dinámico	Mediante dirección IP	Mediante dirección IP	SIP sobre TLS, pero el medio no está cifrado	Sí para SIP
Servicio Web de mensajería unificada	80/TCP, 443/TCP (SSL)	Autenticación de Windows integrada (Negociar)	Básico, Digest, NTLM, Negociar (Kerberos)	Sí (SSL)	Sí
De mensajería unificada a Transporte de concentradores	25/TCP (SSL)	Kerberos	Kerberos	Sí (TLS)	Sí
De servidor de mensajería unificada a servidor de buzones	135/TCP (RPC)	NTLM/Kerberos	NTLM/Kerberos	Sí (cifrado RPC)	Sí

Notas sobre servidores de mensajería unificada

Cuando se cree un objeto de puerta de enlace IP de mensajería unificada (UM) en Active Directory, debe definirse la dirección IP de la puerta de enlace IP física o IP PBX (central de conmutación). Cuando defina la dirección IP en el objeto de puerta de enlace IP de mensajería unificada, la dirección IP se agrega a una lista de puertas de enlace IP válidas con las que puede comunicarse el servidor de mensajería unificada. Cuando se crea la puerta de enlace IP de mensajería unificada, ésta se asocia con un plan de marcado de mensajería unificada. La asociación de la puerta de enlace IP de mensajería unificada con un plan de marcado permite a los servidores de mensajería unificada asociados con el plan de marcado usar la autenticación basada en IP para comunicarse con la puerta de enlace IP. Si la puerta de enlace IP de mensajería unificada no se ha creado o si no está configurada para usar la dirección IP correcta, no produce un error de autenticación y los servidores de mensajería unificada no aceptan conexiones desde esa dirección IP de puerta de enlace IP.

En la versión de fabricación (RTM) de Exchange 2007, un servidor de mensajería unificada puede comunicarse por el puerto /TCP, que no está protegido, o por el puerto 5061/TCP, que está protegido, pero no por los dos. Con el Service Pack 1 (SP1) de Exchange 2007, un servidor de mensajería unificada escucha en los puertos 5060/TCP y 5061/TCP a la vez.

Para obtener más información, consulte Descripción de la seguridad de la mensajería unificada VoIP y Descripción de protocolos, puertos y servicios de mensajería unificada.

Contenido de esta guía

Uso del Asistente para configuración de seguridad para asegurar Windows para las funciones de servidor de Exchange

Esta sección explica cómo usar el Asistente para configuración de seguridad (SCW) para minimizar el alcance de un ataque a servidores deshabilitando la funcionalidad de Windows que no se necesita para las funciones de servidor de Exchange 2007.

Utilización del Asistente para configuración de seguridad

Exchange 2007 proporciona una plantilla del asistente de configuración de seguridad (SCW) para cada función de servidor de Exchange 2007. Al usar esta plantilla con SCW, puede configurar el sistema operativo de Windows para bloquear servicios y puertos que no sean necesarios para cada función del servidor de Exchange. Cuando ejecuta SCW, crea una directiva de seguridad personalizada para su entorno. Puede aplicar la directiva personalizada a todos los servidores de Exchange de la organización. Puede configurar la siguiente funcionalidad utilizando SCW:

Función del servidor SCW usa la información de la función del servidor para habilitar servicios y abrir puertos en el firewall local.
Características de cliente Los servidores también actúan como clientes para otros servidores. Seleccione sólo las características de cliente que se requieren para su entorno.
Opciones de administración Seleccione las opciones que se requieren para su entorno, como copia de seguridad y elaboración de informes de error.
Servicios Seleccione los servicios que se requieren en el servidor y establezca el modo de inicio en aquellos servicios que no están especificados por la directiva. Los servicios no especificados no se instalan en el servidor seleccionado y no se listan en la base de datos de configuración de seguridad. La directiva de seguridad que configure se puede aplicar a los servidores que están ejecutando servicios distintos al servidor donde se ha creado la directiva. Puede seleccionar la configuración de la directiva que determina la acción que se va a realizar cuando se encuentra un servicio no específico en un servidor al que se aplica esta directiva. La acción se puede establecer para no cambiar el modo de inicio del servicio o para deshabilitar el servicio.
Seguridad de red Seleccione los puertos que se van a abrir en cada interfaz de red. El acceso a los puertos se pueden restringir en función de la interfaz de red local o de las direcciones o subredes IP remotas.
Configuración del Registro Use la configuración del Registro para configurar los protocolos que se usan para comunicarse con otros equipos.
Directiva de auditoría La directiva de auditoría determina los eventos correctos y erróneos que se registran y los objetos del sistema de archivos que se auditan.

Utilización de la plantilla SCW de Exchange Server 2007

Después de instalar la función del servidor de Exchange, siga estos pasos para configurar una directiva de seguridad mediante SCW:

Instale el SCW.
Registre la extensión de SCW.
Cree una directiva de seguridad personalizada y aplique la directiva al servidor local.
Si tiene varios servidores de Exchange en su organización ejecutando una determinada función, puede aplicar la directiva de seguridad personalizada a cada servidor de Exchange.

Las secciones siguientes ofrecen procedimientos para cada uno de los pasos anteriores.

Para llevar a cabo los siguientes procedimientos, la cuenta que utilice debe delegar lo siguiente:

Función Administrador de Exchange Server y grupo Administradores local para el servidor de destino

Para ejecutar los siguientes procedimientos en un equipo que tiene instalada la función del servidor Transporte perimetral, debe iniciar sesión mediante una cuenta que sea miembro del grupo local de administradores en dicho equipo.

Para obtener más información acerca de los permisos, la delegación de funciones y los derechos necesarios para administrar Exchange 2007, consulte Consideraciones sobre permisos.

Instalación del Asistente para configuración de seguridad

Debe llevar a cabo este procedimiento en cada servidor de Exchange 2007 al que desee aplicar una directiva de seguridad del Asistente para configuración de seguridad mediante el uso de dicho Asistente.

Cómo instalar el Asistente para configuración de seguridad

En el Panel de control, haga clic en Agregar o quitar programas.
Haga clic en Agregar/quitar componentes de Windows para iniciar el Asistente de componentes de Windows.
En el cuadro de diálogo Componentes de Windows, active la casillaAsistente de configuración de seguridad y, a continuación, haga clic en Siguiente.
Espere a que la instalación se complete y, a continuación, haga clic en Finalizar.

Para abrir el Asistente para configuración de seguridad tras realizar este procedimiento, haga clic en Inicio, seleccione Todos los programas, seleccione Herramientas administrativas y, a continuación, haga clic en Asistente para configuración de seguridad.

Registro de las extensiones de funciones de Exchange Server

Las extensiones de funciones de Exchange Server permiten usar el asistente para configuración de seguridad (SCW) para crear una directiva de seguridad que sea específica de la funcionalidad que requiera cada función del servidor de Microsoft Exchange. Las extensiones se proporcionan con Exchange 2007 y se deben registrar antes de que se pueda crear una directiva de seguridad personalizada.

Debe realizar el procedimiento de registro en cada servidor de Exchange 2007 en el que quiera aplicar una directiva de seguridad de SCW. Se necesitan dos archivos de extensión para las distintas funciones de servidor de Exchange 2007. Para las funciones de servidor Buzón de correo, Transporte de concentradores, Mensajería unificada y Acceso de cliente, registre el archivo de extensión Exchange2007.xml. Para la función del servidor Transporte perimetral, registre el archivo de extensión Exchange2007Edge.xml.

Nota

Los archivos de extensión SCW de Exchange 2007 se encuentran en el directorio %Exchange%\Scripts. El directorio de instalación predeterminado de Exchange es Archivos de programa\Microsoft\Exchange Server. La ubicación de este directorio puede variar si ha seleccionado una ubicación de directorio personalizada durante la instalación del servidor.

Importante

Si ha instalado Exchange 2007 en un directorio de instalación personalizado, el registro de SCW sigue funcionando. Sin embargo, para habilitar SCW, debe aplicar soluciones manuales para reconocer el directorio de instalación personalizado. Para obtener más información, consulte el artículo 896742 de Microsoft Knowledge Base, Después de ejecutar el Asistente para configuración de seguridad en SP1 de Windows Server 2003, los usuarios de Outlook pueden no ser capaces de conectarse a sus cuentas.

Para registrar la extensión del Asistente para configuración de seguridad en un PC que ejecute las funciones del servidor Buzón de correo, Transporte de concentradores, Mensajería unificada o Acceso de cliente

Abra una ventana del símbolo del sistema. Escriba el siguiente comando para usar la herramienta de línea de comando SCW para registrar la extensión de Exchange 2007 con la base de datos de configuración de seguridad local:
```
scwcmd register /kbname:Ex2007KB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007.xml"
```
Para comprobar que el comando se ha completado correctamente, puede ver el archivo SCWRegistrar_log.xml que se encuentra en el directorio %windir%\security\msscw\logs.

Para registrar la extensión del Asistente para configuración de seguridad en un PC que ejecute la función del servidor Transporte perimetral

Abra una ventana del símbolo del sistema. Escriba el siguiente comando para usar la herramienta de línea de comando SCW para registrar la extensión de Exchange 2007 con la base de datos de configuración de seguridad local:
```
scwcmd register /kbname:Ex2007EdgeKB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\ Exchange2007Edge.xml"
```
Para comprobar que el comando se ha completado correctamente, puede ver el archivo SCWRegistrar_log.xml que se encuentra en el directorio %windir%\security\msscw\logs.

Crear una nueva directiva de SCW para las funciones de servidor de Exchange

Use este procedimiento para crear una directiva de seguridad personalizada para un entorno específico. Una vez creada una directiva personalizada, puede usar esa directiva para aplicar el mismo nivel de seguridad a cada servidor de Exchange 2007 que ejecute las mismas funciones de servidor en su organización.

Nota

Algunos de los pasos enumerados en el siguiente procedimiento no proporcionan detalles específicos de configuración para todas las páginas del Asistente para configuración de seguridad. En estos casos, se recomienda mantener las selecciones predeterminadas si no está seguro de los servicios o características que debe habilitar. Al igual que ocurre con el resto de contenido del archivo de ayuda de Exchange 2007, la información más actualizada acerca de cómo usar el Asistente para configuración de seguridad con Exchange 2007 se puede encontrar en Exchange Server TechCenter (en inglés).

Para usar el asistente de configuración de seguridad con el objeto de crear una directiva de seguridad personalizada

Haga clic en Inicio, seleccione Todos los programas, seleccione Herramientas administrativas y, a continuación, haga clic en Asistente de configuración de seguridad para iniciar la herramienta. Haga clic en Siguiente en la pantalla de bienvenida.
En la página Acción de configuración, seleccione Crear una nueva directiva de seguridad y, a continuación, haga clic en Siguiente.
En la página Seleccione el servidor, compruebe que el nombre correcto del servidor aparece en el campo Servidor (utilice el nombre DNS, el nombre NetBIOS o la dirección IP): . Haga clic en Siguiente.
En la página Procesar la base de datos de configuración de seguridad, espere a que la barra de progreso se complete y, a continuación, haga clic en Siguiente.
En la página Configuración de servicio basada en funciones, haga clic en Siguiente.
En la página Seleccionar funciones de servidor, elija las funciones de Exchange 2007 que ha instalado en el equipo y, a continuación, haga clic en Siguiente.
En la página Seleccionar características del cliente, elija cada una de las características del cliente que son necesarias en el servidor de Exchange y, a continuación, haga clic en Siguiente.
En la página Seleccionar opciones de administración u otras opciones, elija cada una de las características de administración necesarias en el servidor de Exchange y, a continuación, haga clic en Siguiente.
En la página Seleccionar servicios adicionales, seleccione cada uno de los servicios necesarios en el servidor de Exchange y, a continuación, haga clic en Siguiente.
En la página Administrar servicios no especificados, seleccione la acción a implementar cuando se encuentre un servicio que no esté instalado en el servidor local. Puede seleccionar no implementar acción alguna seleccionando No cambiar el modo de instalación del servicio o puede seleccionar deshabilitar automáticamente el servicio seleccionando Deshabilitar el servicio. Haga clic en Siguiente.
En la página Confirmar cambios de servicio, revise los cambios que este directiva realizará a la configuración actual del servicio. Haga clic en Siguiente.
En la página Seguridad de red, compruebe que no está seleccionado Omitir esta sección y, a continuación, haga clic en Siguiente.
En la página Puertos abiertos y aplicaciones aprobadas, si está ejecutando el SCW en un servidor de transporte perimetral, debe agregar dos puertos para la comunicación LDAP Active Directory Application Mode (ADAM).
1. Haga clic en Agregar. En la página Agregar puerto o aplicación, en el campo Número de puerto:, escriba 50389. Active la casillaTCP y, a continuación, haga clic en Aceptar.
2. Haga clic en Agregar. En la página Agregar puerto o aplicación, en el campo Número de puerto:, escriba 50636. Active la casillaTCP y, a continuación, haga clic en Aceptar.
En la página Puertos abiertos y aplicaciones aprobadas (sólo para servidores de transporte perimetral), debe configurar los puertos de cada adaptador de red.
1. Seleccione Puerto 25 y, a continuación, haga clic en Avanzado. En la página Restricciones de puerto, haga clic en la ficha Restricciones de interfaz local. Seleccione A través de las siguientes interfaces locales:, active las casillas del adaptador de red interno o del adaptador de red externo y, a continuación, haga clic en Aceptar.
2. Seleccione Puerto 50389 y, a continuación, haga clic en Avanzado. En la página Restricciones de puerto, haga clic en la ficha Restricciones de interfaz local. Seleccione A través de las siguientes interfaces locales:, active sólo la casilla del adaptador de red interno y, a continuación, haga clic en Aceptar.
3. Seleccione Puerto 50636 y, a continuación, haga clic en Avanzado. En la página Restricciones de puerto, haga clic en la ficha Restricciones de interfaz local. Seleccione A través de las siguientes interfaces locales:, active sólo la casilla del adaptador de red interno y, a continuación, haga clic en Aceptar.
Nota

Puede configurar igualmente las restricciones de direcciones remotas para cada puerto.
En la página Puertos abiertos y aplicaciones aprobadas, haga clic en Siguiente.
En la página Confirmar configuración de red, compruebe que la configuración del puerto entrante es correcta y, a continuación, haga clic en Siguiente.
En la página Configuración del Registro, active la casillaOmitir esta sección y, a continuación, haga clic en Siguiente.
En la página Directiva de auditoría, active la casillaOmitir esta sección y, a continuación, haga clic en Siguiente.
En la página Internet Information Services (IIS), active la casillaOmitir esta sección y, a continuación, haga clic en Siguiente.
En la página Guardar directiva de seguridad, haga clic en Siguiente.
En la página Nombre del archivo de directiva de seguridad, escriba un nombre de archivo para la directiva de seguridad y una descripción opcional. Haga clic en Siguiente. Si es necesario un reinicio del servidor tras la aplicación de la directiva, aparecerá un cuadro de diálogo. Haga clic en Aceptar para cerrar el cuadro de diálogo.
En la página Aplicar directiva de seguridad, seleccione Aplicar más tarde o Aplicar ahora y, a continuación, haga clic en Siguiente.
En la página Finalización del asistente de configuración de seguridad, haga clic en Finalizar.

Cómo aplicar una directiva SCW existente a una función de Exchange Server

Después de crear la directiva, puede aplicarla a múltiples equipos con la misma información en su organización.

Para usar el Asistente para configuración de seguridad con el objeto de aplicar una directiva específica

Haga clic en Inicio, seleccione Todos los programas, seleccione Herramientas administrativas y, a continuación, haga clic en Asistente de configuración de seguridad para iniciar la herramienta. Haga clic en Siguiente en la pantalla de bienvenida.
En la página Acción de configuración, seleccione Aplicar una directiva de seguridad existente. Haga clic en Examinar, seleccione el archivo XML de la directiva y, a continuación, haga clic en Abrir. Haga clic en Siguiente.
En la página Seleccione el servidor, compruebe que el nombre correcto del servidor aparece en el campo Servidor (utilice el nombre DNS, el nombre NetBIOS o la dirección IP): . Haga clic en Siguiente.
En la página Aplicar directiva de seguridad, haga clic en Ver directiva de seguridad si desea ver los detalles de la directiva y, a continuación, haga clic en Siguiente.
En la página Aplicar directiva de seguridad, espere a que la barra de progreso indique Aplicación completada y, a continuación, haga clic en Siguiente.
En la página Finalización del asistente de configuración de seguridad, haga clic en Finalizar.

Contenido de esta guía

Apéndice 1: Servicios y ejecutables de puertos habilitados por los archivos de registro del SCW de Exchange 2007

El Asistente para configuración de seguridad (SCW) utiliza archivos de registro XML para ayudarle a configurar el sistema operativo de Windows para que funcione con otras aplicaciones. Los archivos de registro que utiliza el SCW definen la configuración de seguridad necesaria para usar una aplicación en particular. Como mínimo, la configuración de la seguridad define los servicios y puertos necesarios para una aplicación específica.

En este tema se describen los servicios y puertos que están habilitados para cada función del servidor de Exchange 2007 al ejecutar el SCW con los archivos de registro de Exchange 2007 predeterminados.

Archivos de registro

Exchange 2007 incluye dos archivos de registro para el SCW. El archivo de registro de Exchange 2007 general se denomina Exchange2007.xml. Identifica la configuración de la seguridad para todos las funciones de servidor de Microsoft Exchange, salvo la función del servidor Transporte perimetral. El archivo de registro de la función del servidor Transporte perimetral se denomina Exchange2007Edge.xml. Define la configuración de seguridad de los servidores de transporte perimetral.

Los archivos de registro se instalan en el directorio %Programfiles%\Microsoft\Exchange Server\Scripts al instalar Exchange 2007.

Los servicios que se habilitan establecen el valor de inicio del servicio en Automático o Manual.

Los puertos que se habilitan identifican los archivos ejecutables (.exe) en los que confía el firewall de Windows para abrir puertos para la aplicación correspondiente.

Los archivos de registro de Exchange 2007 que utiliza el SCW especifican los ejecutables del puerto de acuerdo a su ubicación predeterminada. En la mayoría de los casos, la ubicación predeterminada se encuentra en %Programfiles%\Microsoft\Exchange Server\bin. Si se ha instalado Exchange en una ubicación distinta, se debe modificar el valor <Ruta> en la sección <Puerto> de los archivos de registro de Exchange 2007 de forma que indique la ubicación de instalación correcta.

Función del servidor Buzón de correo

Los servicios siguientes los habilita el archivo de registro de Exchange 2007 (Exchange2007.xml) para la función del servidor Buzón de correo.

El servicio Microsoft Search (Exchange Server) y Supervisión de Microsoft Exchange se establecen para que se inicien de forma manual. El resto de servicios se establecen para que se inicien automáticamente.

Nombre corto del servicio	Nombre del servicio
MSExchangeIS	Almacén de información de Microsoft Exchange
MSExchangeADTopology	Topología de Microsoft Exchange Active Directory
MSExchangeRepl	Servicio de replicación de Microsoft Exchange
MSExchangeMailboxAssistants	Asistentes de buzones de Microsoft Exchange
MSExchangeSearch	Indizador de búsqueda de Microsoft Exchange
MSExchangeServiceHost	Host de servicios de Microsoft Exchange
MSExchangeMonitoring	Supervisión de Microsoft Exchange
MSExchangeSA	Operador de sistema de Microsoft Exchange
MSExchangeMailSubmission	Servicio Entrega de correo de Microsoft Exchange
msftesql-Exchange	Microsoft Search (Exchange Server)

Los siguientes puertos están habilitados.

Nombre de puerto	Archivo ejecutable asociado
MSExchangeADTopologyPorts	MSExchangeADTopologyService.exe
MSExchangeISPorts	Store.exe
MSExchangeReplPorts	Microsoft.Exchange.Cluster.ReplayService.exe
MSExchangeMailboxAssistantsPorts	MSExchangeMailboxAssistants.exe
MSExchangeSearchPorts	Microsoft.Exchange.Search.ExSearch.exe
MSExchangeServiceHostPorts	Microsoft.Exchange.ServiceHost.exe
MSExchangeMonitoringPorts	Microsoft.Exchange.Monitoring.exe
MSExchangeSAPorts	Mad.exe
MSExchangeMailSubmissionPorts	MSExchangeMailSubmission.exe
msftesql-ExchangePorts	Msftesql.exe
MSExchangeTransportLogSearchPorts	MSExchangeTransportLogSearch.exe

Función del servidor Buzones de correo en clúster

Los servicios y puertos que están habilitados en la función del servidor Buzón de correo y que se han descrito en la sección Función del servidor Buzón de correo anteriormente en este tema están habilitados en la función del servidor Buzones de correo en clúster.

Además, Microsoft Cluster Service se establece para que se inicie de forma automática.

Nombre corto del servicio	Nombre del servicio
ClusSvc	Servicio de clúster de Microsoft

Los siguientes puertos también están habilitados.

Nota

La ruta predeterminada para los ejecutables específicos de los clústeres es %windir%\Cluster. La ruta predeterminada para Powershell.exe es %windir%\system32\windowspowershell\v1.0.

Nombre de puerto	Archivo ejecutable asociado
ExSetupPorts	ExSetup.exe
clussvcPorts	Clussvc.exe
CluAdminPorts	CluAdmin.exe
resrcmonPorts	Resrcmon.exe
msftefdPorts	Msftefd.exe
powershellPorts	Powershell.exe

Función del servidor Transporte de concentradores

Los servicios siguientes los habilita el archivo de registro de Exchange 2007 (Exchange2007.xml) para la función del servidor Transporte de concentradores.

La Supervisión de Microsoft Exchange se establece para que se inicie manualmente. El resto de servicios se establecen para que se inicien automáticamente.

Nombre corto del servicio	Nombre del servicio
MSExchangeADTopology	Servicio de topología de Microsoft Exchange Active Directory
MSExchangeTransport	Servicio de transporte de Microsoft Exchange
MSExchangeAntispamUpdate	Servicio de actualización contra correo electrónico no deseado de Microsoft Exchange
MSExchangeEdgeSync	Servicio EdgeSync de Microsoft Exchange
MSExchangeTransportLogSearch	Servicio de búsqueda de registro de transporte de Microsoft Exchange
MSExchangeMonitoring	Supervisión de Microsoft Exchange

Los siguientes puertos están habilitados.

Nombre de puerto	Archivo ejecutable asociado
MSExchangeADTopologyPorts	MSExchangeADTopologyService.exe
MSExchangeTransportPorts	MSExchangeTransport.exe
EdgeTransportPorts	EdgeTransport.exe
MSExchangeAntispamUpdatePorts	Microsoft.Exchange.AntispamUpdateSvc.exe
MSExchangeEdgeSyncPorts	Microsoft.Exchange.EdgeSyncSvc.exe
MSExchangeTransportLogSearchPorts	MSExchangeTransportLogSearch.exe
MSExchangeMonitoringPorts	Microsoft.Exchange.Monitoring.exe

Función del servidor Transporte perimetral

Los servicios siguientes los habilita el archivo de registro para la función del servidor Transporte perimetral (Exchange2007Edge.xml).

La Supervisión de Microsoft Exchange y el servicio de búsqueda de registro de transporte de Microsoft Exchange se establecen para que se inicien manualmente. El resto de servicios se establecen para que se inicien automáticamente.

Nombre corto del servicio	Nombre del servicio
MSExchangeTransport	Servicio de transporte de Microsoft Exchange
MSExchangeAntispamUpdate	Servicio de actualización contra correo electrónico no deseado de Microsoft Exchange
ADAM_MSExchange	Microsoft Exchange ADAM
EdgeCredentialSvc	Servicio de credenciales de Microsoft Exchange
MSExchangeTransportLogSearch	Servicio de búsqueda de registro de transporte de Microsoft Exchange
MSExchangeMonitoring	Supervisión de Microsoft Exchange

Los siguientes puertos están habilitados.

Nota

La ruta predeterminada para Dsadmin.exe es %windir%\ADAM.

Nombre de puerto	Archivo ejecutable asociado
MSExchangeTransportPorts	MSExchangeTransport.exe
EdgeTransportPorts	EdgeTransport.exe
MSExchangeAntispamUpdatePorts	Microsoft.Exchange.AntispamUpdateSvc.exe
ADAM_MSExchangePorts	Dsamain.exe
EdgeCredentialSvcPorts	EdgeCredentialSvc.exe
MSExchangeTransportLogSearchPorts	MSExchangeTransportLogSearch.exe
MSExchangeMonitoringPorts	Microsoft.Exchange.Monitoring.exe

Función del servidor Acceso de cliente

Los servicios siguientes los habilita el archivo de registro de Exchange 2007 (Exchange2007.xml) para la función del servidor Acceso de cliente.

La Supervisión de Microsoft Exchange, el servicio Microsoft Exchange POP3 y el servicio Microsoft Exchange IMAP4 se establecen para que se inicien manualmente. El resto de servicios se establecen para que se inicien automáticamente.

Nombre corto del servicio	Nombre del servicio
MSExchangeADTopology	Servicio de topología de Microsoft Exchange Active Directory
MSExchangePOP3	Servicio POP3 de Microsoft Exchange
MSExchangeIMAP4	Servicio IMAP4 de Microsoft Exchange
MSExchangeFDS	Servicio de distribución de archivos de Microsoft Exchange
MSExchangeServiceHost	Host de servicios de Microsoft Exchange
MSExchangeMonitoring	Supervisión de Microsoft Exchange

Los siguientes puertos están habilitados.

Nota

La ruta predeterminada para los archivos Pop3Service.exe e Imap4Service.exe es %Programfiles%\Microsoft\Exchange Server\ClientAccess\PopImap.

Nombre de puerto	Archivo ejecutable asociado
MSExchangeADTopologyPorts	MSExchangeADTopologyService.exe
MSExchangePOP3Ports	Microsoft.Exchange.Pop3Service.exe
MSExchangeIMAP4Ports	Microsoft.Exchange.Imap4Service.exe
MSExchangeFDSPorts	MSExchangeFDS.exe
MSExchangeServiceHostPorts	Microsoft.Exchange.ServiceHost.exe
MSExchangeMonitoringPorts	Microsoft.Exchange.Monitoring.exe

Función del servidor Mensajería unificada

Los servicios siguientes los habilita el archivo de registro de Exchange 2007 (Exchange2007.xml) para la función del servidor Mensajería unificada.

La Supervisión de Microsoft Exchange se establece para que se inicie manualmente. El resto de servicios se establecen para que se inicien automáticamente.

Nombre del servicio	Nombre descriptivo
MSExchangeADTopology	Servicio de topología de Microsoft Exchange Active Directory
MSSpeechService	Motor de voz de Microsoft Exchange
MSExchangeUM	Mensajería unificada de Microsoft Exchange
MSExchangeFDS	Servicio de distribución de archivos de Microsoft Exchange
MSExchangeMonitoring	Supervisión de Microsoft Exchange

Los siguientes puertos están habilitados.

Nota

La ruta predeterminada para el archivo SpeechService.exe es %Programfiles%\Microsoft\Exchange Server\UnifiedMessaging.

Nombre de puerto	Archivo ejecutable asociado
MSExchangeADTopologyPorts	MSExchangeADTopologyService.exe
MSSPorts	SpeechService.exe
MSExchangeUMPorts	umservice.exe
UMWorkerProcessPorts	UMWorkerProcess.exe
MSExchangeFDSPorts	MSExchangeFDS.exe
MSExchangeMonitoringPorts	Microsoft.Exchange.Monitoring.exe

Contenido de esta guía

Apéndice 2: Documentación adicional sobre la seguridad en Exchange

Esta sección contiene vínculos a documentación adicional sobre la seguridad en Exchange. Para obtener la lista más actualizada de contenidos relacionados con la seguridad, visite Seguridad y protección.

Guía de seguridad de Exchange 2007

Contenido de esta guía

Ciclo de vida del desarrollo de seguridad de Exchange 2007

Recomendaciones

Creación de un entorno seguro

Microsoft Update

Actualizaciones contra correo electrónico no deseado

Microsoft Exchange Best Practices Analyzer

Microsoft Baseline Security Analyzer

IIS Lockdown Tool y URLScan

Plantillas de Exchange 2007 para el Asistente para configuración de seguridad

Mantenimiento de un entorno seguro

Ejecución de Best Practices Analyzer de Exchange

Ejecución del Software Antivirus

Ejecución del software antivirus en servidores de transporte de concentradores y de transporte perimetral

Ejecución del software antivirus en otros equipos en la organización

Utilizar servicios hospedados de Exchange

Más información sobre el antivirus

Mantenimiento del software al día

Bloqueo de clientes heredados de Outlook

Ejecución del filtrado de datos adjuntos

Tipos de filtrado de datos adjuntos en Exchange 2007

Filtrado de archivos con Forefront Security para Exchange Server

Exigencia de contraseñas seguras en su organización

Separación de nombres de usuario de Windows y direcciones SMTP

Administración de la seguridad del acceso de cliente

Administración de la autenticación

Mejorar las comunicaciones seguras entre el servidor de acceso de cliente y otros servidores

Comprensión de la seguridad de dominio

Protección de las rutas de acceso de Exchange

Servidores de transporte

Rutas de datos de servidores de transporte

Notas sobre servidores de transporte

Servidores de buzones

Rutas de datos de servidores de buzones

Notas sobre servidores de buzones

Servidor de acceso de cliente

Rutas de datos del servidor de acceso de cliente

Notas sobre servidores de acceso de cliente

Servidor de mensajería unificada

Rutas de datos de los servidores de mensajería unificada

Notas sobre servidores de mensajería unificada

Uso del Asistente para configuración de seguridad para asegurar Windows para las funciones de servidor de Exchange

Utilización del Asistente para configuración de seguridad

Utilización de la plantilla SCW de Exchange Server 2007

Instalación del Asistente para configuración de seguridad

Registro de las extensiones de funciones de Exchange Server

Crear una nueva directiva de SCW para las funciones de servidor de Exchange

Cómo aplicar una directiva SCW existente a una función de Exchange Server

Apéndice 1: Servicios y ejecutables de puertos habilitados por los archivos de registro del SCW de Exchange 2007

Archivos de registro

Función del servidor Buzón de correo

Función del servidor Buzones de correo en clúster

Función del servidor Transporte de concentradores

Función del servidor Transporte perimetral

Función del servidor Acceso de cliente

Función del servidor Mensajería unificada

Apéndice 2: Documentación adicional sobre la seguridad en Exchange

Funcionalidad contra correo electrónico no deseado y antivirus

Autenticación del cliente y seguridad de acceso

Microsoft Office Outlook Web Access

Outlook en cualquier lugar

POP3 e IMAP4

Permisos

Protección del flujo de correo

Recursos adicionales