Elenco di controllo per la protezione della distribuzione
Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Ultima modifica dell'argomento: 2007-12-11
Microsoft Exchange Server 2007 è stato progettato per garantire impostazioni protette predefinite nella maggior parte degli scenari personalizzati. In generale, in Exchange 2007 le impostazioni protette predefinite indicano che sono state soddisfatte le seguenti condizioni:
Gli account utilizzati da Exchange 2007 dispongono delle autorizzazioni minime richieste per eseguire determinate serie di attività.
Per impostazione predefinita, i servizi vengono avviati solo su richiesta.
Le autorizzazioni per l'elenco di controllo di accesso (ACL, Access Control List) per gli oggetti di Exchange sono ridotte al minimo.
Le autorizzazioni amministrative vengono impostate in base all'ambito di modifica dell'oggetto per il quale è richiesta la modifica.
Tutti i percorsi dei messaggi predefiniti interni sono crittografati.
Molte altre funzionalità sono state progettate per fornire un ambiente di messaggistica relativamente protetto dopo l'installazione iniziale.
In questo argomento vengono descritti alcuni passaggi consigliati che è possibile eseguire per garantire una migliore protezione all'ambiente di messaggistica prima e dopo l'installazione di Microsoft Exchange. Si consiglia di fare riferimento a questo elenco di controllo ogni volta che si installa un nuovo ruolo del server Exchange.
Analogamente a tutto il contenuto del file della Guida di Exchange 2007, gli ultimi aggiornamenti sono disponibili sul sito Exchange Server TechCenter (informazioni in lingua inglese).
Operazioni preliminari all'installazione
Prima di installare Exchange 2007, eseguire le procedure riportate di seguito.
| Procedure | Controllo |
|---|---|
Eseguire Microsoft Update. |
|
Eseguire lo strumento di rimozione del software dannoso di Microsoft. Lo strumento di rimozione del software dannoso è incluso in Microsoft Update. Per ulteriori informazioni sullo strumento, vedere Malicious Software Removal Tool (informazioni in lingua inglese). |
|
Eseguire Microsoft Baseline Security Analyzer. |
|
Operazioni successive all'installazione
Si consiglia di eseguire la Configurazione guidata impostazioni di protezione (SCW, Security Configuration Wizard) su tutti i ruoli del server Exchange 2007. Si consiglia inoltre di modificare il livello di autenticazione di LAN Manager sui server in cui è installato Windows Server 2003.
Configurazione guidata impostazioni di sicurezza
La Configurazione guidata impostazioni di sicurezza è uno strumento che è stato introdotto con Microsoft Windows Server 2003 Service Pack 1 (SP1). È possibile utilizzare la Configurazione guidata impostazioni di sicurezza per ridurre al minimo la superficie di attacco per i server, disattivando la funzionalità di Windows che non è richiesta per i ruoli del server Exchange 2007. La Configurazione guidata impostazioni di protezione consente di automatizzare una maggiore protezione riducendo la superficie di attacco per il server. Inoltre, utilizza una metafora basata sul ruolo per richiedere servizi necessari per le applicazioni sul server. Questo strumento consente di ridurre la predisposizione degli ambienti Windows a offrire un punto di accesso a causa delle proprie vulnerabilità nella protezione. Per ulteriori informazioni, vedere Utilizzo della Configurazione guidata impostazioni di protezione per proteggere Windows per i ruoli server di Exchange.
Livello di autenticazione di LAN Manager
Per ogni server Exchange eseguito su Windows Server 2003 si consiglia di impostare il livello di autenticazione di LAN Manager sul livello consigliato dalla Guida per la protezione di Windows Server 2003 per l'ambiente specifico. Questa impostazione determina il protocollo di autenticazione challenge/response utilizzato per gli accessi di rete. Questa scelta ha effetto sul livello del protocollo di autenticazione utilizzato dai computer client, il livello di protezione negoziato e il livello di autenticazione accettato dai server. Per modificare il livello di autenticazione di LAN Manager, è necessario modificare la voce LmCompatibilityLevel nel Registro di sistema.
Avviso
UNRESOLVED_TOKEN_VAL(exRegistry)
Di seguito sono indicati i livelli di autenticazione di Manager consigliati dalla Guida per la protezione di Windows Server 2003**:**
Ambiente client legacy La Guida per la protezione di Windows Server 2003 definisce un ambiente client legacy come un ambiente composto di un dominio del servizio directory di Active Directory con server membri e controller di dominio su cui viene eseguito Windows Server 2003 e alcuni computer client su cui vengono eseguiti Microsoft Windows 98 e Windows NT 4.0. È necessario che nei computer su cui viene eseguito Windows 98 sia installata l'estensione client di Active Directory (DSCLient). Per ulteriori informazioni sull'installazione di DSClient, vedere l'articolo 288358 della Microsoft Knowledge Base, Installazione dell'estensione client di Active Directory. Se si dispone di un ambiente client legacy, nella Guida per la protezione di Windows Server 2003 viene consigliato di impostare su 3 la voce LmCompatibilityLevel.
Ambiente client di organizzazione La Guida per la protezione di Windows Server 2003 definisce un ambiente client di organizzazione come un ambiente composto di un dominio di Active Directory con server membri e controller di dominio su cui viene eseguito Windows Server 2003 con Service Pack 1 e computer client su cui vengono eseguiti Microsoft Windows 2000 Server e Windows XP. Se si dispone di un ambiente client di organizzazione, nella Guida per la protezione di Windows Server 2003 viene consigliato di impostare su 4 la voce LmCompatibilityLevel.
Inoltre, gli ambienti cluster presentano anche requisiti relativi al livello di autenticazione diLAN Manager.In un ambiente di replica continua cluster (CCR, Cluster Continuous Replication) è necessario impostare la voce LmCompatibilityLevel di ogni controller di dominio nell'organizzazione sullo stesso valore della voce LmCompatibilityLevel nei propri server Exchange. Se la voce LmCompatibilityLevel in un controller di dominio non è uguale alla voce LmCompatibilityLevel in un server Exchange, si possono verificare errori della replica. È consigliabile impostare prima la voce LmCompatibilityLevel su tutti i controller di dominio in un dominio, quindi impostare la voce LmCompatibilityLevel per ogni cluster.
Per impostare la voce LmCompatibilityLevel in un cluster, è necessario modificare il valore su tutti i nodi del cluster contemporaneamente, quindi riavviare ogni nodo del cluster. È consigliabile modificare la voce del Registro di sistema e riavviare manualmente ogni computer in un cluster, invece di utilizzare un oggetto Criteri di gruppo, in modo da assicurare che tutti i nodi del cluster vengano riavviati contemporaneamente.
Nota
Per impostazione predefinita, il livello della voce LmCompatibilityLevel sui computer che eseguono Windows Server 2008 è impostato su 3 o un valore superiore.
Per ulteriori informazioni sul livello di autenticazione di LAN Manager, vedere "Capitolo 4: Il criterio di riferimento per server membri" nella Guida per la protezione di Windows Server 2003 (informazioni in lingua inglese). Per ulteriori informazioni sulla modifica della voce LmCompatibilityLevel del Registro di sistema per impostare il livello di autenticazione di LAN Manager, vedere How to Configure the LAN Manager Authentication Level. È possibile utilizzare un oggetto Criteri di gruppo per impostare la voce LmCompatibilityLevel del Registro di sistema su tutti i computer nell'organizzazione. Per la procedura dettagliata, vedere How to Configure the LAN Manager Authentication Level.