如何创建新的 Exchange 服务器角色 SCW 策略

适用于： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题： 2007-01-02

本主题说明如何在 Microsoft Exchange Server 2007 中通过使用安全配置向导 (SCW) 为安装了 Exchange 服务器角色的计算机创建新的安全策略。SCW 是在 Microsoft Windows Server 2003 Service Pack 1 中引入的工具。SCW 可以自动实现安全最佳实践，以减少服务器的受攻击面。

使用此步骤可以为特定环境创建自定义的安全策略。创建自定义策略之后，可以使用该策略将相同的安全级别应用于组织中运行相同服务器角色的每个 Exchange 2007 服务器。

开始之前

开始之前，必须执行以下步骤：

• 安装 Exchange 服务器角色。有关详细信息，请参阅部署服务器角色。

• 安装 SCW。有关详细信息，请参阅如何安装安全配置向导。

• 为 Exchange 服务器角色注册 SCW 扩展。有关详细信息，请参阅如何注册 Exchange Server 角色 SCW 扩展。

• 确定具体环境特有的安全要求。有关详细信息，请参阅使用安全配置向导保护 Windows Exchange Server 角色。

若要执行以下步骤，必须为您使用的帐户委派以下角色：

• Exchange Server 管理员角色和目标服务器的本地 Administrators 组

若要在安装了边缘传输服务器角色的计算机上执行以下步骤，必须使用作为该计算机上的本地 Administrators 组成员的帐户进行登录。

有关权限、角色委派以及管理 Microsoft Exchange Server 2007 所需权限的详细信息，请参阅权限注意事项。

注意：
以下过程中的某些步骤不能为安全配置向导的所有页面提供具体的配置细节。在这种情况下，Microsoft 建议您在不确定要启用哪些服务或功能时，保留默认的选择。与 Exchange 2007 帮助文件中的所有内容一样，有关如何在 Exchange 2007 中使用 SCW 的最新信息，可以在 Exchange Server TechCenter 上找到。

步骤

使用安全配置向导创建自定义安全策略

1. 单击“开始”，指向“所有程序”，再指向“管理工具”，然后单击“安全配置向导”启动该工具。在欢迎屏幕上单击“下一步”。

2. 在“配置操作”页上，选择“新建安全策略”，然后单击“下一步”。

3. 在“选择服务器”页上，验证“服务器(使用 DNS 名称、NetBIOS 名称或 IP 地址):”字段中出现的服务器名称是否正确。单击“下一步”。

4. 在“正在处理安全配置数据库”页上，等待进度条完成，然后单击“下一步”。

5. 在“基于角色的服务配置”页上，单击“下一步”。

6. 在“选择服务器角色”页上，选择已安装在计算机上的 Exchange 2007 角色，再单击“下一步”。

7. 在“选择客户端功能”页上，选择在 Exchange 服务器上需要的每个客户端功能，再单击“下一步”。

8. 在“选择管理和其他选项”页上，选择在 Exchange 服务器上需要的每个管理功能，再单击“下一步”。

9. 在“选择其他服务”页上，选择需要在 Exchange 服务器上启用的每个服务，再单击“下一步”。

10. 在“处理未指定的服务”页上，选择发现当前未安装在本地服务器上的服务时要执行的操作。可以通过选择“不更改此服务的启动模式”选择不执行任何操作，也可以通过选择“禁用此服务”选择自动禁用服务。单击“下一步”。

11. 在“确认服务更改”页上，复查此策略将对当前服务配置进行的更改。单击“下一步”。

12. 在“网络安全”页上，验证未选中“跳过这一部分”，再单击“下一步”。

13. 如果在边缘传输服务器上运行 SCW，则在“打开端口并允许应用程序”页上，必须添加两个与 Active Directory 应用程序模式 (ADAM) 进行 LDAP 通信的端口。

    1. 单击“添加”。在“添加端口或应用程序”页上的“端口号:”字段中，输入 50389。选中 TCP 复选框，再单击“确定”。

    2. 单击“添加”。在“添加端口或应用程序”页上的“端口号:”字段中，输入 50636。选中 TCP 复选框，再单击“确定”。

14. （仅适用于边缘传输服务器）在“打开端口并允许应用程序”页上，必须为每个网络适配器配置端口。

    1. 选择“端口 25”，再单击“高级”。在“端口限制”页上，单击“本地接口限制”选项卡。选择“通过下列本地接口:”，同时选中内部网络适配器和外部网络适配器复选框，再单击“确定”。

    2. 选择“端口 50389”，再单击“高级”。在“端口限制”页上，单击“本地接口限制”选项卡。选择“通过下列本地接口:”，只选中内部网络适配器复选框，再单击“确定”。

    3. 选择“端口 50636”，再单击“高级”。在“端口限制”页上，单击“本地接口限制”选项卡。选择“通过下列本地接口:”，只选中内部网络适配器复选框，再单击“确定”。

    注意：
    还可以为每个端口配置远程地址限制。

15. 在“打开端口并允许应用程序”页上，单击“下一步”。

16. 在“确认端口配置”页上，验证传入端口配置正确无误，再单击“下一步”。

17. 在“注册表设置”页上，选中“跳过这一部分”复选框，再单击“下一步”。

18. 在“审核策略”页上，选中“跳过这一部分”复选框，再单击“下一步”。

19. 在“Internet 信息服务(IIS)”页上，选中“跳过这一部分”复选框，再单击“下一步”。

20. 在“保存安全策略”页上，单击“下一步”。

21. 在“安全策略文件名”页上，输入安全策略的文件名和可选的说明。单击“下一步”。如果应用策略之后需要重新启动服务器，将出现对话框。单击“确定”关闭对话框。

22. 在“应用安全策略”页上，选择“稍后应用”或“立即应用”，再单击“下一步”。

23. 在“完成安全配置向导”页面上，单击“完成”。

详细信息

有关详细信息，请参阅下列主题：

• 使用安全配置向导保护 Windows Exchange Server 角色

• 如何安装安全配置向导

• 如何注册 Exchange Server 角色 SCW 扩展

• 如何将现有 SCW 策略应用于 Exchange Server 角色