Exchange 2007 安全指南
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2007-09-17
过去,对于每个版本的 Microsoft Exchange Server,Exchange 团队已发布包含权限和安全信息的独立安全强化指南。此方法对于运行 Exchange 安装程序之后锁定服务和目录很有意义。但是,在使用基于服务器角色的安装程序的 Microsoft Exchange Server 2007 中,Microsoft Exchange 仅启用正在安装的服务器角色所需的那些服务。不再安装 Microsoft Exchange,然后会对其进行安全强化。它被设计为具有“默认安全性”。
因此,与早期版本的 Exchange Server 不同,在早期版本中,IT 管理员必须执行多个过程来锁定其运行 Exchange Server 的服务器,而 Exchange 2007 不需要任何锁定或强化。
本指南涵盖的内容
本指南是为负责保护 Exchange 2007 部署的 IT 管理员编写的。它用于帮助 IT 管理员了解和管理安装 Exchange 的总体安全环境。本指南中包含下列信息:
Exchange 2007 安全开发生命周期 本部分简要介绍 Exchange 2007 是如何开发的。
最佳实践 本部分介绍安装和维护 Exchange 2007 的安全环境的最佳实践。
保护 Exchange 数据路径 本部分介绍 Exchange 2007 使用的所有数据路径和网络通信路径的加密和身份验证规范。
使用安全配置向导保护 Windows Exchange Server 角色 本部分提供关于如何为 Windows 安全配置向导 (SCW) 启用 Exchange 2007 的说明。
附录 1:由 Exchange 2007 SCW 注册文件启用的服务和端口可执行文件 本附录记录由 Exchange 2007 SCW 注册文件所启用的服务和端口可执行文件。
附录 2:其他与安全相关的 Exchange 文档 本附录提供到其他与安全相关的 Exchange 文档的链接。
Exchange 2007 安全开发生命周期
在 2002 年初,Microsoft 引入了高信度计算计划。自从引入高信度计算之后,在 Microsoft 中和 Exchange Server 团队中的开发流程就专注于开发具有默认安全性的软件。有关详细信息,请参阅 高信度计算。
在 Exchange 2007 中,高信度计算是在下列四个核心领域中实现的:
设计安全 设计和开发 Exchange 2007 时要遵照 高信度计算安全开发生命周期。创建更加安全的邮件系统的第一步是设计威胁模型并在设计时测试每个功能。多个与安全相关的改进功能被内置到编码过程和实践中。将代码签入最终产品之前,构建时间工具会检测缓冲区溢出和其他潜在的安全威胁。当然,针对所有未知安全威胁进行设计是不可能的。没有任何系统会保证完全的安全。但是,通过将安全设计原则包含到整个设计流程中,Exchange 2007 比早期的版本更加安全。
默认安全性 Exchange 2007 的其中一个目标是开发一个系统,在该系统中大多数网络通信默认情况下是进行加密的。除了服务器消息块 (SMB) 群集通信和一些统一消息 (UM) 通信之外,都可以达到此目标。通过使用自签名证书、Kerberos 协议、安全套接字层 (SSL) 和其他行业标准加密技术,几乎所有 Exchange 2007 数据都在网络上得到保护。此外,基于角色的安装使得可以在安装 Exchange 2007 时使用某个特定的、合适的服务器角色仅安装服务及与这些服务相关的权限。在早期版本的 Exchange Server 中,必须为所有功能安装所有服务。
.gif "note")
注意:若要加密 SMB 和 UM 通信,则必须部署 Internet 协议安全性 (IPSec)。本指南的未来版本可以包含关于如何加密 SMB 和 UM 通信的信息。 反垃圾邮件和防病毒功能 Exchange 2007 包含一套在外围网络运行的反垃圾邮件代理。通过添加 Microsoft Forefront Security for Exchange Server 作为 Microsoft 解决方案,防病毒功能得到了进一步的改进。
部署安全 在开发 Exchange 2007 时,在 Microsoft IT 生产环境中已部署了该预发行版本。基于来自该部署的数据,Microsoft Exchange 最佳实践分析工具已进行更新以扫描实际的安全配置,且已在 Exchange 2007 帮助中记录预部署和后期部署最佳实践。
过去,在核心产品文档完成之后才会记录和交付权限管理。但是,我们知道权限管理并不是一个附加过程。应该将它构建到 Exchange 2007 部署的总体规划和部署阶段中。因此,我们已简化了我们的权限文档并将它集成到核心文档中,从而在管理员规划和部署他们的管理模型时为他们提供无缝的上下文。
通信 现在 Exchange 2007 已发行,Exchange 团队致力于保持软件最新并可随时通知您。通过使用 Microsoft Update 保持您的系统为最新,您可以确保在您的组织中安装了最新的安全更新。Exchange 2007 还包含反垃圾邮件更新。此外,通过订阅 Microsoft 技术安全通知,可以随时了解 Exchange 2007 中最新的安全问题。
本指南涵盖的内容
最佳实践
让我们了解一些基本的最佳实践,这将帮助您创建和维护一个更加安全的环境。通常,只需保持软件和防病毒签名文件为最新,并定期运行分析器工具,这就是优化 Exchange 2007 环境的安全性的最有效的方法。
本部分介绍在 Exchange 2007 环境中获得安全和保持安全的一些最佳实践。
获得安全
下列工具是由 Microsoft 提供的,用于帮助创建一个安全的环境。在安装 Exchange 2007 之前,请运行下列工具:
Microsoft Update
Exchange 最佳实践分析工具
Microsoft Baseline Security Analyzer
Internet 信息服务 (IIS) 锁定工具和 URLScan,仅适用于在已从 Windows 2000 Server 升级之后运行 Windows Server 2003 的环境。
用于安全配置向导 (SCW) 的 Exchange 模板
Microsoft Update
Microsoft Update 是一种新服务,除了提供与 Windows Update 相同的下载之外,还提供其他 Microsoft 程序的最新更新。它可以帮助保持您的计算机更加安全并以其最佳性能运行。
Microsoft Update 的一个关键功能是 Windows 自动更新。此功能会自动安装对于您的计算机的安全和可靠性很关键的高优先级更新。没有这些安全更新,您的计算机会更容易受到来自网络黑客和恶意软件的攻击。
接收 Microsoft Update 最可靠的方法是通过使用 Windows 自动更新让更新自动传送到您的计算机。可以在注册 Microsoft Update 时打开“自动更新”。
Windows 接着会分析在您的计算机上安装的 Microsoft 软件是否存在它需要的任何当前的和过去的高优先级更新,然后会自动下载和安装这些更新。此后,只要您连接到 Internet,Windows 会重复此更新过程以获取任何新的高优先级更新。
| 注意: |
|---|
| 如果已经使用自动更新,Microsoft Update 将按您设置的那样继续使用它。 |
若要启用 Microsoft Update,请参阅 Microsoft Update。
Microsoft Update 的默认模式要求每个 Exchange 计算机都连接到 Internet 以接收自动更新。如果您在运行未连接到 Internet 的服务器,则可以安装 Windows 服务器更新服务 (WSUS) 来管理向组织中的计算机上分发的更新。然后可以配置内部 Exchange Server 计算机上的 Microsoft Update 来联系内部 WSUS 服务器以获取更新。有关详细信息,请参阅 Microsoft Windows Server Update Services 3.0。
WSUS 并不是唯一可用的 Microsoft Update 管理解决方案。有关哪个 Microsoft Update 管理解决方案最适合您的需求的详细信息,请参阅 MBSA、MU、WSUS、Essentials 2007 或 SMS 2003?。
反垃圾邮件更新
Exchange 2007 还使用 Microsoft Update 基础结构来保持反垃圾邮件筛选器为最新。默认情况下,使用手动更新时,管理员必须访问 Microsoft Update 来下载和安装内容筛选器更新。内容筛选器更新数据每两周更新一次并可供下载。
从 Microsoft Update 进行的手动更新不包括 Microsoft IP 信誉服务或垃圾邮件签名数据。Microsoft IP 信誉服务和垃圾邮件签名数据仅可使用 Forefront Security for Exchange Server 反垃圾邮件自动更新来获得。
| 注意: |
|---|
| Forefront 反垃圾邮件自动更新功能是一项高级功能,它要求每个用户邮箱具有 Exchange Enterprise 客户端访问许可证 (CAL),或要求具有 Forefront Security for Exchange Server 许可证。 |
有关如何启用 Forefront 反垃圾邮件自动更新的详细信息,请参阅反垃圾邮件更新。
Microsoft Exchange 最佳实践分析工具
Exchange 最佳实践分析工具是可以定期运行来帮助验证 Exchange 环境是否安全的最有效工具之一。Exchange 最佳实践分析工具可自动检查 Microsoft Exchange 部署,并确定是否按照 Microsoft 最佳实践设置配置。可以在运行 Microsoft .NET Framework 1.1 的客户端计算机上安装 Exchange 最佳实践分析工具。借助适当的网络访问权限,Exchange 最佳实践分析工具检查您的所有 Active Directory 目录服务和 Exchange 服务器。
有关详细信息,包括最佳实践,请参阅本指南中稍后介绍的“运行 Exchange 最佳实践分析工具”部分和 Microsoft Exchange Best Practices Analyzer v2.8。
Microsoft Baseline Security Analyzer
Microsoft Baseline Security Analyzer (MBSA) 是设计用于供 IT 专业人员使用的工具,可帮助中小型企业确定其安全状态是否符合 Microsoft 安全建议。通过使用 MBSA 来检测计算机系统上常见的安全错误配置和丢失的安全更新,改进安全管理流程。
可以在网页 Microsoft Baseline Security Analyzer 上下载 MBSA。
IIS 锁定工具和 URLScan
默认情况下,IIS 版本 6.0 和 IIS 版本 7.0(分别随 Windows Server 和 Windows Server 2008 安装)具有与 IIS 锁定工具所设配置相同的安全相关配置设置。因此,您不必在运行 IIS 版本 6.0 或 IIS 版本 7.0 的 Web 服务器上运行 IIS 锁定工具。但是,如果是从 IIS 的早期版本升级到 IIS 版本 6.0 或 IIS 版本 7.0,我们建议您运行 IIS 锁定工具来增强 Web 服务器的安全性。
我们建议您不要将 URLScan 与 IIS 版本 6.0 或 IIS 版本 7.0 一起运行,因为错误配置的风险要比 URLScan 所提供的益处高得多。
有关详细信息,请参阅如何:使用 IISLockdown.exe。
用于安全配置向导的 Exchange 2007 模板
安全配置向导 (SCW) 是随 Windows Server 2003 Service Pack 1 引入的工具。使用 SCW,可以通过禁用 Exchange 2007 服务器角色不需要的 Windows 功能,将服务器面临的攻击减少到最小。SCW 会自动执行最佳安全处理来减少服务器所面临的攻击。SCW 使用基于角色的隐喻来请求服务器上的应用程序所需的服务。此工具可以减小 Windows 环境的安全漏洞被利用的可能性。
有关如何为 SCW 创建 Exchange 2007 模板的详细信息,请参阅本指南中稍后介绍的“使用安全配置向导为 Exchange Server 角色保护 Windows”。
保持安全
本部分介绍保持 Exchange 2007 环境安全的最佳实践建议。
运行 Exchange 最佳实践分析工具
如上一部分中所述,Exchange 最佳实践分析工具是可以定期运行来帮助验证 Exchange 环境是否安全的最有效工具之一。
对于大多数环境,我们建议每季度至少运行一次 Exchange 最佳实践分析工具。但是,最佳做法是每月在已安装 Exchange Server 的所有服务器上运行一次该工具。
此外,在下列情况下应运行 Exchange 最佳实践分析工具:
对 Exchange 服务器进行显著的配置更改时。例如,在添加或删除连接器或创建到边缘传输服务器的 EdgeSync 连接之后,应运行该工具。
在安装新的 Exchange 服务器角色或删除 Exchange 服务器角色之后立即运行。
在安装 Windows 服务包或 Exchange Server 服务包之后。
在运行 Microsoft Exchange 的计算机上安装第三方软件之后。
运行防病毒软件
电子邮件系统传递的病毒、蠕虫和其他恶意内容是大多数 Microsoft Exchange 管理员要面对的一种具有破坏性的实体。因此,必须对所有邮件系统进行防御性防病毒部署。本部分提供了 Exchange 2007 和 Microsoft Office Outlook 2007 的防病毒软件的部署的最佳实践建议。
在选择防病毒软件供应商时,应当特别注意 Exchange 2007 中的两项重要变更:
Exchange 2007 基于 64 位体系结构。
Exchange 2007 包括新的传输代理功能,这在本主题后面的内容中详细介绍。
这两项变更意味着防病毒软件供应商必须提供特定于 Exchange 2007 的软件。针对 Exchange Server 的早期版本编写的防病毒软件可能无法在 Exchange 2007 中正常运行。
若要使用深度防御方法,我们建议您在简单邮件传输协议 (SMTP) 网关或在托管邮箱的 Exchange 服务器处部署专门为邮件系统设计的防病毒软件,此外也要在用户桌面上部署防病毒软件。
通过在愿意承受的开销与愿意认可的风险之间寻找适当的平衡,您决定要使用哪种类型的防病毒软件以及在哪些位置部署该软件。例如,某些组织在 SMTP 网关处运行防病毒邮件软件,在 Exchange 服务器上运行文件级防病毒扫描,并在用户桌面上运行防病毒客户端软件。此方法在网关处提供特定邮件保护,在邮件服务器处提供通用文件级保护,并在客户端处提供保护。通过在 STMP 网关处运行防病毒邮件软件,在 Exchange 服务器处运行文件级防病毒扫描,在用户桌面上运行防病毒客户端软件,以及在 Exchange 邮箱服务器上运行与 Exchange 病毒扫描应用程序编程接口 (VSAPI) 2.5 兼容的防病毒软件,其他组织可能承受较高的开销,并因此提高了安全性。
在边缘传输服务器和集线器传输服务器上运行防病毒软件
邮件防病毒软件的最重要位置是组织中的第一道防线。在 Exchange 2007 中,第一道防线位于边缘传输服务器上的外围网络。
为了进一步防御病毒在组织内部发作而提供第二道防线,还建议您在组织内的集线器传输服务器上运行基于传输的防病毒软件。
在 Exchange 2007 中,代理处理传输事件,与 Microsoft Exchange 早期版本中的事件接收器相似。第三方开发人员可以编写自定义的代理,以便利用基本的 Exchange MIME 分析引擎来进行强大的传输级别防病毒扫描。
许多第三方软件供应商都提供利用 Exchange 传输 MIME 分析引擎的特定于 Exchange 2007 的代理。有关详细信息,请与您的防病毒软件供应商联系。
此外,Microsoft Forefront Security for Exchange Server 包括适用于 Exchange 2007 的传输防病毒代理。有关如何安装和配置 Forefront Security for Exchange Server 防病毒代理的详细信息,请参阅使用 Microsoft Forefront Security for Exchange Server 保护 Microsoft Exchange 组织。
| 注意: |
|---|
| 不通过传输进行路由的对象(如公用文件夹中的邮件,已发送邮件和日历邮件)仅可以在邮箱服务器上进行扫描,它们不受仅传输病毒扫描的保护。 |
在组织中的其他计算机上运行防病毒软件
您可以在以下两类计算机上运行文件级别的病毒扫描:
用户桌面
服务器
除了文件级病毒扫描之外,请考虑在您的 Exchange 邮箱服务器上运行 Microsoft VSAPI 解决方案。
桌面病毒扫描
我们强烈建议您的用户运行最新版本的 Outlook。如果您在桌面上运行过时的电子邮件客户端,则会因早期电子邮件客户端中的对象模型和附件处理方式而面临巨大的风险。因此,默认情况下 Microsoft Office Outlook 2003 和 Office Outlook 2007 是 Exchange 2007 从其接受连接的仅有的 MAPI 客户端。有关运行较早版本的电子邮件客户端所带来的风险的详细信息,请参阅 采取措施确保 Outlook 安全。
升级到 Outlook 2003 或 Outlook 2007 后,请验证是否已在所有桌面计算机上安装了文件级别的防病毒软件产品。此外,还需要采取下列措施:
制订规划以确保在所有桌面上自动更新防病毒签名文件。
为防御病毒,确保在组织中制订并维护端到端更新管理解决方案。
服务器病毒扫描
考虑采用一项总方针,在组织内的所有桌面计算机和服务器计算机上运行文件级别的扫描。因此,所有 Exchange Server 计算机上都应运行某些形式的文件级别防病毒扫描。对于每个服务器角色,必须对文件级别的扫描进行额外配置,以便不扫描某些目录、文件类型和进程。例如,我们建议永远不针对 Exchange 存储数据库运行文件级别的防病毒软件。有关特定配置信息,请参阅 Exchange 2007 上的文件级防病毒扫描。
使用 VSAPI 进行邮箱数据库扫描
Microsoft 病毒扫描 API (VSAPI) 扫描解决方案可能是许多组织的一个很重要的防护层。如果符合以下任一条件,则应考虑运行 VSAPI 防病毒解决方案:
您的组织没有部署完善而可靠的桌面防病毒扫描产品。
您的组织需要存储扫描可以提供的额外防护。
您的组织已开发对 Exchange 数据库进行编程访问的自定义应用程序。
您的用户社区会经常性地将邮件邮递到公用文件夹中。
使用 Exchange VSAPI 的防病毒解决方案直接在 Exchange 信息存储进程内运行。VSAPI 解决方案很可能是可以防止在绕过标准客户端和传输扫描的同时将受感染的内容放到 Exchange 信息存储中的攻击矢量的仅有解决方案。例如,VSAPI 是扫描通过 CDO(协作数据对象)、WebDAV 和 Exchange Web 服务提交到数据库的数据的唯一解决方案。
此外,当病毒发作时,VSAPI 防病毒解决方案经常提供从受感染的邮件存储中删除和消除病毒的最快速的方法。
有关如何运行 Forefront Security for Exchange Server 的更多特定信息,请参阅使用 Microsoft Forefront Security for Exchange Server 保护 Microsoft Exchange 组织。
使用 Exchange 托管服务
Microsoft Exchange 托管服务可以增强垃圾邮件和病毒筛选功能,也可以将垃圾邮件和病毒筛选作为其中的一项服务提供。Exchange 托管服务是包含四个不同托管服务的服务集:
托管筛选,帮助组织防御以电子邮件为载体的恶意软件
托管存档,有助于组织满足要遵守的保留要求
托管加密,帮助组织对数据进行加密以实现机密性
托管连续性,帮助组织在发生紧急情况期间和之后仍然能够访问电子邮件
这些服务与内部管理的任何内部 Exchange 服务器或由服务提供商提供的托管 Exchange 电子邮件服务进行集成。有关 Exchange 托管服务的详细信息,请参阅 Microsoft Exchange 托管服务。
更多防病毒信息
若要获取有关 MSIT 如何部署 Exchange 2007 服务器防病毒解决方案的详细白皮书,请参阅 Microsoft Exchange Server 2007 边缘传输和邮件保护。
Forefront Security for Exchange Server 为 Exchange 传输服务器角色提供一个多重扫描引擎防病毒解决方案,并为 Exchange 邮箱服务器提供一个 VSAPI 解决方案。有关端对端防病毒解决方案的最佳实践,请参阅 使用 Microsoft Forefront Security for Exchange Server 保护 Microsoft Exchange 组织。
使软件为最新
如上一部分中所述,运行 Microsoft Update 是一种最佳做法。除了在所有服务器上运行 Microsoft Update 之外,保持所有客户端计算机为最新并在组织中的所有计算机上维护防病毒更新也是很重要的。
除了 Microsoft 软件之外,请确保为组织中运行的所有软件运行最新的更新。
阻止旧 Outlook 客户端
较旧版本的 Outlook 包含可能会增加病毒传播的漏洞。作为一种最佳做法,您应仅允许 Exchange 2007 接受来自 Outlook 2007、Outlook 2003 和 Outlook 2002 客户端的 MAPI 连接。通过限制可以连接到 Exchange 的 Outlook 客户端的版本,可以极大地降低病毒和其他恶意软件攻击的风险。作为一种最佳做法,我们建议减少和标准化组织中运行的软件版本。
有关如何删除对 Exchange 2007 的 Outlook 客户端访问权限的详细信息,请参阅 允许所有版本的 Outlook 访问服务器。
运行附件筛选
在 Exchange 2007 中,通过附件筛选可以在服务器级别应用筛选器,以便控制用户接收的附件。在当今的环境中,许多附件都包含有害的病毒或不适宜的资料,可能通过破坏重要文档或公开敏感信息,对用户计算机或组织造成重大损失,因此,附件筛选变得日益重要。
| 注意: |
|---|
| 最佳做法是,不要从已数字签名、已加密或权利受到保护的电子邮件中删除附件。如果从此类邮件中删除附件,则可能会使已数字签名的邮件失效,并导致无法读取已加密和权利受到保护的邮件。 |
Exchange 2007 中的附件筛选类型
可以使用下列类型的附件筛选来控制传入或传出组织的附件:
基于文件名或文件扩展名筛选 可以通过指定要筛选的准确文件名或文件扩展名来筛选附件。BadFilename.exe 是准确文件名筛选器的示例。*.exe 是文件扩展名筛选器的示例。
基于文件 MIME 内容类型筛选 还可以通过指定要筛选的 MIME 内容类型来筛选附件。MIME 内容类型表明附件是 JPEG 图像、可执行文件、Microsoft Office Excel 2003 文件还是其他文件类型。内容类型以
type/subtype形式表示。例如,JPEG 图像内容类型表示为image/jpeg。若要查看附件筛选进行筛选所基于的所有文件扩展名和内容类型的完整列表,请运行以下命令:
Get-AttachmentFilterEntry | FL若要在加入到域的计算机上运行 Get-AttachmentFilterEntry cmdlet,必须为您使用的帐户委派 Exchange 仅查看管理员角色。
若要在安装了边缘传输服务器角色的计算机上运行 Get-AttachmentFilterEntry cmdlet,必须使用作为该计算机上的本地 Administrators 组成员的帐户进行登录。
有关管理 Exchange 2007 所需的权限、角色委派以及权利的详细信息,请参阅权限注意事项。
如果附件符合上述筛选条件之一,则可以配置对附件执行下列操作之一:
阻止整个邮件和附件 可以阻止与附件筛选器匹配的附件及其整个电子邮件传入邮件系统。如果阻止了附件和电子邮件,则发件人将收到发送状态通知 (DSN) 邮件,表明邮件中包含无法接受的附件文件名。
剥离附件但是允许邮件通过 可以删除与附件筛选器匹配的附件,但是允许电子邮件以及其他任何与筛选器不匹配的附件通过。如果附件被剥离,则会将其替换为文本文件,解释删除该附件的原因。此操作为默认设置。
自动删除邮件和附件 可以阻止与附件筛选器匹配的附件及其整个电子邮件传入邮件系统。如果阻止了附件和电子邮件,则发件人和收件人均不会收到通知。
.gif "Caution")
警告:无法检索被阻止的电子邮件和附件或被剥离的附件。在配置附件筛选器时,请确保认真检查所有可能的文件名匹配项,并确认筛选器不会影响合法的附件。
有关详细信息,请参阅如何配置附件筛选。
使用 Forefront Security for Exchange Server 进行文件筛选
Forefront Security for Exchange Server 提供的文件筛选功能中包括一些在 Exchange Server 2007 标准版附带的默认附件筛选代理中所没有的高级功能。
例如,可以扫描容器文件(即包含其他文件的文件)是否存在冲突文件类型。Forefront Security for Exchange Server 筛选可以扫描下列容器文件并可操作嵌入文件:
PKZip (.zip)
GNU Zip (.gzip)
自解压缩 ZIP 存档
Zip 文件 (.zip)
Java 存档 (.jar)
TNEF (winmail.dat)
结构化存储(.doc, .xls, .ppt 等)
MIME (.eml)
SMIME (.eml)
UUEncode (.uue)
Unix 磁带存档 (.tar)
RAR 存档 (.rar)
MACBinary (.bin)
| 注意: |
|---|
| Exchange 2007 标准版附带的默认附件筛选器代理可以检测文件类型,即使这些文件经过重命名也无妨。通过对压缩的 Zip 或 LZH 文件中的文件执行文件扩展名匹配,附件筛选还可以确保压缩的 Zip 和 LZH 文件中不包含被阻止的附件。Forefront Security for Exchange Server 文件筛选还具有其他功能,可以确定是否在容器文件中对被阻止的附件进行了重命名。 |
您还可以按文件大小筛选文件。另外,可以将 Forefront Security for Exchange Server 配置为隔离筛选的文件或基于文件筛选器匹配发送电子邮件通知。
有关详细信息,请参阅 使用 Microsoft Forefront Security for Exchange Server 保护 Microsoft Exchange 组织。
在组织中实施强密码
大多数用户通过在键盘上键入其用户名和密码的组合来登录到他们的本地计算机和远程计算机。尽管对于所有流行的操作系统存在替代的身份验证技术(如生物测定、智能卡和一次性密码),大多数组织仍依赖传统的密码并将在未来几年继续如此。因此,组织为其计算机定义和实施密码策略会非常重要。这包括要求使用强密码。强密码满足几个对于复杂性的要求,使密码对于攻击者来说更难确定。在这些要求中有对密码长度和字符类别的要求。通过为组织建立强密码策略,可以帮助防止攻击者扮演用户,从而帮助防止丢失、泄露或损坏敏感信息。
有关详细信息,请参阅 在整个组织中实现强密码使用。
结合 Windows 用户名和 SMTP 地址
默认情况下,为用户创建邮箱时,该用户的结果 SMTP 地址是 username@contoso.com,其中 username 是 Windows 用户帐户名称。
为用户新建一个 SMTP 地址是一个最佳做法,可对 Windows 用户名进行模糊处理,使恶意用户无法识别。
例如,考虑对用户 Kweku Ako-Adjei 使用 Windows 用户名 KwekuA。为了对 Windows 用户名进行模糊处理,管理员可创建一个 Kweku.Ako-Adjei@contoso.com 的 SMTP 地址。
使用单独的 SMTP 地址并不被认为是一种非常强的安全措施。但是,它确实给可能尝试通过使用某个已知用户名攻入您的组织中的恶意用户创建了又一道障碍。
有关如何为现有用户添加 SMTP 地址的详细信息,请参阅如何创建电子邮件地址策略。
管理客户端访问安全性
客户端访问服务器角色提供对 Microsoft Outlook Web Access、Microsoft Exchange ActiveSync、Outlook Anywhere、邮局协议版本 3 (POP3) 和 Internet 邮件访问协议版本 4rev1 (IMAP4) 的访问。此外,它还支持自动发现服务和可用性服务。每个协议和服务都具有唯一的安全性需求。
管理身份验证
对于客户端访问服务器角色,可以执行的与安全性相关的最重要任务之一是配置身份验证的方法。客户端访问服务器角色与默认的自行签署式数字证书一起安装。数字证书具有两项功能:
验证其所有者是他们所声明的人或产品。
保护联机交换数据免受盗窃或篡改。
虽然 Exchange ActiveSync 和 Outlook Web Access 支持默认的、自签名证书,但此证书不是最安全的身份验证方法。此外,Outlook Anywhere 不支持该证书。对于其他安全性,请考虑将 Exchange 2007 客户端访问服务器配置为使用来自第三方商业证书颁发机构 (CA) 或受信任的 Windows 公钥基础结构 (PKI) CA 的受信任证书。可以单独为 Exchange ActiveSync、Outlook Web Access、Outlook Anywhere、POP3 和 IMAP4 配置身份验证。
有关如何配置身份验证的详细信息,请参阅以下主题:
增强客户端访问服务器和其他服务器之间通信的安全性
对客户端和 Exchange 2007 服务器之间通信的安全性进行优化之后,必须优化组织中 Exchange 2007 服务器和其他服务器之间通信的安全性。默认情况下,客户端访问服务器与其他服务器(例如安装了邮箱服务器角色的 Exchange 2007 服务器、域控制器和全局编录服务器)之间的 HTTP、Exchange ActiveSync、POP3 和 IMAP4 通信进行了加密。
有关如何管理客户端访问服务器的各个组件安全性的详细信息,请参阅以下主题:
本指南涵盖的内容
了解域安全性
Exchange 2007 包含一个名称为“域安全性”的新功能集。域安全性是指 Exchange 2007 和 Outlook 2007 中的功能集,它提供一种成本相对较低的备选安全解决方案,可代替 S/MIME 或其他邮件级安全解决方案。域安全性功能集的目的是为管理员提供一种管理与业务伙伴的受保护 Internet 邮件路径的方法。配置了这些受保护的邮件路径后,由通过身份验证的发件人发送并成功地经由受保护的路径传递的邮件在 Outlook 和 Outlook Web Access 界面中对用户显示为“域安全”。
域安全性使用具有相互身份验证的传输层安全性 (TLS) 提供基于会话的身份验证和加密。具有相互身份验证的 TLS 与通常实现的 TLS 不同。通常,实现 TLS 时,客户端通过验证服务器的证书来验证连接是否安全连接到了预期的服务器。这是 TLS 协商的一部分。在此方案中,客户端在传输数据前对服务器进行身份验证。但是,服务器不对与客户端的会话进行身份验证。
使用相互 TLS 身份验证,每个服务器通过验证其他服务器提供的证书来验证与该其他服务器的连接。在此方案中,邮件通过在 Exchange 2007 环境中已验证的连接从外部域中接收,Outlook 2007 将显示“域安全”图标。
有关如何在组织中规划和部署域安全性的详细信息,请参阅白皮书:Exchange 2007 中的域安全性。
本指南涵盖的内容
保护 Exchange 数据路径
默认情况下,几乎 Exchange 2007 使用的所有数据路径都受保护。此部分提供关于 Exchange 2007 所使用的所有数据路径的端口、身份验证和加密的详细信息。每个表后面的“注释”部分解释或定义非标准的身份验证方法或加密方法。
传输服务器
下表提供集线器传输服务器和边缘传输服务器之间以及与其他 Exchange 2007 服务器和服务之间的数据路径的端口、身份验证和加密的有关信息。
传输服务器的数据路径
| 数据路径 | 所需端口 | 默认身份验证 | 支持的身份验证 | 是否支持加密? | 默认是否加密? |
|---|---|---|---|---|---|
集线器传输服务器到集线器传输服务器 |
25/TCP(安全套接字层 [SSL])、587/TCP (SSL) |
Kerberos |
Kerberos |
是 (TLS) |
是 |
集线器传输服务器到边缘传输服务器 |
25/TCP (SSL) |
直接信任 |
直接信任 |
是 (TLS) |
是 |
边缘传输服务器到集线器传输服务器 |
25/TCP (SSL) |
直接信任 |
直接信任 |
是 (TLS) |
是 |
边缘传输服务器到边缘传输服务器 |
25/TCP (SSL)、389/TCP/UDP 和 80/TCP(证书身份验证) |
匿名、证书 |
匿名、证书 |
是 (TLS) |
否 |
邮箱服务器到集线器传输服务器(通过 Microsoft Exchange 邮件提交服务) |
135/TCP (RPC) |
NTLM。如果使用(本地)服务帐户连接,则使用 Kerberos。 |
NTLM/Kerberos |
是(RPC 加密) |
是 |
集线器传输服务器到邮箱服务器(通过 MAPI) |
135/TCP (RPC) |
NTLM。如果使用(本地)服务帐户连接,则使用 Kerberos。 |
NTLM/Kerberos |
是(RPC 加密) |
是 |
Microsoft Exchange EdgeSync 服务 |
50636/TCP (SSL)、50389/TCP(无 SSL) |
基本 |
基本 |
是 (LDAPS) |
是 |
边缘传输服务器上的 Active Directory 应用程序模式 (ADAM) 目录服务 |
50389/TCP(无 SSL) |
NTLM/Kerberos |
NTLM/Kerberos |
否 |
否 |
从集线器传输服务器进行 Active Directory 目录服务访问 |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是(Kerberos 加密) |
是 |
有关传输服务器的注释
集线器传输服务器之间的所有通信均使用具有自签名证书的 TLS 进行加密,默认情况下通过 Exchange 2007 Setup 安装这些证书。
边缘传输服务器与集线器传输服务器之间的所有通信均进行身份验证并加密。身份验证和加密的基础机制是相互 TLS。Exchange 2007 使用直接信任(而不是使用 X.509 验证)来验证证书。直接信任意味着 Active Directory 或 ADAM 中存在证书即证明证书有效。Active Directory 被视为受信任的存储机制。使用直接信任时,证书是自签名还是由证书颁发机构签名并不重要。将边缘传输服务器订阅到 Exchange 组织时,边缘订阅将在 Active Directory 中发布边缘传输服务器证书,以便集线器传输服务器进行验证。Microsoft Exchange EdgeSync 服务使用集线器传输服务器证书集更新 ADAM,以便边缘传输服务器进行验证。
默认情况下,不同组织中的边缘传输服务器之间的通信将进行加密。默认情况下,Exchange 2007 Setup 创建一个自签名证书,并启用 TLS。这样,任何发送系统都可以对 Microsoft Exchange 的入站 SMTP 会话进行加密。在默认情况下,Exchange 2007 还会尝试对所有远程连接使用 TLS。
当集线器传输服务器角色和邮箱服务器角色位于同一台计算机上时,对集线器传输服务器与邮箱服务器之间的通信的身份验证方法将有所不同。如果是本地邮件提交,则使用 Kerberos 身份验证。如果是远程邮件提交,则使用 NTLM 身份验证。
Exchange 2007 还支持域安全性。域安全性是指 Exchange 2007 和 Outlook 2007 中的功能集,它提供一种成本较低的备选安全解决方案,可代替 S/MIME 或其他邮件级 Internet 安全解决方案。域安全性功能集的目的是为管理员提供一种管理域之间受保护的 Internet 邮件路径的方法。配置了这些受保护的邮件路径后,由通过身份验证的发件人发送并成功地经由受保护的路径传递的邮件在 Outlook 和 Outlook Web Access 界面中对用户显示为“域安全”。有关详细信息,请参阅规划域安全性。
许多代理可以在集线器传输服务器和边缘传输服务器上运行。通常,反垃圾邮件代理依赖于运行代理的计算机上的本地信息。因此,几乎不需要与远程计算机进行通信。收件人筛选除外。收件人筛选要求调用 ADAM 或 Active Directory。最好在边缘传输服务器上运行收件人筛选。在这种情况下,ADAM 目录与边缘传输服务器位于同一台计算机上,不需要进行任何远程通信。在集线器传输服务器上安装并配置了收件人筛选后,收件人筛选将访问 Active Directory。
协议分析代理供 Exchange 2007 中的发件人信誉功能使用。此代理还与外部代理服务器建立各种连接,以确定入站邮件路径中的可疑连接。
所有其他反垃圾邮件功能只使用本地计算机上收集、存储和访问的数据。通常,使用 Microsoft Exchange EdgeSync 服务将数据(例如用于收件人筛选的安全列表聚合或收件人数据)推送到本地 ADAM 目录。
日记和邮件分类在集线器传输服务器上进行,依赖于 Active Directory 数据执行操作。
邮箱服务器
在邮箱服务器角色的上下文中,身份验证是 NTLM 或 Kerberos 取决于 Exchange 业务逻辑层消费者运行所在的用户或进程上下文。在该上下文中,消费者是使用 Exchange 业务逻辑层的任何应用程序或进程。在本节中“邮箱服务器数据路径”表的许多“默认身份验证”单元格中,列出的身份验证为“NTLM/Kerberos”。
Exchange 业务逻辑层用于访问 Exchange 存储并与其进行通信。众所周知,Exchange 业务逻辑层也用于从 Exchange 存储与外部应用程序和进程进行通信。
如果 Exchange 业务逻辑层使用者使用“本地系统”帐户运行,从使用者到 Exchange 存储的身份验证方法始终是 Kerberos。使用 Kerberos 的原因是,必须使用计算机帐户“本地系统”对使用者进行身份验证,并且必须存在已通过双向身份验证的信任。
如果 Exchange 业务逻辑层使用者不是使用“本地系统”帐户运行,则身份验证方法是 NTLM。例如,如果管理员运行使用 Exchange 业务逻辑层的 Exchange 命令行管理程序 cmdlet,则使用 NTLM。
RPC 通信始终会进行加密。
下表提供与邮箱服务器之间的数据路径的端口、身份验证和加密的有关信息。
邮箱服务器的数据路径
| 数据路径 | 所需端口 | 默认身份验证 | 支持的身份验证 | 是否支持加密? | 默认是否加密? |
|---|---|---|---|---|---|
日志传送(本地连续复制和群集连续复制) |
445/随机端口(种子设定) |
NTLM/Kerberos |
NTLM/Kerberos |
是 (IPsec) |
否 |
卷影复制服务 (VSS) 备份 |
本地消息块 (SMB) |
NTLM/Kerberos |
NTLM/Kerberos |
否 |
否 |
旧版备份/种子设定 |
随机端口 |
NTLM/Kerberos |
NTLM/Kerberos |
是 (IPsec) |
否 |
群集 |
135 /TCP (RPC),请参阅此表后面的“与邮箱服务器有关的注释” |
NTLM/Kerberos |
NTLM/Kerberos |
是 (IPsec) |
否 |
MAPI 访问 |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是(RPC 加密) |
是 |
邮箱助理 (Mailbox Assistants) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
否 |
否 |
可用性 Web 服务(对邮箱的客户端访问) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是(RPC 加密) |
是 |
Active Directory 访问 |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是(Kerberos 加密) |
是 |
内容索引 |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是(RPC 加密) |
是 |
管理远程访问(远程注册表) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是 (IPsec) |
否 |
管理远程访问 (SMB/文件) |
445/TCP (SMB) |
NTLM/Kerberos |
NTLM/Kerberos |
是 (IPsec) |
否 |
收件人更新服务 RPC 访问 |
135/TCP (RPC) |
Kerberos |
Kerberos |
是(RPC 加密) |
是 |
Microsoft Exchange Active Directory 拓扑服务访问 |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是(RPC 加密) |
是 |
Microsoft Exchange 系统助理服务旧版访问(侦听请求) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
否 |
否 |
对 Active Directory 的 Microsoft Exchange 系统助理服务旧版访问 |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是(Kerberos 加密) |
是 |
Microsoft Exchange 系统助理服务旧版访问(作为 MAPI 客户端) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是(RPC 加密) |
是 |
访问 Active Directory 的脱机通讯簿 (OAB) |
135/TCP (RPC) |
Kerberos |
Kerberos |
是(RPC 加密) |
是 |
对 Active Directory 的收件人更新 |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是(Kerberos 加密) |
是 |
对 Active Directory 的目录服务访问 |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是(Kerberos 加密) |
是 |
访问脱机通讯簿 (OAB) 的 Outlook |
80/TCP、443/TCP (SSL) |
NTLM/Kerberos |
NTLM/Kerberos |
是 (HTTPS) |
否 |
WebDav |
80/TCP、443/TCP (SSL) |
基本、NTLM、协商 |
基本、NTLM、协商 |
是 (HTTPS) |
是 |
有关邮箱服务器的注释
对于列出了“协商”的 HTTP 身份验证,先尝试使用 Kerberos,然后再尝试使用 NTLM。
对于节点内通信,群集节点通过用户报协议 (UDP) 端口 3343 进行通信。群集中的每个节点定期与群集中的每个其他节点交换顺序的单播 UDP 数据报。此交换的目的是确定所有节点是否正常运行并监视网络链接的运行状况。
尽管 WebDav 应用程序或客户端可以使用 80/TCP 或 443/TCP 连接到邮箱服务器,但在在大多数情况下,应用程序或客户端连接到客户端访问服务器。然后,客户端访问服务器通过 80/TCP 或 443/TCP 连接到邮箱服务器。
本节的“邮箱服务器数据路径”表中列出的群集数据路径使用动态 RPC (TCP) 在不同的群集节点之间传送群集状态和活动。群集服务 (ClusSvc.exe) 还使用 UDP/3343 以及随机分配的高位 TCP 端口在群集节点之间进行通信。
客户端访问服务器
除非特别说明,否则,客户端访问技术(例如 Office Outlook Web Access、POP3 或 IMAP4)将通过从客户端应用程序到客户端访问服务器的身份验证和加密进行描述。
下表提供客户端访问服务器与其他服务器和客户端之间的数据路径的端口、身份验证和加密的有关信息。
客户端访问服务器的数据路径
| 数据路径 | 所需端口 | 默认身份验证 | 支持的身份验证 | 是否支持加密? | 默认是否加密? |
|---|---|---|---|---|---|
自动发现服务 (Autodiscover service) |
80/TCP、443/TCP (SSL) |
基本/集成 Windows 身份验证(协商) |
基本、摘要式、NTLM、协商 (Kerberos) |
是 (HTTPS) |
是 |
可用性服务 (Availability service) |
80/TCP、443/TCP (SSL) |
NTLM/Kerberos |
NTLM/Kerberos |
是 (HTTPS) |
是 |
Outlook Web Access |
80/TCP、443/TCP (SSL) |
基于表单的身份验证 |
基本、摘要式、基于表单的身份验证、NTLM(仅限 v2)、Kerberos、证书 |
是 (HTTPS) |
是,使用自签名证书 |
POP3 |
110/TCP (TLS)、995/TCP (SSL) |
基本、NTLM、Kerberos |
基本、NTLM、Kerberos |
是(SSL、TLS) |
是 |
IMAP4 |
143/TCP (TLS)、993/TCP (SSL) |
基本、NTLM、Kerberos |
基本、NTLM、Kerberos |
是(SSL、TLS) |
是 |
Outlook Anywhere(以前称为 RPC over HTTP) |
80/TCP、443/TCP (SSL) |
基本 |
基本或 NTLM |
是 (HTTPS) |
是 |
Exchange ActiveSync 应用程序 |
80/TCP、443/TCP (SSL) |
基本 |
基本、证书 |
是 (HTTPS) |
是 |
客户端访问服务器到统一消息服务器 |
5060/TCP、5061/TCP、5062/TCP、动态端口 |
按 IP 地址 |
按 IP 地址 |
是(SIP [会话初始协议] over TLS) |
是 |
客户端访问服务器到运行早期版本的 Exchange Server 的邮箱服务器 |
80/TCP、443/TCP (SSL) |
NTLM/Kerberos |
协商(可回退到 NTLM 或可选的基本身份验证的 Kerberos)、POP/IMAP 纯文本 |
是 (IPsec) |
否 |
客户端访问服务器到 Exchange 2007 邮箱服务器 |
RPC。请参阅此表后面的“有关客户端访问服务器的注释”。 |
Kerberos |
NTLM/Kerberos |
是(RPC 加密) |
是 |
客户端访问服务器到客户端访问服务器 (Exchange ActiveSync) |
80/TCP、443/TCP (SSL) |
Kerberos |
Kerberos、证书 |
是 (HTTPS) |
是,使用自签名证书 |
客户端访问服务器到客户端访问服务器 (Outlook Web Access) |
80/TCP、443/TCP (SSL) |
Kerberos |
Kerberos |
是 (HTTPS) |
是 |
WebDAV |
80/TCP、443/TCP (SSL) |
HTTP 基本或 Outlook Web Access 基于表单的身份验证 |
基本、Outlook Web Access 基于表单的身份验证 |
是 (HTTPS) |
是 |
有关客户端访问服务器的注释
客户端访问服务器使用许多端口与邮箱服务器进行通信。不同的是,由 RPC 服务确定这些端口,并且不是固定的。
对于列出了“协商”的 HTTP 身份验证,先尝试使用 Kerberos,然后再尝试使用 NTLM。
当 Exchange 2007 客户端访问服务器与运行 Exchange Server 2003 的邮箱服务器进行通信时,最好使用 Kerberos 并禁用 NTLM 身份验证和基本身份验证。此外,最好将 Outlook Web Access 配置为使用受信任的证书进行基于表单的身份验证。对于通过 Exchange 2007 客户端访问服务器与 Exchange 2003 后端服务器进行通信的 Exchange ActiveSync 客户端,必须在 Exchange 2003 后端服务器上的 Microsoft-Server-ActiveSync 虚拟目录上启用集成的 Windows 身份验证。若要在 Exchange 2003 服务器上使用 Exchange 系统管理器在 Exchange 2003 虚拟目录上管理身份验证,请下载并安装 Microsoft 知识库文章 937301(当移动设备连接到 Exchange 2007 服务器以访问 Exchange 2003 后端服务器上的邮箱时,就会将事件 ID 记录到运行 CAS 角色的 Exchange 2007 服务器上)中引用的修补程序。
有关详细信息,请参阅管理客户端访问安全性。
统一消息服务器
IP 网关只支持基于证书的身份验证,该身份验证对会话初始协议 (SIP)/TCP 连接使用 Mutual-TLS 和基于 IP 的身份验证。IP 网关不支持 NTLM 或 Kerberos 身份验证。因此,在使用基于 IP 的身份验证时,将使用连接的 IP 地址为未加密 (TCP) 连接提供身份验证机制。在统一消息中使用基于 IP 的身份验证时,统一消息服务器将验证是否允许连接该 IP 地址。在 IP 网关或 IP PBX 上配置该 IP 地址。
下表提供统一消息服务器与其他服务器之间的数据路径的端口、身份验证和加密的有关信息。
统一消息服务器的数据路径
| 数据路径 | 所需端口 | 默认身份验证 | 支持的身份验证 | 是否支持加密? | 默认是否加密? |
|---|---|---|---|---|---|
统一消息传真 |
5060/TCP、5061/TCP、5062/TCP、动态端口 |
按 IP 地址 |
按 IP 地址 |
SIP over TLS,但是媒体不进行加密 |
是(对于 SIP) |
统一消息电话交互 (PBX) |
5060/TCP、5061/TCP、5062/TCP、动态端口 |
按 IP 地址 |
按 IP 地址 |
SIP over TLS,但是媒体不进行加密 |
是(对于 SIP) |
统一消息 Web 服务 |
80/TCP、443/TCP (SSL) |
集成 Windows 身份验证(协商) |
基本、摘要式、NTLM、协商 (Kerberos) |
是 (SSL) |
是 |
统一消息服务器到集线器传输服务器 |
25/TCP (SSL) |
Kerberos |
Kerberos |
是 (TLS) |
是 |
统一消息服务器到邮箱服务器 |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是(RPC 加密) |
是 |
有关统一消息服务器的注释
在 Active Directory 中创建统一消息 (UM) IP 网关对象时,必须定义物理 IP 网关或 IP PBX(专用交换机)的 IP 地址。为 UM IP 网关对象定义 IP 地址后,该 IP 地址将添加到允许统一消息服务器与其进行通信的有效 IP 网关的列表中。在创建 UM IP 网关时,该网关与 UM 拨号计划关联。通过将 UM IP 网关与某个拨号计划关联,与该拨号计划关联的统一消息服务器可以使用基于 IP 的身份验证与该 IP网关进行通信。如果尚未创建 UM IP 网关,或 UM IP 网关未配置为使用正确的 IP 地址,则身份验证将失败,统一消息服务器不接受来自该 IP 网关的 IP 地址的连接。
使用 Exchange 2007 的正式发布 (RTM) 版本,统一消息服务器可以在端口 5060/TCP(该端口未受保护)上进行通信,或在端口 5061/TCP(该端口已受保护)上进行通信,但无法在这两个端口上同时进行通信。使用 Exchange 2007 Service Pack 1 (SP1),统一消息服务器可同时监听端口 5060/TCP 和端口 5061/TCP。
有关详细信息,请参阅了解统一消息 VoIP 安全性和 了解统一消息中的协议、端口和服务。
本指南涵盖的内容
使用安全配置向导保护 Windows Exchange Server 角色
此部分介绍如何通过禁用 Exchange 2007 服务器角色所需的 Windows 功能,使用安全配置向导 (SCW) 最小化服务器受攻击的可能性。
使用安全配置向导
Exchange 2007 为每个 Exchange 2007 服务器角色提供一个 SCW 模板。通过将此模板与 SCW 一起使用,可以配置 Windows 操作系统来锁定每个 Exchange 服务器角色不需要的服务和端口。运行 SCW 时,将针对您的环境创建自定义安全策略。可以将自定义策略应用于组织中的所有 Exchange 服务器。可以使用 SCW 配置以下功能:
服务器角色 SCW 使用服务器角色信息在本地防火墙中启用服务和打开端口。
客户端功能 服务器还充当其他服务器的客户端。只选择您的环境所需的客户端功能。
管理选项 选择您的环境所需的选项,例如备份和错误报告。
服务 选择服务器所需的服务,并为策略未指定的服务设置启动模式。未指定的服务不会被安装在所选服务器上,并且不会在安全配置数据库中列出。应用您配置的安全策略的服务器所运行的服务可能不同于创建策略的服务器。可以通过选择策略设置来确定在应用此策略的服务器上发现未指定的服务时要执行的操作。可以将该操作设置为不更改服务的启动模式或设置为禁用服务。
网络安全性 选择要为每个网络接口打开的端口。可以根据本地网络接口或远程 IP 地址和子网来限制对端口的访问。
注册表设置 使用注册表设置来配置用于与其他计算机进行通信的协议。
审核策略 审核策略确定记录的成功事件和失败事件以及审核的文件系统对象。
使用 Exchange Server 2007 SCW 模板
安装 Exchange 服务器角色之后,请使用 SCW 执行下列步骤来配置安全策略:
安装 SCW。
注册 SCW 扩展。
创建自定义安全策略并将策略应用于本地服务器。
如果组织中有多个 Exchange 服务器都在运行某个给定角色,可以将自定义安全策略应用于每个 Exchange 服务器。
以下几部分介绍上述每个步骤的过程。
若要执行下列步骤,必须为您使用的帐户委派下列角色:
- Exchange Server 管理员角色和目标服务器的本地 Administrators 组
若要在安装了边缘传输服务器角色的计算机上执行以下步骤,必须使用作为该计算机上的本地 Administrators 组成员的帐户进行登录。
有关管理 Exchange 2007 所需的权限、角色委派以及权利的详细信息,请参阅权限注意事项。
安装安全配置向导
必须使用 SCW 在要应用 SCW 安全策略的每个 Exchange 2007 服务器上执行此步骤。
安装安全配置向导
在“控制面板”中,单击“添加或删除程序”。
单击“添加/删除 Windows 组件”以启动“Windows 组件向导”。
在“Windows 组件”对话框中,选中“安全配置向导”复选框,再单击“下一步”。
等待安装完成,再单击“完成”。
若要在执行此步骤之后打开 SCW,请单击“开始”,再指向“所有程序”,再指向“管理工具”,然后单击“安全配置向导”。
注册 Exchange Server 角色 SCW 扩展
Exchange Server 角色扩展允许您使用 SCW 创建每个 Microsoft Exchange 服务器角色所需的特定于功能的安全策略。扩展随 Exchange 2007 一起提供,并且在创建自定义安全策略之前必须进行注册。
必须在您希望对其应用 SCW 安全策略的每个 Exchange 2007 服务器上执行注册过程。对于各种 Exchange 2007 服务器角色,都需要这两个扩展文件。对于邮箱、集线器传输、统一消息和客户端访问服务器角色,请注册 Exchange2007.xml 扩展文件。对于边缘传输服务器角色,需要注册 Exchange2007Edge.xml 扩展文件。
| 注意: |
|---|
| Exchange 2007 SCW 扩展文件位于 %Exchange%\Scripts 目录中。默认的 Exchange 安装目录是 Program Files\Microsoft\Exchange Server。如果在服务器安装期间选择了自定义目录位置,该目录位置可能将有所不同。 |
.gif "important") 要点: |
|---|
| 如果在自定义安装目录中安装了 Exchange 2007,SCW 注册仍起作用。但是,若要启用 SCW,您必须执行手动解决方法才能识别自定义安装目录。有关详细信息,请参阅 Microsoft 知识库文章 896742,在 Windows Server 2003 SP1 中运行安全配置向导后,Outlook 用户可能无法连接到其帐户。 |
在运行邮箱服务器角色、集线器传输服务器角色、统一消息服务器角色或客户端访问服务器角色的计算机上注册安全配置向导扩展
打开命令提示符窗口。键入以下命令,以使用 SCW 命令行工具向本地安全配置数据库注册 Exchange 2007 扩展:
scwcmd register /kbname:Ex2007KB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007.xml"若要确认该命令已经成功完成,可以查看位于 %windir%\security\msscw\logs 目录中的 SCWRegistrar_log.xml 文件。
在运行边缘传输服务器角色的计算机上注册安全配置向导扩展
打开命令提示符窗口。键入以下命令,以使用 SCW 命令行工具向本地安全配置数据库注册 Exchange 2007 扩展:
scwcmd register /kbname:Ex2007EdgeKB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\ Exchange2007Edge.xml"若要确认该命令已经成功完成,可以查看位于 %windir%\security\msscw\logs 目录中的 SCWRegistrar_log.xml 文件。
新建 Exchange Server 角色 SCW 策略
使用此步骤可以为特定环境创建自定义的安全策略。创建自定义策略之后,可以使用该策略将相同的安全级别应用于组织中运行相同服务器角色的每个 Exchange 2007 服务器。
| 注意: |
|---|
| 以下过程中的某些步骤并不会为安全配置向导中的所有页面提供特定配置详细信息。这些情况下,如果您不确信要启用哪些服务或功能,我们建议您保持默认选择。与 Exchange 2007 帮助文件中的所有内容一样,关于如何将 SCW 与 Exchange 2007 一起使用的大多数最新信息都可以在 Exchange Server TechCenter上找到。 |
使用安全配置向导创建自定义安全策略
单击“开始”,指向“所有程序”,再指向“管理工具”,然后单击“安全配置向导”启动该工具。在欢迎屏幕上单击“下一步”。
在“配置操作”页上,选择“新建安全策略”,然后单击“下一步”。
在“选择服务器”页上,验证“服务器(使用 DNS 名称、NetBIOS 名称或 IP 地址):”字段中出现的服务器名称是否正确。单击“下一步”。
在“正在处理安全配置数据库”页上,等待进度条完成,然后单击“下一步”。
在“基于角色的服务配置”页上,单击“下一步”。
在“选择服务器角色”页上,选择已安装在计算机上的 Exchange 2007 角色,再单击“下一步”。
在“选择客户端功能”页上,选择在 Exchange 服务器上需要的每个客户端功能,再单击“下一步”。
在“选择管理和其他选项”页上,选择在 Exchange 服务器上需要的每个管理功能,再单击“下一步”。
在“选择其他服务”页上,选择需要在 Exchange 服务器上启用的每个服务,再单击“下一步”。
在“处理未指定的服务”页上,选择发现当前未安装在本地服务器上的服务时要执行的操作。可以通过选择“不更改此服务的启动模式”选择不执行任何操作,也可以通过选择“禁用此服务”选择自动禁用服务。单击“下一步”。
在“确认服务更改”页上,复查此策略将对当前服务配置进行的更改。单击“下一步”。
在“网络安全”页上,验证未选中“跳过这一部分”,再单击“下一步”。
如果在边缘传输服务器上运行 SCW,则在“打开端口并允许应用程序”页上,必须添加两个与 Active Directory 应用程序模式 (ADAM) 进行 LDAP 通信的端口。
单击“添加”。在“添加端口或应用程序”页上,在“端口号:”字段中,输入 50389。选中 TCP 复选框,然后单击“确定”。
单击“添加”。在“添加端口或应用程序”页上的“端口号:”字段中输入 50636。选中 TCP 复选框,然后单击“确定”。
(仅适用于边缘传输服务器)在“打开端口并允许应用程序”页上,必须为每个网络适配器配置端口。
选择“端口 25”,再单击“高级”。在“端口限制”页上,单击“本地接口限制”选项卡。选择“通过下列本地接口:”,同时选中内部网络适配器和外部网络适配器复选框,再单击“确定”。
选择“端口 50389”,再单击“高级”。在“端口限制”页上,单击“本地接口限制”选项卡。选择“通过下列本地接口:”,只选中内部网络适配器复选框,再单击“确定”。
选择“端口 50636”,再单击“高级”。在“端口限制”页上,单击“本地接口限制”选项卡。选择“通过下列本地接口:”,只选中内部网络适配器复选框,再单击“确定”。
注意:还可以为每个端口配置远程地址限制。 在“打开端口并允许应用程序”页上,单击“下一步”。
在“确认端口配置”页上,验证传入端口配置正确无误,再单击“下一步”。
在“注册表设置”页上,选中“跳过这一部分”复选框,再单击“下一步”。
在“审核策略”页上,选中“跳过这一部分”复选框,再单击“下一步”。
在“Internet 信息服务(IIS)”页上,选中“跳过这一部分”复选框,再单击“下一步”。
在“保存安全策略”页上,单击“下一步”。
在“安全策略文件名”页上,输入安全策略的文件名和可选的说明。单击“下一步”。如果应用策略之后需要重新启动服务器,将出现对话框。单击“确定”关闭对话框。
在“应用安全策略”页上,选择“稍后应用”或“立即应用”,再单击“下一步”。
在“完成安全配置向导”页面上,单击“完成”。
如何将现有 SCW 策略应用于 Exchange Server 角色
已创建策略之后,接着可以将它应用到组织中运行相同角色的多台计算机。
使用安全配置向导应用现有的策略
单击“开始”,指向“所有程序”,再指向“管理工具”,然后单击“安全配置向导”启动该工具。在欢迎屏幕上单击“下一步”。
在“配置操作”页面上,选择“应用现有的安全策略”。单击“浏览”,选择策略的 XML 文件,然后单击“打开”。单击“下一步”。
在“选择服务器”页上,验证“服务器(使用 DNS 名称、NetBIOS 名称或 IP 地址):”字段中出现的服务器名称是否正确。单击“下一步”。
在“应用安全策略”页面上,如果要查看策略详细信息,则单击“查看安全策略”,然后单击“下一步”。
在“应用安全策略”页面上,等待进度条指示“应用完成”,然后单击“下一步”。
在“完成安全配置向导”页面上,单击“完成”。
本指南涵盖的内容
附录 1:由 Exchange 2007 SCW 注册文件启用的服务和端口可执行文件
安全配置向导 (SCW) 使用 XML 注册文件帮助您配置 Windows 操作系统,以对其他应用程序进行操作。SCW 使用的注册文件定义操作特定应用程序所需的安全配置。安全配置至少要定义特定应用程序所需的服务和端口。
本主题说明当您使用默认的 Exchange 2007 注册文件运行 SCW 时,为每个 Exchange 2007 服务器角色启用的服务和端口。
注册文件
Exchange 2007 包含两个 SCW 注册文件。常规 Exchange 2007 注册文件,称为 Exchange2007.xml。它为除边缘传输服务器角色以外的所有 Microsoft Exchange 服务器角色定义安全配置。适用于边缘传输服务器角色的注册文件,称为 Exchange2007Edge.xml。它为边缘传输服务器定义安全配置。
安装 Exchange 2007 时,注册文件安装在 %Programfiles%\Microsoft\Exchange Server\Scripts 目录下。
启用的服务将服务启动值设置为“自动”或“手动”。
启用的端口指定 Windows 防火墙信任的可执行文件,以为特定应用程序打开端口。
SCW 使用的 Exchange 2007 注册文件按端口执行文件的默认位置指定这些文件。大多数情况下,默认位置在 %Programfiles%\Microsoft\Exchange Server\bin 下。如果已将 Exchange 安装到了另一个位置,则必须在 Exchange 2007 注册文件的 <端口> 部分编辑 <路径> 值,从而指出正确的安装位置。
邮箱服务器角色
Exchange 2007 注册文件 (Exchange2007.xml) 为邮箱服务器角色启用下列服务。
Microsoft 搜索 (Exchange Server) 服务和 Microsoft Exchange 监视都设置为手动启动。所有其他服务都设置为自动启动。
| 服务简短名称 | 服务名 |
|---|---|
MSExchangeIS |
Microsoft Exchange 信息存储 |
MSExchangeADTopology |
Microsoft Exchange Active Directory 拓扑 |
MSExchangeRepl |
Microsoft Exchange 复制服务 |
MSExchangeMailboxAssistants |
Microsoft Exchange 邮箱助理 (Microsoft Exchange Mailbox Assistants) |
MSExchangeSearch |
Microsoft Exchange 搜索索引器 |
MSExchangeServiceHost |
Microsoft Exchange 服务托管 |
MSExchangeMonitoring |
Microsoft Exchange 监视 |
MSExchangeSA |
Microsoft Exchange 系统助理 |
MSExchangeMailSubmission |
Microsoft Exchange 邮件提交服务 |
msftesql-Exchange |
Microsoft 搜索 (Exchange Server) |
启用下列端口。
| 端口名 | 关联的可执行文件 |
|---|---|
MSExchangeADTopologyPorts |
MSExchangeADTopologyService.exe |
MSExchangeISPorts |
Store.exe |
MSExchangeReplPorts |
Microsoft.Exchange.Cluster.ReplayService.exe |
MSExchangeMailboxAssistantsPorts |
MSExchangeMailboxAssistants.exe |
MSExchangeSearchPorts |
Microsoft.Exchange.Search.ExSearch.exe |
MSExchangeServiceHostPorts |
Microsoft.Exchange.ServiceHost.exe |
MSExchangeMonitoringPorts |
Microsoft.Exchange.Monitoring.exe |
MSExchangeSAPorts |
Mad.exe |
MSExchangeMailSubmissionPorts |
MSExchangeMailSubmission.exe |
msftesql-ExchangePorts |
Msftesql.exe |
MSExchangeTransportLogSearchPorts |
MSExchangeTransportLogSearch.exe |
群集邮箱服务器角色
在本主题上文“邮箱服务器角色”部分介绍的在邮箱服务器角色上启用的服务和端口也会在群集邮箱服务器角色上启用。
此外,Microsoft 群集服务设置为自动启动。
| 服务简短名称 | 服务名 |
|---|---|
ClusSvc |
Microsoft 群集服务 |
还会启用下列端口。
| 注意: |
|---|
| 特定于群集的可执行文件的默认路径是 %windir%\Cluster。Powershell.exe 的默认路径是 %windir%\system32\windowspowershell\v1.0。 |
| 端口名 | 关联的可执行文件 |
|---|---|
ExSetupPorts |
ExSetup.exe |
clussvcPorts |
Clussvc.exe |
CluAdminPorts |
CluAdmin.exe |
resrcmonPorts |
Resrcmon.exe |
msftefdPorts |
Msftefd.exe |
powershellPorts |
Powershell.exe |
集线器传输服务器角色
Exchange 2007 注册文件 (Exchange2007.xml) 为集线器传输服务器角色启用下列服务。
Microsoft Exchange 监视设置为手动启动。所有其他服务都设置为自动启动。
| 服务简短名称 | 服务名 |
|---|---|
MSExchangeADTopology |
Microsoft Exchange Active Directory 拓扑服务 |
MSExchangeTransport |
Microsoft Exchange 传输服务 |
MSExchangeAntispamUpdate |
Microsoft Exchange 反垃圾邮件更新服务 |
MSExchangeEdgeSync |
Microsoft Exchange EdgeSync 服务 |
MSExchangeTransportLogSearch |
Microsoft Exchange 传输日志搜索服务 |
MSExchangeMonitoring |
Microsoft Exchange 监视 |
启用下列端口。
| 端口名 | 关联的可执行文件 |
|---|---|
MSExchangeADTopologyPorts |
MSExchangeADTopologyService.exe |
MSExchangeTransportPorts |
MSExchangeTransport.exe |
EdgeTransportPorts |
EdgeTransport.exe |
MSExchangeAntispamUpdatePorts |
Microsoft.Exchange.AntispamUpdateSvc.exe |
MSExchangeEdgeSyncPorts |
Microsoft.Exchange.EdgeSyncSvc.exe |
MSExchangeTransportLogSearchPorts |
MSExchangeTransportLogSearch.exe |
MSExchangeMonitoringPorts |
Microsoft.Exchange.Monitoring.exe |
边缘传输服务器角色
注册文件为边缘传输服务器角色 (Exchange2007Edge.xml) 启用下列服务。
Microsoft Exchange 监视和 Microsoft Exchange 传输日志搜索服务设置为手动启动。所有其他服务都设置为自动启动。
| 服务简短名称 | 服务名 |
|---|---|
MSExchangeTransport |
Microsoft Exchange 传输服务 |
MSExchangeAntispamUpdate |
Microsoft Exchange 反垃圾邮件更新服务 |
ADAM_MSExchange |
Microsoft Exchange ADAM |
EdgeCredentialSvc |
Microsoft Exchange 凭据服务 |
MSExchangeTransportLogSearch |
Microsoft Exchange 传输日志搜索服务 |
MSExchangeMonitoring |
Microsoft Exchange 监视 |
启用下列端口。
| 注意: |
|---|
| Dsadmin.exe 的默认路径是 %windir%\ADAM。 |
| 端口名 | 关联的可执行文件 |
|---|---|
MSExchangeTransportPorts |
MSExchangeTransport.exe |
EdgeTransportPorts |
EdgeTransport.exe |
MSExchangeAntispamUpdatePorts |
Microsoft.Exchange.AntispamUpdateSvc.exe |
ADAM_MSExchangePorts |
Dsamain.exe |
EdgeCredentialSvcPorts |
EdgeCredentialSvc.exe |
MSExchangeTransportLogSearchPorts |
MSExchangeTransportLogSearch.exe |
MSExchangeMonitoringPorts |
Microsoft.Exchange.Monitoring.exe |
客户端访问服务器角色
Exchange 2007 注册文件 (Exchange2007.xml) 为客户端访问服务器角色启用下列服务。
Microsoft Exchange 监视、Microsoft Exchange POP3 服务和 Microsoft Exchange IMAP4 服务设置为手动启动。所有其他服务都设置为自动启动。
| 服务简短名称 | 服务名 |
|---|---|
MSExchangeADTopology |
Microsoft Exchange Active Directory 拓扑服务 |
MSExchangePOP3 |
Microsoft Exchange POP3 服务 |
MSExchangeIMAP4 |
Microsoft Exchange IMAP4 服务 |
MSExchangeFDS |
Microsoft Exchange 文件分发服务 |
MSExchangeServiceHost |
Microsoft Exchange 服务托管 |
MSExchangeMonitoring |
Microsoft Exchange 监视 |
启用下列端口。
| 注意: |
|---|
| Pop3Service.exe 和 Imap4Service.exe 文件的默认路径是 %Programfiles%\Microsoft\Exchange Server\ClientAccess\PopImap。 |
| 端口名 | 关联的可执行文件 |
|---|---|
MSExchangeADTopologyPorts |
MSExchangeADTopologyService.exe |
MSExchangePOP3Ports |
Microsoft.Exchange.Pop3Service.exe |
MSExchangeIMAP4Ports |
Microsoft.Exchange.Imap4Service.exe |
MSExchangeFDSPorts |
MSExchangeFDS.exe |
MSExchangeServiceHostPorts |
Microsoft.Exchange.ServiceHost.exe |
MSExchangeMonitoringPorts |
Microsoft.Exchange.Monitoring.exe |
统一消息服务器角色
Exchange 2007 注册文件 (Exchange2007.xml) 为统一消息服务器角色启用下列服务。
Microsoft Exchange 监视设置为手动启动。所有其他服务都设置为自动启动。
| 服务名 | 友好名称 |
|---|---|
MSExchangeADTopology |
Microsoft Exchange Active Directory 拓扑服务 |
MSSpeechService |
Microsoft Exchange 路由引擎 |
MSExchangeUM |
Microsoft Exchange 统一消息 |
MSExchangeFDS |
Microsoft Exchange 文件分发服务 |
MSExchangeMonitoring |
Microsoft Exchange 监视 |
启用下列端口。
| 注意: |
|---|
| SpeechService.exe 文件的默认路径是 %Programfiles%\Microsoft\Exchange Server\UnifiedMessaging。 |
| 端口名 | 关联的可执行文件 |
|---|---|
MSExchangeADTopologyPorts |
MSExchangeADTopologyService.exe |
MSSPorts |
SpeechService.exe |
MSExchangeUMPorts |
umservice.exe |
UMWorkerProcessPorts |
UMWorkerProcess.exe |
MSExchangeFDSPorts |
MSExchangeFDS.exe |
MSExchangeMonitoringPorts |
Microsoft.Exchange.Monitoring.exe |
本指南涵盖的内容
附录 2:其他与安全相关的 Exchange 文档
本部分包含到其他与安全相关的 Exchange 文档的链接。有关与安全相关的内容的最新列表,请参阅安全和保护。
反垃圾邮件和防病毒功能
客户端身份验证和访问安全性
Microsoft Office Outlook Web Access
Outlook Anywhere
POP3 和 IMAP4
权限
保护邮件流
本指南涵盖的内容