Exchange Server 2003 seguro de forma predeterminada: Actualización desde Exchange 2000 Server

Última modificación del tema: 2006-10-31

Al actualizar desde Exchange 2000 a Exchange 2003, ForestPrep de Exchange 2003 y el programa de instalación de Exchange 2003 configuran la mayoría de las opciones "seguras de forma predeterminada" que se implementan con las nuevas instalaciones de Exchange 2003. En este tema se explica qué opciones de seguridad se configuran automáticamente durante una actualización y cuáles deben configurarse manualmente.

Límite de los mensajes

Uno de los ataques más efectivos de denegación de servicio se produce cuando se inunda un sistema de mensajería con mensajes grandes (de más de 20 MB). Este tipo de ataque obliga al servidor de mensajería a mover grandes bloques de datos, lo que puede afectar a la entrada y salida (E/S) de un equipo hasta el punto de que el servicio de correo puede retrasarse o verse interrumpido.

Como respuesta a este tipo de ataque, Exchange 2003 establece todos los límites de mensajes en 10 MB (10240 KB). Esto incluye los mensajes enviados desde la organización de Exchange y recibidos por dicha organización. Además, se impone un límite de tamaño de 10 MB para todos los mensajes publicados en carpetas públicas.

Durante una actualización, el programa de instalación de Exchange no cambia los límites que ya se hayan establecido. El programa de instalación de Exchange sólo impone estas opciones si los límites se han establecido como Sin límite.

Para configurar las opciones de envío y recepción de mensajes, en el Administrador del sistema de Exchange, utilice la ficha Valores predeterminados de las propiedades Entrega global de mensajes.

Para configurar las opciones de tamaño máximo de los mensajes para las carpetas públicas, en el Administrador del sistema de Exchange, utilice la ficha Límites de las propiedades de Almacén de carpetas públicas.

Exchange 2003 también ofrece límites de mensajes para MIME. Estos límites también se imponen cuando se realiza la actualización a Exchange 2003. En la tabla siguiente se describen estas opciones.

Límites de MIME

Servicios

El programa de instalación de Exchange 2003 no realiza ningún cambio en la configuración existente de los servicios. Se recomienda encarecidamente que aplique las plantillas de seguridad de Directiva de grupo para Exchange o que configure los servicios según la función del servidor.

Outlook Mobile Access

La opción para habilitar la funcionalidad de Outlook Mobile Access se configura al ejecutar ForestPrep de Exchange 2003. De manera predeterminada, ForestPrep de Exchange 2003 no habilita Outlook Mobile Access. Sin embargo, durante una actualización, si Outlook Mobile Access ya está habilitado, ForestPrep de Exchange 2003 no lo deshabilita.

Unidad M:

Durante una actualización desde Exchange 2000, el programa de instalación de Exchange 2003 quita la unidad M:.

Autenticación de servidor virtual

Durante una actualización desde Exchange 2000, el programa de instalación de Exchange 2003 refuerza algunas instancias de servidor virtual de POP3, IMAP4 y NNTP.

Servidores virtuales POP3 e IMAP4

Al actualizar un equipo con Exchange 2000 que está configurado como servidor de aplicaciones para usuario, el programa de instalación de Exchange 2003 deshabilita el acceso anónimo y habilita la autenticación Básica en los servidores virtuales POP3 e IMAP4. Si va a actualizar un servidor de servicios de fondo, las instancias de servidor virtual no se modifican.

Servidores virtuales NNTP

Durante una actualización, el programa de instalación de Exchange 2003 modifica las instancias predeterminadas de los servidores virtuales NNTP. En concreto, se deshabilita la autenticación anónima, y se habilitan la autenticación Básica y de Windows integrada Los servidores virtuales no predeterminados (las instancias de servidor virtual que el programa de instalación no crea) no se modifican durante la actualización. Si creó nuevas instancias de servidor virtual NNTP, asegúrese de que se requiera la autenticación apropiada.

Acceso local denegado para usuarios del dominio

En Exchange 2003, los miembros del grupo Usuarios del dominio no pueden iniciar sesión localmente en el servidor de Exchange. Durante una actualización, el programa de instalación de Exchange 2003 configura la directiva de equipo local para denegar el acceso local al grupo Usuarios del dominio.

Creación de carpetas públicas de nivel superior

En Exchange 2003, los miembros del grupo Todos y los usuarios anónimos no pueden crear una jerarquía de carpetas públicas de nivel superior. Durante una actualización, ForestPrep de Exchange 2003 configura esta opción de control de acceso.

Configuración del control de acceso

Tanto en el caso de actualizaciones como de instalaciones nuevas, el programa de instalación de Exchange 2003 aplica listas de control de acceso (ACL) a los directorios que crea de acuerdo con las ACL explícitas que hay establecidas en el directorio Archivos de programa. Si usted u otro administrador modificó las ACL predeterminadas del directorio Archivos de programa, el programa de instalación de Exchange 2003 aplicará esa modificación a la mayoría de los directorios creados durante la instalación. Aparte de los cambios explícitos, los directorios se bloquean. Sin embargo, independientemente de las ACL explícitas que pueda tener en el directorio Archivos de programa, el programa de instalación de Exchange configura el directorio Mailroot (que se encuentra en \Archivos de programa\Exchsrvr) de forma que se quita el acceso de la cuenta Invitado y el acceso anónimo.

Se recomienda encarecidamente que configure el control de acceso en los directorios de Exchange. Para obtener información acerca de cómo configurar el control de acceso en los directorios de Exchange, consulte Reforzamiento de los servidores de servicios de fondo.