Reforzamiento de los servidores de aplicaciones para usuario

  • Artículo

 

Última modificación del tema: 2006-01-05

El reforzamiento de los servidores de aplicaciones para usuario de Exchange es similar al del servidor de servicios de fondo, con el paso opcional (pero recomendado) de configurar y ejecutar URLScan en los servidores HTTP de aplicaciones para usuario.

Existen seis áreas generales de configuración para reforzar los servidores de aplicaciones para usuario:

  • Reforzar los servicios
    Muchos servicios no se utilizan, pero están habilitados de manera predeterminada y deben deshabilitarse si la funcionalidad correspondiente no es necesaria.

  • Reforzar las listas de control de acceso (ACL) a archivos
    La configuración de la ACL de archivos para los servidores de aplicaciones para usuario es idéntica a la de los servidores de servicios de fondo.

  • Habilitar servicios adicionales (opcional)
    Habilite los servicios adicionales de aplicaciones para usuario que sean necesarios para su organización.

  • Ejecutar URLScan (opcional, pero recomendado)
    Si bien la ejecución de URLScan no es necesaria para que los servicios funcionen, se recomienda encarecidamente como mecanismo para reforzar aún más los servidores HTTP de aplicaciones para usuario.

  • Desmontar el almacén del buzón y eliminar el almacén de carpetas públicas (opcional, pero recomendado)
    En el caso de los servidores de aplicaciones para usuario que no sean SMTP, puede desmontar y eliminar estos almacenes.

    Nota

    Si piensa eliminar el almacén de carpetas públicas, debe eliminarlo antes de aplicar las directivas de seguridad de Exchange de forma que los cambios puedan replicarse a los demás servidores de Exchange.

La aplicación de la plantilla de seguridad Exchange_2003-Frontend_V1_1.inf (disponible en el Centro de descarga Microsoft) a los servidores de aplicaciones para usuario es el mecanismo más eficiente para realizar las configuraciones de reforzamiento que se describen en esta sección. Además, después de aplicar la plantilla Exchange_2003-Frontend_V1_1.inf, puede utilizar las plantillas de seguridad específicas del protocolo para habilitar los servicios apropiados.

Para obtener información acerca de cómo implementar las plantillas de seguridad de Directiva de grupo para Exchange, consulte "Implementación de las plantillas de seguridad de Directiva de grupo para Exchange".

Antes de empezar

Antes de empezar a reforzar los servidores de aplicaciones para usuario de su organización, tenga en cuenta lo siguiente:

  • Exchange 2003 incluye las aplicaciones siguientes:
    • Outlook Web Access
    • Outlook Mobile Access
    • Exchange Server ActiveSync®
      Estas aplicaciones permiten a los usuarios tener acceso a información de Exchange desde sus equipos personales o dispositivos móviles. Todas estas aplicaciones utilizan una combinación del Protocolo de transferencia de hipertexto (HTTP) y WebDAV. De manera predeterminada, Outlook Web Access y Exchange Server ActiveSync están habilitadas. Outlook Mobile Access también se instala de manera predeterminada, pero el servicio está deshabilitado en las instalaciones nuevas de Exchange 2003.
  • Los clientes POP3 e IMAP4 también pueden utilizar servidores de aplicaciones para usuario con el fin de tener acceso a los buzones. En estos casos, también utilizan un servidor de aplicaciones para usuario como puerta de enlace SMTP.
  • El uso de un servidor de seguridad como Internet Security and Acceleration (ISA) Server 2004 para regular el acceso para el tráfico de protocolo HTTP, RPC a través de HTTP, POP3 e IMAP4 es un pilar esencial para conseguir un sistema de mensajería más seguro. Para obtener información acerca de cómo implementar ISA 2004 con Exchange 2003, consulte Using ISA Server 2000 with Exchange Server 2003 (en inglés). Para obtener información acerca de cómo implementar ISA 2004 con Exchange 2003, consulte Using ISA Server 2004 with Exchange Server 2003 (en inglés).
  • Se recomienda que aísle el servidor ISA en una red perimetral (también conocida como DMZ, zona desmilitarizada y subred filtrada), permitiendo únicamente los puertos esenciales de su organización. El servidor de aplicaciones para usuario de Exchange puede comunicarse entonces libremente con todos los servicios de Windows y de Exchange a través de IPSec. Para obtener una lista de puertos que Exchange 2003 puede utilizar, consulte "Puertos utilizados en Exchange Server 2003".
  • La herramienta de bloqueo de IIS (IISlockd.exe) sólo es necesaria para Windows 2000 Server. En Windows Server 2003, la herramienta de bloqueo de IIS forma parte de Servicios de Internet Information Server (IIS). Si utiliza Exchange 2003 en un servidor donde se ejecute Windows 2000, consulte en Microsoft Knowledge Base el artículo "XADM: Known Issues and Fine Tuning When You Use the IIS Lockdown Wizard in an Exchange 2000 Environment".
  • Se recomienda utilizar Secure Sockets Layer (SSL) y autenticación de cookies para Outlook Web Access. SSL ayuda a mantener la confidencialidad al cifrar el tráfico de mensajes entre el cliente y Exchange 2003. La autenticación de cookies mejora la seguridad al establecer un tiempo de espera para las conexiones inactivas que no son del dominio y obligar al usuario a volver a autenticarse tras un periodo de inactividad. Para obtener más información acerca de la autenticación de cookies, consulte la Guía de administración de Exchange Server 2003.