Guida alla protezione di Exchange 2007

 

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2007-09-17

In passato, per ciascuna versione di Microsoft Exchange Server, il team di Exchange ha pubblicato singole guide relative alla protezione avanzata con informazioni sulla protezione e sulle autorizzazioni. Questo approccio era utile per bloccare servizi e directory dopo l'esecuzione del programma di installazione di Exchange. Tuttavia, in Microsoft Exchange Server 2007, con l'installazione basata sul ruolo del server, Microsoft Exchange abilita solo quei servizi richiesti dal ruolo del server che viene installato. Microsoft Exchange non viene più installato e in seguito dotato di protezione avanzata. È progettato per essere sicuro per impostazione predefinita.

Pertanto, a differenza delle versioni precedenti di Exchange Server dove gli amministratori IT dovevano eseguire diverse procedure per bloccare i server che eseguivano Exchange Server, Exchange 2007 non richiede alcun blocco o protezione avanzata.

Informazioni contenute in questa Guida

Questa Guida è stata scritta per l'amministratore IT responsabile della protezione della distribuzione di Exchange 2007. È stata progettata per aiutare l'amministratore IT a comprendere e gestire l'ambiente di protezione globale in cui è installato Exchange. In questa Guida sono incluse le seguenti informazioni:

  • Ciclo di vita dello sviluppo della protezione di Exchange 2007   In questa sezione viene fornita una breve descrizione di come è stato sviluppato Exchange 2007.

  • Procedure consigliate   In questa sezione vengono illustrate le procedure consigliate per l'impostazione e la gestione di un ambiente sicuro per Exchange 2007.

  • Protezione dei percorsi dei dati di Exchange   In questa sezione vengono illustrate le specifiche relative all'autenticazione e alla crittografia per tutti i percorsi dei dati e i percorsi delle comunicazioni di rete utilizzati da Exchange 2007.

  • Utilizzo della Configurazione guidata impostazioni di sicurezza per proteggere Windows per i ruoli server di Exchange   In questa sezione vengono fornite istruzioni su come abilitare Exchange 2007 per la Configurazione guidata impostazioni di sicurezza Windows (SCW).

  • Appendice 1: Eseguibili di porte e servizi abilitati dai file di registrazione della Configurazione guidata impostazioni di protezione di Exchange 2007   In questa appendice vengono fornite informazioni sui servizi e sugli eseguibili associati alle porte abilitati dai file di registrazione SCW di Exchange 2007.

  • Appendice 2: Documentazione aggiuntiva relativa alla protezione di Exchange   In questa appendice vengono forniti i puntatori verso una documentazione aggiuntiva relativa alla protezione di Exchange.

Ciclo di vita dello sviluppo della protezione di Exchange 2007

Nel 2002, Microsoft ha introdotto l'iniziativa Trustworthy Computing. Da quando è stata introdotta questa iniziativa, il processo di sviluppo presso Microsoft e presso il team di Exchange Server è stato incentrato sullo sviluppo di software sicuro per impostazione predefinita. Per ulteriori informazioni, vedere la pagina relativa a Trustworthy Computing (informazioni in lingua inglese).

In Exchange 2007, Trustworthy Computing è stata implementata in quattro aree principali:

  • Secure by design   Exchange 2007 è un concetto che è stato progettato e sviluppato in conformità con il ciclo di vita dello sviluppo della protezione di Trustworthy Computing (informazioni in lingua inglese). Il primo passo nella creazione di un sistema di messaggistica più sicuro era quello di progettare modelli delle minacce e di testare ciascuna funzionalità così come era stata progettata. Ulteriori miglioramenti relativi alla protezione venivano apportati durante il processo e le procedure di codifica. Inoltre degli appositi strumenti in fase di creazione rilevavano sovraccarichi del buffer e altre potenziali minacce alla protezione prima che il codice venisse verificato nel prodotto finale. Naturalmente, è impossibile progettare un prodotto che sia al sicuro da tutte le possibili minacce alla protezione. Nessun sistema può garantire una protezione completa. Tuttavia, includendo sicuri principi di progettazione nell'intero processo di progettazione, Exchange 2007 risulta più sicuro rispetto alle versioni precedenti.

  • Secure by default   Uno degli obiettivi di Exchange 2007 era lo sviluppo di un sistema in cui la maggior parte delle comunicazioni di rete erano crittografate per impostazione predefinita. Fatta eccezione per le comunicazioni cluster Server Message Block (SMB) e per alcune comunicazioni di messaggistica unificata (UM), questo obiettivo è stato raggiunto. Utilizzando certificati autofirmati, il protocollo Kerberos, Secure Sockets Layer (SSL) e altre tecniche di crittografia basate sullo standard di settore, quasi tutti i dati di Exchange 2007 presenti nella rete sono protetti. Inoltre, l'installazione basata sui ruoli rende possibile installare Exchange 2007 in modo che solo i servizi e le autorizzazioni relative a tali servizi vengano installati con un ruolo del server specifico e appropriato. Nelle versioni precedenti di Exchange Server, dovevano essere installati tutti i servizi per tutte le funzionalità. 

    Nota

    Per crittografare le comunicazioni SMB e UM deve essere distribuito il protocollo IPsec (Internet Protocol Security). Le versioni future di questa Guida potrebbero includere informazioni relative a come crittografare le comunicazioni SMB e UM.

  • Funzionalità antivirus e di protezione da posta desiderata   Exchange 2007 include un insieme di agenti protezione posta desiderata che vengono eseguiti sulla rete perimetrale. La funzionalità antivirus è stata ulteriormente migliorata con l'aggiunta di Microsoft Forefront Security per Exchange Server come soluzione Microsoft.

  • Secure in deployment   Quando Exchange 2007 è stato sviluppato, la versione non definitiva del software è stata distribuita nell'ambiente di produzione IT di Microsoft. In base ai dati ricavati da questa distribuzione, lo strumento Microsoft Exchange Best Practice Analyzer è stato aggiornato per eseguire l'analisi di configurazioni di protezione reali e nella Guida di Exchange 2007 sono state incluse informazioni relative alle procedure consigliate per la pre e post distribuzione. 

    In passato, la gestione delle autorizzazioni veniva documentata e le informazioni venivano inviate dopo che la documentazione principale del prodotto veniva completata. Tuttavia, la gestione delle autorizzazioni come ben si sa non è un processo aggiuntivo. Dovrebbe essere inserita nella pianificazione globale e nelle fasi di sviluppo della distribuzione di Exchange 2007. Pertanto, la documentazione sulle autorizzazioni è stata resa più chiara e integrata alla documentazione principale per fornire agli amministratori un contesto informativo continuo per la pianificazione e distribuzione del loro modello amministrativo.

  • Communications   Ora che è avvenuto il rilascio di Exchange 2007, il team di Exchange si impegna a mantenere il software aggiornato e a tenere informati gli utenti. Mantenendo aggiornato il proprio sistema con Microsoft Update, è possibile verificare che nell'organizzazione vengano installati gli ultimi aggiornamenti relativi alla protezione. Exchange 2007 include anche aggiornamenti relativi alla protezione da posta indesiderata. Inoltre, effettuando la sottoscrizione alle notifiche tecniche di protezione Microsoft (informazioni in lingua inglese), è possibile essere aggiornati riguardo gli ultimi problemi relativi alla protezione in Exchange 2007.

Informazioni contenute in questa Guida

Procedure consigliate

Si prenda in considerazione alcune procedure consigliate che saranno di aiuto nella creazione e gestione di un ambiente più sicuro. Generalmente, il modo più efficace per ottimizzare l'ambiente di Exchange 2007 relativamente alla protezione è mantenere aggiornati il software e i file delle firme antivirus ed eseguire periodicamente gli strumenti di analisi. 

In questa sezione vengono descritte alcune procedure consigliate per rendere sicuro l'ambiente di Exchange 2007.

Creare un ambiente sicuro

Microsoft mette a disposizione i seguenti strumenti che consentono di creare un ambiente sicuro. Prima di installare Exchange 2007 eseguire gli strumenti riportati di seguito:

  • Microsoft Update

  • Exchange Best Practices Analyzer

  • Microsoft Baseline Security Analyzer

  • Lo strumento Internet Information Services (IIS) Lockdown e URLScan, solo per gli ambienti in cui viene eseguito Windows Server 2003 in seguito all'aggiornamento da Windows 2000 Server.

  • I modelli di Exchange per Configurazione guidata impostazioni di sicurezza (SCW)

Microsoft Update

Microsoft Update è un nuovo servizio che offre gli stessi download di Windows Update e inoltre gli ultimi aggiornamenti per altri programmi Microsoft. Consente di mantenere più sicuro il e di ottenere migliori prestazioni.

Una funzionalità chiave di Microsoft è Aggiornamenti automatici Windows. Questa funzionalità consente di installare automaticamente gli aggiornamenti con priorità elevata che si rivelano critici per la protezione e l'affidabilità del computer. Senza questi aggiornamenti relativi alla protezione, il computer risulta maggiormente vulnerabile ad attacchi portati da pirati informatici e da software dannoso (malware).

Il modo più affidabile per ricevere gli aggiornamenti di Microsoft Update è fare in modo che questi vengano inviati automaticamente al proprio computer utilizzando Aggiornamenti automatici Windows. È possibile attivare gli aggiornamenti informatici quando si effettua la sottoscrizione a Microsoft Update.

Windows eseguirà l'analisi del software Microsoft installato nel computer per rilevare se sono richiesti aggiornamenti con priorità elevata attuali o già resi disponibili, quindi li scarica e li installa automaticamente. Dopo di che, ogni volta che ci si connette a Internet, Windows ripete questo processo per qualsiasi nuovo aggiornamento con priorità elevata.

Nota

Nel caso in cui si utilizzasse già Aggiornamenti automatici, Microsoft Update continuerà a funzionare nella maniera in cui è stato impostato.

Per abilitare Microsoft Update, vedere la pagina relativa a Microsoft Update (informazioni in lingua inglese). 

La modalità predefinita di Microsoft Update richiede che ciascun computer Exchange connesso a Internet riceva gli aggiornamenti automatici. Se sono in esecuzione server non connessi a Internet, è possibile installare Windows Server Update Services (WSUS) per gestire la distribuzione degli aggiornamenti sui computer presenti nell'organizzazione. In seguito è possibile configurare Microsoft Update sui computer Exchange Server interni per contattare il server WSUS interno al fine di ricevere gli aggiornamenti. Per ulteriori informazioni, vedere la pagina relativa a Microsoft Windows Server Update Services 3.0 (informazioni in lingua inglese). 

WSUS non è l'unica soluzione disponibile per la gestione di Microsoft Update. Per ulteriori informazioni su quale sia la soluzione per la gestione di Microsoft Update maggiormente adatta per soddisfare le proprie esigenze, vedere la pagina relativa al confronto tra MBSA, MU, WSUS, Essentials 2007 o SMS (informazioni in lingua inglese).

Aggiornamenti protezione da posta indesiderata

Exchange 2007 utilizza anche l'infrastruttura di Microsoft per mantenere aggiornati i filtri per la protezione da posta indesiderata. Per impostazione predefinita, con gli aggiornamenti manuali, l'amministratore deve visitare il sito Web di Microsoft Update per scaricare e installare gli aggiornamenti del filtro contenuto. I Dati di aggiornamento del filtro contenuto vengono aggiornati e possono essere scaricati ogni due settimane.

Gli aggiornamenti manuali di Microsoft Update non includono dati del servizio reputazione IP Microsoft o dati delle firme di posta indesiderata. I dati del servizio reputazione IP Microsoft e quelli relativi alle firme di posta indesiderata sono disponibili solo con gli aggiornamenti automatici per la protezione da posta indesiderata di Forefront Security per Exchange Server.

Nota

La funzionalità relativa agli aggiornamenti automatici per la protezione da posta indesiderata di Forefront è una funzionalità avanzata che richiede una licenza CAL (Client Access License) Enterprise di Exchange per ogni cassetta postale utente o una licenza Forefront Security per Exchange Server.

Per ulteriori informazioni su come abilitare gli aggiornamenti automatici per la protezione da posta indesiderata di Forefront, vedere Aggiornamenti protezione da posta indesiderata.

Microsoft Exchange Best Practices Analyzer

Exchange Best Practices Analyzer è uno degli strumenti più efficaci che possono essere eseguiti regolarmente per verificare che l'ambiente di Exchange sia sicuro. Exchange Best Practices Analyzer esamina automaticamente la distribuzione di Microsoft Exchange e stabilisce se la configurazione è impostata secondo le procedure consigliate di Microsoft. È possibile installare lo strumento Exchange Best Practices Analyzer su un computer client che esegue Microsoft .NET Framework 1.1. Con l'accesso di rete appropriato, Exchange Best Practices Analyzer esamina tutti i servizi directory di Active Directory e i server di Exchange.

Per ulteriori informazioni, incluse le procedure consigliate, vedere la sezione "Esecuzione di Exchange Best Practices Analyzer" più avanti in questa Guida e la pagina relativa a Microsoft Exchange Best Practices Analyzer v2.8 (informazioni in lingua inglese).

Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) è uno strumento che è stato progettato per i professionisti IT per aiutare le piccole e medie aziende a stabilire i relativo stato di protezione in conformità con i consigli per la protezione forniti da Microsoft. È possibile migliorare il processo di gestione della protezione utilizzando MBSA per rilevare configurazioni errate comuni relative alla protezione e aggiornamenti della protezione che risultano mancanti nei sistemi. 

È possibile scaricare lo strumento MBSA accedendo alla pagina relativa a Microsoft Baseline Security Analyzer (informazioni in lingua inglese).

Strumento IIS Lockdown e URLScan

Per impostazione predefinita, IIS versione 6.0 e IIS versione 7.0, che vengono installati rispettivamente con Windows Server e Windows Server 2008, dispongono di impostazioni di configurazione relative alla protezione che sono simili a quelle utilizzate dallo strumento IIS Lockdown. Pertanto, non è necessario eseguire lo strumento IIS Lockdown sui server Web che eseguono IIS versione 6.0 o IIS versione 7.0. Tuttavia, se si sta effettuando l'aggiornamento da una versione precedente di IIS a IIS versione 6.0 o IIS versione 7.0, si consiglia di eseguire lo strumento IIS Lockdown per migliorare la protezione del server Web. 

Si consiglia di non eseguire URLScan con IIS versione 6.0 o IIS versione 7.0 perché i rischi di ottenere configurazioni errate sono maggiori dei vantaggi offerti da URLScan.

Per ulteriori informazioni, vedere la pagina relativa a come utilizzareIISLockdown.exe (informazioni in lingua inglese).

Modelli di Exchange 2007 per la Configurazione guidata impostazioni di sicurezza

La Configurazione guidata impostazioni di sicurezza è uno strumento introdotto con Windows Server 2003 Service Pack 1. Utilizzare tale strumento per ridurre al minimo la superficie di attacco dei server disabilitando le funzionalità di Windows non richieste per i ruoli del server Exchange 2007. La Configurazione guidata impostazioni di protezione consente di automatizzare una maggiore protezione riducendo la superficie di attacco per il server. Inoltre, utilizza una metafora basata sul ruolo per richiedere servizi necessari per le applicazioni sul server. Questo strumento consente di ridurre la predisposizione degli ambienti Windows a offrire un punto di accesso a causa delle proprie vulnerabilità nella protezione.

Per ulteriori informazioni su come creare modelli di Exchange 2007 per SCW, vedere la sezione "Utilizzo della Configurazione guidata impostazioni di sicurezza per proteggere Windows per i ruoli server di Exchange" più avanti in questa Guida.

Mantenere sicuro l'ambiente

In questa sezione vengono fornite alcune procedure consigliate per mantenere sicuro l'ambiente di Exchange 2007.

Esecuzione di Exchange Best Practices Analyzer

Come indicato nella sezione precedente, Exchange Best Practices Analyzer è uno degli strumenti più efficaci che possono essere eseguiti regolarmente per verificare che l'ambiente di Exchange sia sicuro.

Per la maggior parte degli ambienti, si consiglia di eseguire Exchange Best Practices Analyzer almeno una volta al trimestre. Tuttavia, si consiglia di eseguirlo una vola al mese su tutti i server che eseguono Exchange Server.

Inoltre, è necessario eseguire Exchange Best Practices Analyzer negli scenari seguenti:

  • Ogni volta che si apportano modifiche significative alla configurazione a un server di Exchange. Ad esempio, è necessario eseguire lo strumento dopo che sono stati aggiunti o rimossi i connettori o dopo che è stata creata una connessione EdgeSync a un server Trasporto Edge.

  • Immediatamente dopo aver installato un nuovo ruolo del server di Exchange o aver rimosso un ruolo del server di Exchange.

  • Dopo aver installato un Service Pack di Windows o di Exchange Server.

  • Dopo aver installato un software di terze parti su un computer che esegue Microsoft Exchange.

Esecuzione del software antivirus

I virus, i worm e altri contenuti dannosi trasmessi dai sistemi di posta elettronica rappresentano una pericolosa realtà per molti amministratori di Microsoft Exchange. Di conseguenza è necessario sviluppare la distribuzione di un software antivirus per difendere tutti i sistemi di messaggistica. In questa sezione vengono fornite alcune procedure consigliate per lo sviluppo di software antivirus per Exchange 2007 e Microsoft Office Outlook 2007.

Per la scelta di un fornitore di software antivirus, è necessario prestare molta attenzione a due importanti modifiche in Exchange 2007:

  • Exchange 2007 è basato su un'architettura a 64 bit.

  • Come descritto più dettagliatamente in questo argomento, Exchange 2007 include funzionalità aggiuntive per l'agente di trasporto.

In ragione di queste due modifiche, i fornitori di programmi antivirus devono offrire software specifici per Exchange 2007. I software antivirus progettati per versioni precedenti di Exchange Server non funzioneranno correttamente con Exchange 2007.

Per utilizzare un approccio di difesa approfondito, si consiglia di distribuire il software antivirus progettato per sistemi di messaggistica a livello del gateway Simple Mail Transfer Protocol (SMTP) o a livello dei server di Exchange che ospitano le cassette postali, nonché sul desktop degli utenti.

Occorre decidere quale tipo di software antivirus utilizzare e dove distribuire tale software trovando un buon compromesso tra il costo che si intende tollerare e il rischio che si intende correre. Ad esempio, alcune organizzazioni eseguono il software antivirus per la messaggistica a livello del gateway SMTP, la ricerca di virus a livello dei file nel server di Exchange e il software antivirus per i client a livello del desktop degli utenti. Questo approccio offre una protezione specifica per la messaggistica a livello del gateway, una protezione generale a livello dei file nel server di posta e una protezione a livello del client. Altre organizzazioni possono tollerare costi maggiori e pertanto possono migliorare la protezione eseguendo software antivirus per la messaggistica a livello del gateway SMTP, la ricerca di virus a livello dei file nel server di Exchange e il software antivirus per i client a livello del desktop degli utenti insieme a software antivirus compatibile con Exchange Virus Scanning Application Programming Interface (VSAPI) 2.5 sul server Cassette postali di Exchange.

Esecuzione di software antivirus sui server Trasporto Edge e Trasporto Hub

La posizione più importante in cui eseguire software antivirus per la messaggistica è la prima linea di difesa dell'organizzazione. In Exchange 2007, questa linea è rappresenta dalla rete perimetrale del server Trasporto Edge.

Per contrastare gli attacchi da virus dall'interno dell'organizzazione o come seconda linea di difesa, è consigliabile eseguire software antivirus basato sul trasporto sui server Trasporto Hub all'interno dell'organizzazione.

In Exchange 2007 gli agenti agiscono sugli eventi di trasporto, in modo analogo ai sink di evento nelle precedenti versioni di Microsoft Exchange. Gli sviluppatori di terze parti possono creare agenti personalizzati per trarre il massimo vantaggio dal modulo di analisi MIME Exchange sottostante per una ricerca di virus affidabile a livello di trasporto.

Molti fornitori di software antivirus offrono agenti specifici per Exchange 2007 che si avvalgono del modulo di analisi MIME di trasporto di Exchange. Per ulteriori informazioni, contattare il proprio fornitore di software antivirus.

Inoltre Microsoft Forefront Security per Exchange Server include un agente antivirus di trasporto per Exchange 2007. Per ulteriori informazioni su come installare e configurare Forefront Security per l'agente antivirus di Exchange Server, vedere la pagina relativa alla protezione dell'organizzazione di Microsoft Exchange con Microsoft Forefront Security per Exchange Server (informazioni in lingua inglese).

Nota

Gli oggetti che non vengono instradati tramite il trasporto, ad esempio gli elementi presenti nelle cartelle pubbliche, la posta inviata e gli elementi del calendario che possono essere analizzati soltanto su un server Cassette postali, non vengono protetti dalla ricerca di virus per il solo trasporto.

Esecuzione di software antivirus su altri computer dell'organizzazione

È possibile eseguire la ricerca di virus a livello di file nelle seguenti due classi di computer:

  • Desktop utenti

  • Server

Oltre alla ricerca di virus a livello di file, è opportuno prendere in considerazione l'esecuzione di una soluzione Microsoft VSAPI sul server Cassette postali di Exchange.

Ricerca di virus sui desktop

Si consiglia vivamente che gli utenti eseguano l'ultima versione di Outlook. Eseguire client di posta elettronica non aggiornati sul desktop è un'operazione molto rischiosa a causa del comportamento del modello di oggetto e della gestione degli allegati che si verifica nei client di posta elettronica meno recenti. Per impostazione predefinita, pertanto, Microsoft Office Outlook 2003 e Office Outlook 2007 sono gli unici client MAPI dai quali Exchange 2007 accetta connessioni. Per ulteriori informazioni sui rischi associati all'esecuzione di versioni non aggiornate di client di posta elettronica, vedere Taking Steps to Secure Outlook (informazioni in lingua inglese).

Una volta eseguito l'aggiornamento a Outlook 2003 o Outlook 2007, verificare di aver installato un software antivirus a livello di file in tutti i desktop. Eseguire inoltre i seguenti passaggi:

  • Sviluppare un piano per assicurarsi che i file delle firme antivirus vengano aggiornati automaticamente in tutti i desktop.

  • Per contrastare efficacemente i virus, assicurarsi di sviluppare e mantenere nella propria organizzazione una soluzione di gestione dell'aggiornamento end-to-end.

Ricerca di virus sui server

Si prenda in considerazione di adottare un criterio generale che preveda la ricerca a livello di file in tutti i server e i desktop dell'organizzazione. Di conseguenza, in tutti i computer di Exchange Server dovrebbe essere eseguito un tipo di ricerca di virus a livello di file. Per ciascun ruolo del server, è necessario eseguire una configurazione aggiuntiva per la ricerca a livello di file per escludere directory, tipi di file e processi specifici. In particolare si consiglia di non eseguire mai software antivirus a livello di file sui database di archiviazione di Exchange. Per la procedura di configurazione specifica, vedere Ricerca di virus a livello di file in Exchange 2007.

Analisi del database delle cassette postali con VSAPI

Una soluzione di analisi con Microsoft Virus Scanning API (VSAPI) può costituire un importante livello di difesa per molte organizzazioni. È necessario prendere in considerazione l'esecuzione di una soluzione antivirus VSAPI se si verifica una delle seguenti condizioni:

  • Nell'organizzazione non è stata eseguita alcuna distribuzione completa e affidabile di un software antivirus.

  • L'organizzazione desidera adottare le misure di protezione aggiuntive fornite dalla scansione degli archivi.

  • L'organizzazione ha sviluppato applicazioni personalizzate che dispongono dell'accesso a livello di programmazione a un database di Exchange.

  • La propria community di utenti invia regolarmente messaggi nelle cartelle pubbliche.

Le soluzioni antivirus che utilizzano Exchange VSAPI vengono eseguite direttamente all'interno del processo dell'archivio informazioni di Exchange. Le soluzioni VSAPI sono probabilmente le uniche soluzioni per la protezione contro attacchi che mirano a inserire contenuto infetto all'interno dell'archivio informazioni di Exchange evitando l'analisi standard relativa al trasporto e ai client. Ad esempio, VSAPI è l'unica soluzione che analizza i dati inviati a un database da CDO (Collaboration Data Objects), WebDAV e dai servizi Web di Exchange.

Inoltre, quando si verifica un attacco da virus, una soluzione antivirus VSAPI offre spesso il modo più rapido per rimuovere ed eliminare virus da un archivio di posta infetto.

Per ulteriori informazioni su come eseguire Forefront Security per Exchange Server, che include un motore di analisi VSAPI, vedere la pagina relativa alla protezione dell'organizzazione di Microsoft Exchange con Microsoft Forefront Security per Exchange Server (informazioni in lingua inglese).

Utilizzo di Exchange Hosted Services

Il filtro protezione da posta indesiderata e virus è supportato o viene fornito come servizio da Microsoft Exchange Hosted Services. Exchange Hosted Services è una serie di quattro servizi ospitati diversi:

  • Hosted Filtering, che permette alle organizzazioni di proteggersi facilmente dal malware basato sulla posta elettronica

  • Hosted Archive, che permette di soddisfare i requisiti di mantenimento per la conformità

  • Hosted Encryption, che consente di crittografare facilmente i dati per mantenerne la riservatezza

  • Hosted Continuity, che permette di mantenere facilmente l'accesso alla posta elettronica durante e dopo le situazioni di emergenza

Questi servizi possono essere integrati con qualunque server Exchange su premessa gestito internamente o con servizi di posta elettronica ospitati di Exchange offerti attraverso provider di servizi. Per ulteriori informazioni su Exchange Hosted Services, vedere Microsoft Exchange Hosted Services.

Ulteriori informazioni sulle soluzioni antivirus

Per un white paper dettagliato relativo a come MSIT ha sviluppato una soluzione antivirus per server di Exchange 2007, vedere la pagina relativa alla protezione della messaggistica e del trasporto Edge per Microsoft Exchange Server 2007 (informazioni in lingua inglese).

Forefront Security per Exchange Server offre una soluzione antivirus basata sul motore di analisi per i ruoli del server di trasporto di Exchange e una soluzione VSAPI per il server Cassette postali di Exchange. Per le procedure consigliate su una soluzione antivirus end-to-end, vedere la pagina relativa alla protezione dell'organizzazione di Microsoft Exchange con Microsoft Forefront Security per Exchange Server (informazioni in lingua inglese).

Mantenere il software aggiornato

Come indicato in una sezione precedente, l'esecuzione di Microsoft è importante. Oltre a eseguire Microsoft Update su tutti i server, è anche molto importante mantenere aggiornati tutti i computer client e gestire gli aggiornamenti antivirus in tutti i computer dell'organizzazione.

Oltre al software Microsoft, è necessario eseguire gli ultimi aggiornamenti per tutto il software in esecuzione nell'organizzazione.

Blocco dei client Outlook legacy

Le versioni meno recenti di Outlook contenevano delle vulnerabilità che potevano aumentare potenzialmente la diffusione dei virus. Si consiglia di consentire a Exchange 2007 di accettare solo le connessioni MAPI provenienti da client Outlook 2007, Outlook 2003 e Outlook 2002. Limitando le versioni dei client Outlook che possono connettersi a Exchange, è possibile ridurre notelvomente il rischio di attacchi da virus o da malware. Si consiglia di ridurre e standardizzare le versioni del software in esecuzione nell'organizzazione.

Per ulteriori informazioni su come rimuovere l'accesso dei client Outlook a Exchange 2007, vedere L’accesso al server è consentito per tutte le versioni di Outlook.

Esecuzione del filtro degli allegati

In Exchange 2007, il filtro degli allegati consente di applicare i filtri a livello del server per controllare gli allegati ricevuti dagli utenti. L'applicazione del filtro agli allegati è sempre più importante nell'ambiente odierno, in cui molti allegati contengono virus dannosi o materiale inappropriato che potrebbe danneggiare seriamente il computer dell'utente o dell'intera organizzazione, danneggiando la documentazione importante o rendendo pubbliche informazioni riservate.

Nota

Si consiglia di non rimuovere gli allegati dai messaggi di posta elettronica con firma digitale, crittografati o protetti da diritti. Rimuovendo gli allegati da tali messaggi, verranno resi non validi i messaggi con firma digitale e i messaggi crittografati o protetti da diritti risulteranno illegibili.

Tipi di applicazione del filtro agli allegati in Exchange 2007

È possibile utilizzare i seguenti tipi di applicazione del filtro agli allegati per controllare gli allegati in entrata o in uscita dall'organizzazione:

  • Applicazione del filtro in base al nome file o all'estensione del nome file   È possibile applicare il filtro agli allegati specificando il nome file esatto o l'estensione del nome file da filtrare. Un esempio di applicazione del filtro a un nome file esatto è BadFilename.exe. Un esempio di applicazione del filtro all'estensione del nome file è *.exe.

  • Applicazione del filtro in base al tipo di contenuto MIME del file   È possibile applicare il filtro agli allegati specificando il tipo di contenuto MIME da filtrare. I tipi di contenuto MIME indicano la natura dell'allegato, se si tratta di un'immagine JPEG, di un file eseguibile, di un file Microsoft Office Excel 2003 o di qualche altro tipo di file. I tipi di contenuto sono rappresentati come type/subtype. Ad esempio, il tipo di contenuto dell'immagine JPEG è rappresentato come image/jpeg.

    Per visualizzare un elenco completo di tutte le estensioni dei nomi dei file e dei tipi di contenuto che possono essere filtrati dal filtro degli allegati, eseguire il comando riportato di seguito:

    Get-AttachmentFilterEntry | FL
    

    Per seguire il cmdlet Get-AttachmentFilterEntry su un computer appartenente a un dominio, è necessario utilizzare un account che disponga della delega del ruolo degli amministratori di Exchange con diritti di sola visualizzazione.

    Per eseguire il cmdlet Get-AttachmentFilterEntry in un computer in cui è installato il ruolo del server Trasporto Edge, è necessario accedere al sistema utilizzando un account che sia membro del gruppo Administrators locale del computer.

    Per ulteriori informazioni sulle autorizzazioni, sulla delega dei ruoli e sui diritti necessari per l'amministrazione di Exchange 2007, vedere Considerazioni sulle autorizzazioni.

Se un allegato corrisponde a uno di tali criteri di filtro, è possibile configurare una delle seguenti azioni da eseguire sull'allegato:

  • Blocco dell'intero messaggio e dell'allegato   Un allegato che corrisponde a un filtro degli allegati con l'intero messaggio di posta elettronica può essere bloccato e quindi non accedere al sistema di messaggistica. Se un allegato e il relativo messaggio di posta elettronica vengono bloccati, il mittente riceve un messaggio di notifica sullo stato del recapito (DSN, Delivery Status Notification) in cui viene comunicato che il messaggio contiene un allegato il cui nome file è inaccettabile.

  • Rimuovi allegato ma consenti messaggio   Un allegato che corrisponde a un filtro degli allegati può essere rimosso mentre è consentito il messaggio di posta elettronica e qualsiasi altro allegato che non corrisponde al filtro. Se l'allegato viene rimosso, sarà sostituito da un file di testo in cui vengono spiegati i motivi della rimozione. Si tratta dell'impostazione predefinita.

  • Elimina automaticamente l'intero messaggio e l'allegato   Un allegato che corrisponde a un filtro degli allegati con l'intero messaggio di posta elettronica può essere bloccato e quindi non accedere al sistema di messaggistica. Se l'allegato e il relativo messaggio di posta elettronica vengono bloccati, il mittente e il destinatario non riceveranno alcuna notifica.

    Avviso

    Non è possibile recuperare i messaggi di posta elettronica e gli allegati bloccati o gli allegati rimossi. Quando si configurano il filtri degli allegati, esaminare attentamente tutte le possibili corrispondenze dei nomi file e verificare che agli allegati legittimi non venga appplicato alcun filtro.

Per ulteriori informazioni, vedere Configurazione del filtro degli allegati.

Filtro dei file con Forefront Security for Exchange Server

Tuttavia, la funzionalità di filtro dei file fornita da Forefront Security per Exchange Server include funzionalità avanzate che non sono disponibili nell'agente di filtro degli allegati predefinito incluso in Exchange Server 2007 Standard Edition.

Ad esempio, i file contenitore, ossia file contenenti altri file, possono essere analizzati per individuare tipi di file non autorizzati. Il filtro di Forefront Security per Exchange Server può analizzare i seguenti file contenitore e agire sui file in essi contenuti:

  • PKZip (.zip)

  • GNU Zip (.gzip)

  • Archivi ZIP autoestraenti

  • File ZIP (.zip)

  • Archivio Java (.jar)

  • TNEF (winmail.dat)

  • Archiviazione strutturata (.doc, .xls, .ppt, ecc.)

  • MIME (.eml)

  • SMIME (.eml)

  • UUEncode (.uue)

  • Archivio su nastro Unix (.tar)

  • Archivio RAR (.rar)

  • MACBinary (.bin)

Nota

L'agente filtro allegati predefinito incluso in Exchange 2007 Standard Edition rileva i tipi di file anche se sono stati rinominati. Il filtro degli allegati inoltre assicura che i file con estensione ZIP e LZH compressi non contengano allegati bloccati eseguendo una corrispondenza dell'estensione del nome del file con i file contenuti nel file ZIP o LZH compresso. Il filtro del file di Forefront Security per Exchange Server dispone di un'altra funzionalità che consente di individuare se un allegato bloccato è stato rinominato in un file contenitore.

È inoltre possibile filtrare i file in base alle loro dimensioni. In aggiunta, è possibile configurare Forefront Security per Exchange Server per mettere in quarantena i file filtrati o per inviare notifiche tramite posta elettronica in base alle corrispondenze del filtro dei file.

Per ulteriori informazioni, vedere la pagina relativa alla protezione dell'organizzazione di Microsoft Exchange con Microsoft Forefront Security per Exchange Server (informazioni in lingua inglese).

Imposizione di password complesse all'interno dell'organizzazione

La maggior parte degli utenti effettua l'accesso al computer locale e ai computer remoti immettendo tramite tastiera i relativi nome utente e password. Sebbene siano disponibili per tutti i più comuni sistemi operativi tecnologie alternative per l'autenticazione, quali la biometria, le smartcard, e le password utilizzabili una sola volta, la maggior parte delle organizzazioni si affida ancora alle password tradizionali e continuerà ancora a farlo per gli anni a venire. Pertanto, è molto importante che le organizzazioni definiscano e impongano criteri relativi alle password per i loro computer. Ciò significa autorizzare l'uso di password complesse. Le password complesse soddisfano vari requisiti di complessità che le rendono più difficili da indovinare per l'autore di un attacco. Tra questi requisiti sono inclusi quelli relativi alla lunghezza della password e alle categorie di caratteri. Stabilendo criteri per le password complesse per la propria organizzazione, è possibile impedire che l'autore di un attacco si spacci per l'utente, consentendo in questo modo di impedire la perdita, la rivelazione o il danneggiamento di informazioni riservate.

Per ulteriori informazioni, vedere la pagina relativa all'imposizione dell'uso di password complesse nella propria organizzazione (informazioni in lingua inglese).

Separazione dei nomi utente Windows e degli indirizzi SMTP

Per impostazione predefinita, quando si crea una cassetta postale per un utente, l'indirizzo SMTP risultante relativo a tale utente è username@contoso.com, dove username è il nome dell'account utente Windows.

Si consiglia di creare per gli utenti un nuovo indirizzo SMTP al fine di confondere gli utenti malintenzionati in modo che sia più difficile per loro determinare i nomi utenti Windows.

Ad esempio, si prenda in considerazione l'utente Kweku Ako-Adjei, con un nome utente Windows KwekuA. Per rendere meno chiaro il nome utente Windows, l'amministratore può creare un indirizzo SMTP quale Kweku.Ako-Adjei@contoso.com.

L'utilizzo di un indirizzo SMTP separato non è considerato una misura di protezione molto efficace. Tuttavia, crea un ostacolo in più per gli utenti malintenzionati che potrebbero tentare di entrare illecitamente nell'organizzazione utilizzando un nome utente noto.

Per ulteriori informazioni su come aggiungere gli indirizzi SMTP per gli utenti esistenti, vedere Come creare un criterio degli indirizzi di posta elettronica.

Gestione della protezione dell'accesso client

Il ruolo del server Accesso client fornisce l'accesso a Microsoft Outlook Web Access, Microsoft Exchange ActiveSync, Outlook via Internet e ai protocolli Post Office Protocol versione 3 (POP3) e Internet Message Access Protocol versione 4rev1 (IMAP4). Inoltre, supporta il servizio di individuazione automatica e il servizio Disponibilità. Ciascun protocollo e servizio presenta delle necessità di protezione univoche.

Gestione dell'autenticazione

Una delle più importanti attività correlate alla protezione che possono essere eseguite per il ruolo del server Accesso client consiste nella configurazione di un metodo di autenticazione. Il ruolo del server Accesso client viene installato con un certificato digitale autofirmato predefinito. Un certificato digitale consente le due seguenti operazioni:

  • Autenticare l'identità del titolare o cosa il titolare dichiara di essere.

  • Proteggere i dati scambiati in linea da furto o manomissione.

Nonostante il certificato digitale autofirmato predefinito venga supportato per Exchange ActiveSync e Outlook Web Access, non corrisponde al metodo di autenticazione più sicuro. Inoltre, non è supportato per Outlook via Internet. Per una protezione maggiore, è necessario configurare il server Accesso client di Exchange 2007 in modo da utilizzare un certificato attendibile da un'autorità di certificazione (CA, Certificate Authority) commerciale di terze parti o da una CA attendibile di infrastrutture per chiavi pubbliche (PKI, Public Key Infrastructure) di Windows. È possibile configurare separatamente l'autenticazione per Exchange ActiveSync, Outlook Web Access, Outlook via Internet, POP3 e IMAP4.

Per ulteriori informazioni su come configurare l'autenticazione, vedere i seguenti argomenti:

Miglioramento delle comunicazioni protette tra il server Accesso client e gli altri server

Una volta ottimizzata la protezione delle comunicazioni tra i client e il server di Exchange 2007, è necessario ottimizzare la protezione delle comunicazioni tra il server di Exchange 2007 e gli altri server dell'organizzazione. Per impostazione predefinita, la comunicazione HTTP, Exchange ActiveSync, POP3 e IMAP4 tra il server Accesso client e altri server, ad esempio i server Exchange 2007 in cui è installato il ruolo del server Cassette postali, i controller di dominio e i server di catalogo globale, è crittografata.

Per ulteriori informazioni su come gestire la protezione dei vari componenti del server Accesso client, vedere i seguenti argomenti:

Informazioni contenute in questa Guida

Concetti relativi alla protezione del dominio

Exchange 2007 include un nuovo insieme di funzionalità di protezione del dominio. La protezione del dominio fa riferimento all'insieme di funzionalità in Exchange 2007 e Outlook 2007 che fornisce un'alternativa a costi relativamente bassi a S/MIME o ad altre soluzioni di protezione a livello dei messaggi. Lo scopo di questo insieme di funzionalità per la protezione del dominio consiste nel fornire agli amministratori un modo per gestire percorsi dei messaggi sicuri in Internet con partner aziendali. Dopo aver configurato questi percorsi di messaggi protetti, i messaggi che hanno viaggiato con successo lungo il percorso protetto e provenienti da un mittente autenticato appaiono all'utente come "Dominio protetto" nell'interfaccia di Outlook e Outlook Web Access.

La protezione del dominio utilizza Transport Layer Security (TLS) con autenticazione reciproca per fornire una crittografia e un'autenticazione basate sulla sessione. TLS con autenticazione reciproca è diverso da TLS come normalmente implementato. In genere, quando TLS viene implementato, il client verifica che la connessione al server desiderato avvenga in modo sicuro convalidando il certificato del server, che viene ricevuto come parte della negoziazione di TLS. In questo scenario, il client autentica il server prima della trasmissione dei dati. Il server, tuttavia, non autentica la sessione con il client.

Con l'autenticazione TLS reciproca, ogni server verifica la connessione con l'altro server convalidando il certificato fornito dall'altro server. In questo scenario, in cui i messaggi sono ricevuti da domini esterni in connessioni verificate di un ambiente di Exchange 2007, Outlook 2007 visualizza un'icona di "Dominio protetto".

Per ulteriori informazioni sulla pianificazione e distribuzione della protezione del dominio nell'organizzazione, vedere la pagina relativa al white paper sulla protezione del dominio in Exchange 2007 (informazioni in lingua inglese).

Informazioni contenute in questa Guida

Protezione dei percorsi dei dati di Exchange

Per impostazione predefinita, quasi tutti i percorsi dei dati utilizzati da Exchange 2007 sono protetti. In questa sezione vengono fornite informazioni sulle porte, sull'autenticazione e sulla crittografia di tutti i percorsi dei dati utilizzati da Exchange 2007. Dopo ogni tabella, nelle sezioni relative alle note, vengono chiariti o definiti i metodi non standard per la crittografia o l'autenticazione.

Server di trasporto

Nella seguente tabella vengono fornite informazioni sulle porte, sull'autenticazione e sulla crittografia dei percorsi dei dati tra i server Trasporto Hub e Trasporto Edge e tra altri server e servizi di Exchange 2007.

Percorsi dei dati tra i server di trasporto

Percorso dati Porte richieste Autenticazione predefinita Autenticazione supportata È supportata la crittografia? I dati sono crittografati per impostazione predefinita?

Da server Trasporto Hub a server Trasporto Hub

25/TCP (Secure Sockets Layer [SSL]) e 587/TCP (SSL)

Kerberos

Kerberos

Sì (TLS)

Da server Trasporto Hub a server Trasporto Edge

25/TCP (SSL)

Trust diretto

Trust diretto

Sì (TLS)

Da server Trasporto Edge a server Trasporto Hub

25/TCP (SSL)

Trust diretto

Trust diretto

Sì (TLS)

Da server Trasporto Edge a server Trasporto Edge

25/TCP (SSL), 389/TCP/UDP e 80/TCP (autenticazione certificato)

Autenticazione anonima e autenticazione certificato

Autenticazione anonima e autenticazione certificato

Sì (TLS)

No

Da server Cassette postali a server Trasporto Hub tramite il Servizio Invio posta di Microsoft Exchange

135/TCP (RPC)

NTLM. Se la connessione viene eseguita con un account di servizio (locale), viene utilizzata l'autenticazione Kerberos.

NTLM/Kerberos

Sì (crittografia RPC)

Da server Trasporto Hub a server Cassette postali tramite MAPI

135/TCP (RPC)

NTLM. Se la connessione viene eseguita con un account di servizio (locale), viene utilizzata l'autenticazione Kerberos.

NTLM/Kerberos

Sì (crittografia RPC)

Servizio EdgeSync di Microsoft Exchange

50636/TCP (SSL) e 50389/TCP (SSL disattivato)

Autenticazione di base

Autenticazione di base

Sì (LDAPS)

Servizio directory di Active Directory Application Mode (ADAM) sul server Trasporto Edge

50389/TCP (SSL disattivato)

NTLM/Kerberos

NTLM/Kerberos

No

No

Accesso al servizio directory di Active Directory dal server Trasporto Hub

389/TCP/UDP (LDAP), 3268/TCP (catalogo globale LDAP), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS) e 135/TCP (Accesso rete RPC)

Kerberos

Kerberos

Sì (crittografia Kerberos)

Note sui server di trasporto

Tutto il traffico tra i server Trasporto Hub viene crittografato tramite TLS con certificati autofirmati installati per impostazione predefinita dal programma di installazione di Exchange 2007.

Tutto il traffico tra i server Trasporto Edge e Trasporto Hub viene autenticato e crittografato. Il meccanismo sottostante per l'autenticazione e la crittografia è Mutual TLS (MTLS). Anziché utilizzare la convalida X.509, in Exchange 2007 i certificati vengono autenticati tramite trust diretto. Il "trust diretto" implica che il certificato viene convalidato se è presente in Active Directory o ADAM. Active Directory è considerato un meccanismo di archiviazione attendibile. Inoltre, in questi casi è irrilevante che il certificato sia autofirmato o firmato da un'Autorità di certificazione. Quando si sottoscrive un server Trasporto Edge in un'organizzazione di Exchange, la sottoscrizione Edge pubblica il certificato del server Trasporto Edge in Active Directory affinché i server Trasporto Hub possano eseguire la convalida. Il servizio Edgesync di Microsoft Exchange aggiorna ADAM con la serie di certificati del server Trasporto Hub affinché il server Trasporto Edge possa eseguire la convalida.

Per impostazione predefinita, il traffico tra i server Trasporto Edge di organizzazioni diverse viene crittografato. Nel programma di installazione di Exchange 2007 viene creato un certificato autofirmato e TLS viene abilitato per impostazione predefinita. Ciò consente a qualsiasi sistema di invio di crittografare la sessione SMTP in ingresso in Microsoft Exchange. Inoltre per impostazione predefinita, Exchange 2007 tenta di applicare TLS a tutte le connessioni remote.

I metodi di autenticazione del traffico tra i server Trasporto Hub e i server Cassette postali è diverso quando i ruoli dei rispettivi server sono situati nello stesso computer. Quando l'invio di posta è locale, viene utilizzata l'autenticazione Kerberos. Quando l'invio di posta è remoto, viene utilizzata l'autenticazione NTLM.

Exchange 2007 supporta anche la protezione del dominio. La protezione del dominio fa riferimento all'insieme di funzionalità in Exchange 2007 e Outlook 2007 che fornisce un'alternativa a basso costo rispetto a S/MIME o ad altre soluzioni di protezione su Internet a livello dei messaggi. Lo scopo della serie di funzionalità di protezione del dominio consiste nel fornire agli amministratori un modo per gestire percorsi di messaggi protetti tra i domini su Internet. Dopo aver configurato questi percorsi di messaggi protetti, i messaggi che hanno viaggiato con successo lungo il percorso protetto e provenienti da un mittente autenticato appaiono all'utente come "Dominio protetto" nell'interfaccia di Outlook e Outlook Web Access. Per ulteriori informazioni, vedere Pianificazione della protezione del dominio.

Sui server Trasporto Hub e Trasporto Edge è possibile eseguire diversi agenti. In genere, gli agenti protezione posta indesiderata si basano sulle informazioni locali presenti nel computer in cui vengono eseguiti. Pertanto, sono richieste poche comunicazioni con i computer remoti. L'unica eccezione è rappresentata dal filtro destinatario, per il quale sono necessarie chiamate ad ADAM o Active Directory. Si consiglia di eseguire il filtro destinatario sul server Trasporto Edge. In questo caso, la directory ADAM si trova sullo stesso computer del server Trasporto Edge e non è richiesta alcuna comunicazione remota. Una volta installato e configurato nel server Trasporto Hub, il filtro destinatario esegue l'accesso ad Active Directory.

L'agente di analisi protocollo viene utilizzato dalla funzionalità reputazione mittente di Exchange 2007. Per determinare i percorsi dei messaggi in ingresso provenienti da connessioni sospette, questo agente effettua inoltre diverse connessioni ai server proxy esterni.

Per tutte le altre funzionalità di protezione da posta indesiderata vengono utilizzati i dati raccolti, archiviati e disponibili solo sul computer locale. Tali dati, ad esempio quelli relativi all'aggregazione dell'elenco indirizzi attendibili o ai destinatari per il filtro destinatario, vengono inseriti nella directory ADAM locale utilizzando il servizio EdgeSync di Microsoft Exchange.

L'inserimento nel journal e la classificazione dei messaggi vengono eseguiti sui server Trasporto Hub e si basano sui dati di Active Directory.

Server Cassette postali

Nel contesto del ruolo del server Cassette postali, l'utilizzo dell'autenticazione NTLM o Kerberos è basato sul contesto dell'utente o del processo in cui viene eseguito il consumer del livello della regola business di Exchange. In questo contesto, il consumer è un'applicazione o un processo che utilizza il livello della regola business di Exchange. In diverse celle "Autenticazione predefinita" della tabella "Percorsi dei dati tra i server Cassette postali" riportata in questa sezione viene indicata l'autenticazione "NTLM/Kerberos".

Il livello della regola business di Exchange viene utilizzato per accedere e comunicare con l'archivio di Exchange. Inoltre, questo livello viene richiamato dall'archivio di Exchange per comunicare con applicazioni e processi esterni.

Se il consumer del livello della regola business di Exchange viene eseguito come sistema locale, il metodo di autenticazione dal consumer all'archivio di Exchange sarà sempre Kerberos. Viene utilizzato Kerberos poiché il consumer deve essere autenticato tramite l'account di sistema locale del computer e in presenza di un trust autenticato bidirezionale.

Se il consumer del livello della regola business di Exchange non viene eseguito come sistema locale, verrà utilizzato il metodo di autenticazione NTLM. Ad esempio, quando un amministratore esegue un cmdlet di Exchange Management Shell che utilizza il livello della regola business di Exchange, viene utilizzata l'autenticazione NTLM.

Il traffico RPC viene sempre crittografato.

Nella seguente tabella vengono fornite informazioni sulle porte, sull'autenticazione e sulla crittografia dei percorsi dei dati tra i server Cassette postali.

Percorsi dei dati tra i server Cassette postali

Percorso dati Porte richieste Autenticazione predefinita Autenticazione supportata È supportata la crittografia? I dati sono crittografati per impostazione predefinita?

Log shipping (replica continua locale e replica continua cluster)

445/porta casuale (seeding)

NTLM/Kerberos

NTLM/Kerberos

Sì (IPsec)

No

Backup del servizio Copia Shadow del volume (VSS, Volume Shadow Copy Service)

Blocco dei messaggi locali (SMB)l

NTLM/Kerberos

NTLM/Kerberos

No

No

Backup/Seeding legacy

Porta casuale

NTLM/Kerberos

NTLM/Kerberos

Sì (IPsec)

No

Clustering

135 /TCP (RPC). Vedere "Note sui server Cassette postali" dopo la tabella.

NTLM/Kerberos

NTLM/Kerberos

Sì (IPsec)

No

Accesso MAPI

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Sì (crittografia RPC)

Assistenti cassette postali

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

No

No

Servizio Web Disponibilità (Accesso client a Cassette postali)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Sì (crittografia RPC)

Accesso di Active Directory

389/TCP/UDP (LDAP), 3268/TCP (catalogo globale LDAP), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS) e 135/TCP (Accesso rete RPC)

Kerberos

Kerberos

Sì (crittografia Kerberos)

Indicizzazione del contenuto

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Sì (crittografia RPC)

Accesso amministrativo remoto (Registro di sistema remoto)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Sì (IPsec)

No

Accesso amministrativo remoto (SMB/file)

445/TCP (SMB)

NTLM/Kerberos

NTLM/Kerberos

Sì (IPsec)

No

Accesso RPC del Servizio aggiornamento destinatari

135/TCP (RPC)

Kerberos

Kerberos

Sì (crittografia RPC)

Accesso del sevizio Topologia di Microsoft Exchange Active Directory

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Sì (crittografia RPC)

Accesso legacy del servizio Supervisore sistema di Microsoft Exchange (ascolto delle richieste)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

No

No

Accesso legacy del servizio Supervisore sistema di Microsoft Exchange a Active Directory

389/TCP/UDP (LDAP), 3268/TCP (catalogo globale LDAP), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS) e 135/TCP (Accesso rete RPC)

Kerberos

Kerberos

Sì (crittografia Kerberos)

Accesso legacy del servizio Supervisore sistema di Microsoft Exchange (come client MAPI)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Sì (crittografia RPC)

Accesso della Rubrica fuori rete ad Active Directory

135/TCP (RPC)

Kerberos

Kerberos

Sì (crittografia RPC)

Aggiornamento destinatari ad Active Directory

389/TCP/UDP (LDAP), 3268/TCP (catalogo globale LDAP), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS) e 135/TCP (Accesso rete RPC)

Kerberos

Kerberos

Sì (crittografia Kerberos)

DSAccess ad Active Directory

389/TCP/UDP (LDAP), 3268/TCP (catalogo globale LDAP), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS) e 135/TCP (Accesso rete RPC)

Kerberos

Kerberos

Sì (crittografia Kerberos)

Accesso di Outlook alla Rubrica fuori rete

80/TCP e 443/TCP (SSL)

NTLM/Kerberos

NTLM/Kerberos

Sì (HTTPS)

No

WebDAV

80/TCP e 443/TCP (SSL)

Autenticazione di base, NTLM e negoziazione

Autenticazione di base, NTLM e negoziazione

Sì (HTTPS)

Note sui server Cassette postali

Per l'autenticazione HTTP in cui è indicata l'opzione di negoziazione, viene eseguito prima un tentativo con Kerberos, quindi con NTLM.

Per le comunicazioni tra nodi cluster viene utilizzata la porta UDP (User Datagram Protocol) 3343. A intervalli periodici ogni nodo cluster scambia diagrammi UDP unicast sequenziali con gli altri nodi presenti nel cluster. Lo scopo dello scambio è quello di verificare l'esecuzione corretta di tutti i nodi e di monitorare l'integrità dei collegamenti di rete.

Sebbene i client o le applicazioni WebDAV siano in grado di connettersi al server Cassette postali tramite la porta 80/TCP o 443/TCP, nella maggior parte dei casi la connessione viene eseguita al server Accesso client, che successivamente si connette al server Cassette postali tramite la porta 80/TCP o 443/TCP.

Il percorso dei dati del cluster indicato in questa sezione, nella tabella "Percorsi dei dati del server Cassette postali", utilizza l'RPC dinamico (TCP) per comunicare l'attività e lo stato del cluster tra i diversi nodi cluster. Per comunicare tra nodi cluster, il servizio cluster (ClusSvc.exe) utilizza anche la porta UDP/3343 e le porte TCP con numero elevato assegnate in modo casuale.

Server Accesso client

Se non specificato diversamente, le tecnologie di accesso client, ad esempio Office Outlook Web Access, POP3 o IMAP4, sono descritte dall'autenticazione e dalla crittografia dei dati tra l'applicazione client e il server Accesso client.

Nella seguente tabella vengono fornite informazioni sulla porta, sull'autenticazione e sulla crittografia dei percorsi dei dati tra i server Accesso client e altri server e client.

Percorsi dei dati del server Accesso client

Percorso dati Porte richieste Autenticazione predefinita Autenticazione supportata È supportata la crittografia? I dati sono crittografati per impostazione predefinita?

Servizio di individuazione automatica

80/TCP e 443/TCP (SSL)

Autenticazione di base o integrata di Windows (negoziazione)

Autenticazione di base, digest, NTLM e negoziazione (Kerberos)

Sì (HTTPS)

Servizio Disponibilità

80/TCP e 443/TCP (SSL)

NTLM/Kerberos

NTLM e Kerberos

Sì (HTTPS)

Outlook Web Access

80/TCP e 443/TCP (SSL)

Autenticazione basata su moduli

Autenticazione di base, digest, basata su moduli, NTLM (solo versione 2), Kerberos e certificato

Sì (HTTPS)

Sì, tramite certificato autofirmato

POP3

110/TCP (TLS) e 995/TCP (SSL)

Autenticazione di base, NTLM e Kerberos

Autenticazione di base, NTLM e Kerberos

Sì (SSL e TLS)

IMAP4

143/TCP (TLS) e 993/TCP (SSL)

Autenticazione di base, NTLM e Kerberos

Autenticazione di base, NTLM e Kerberos

Sì (SSL e TLS)

Outlook via Internet (in precedenza noto come RPC su HTTP)

80/TCP e 443/TCP (SSL)

Autenticazione di base

Autenticazione di base o NTLM

Sì (HTTPS)

Applicazione Exchange ActiveSync

80/TCP e 443/TCP (SSL)

Autenticazione di base

Autenticazione di base e autenticazione certificato

Sì (HTTPS)

Da server Accesso client a server Messaggistica unificata

5060/TCP, 5061/TCP, 5062/TCP e una porta dinamica

Per indirizzo IP

Per indirizzo IP

Sì (Session Initiation Protocol [SIP] su TLS)

Da server Accesso client a server Cassette postali in cui viene eseguita una versione precedente di Exchange Server

80/TCP e 443/TCP (SSL)

NTLM/Kerberos

Negoziazione (Kerberos con fallback su NTLM oppure autenticazione di base), testo normale POP/IMAP

Sì (IPsec)

No

Da server Accesso client a server Cassette postali Exchange 2007

RPC. Vedere "Note sui server Accesso client" dopo la tabella.

Kerberos

NTLM/Kerberos

Sì (crittografia RPC)

Da server Accesso client a server Accesso client (Exchange ActiveSync)

80/TCP e 443/TCP (SSL)

Kerberos

Kerberos e certificato

Sì (HTTPS)

Sì, tramite certificato autofirmato

Da server Accesso client a server Accesso client (Outlook Web Access)

80/TCP e 443/TCP (SSL)

Kerberos

Kerberos

Sì (HTTPS)

WebDAV

80/TCP e 443/TCP (SSL)

Autenticazione di base HTTP o autenticazione basata su moduli di Outlook Web Access

Autenticazione di base e autenticazione basata su moduli di Outlook Web Access

Sì (HTTPS)

Note sui server Accesso client

La comunicazione tra il server Accesso client e il server Cassette postali viene effettuata utilizzando diverse porte. Con alcune eccezioni, tali porte sono determinate dal servizio RPC e non sono fisse.

Per l'autenticazione HTTP in cui è indicata l'opzione di negoziazione, viene eseguito prima un tentativo con Kerberos, quindi con NTLM.

Per le comunicazioni tra un server Accesso client di Exchange 2007 e un server Cassette postali in cui viene eseguito Exchange Server 2003, si consiglia di utilizzare Kerberos e di disabilitare l'autenticazione NTLM e l'autenticazione di base. Inoltre, si consiglia di configurare Outlook Web Access per l'utilizzo dell'autenticazione basata su moduli con un certificato che provenga da un'Autorità di certificazione disponibile nell'elenco locale. Affinché i client di Exchange ActiveSync possano comunicare tramite il server Accesso client di Exchange 2007 con il server di back-end di Exchange 2003, è necessario che l'autenticazione integrata di Windows sia abilitata nella directory virtuale Microsoft-Server-ActiveSync sul server di back-end di Exchange 2003. Per utilizzare Gestore di sistema di Exchange sul server di Exchange 2003 al fine di gestire l'autenticazione in una directory virtuale di Exchange 2003, scaricare e installare l'aggiornamento rapido a cui viene fatto riferimento nell'articolo 937301 della Microsoft Knowledge Base relativo allaregistrazione dell'ID evento 1036 su un server di Exchange 2007 che esegue il ruolo CAS quando i dispositivi mobili si connettono al server di Exchange 2007 per accedere alle cassette postali su un server di back-end di Exchange 2003

Per ulteriori informazioni, vedere Gestione della protezione dell'accesso client.

Server Messaggistica unificata

I gateway IP supportano solo l'autenticazione basata su certificato in cui viene utilizzata l'autenticazione IP e Mutual TLS per le connessioni Session Initiation Protocol (SIP)/TCP. In questi gateway non è supportata l'autenticazione NTLM o Kerberos. Pertanto, quando si utilizza l'autenticazione basata su IP, vengono utilizzati gli indirizzi IP di connessione per fornire il meccanismo di autenticazione delle connessioni (TCP) non crittografate. Quando viene utilizzata l'autenticazione basata su IP nella messaggistica unificata, il server Messaggistica unificata verifica che l'indirizzo IP sia autorizzato a effettuare la connessione. L'indirizzo IP viene configurato sul gateway IP o IP PBX.

Nella seguente tabella vengono fornite informazioni sulla porta, sull'autenticazione e sulla crittografia dei percorsi dei dati tra i server Messaggistica unificata e altri server.

Percorsi dei dati del server Messaggistica unificata

Percorso dati Porte richieste Autenticazione predefinita Autenticazione supportata È supportata la crittografia? I dati sono crittografati per impostazione predefinita?

Fax di messaggistica unificata

5060/TCP, 5061/TCP, 5062/TCP e una porta dinamica

Per indirizzo IP

Per indirizzo IP

SIP su TLS, senza crittografia dei supporti

Sì per SIP

Interazione di Unified Messaging Phone (PBX)

5060/TCP, 5061/TCP, 5062/TCP e una porta dinamica

Per indirizzo IP

Per indirizzo IP

SIP su TLS, senza crittografia dei supporti

Sì per SIP

Servizio Web di messaggistica unificata

80/TCP e 443/TCP (SSL)

Autenticazione integrata di Windows (negoziazione)

Autenticazione di base, digest, NTLM e negoziazione (Kerberos)

Sì (SSL)

Da server Messaggistica unificata a server Trasporto Hub

25/TCP (SSL)

Kerberos

Kerberos

Sì (TLS)

Da server Messaggistica unificata a server Cassette postali

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Sì (crittografia RPC)

Note sui server Messaggistica unificata

Quando viene creato un oggetto gateway IP di messaggistica unificata in Active Directory, è necessario definire l'indirizzo IP del gateway IP fisico o IP PBX (Private Branch eXchange). Una volta definito sull'oggetto gateway IP di messaggistica unificata, l'indirizzo IP viene aggiunto a un elenco di gateway IP validi con cui il server Messaggistica unificata è autorizzato a comunicare. Quando viene creato, il gateway IP di messaggistica unificata viene associato a un dial plan di messaggistica unificata. Ciò consente ai server Messaggistica unificata associati al dial plan di utilizzare l'autenticazione basata su IP per comunicare con il gateway IP. Se il gateway IP di messaggistica unificata non è stato creato o configurato per utilizzare l'indirizzo IP corretto, l'autenticazione non verrà completata e nel server Messaggistica unificata non verranno accettate connessioni dall'indirizzo IP del gateway IP.

Con la versione di produzione (RTM, Release To Manufacturing) di Exchange 2007, un server Messaggistica unificata può comunicare sulla porta 5060/TCP che è non protetta oppure sulla porta 5061/TCP che è protetta, ma non su entrambe. Con Exchange 2007 Service Pack 1 (SP1), un server Messaggistica unificata è contemporaneamente in ascolto sulla porta 5060/TCP e sulla porta 5061/TCP.

Per ulteriori informazioni, vedere Concetti relativi alla protezione VoIP per la messaggistica unificata e Concetti relativi a protocolli, porte e servizi in messaggistica unificata.

Informazioni contenute in questa Guida

Utilizzo della Configurazione guidata impostazioni di sicurezza per proteggere Windows per i ruoli server di Exchange

In questa sezione viene illustrato come utilizzare la Configurazione guidata impostazioni di sicurezza (SCW) per ridurre al minimo la superficie di attacco dei server disabilitando le funzionalità di Windows non richieste per i ruoli del server di Exchange 2007.

Utilizzo della Configurazione guidata impostazioni di sicurezza

Exchange 2007 fornisce un modello SCW per ciascun ruolo del server di Exchange 2007. Se si utilizza questo modello con SCW, è possibile configurare il sistema operativo Windows per il blocco delle porte e dei servizi non necessari per ciascun ruolo del server di Exchange. Quando si esegue la Configurazione guidata impostazioni di protezione, viene creato un criterio di protezione personalizzato per l'ambiente. È possibile applicare il criterio personalizzato a tutti i server di Exchange dell'organizzazione. Mediante la Configurazione guidata impostazioni di protezione è possibile configurare le seguenti funzionalità:

  • Ruolo del server   La Configurazione guidata impostazioni di protezione utilizza le informazioni del ruolo del server per abilitare i servizi e le porte aperte nel firewall locale.

  • Funzionalità client   I server funzionano anche come client per altri server. Selezionare solo le funzionalità client necessarie per l'ambiente.

  • Opzioni di amministrazione   Selezionare le opzioni necessarie per l'ambiente, come le opzioni di backup e di segnalazione degli errori.

  • Servizi   Selezionare i servizi necessari per il server e impostare la modalità di avvio per i servizi non specificati dal criterio. I servizi non specificati non sono installati nel server selezionato e non sono elencati nel database di configurazione della protezione. Il criterio di protezione configurato può essere applicato ai server che eseguono servizi diversi rispetto al server in cui tale criterio è stato creato. È possibile selezionare le impostazioni del criterio che determinano l'azione da eseguire quando su un server al quale è stato applicato tale criterio viene rilevato un servizio non specificato. L'azione può essere impostata in modo da non modificare la modalità di avvio del servizio o da disabilitare il servizio stesso.

  • Protezione di rete   Selezionare le porte da aprire per ciascuna interfaccia di rete. L'accesso alle porte può essere limitato in base all'interfaccia di rete locale o alle subnet e agli indirizzi IP remoti.

  • Impostazioni del Registro di sistema   Utilizzare le impostazioni del registro di sistema per configurare i protocolli utilizzati per comunicare con altri computer.

  • Criterio di controllo   Il criterio di controllo consente di determinare gli eventi registrati, completati o meno, e gli oggetti file system controllati.

Utilizzo del modello di Configurazione guidata impostazioni di protezione in Exchange Server 2007

Una volta installato un ruolo del server di Exchange, seguire le procedure descritte di seguito per configurare un criterio di protezione mediante la Configurazione guidata impostazioni di sicurezza.

  1. Installare la Configurazione guidata impostazioni di protezione.

  2. Registrare l'estensione della Configurazione guidata impostazioni di protezione.

  3. Creare un criterio di protezione personalizzato e applicarlo al server locale.

  4. Se nell'organizzazione più di un server di Exchange è in esecuzione in un dato ruolo, è possibile applicare il criterio di protezione personalizzato a ciascun server di Exchange.

Nelle sezioni riportate di seguito vengono fornite le procedure per ciascuno dei passaggi precedenti.

Per eseguire le procedure riportate di seguito, è necessario utilizzare un account che disponga della seguente delega:

  • Ruolo Exchange Server Administrator e gruppo Administrators locale per il server di destinazione

Per eseguire le procedure riportate di seguito su un computer in cui è installato il ruolo del server Trasporto Edge, è necessario accedere al sistema utilizzando un account che sia membro del gruppo Administrators locale del computer.

Per ulteriori informazioni sulle autorizzazioni, sulla delega dei ruoli e sui diritti necessari per l'amministrazione di Exchange 2007, vedere Considerazioni sulle autorizzazioni.

Installazione della Configurazione guidata impostazioni di sicurezza

È necessario eseguire questa procedura su tutti i server di Exchange 2007 a cui si desidera applicare un criterio di protezione della Configurazione guidata impostazioni di sicurezza utilizzando la procedura stessa.

Per installare la Configurazione guidata impostazioni di protezione

  1. Nel Pannello di controllo aprire fare clic su Installazione applicazioni.

  2. Fare clic su Installazione componenti di Windows per avviare Aggiunta guidata componenti di Windows.

  3. Nella finestra di dialogo Componenti di Windows selezionare la casella di controllo Configurazione guidata impostazioni di protezione, quindi scegliere Avanti.

  4. Attendere il completamento dell'installazione, quindi scegliere Fine.

Per aprire la Configurazione guidata impostazioni di protezione, dopo aver eseguito questa procedura, fare clic su Start, scegliere Tutti i programmi, quindi scegliere Strumenti di amministrazione e infine Configurazione guidata impostazioni di protezione.

Registrazione delle estensioni SCW del ruolo del server di Exchange

Le estensioni del ruolo di Exchange Server consentono di utilizzare la Configurazione guidata impostazioni di sicurezza per creare criteri di protezione specifici per la funzionalità richiesta per ciascun ruolo del server di Microsoft Exchange. Le estensioni vengono fornite con Exchange 2007 e devono essere registrate prima di poter creare criteri di protezione personalizzati.

È necessario eseguire questa procedura di registrazione su ciascun server Exchange 2007 al quale si desidera applicare i criteri di protezione SCW. Sono necessari due file con estensioni per i vari ruoli del server di Exchange 2007. Per i ruoli del server Cassette postali, Trasporto Hub, Messaggistica unificata e Accesso client, registrare il file con estensione Exchange2007.xml. Per il ruolo del server Trasporto Edge, registrare il file con estensione Exchange2007Edge.xml.

Nota

I file con estensione SCW di Exchange 2007 si trovano nella directory %Exchange%\Scripts. La directory di installazione di Exchange predefinita è Programmi\Microsoft\Exchange Server. Il percorso della directory può essere diverso se è stato selezionato un percorso di directory personalizzato durante l'installazione del server.

Importante

Se è stato installato Exchange 2007 in una directory di installazione personalizzata, la registrazione SCW sarà ancora valida. Tuttavia, per abilitare la Configurazione guidata impostazioni di protezione, (SCW, Security Configuration Wizard) è necessario eseguire le soluzioni manuali alternative per il riconoscimento della directory di installazione personalizzata. Per ulteriori informazioni, vedere l'articolo 896742 della Microsoft Knowledge Base Dopo aver eseguito la Configurazione guidata impostazioni di sicurezza in Windows Server 2003 SP1, è possibile che gli utenti di Outlook non siano in grado di connettersi ai relativi account.

Per registrare l'estensione SCW in un computer su cui è in esecuzione il ruolo del server Cassette postali, Trasporto Hub, Messaggistica unificata o Accesso client

  1. Aprire una finestra del prompt dei comandi. Digitare il comando riportato di seguito per utilizzare lo strumento della riga di comando di SCW per registrare l'estensione Exchange 2007 con il database di configurazione della protezione locale:

    scwcmd register /kbname:Ex2007KB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007.xml"
    
  2. Per assicurarsi che il comando sia stato completato correttamente, è possibile visualizzare il file SCWRegistrar_log.xml che si trova nella directory %windir%\security\msscw\logs.

Per registrare l'estensione SCW in un computer su cui è in esecuzione il ruolo del server Trasporto Edge

  1. Aprire una finestra del prompt dei comandi. Digitare il comando riportato di seguito per utilizzare lo strumento della riga di comando di SCW per registrare l'estensione Exchange 2007 con il database di configurazione della protezione locale:

    scwcmd register /kbname:Ex2007EdgeKB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\ Exchange2007Edge.xml"
    
  2. Per assicurarsi che il comando sia stato completato correttamente, è possibile visualizzare il file SCWRegistrar_log.xml che si trova nella directory %windir%\security\msscw\logs.

Creazione di un nuovo criterio di Configurazione guidata impostazioni di sicurezza per un ruolo del server di Exchange

Utilizzare questa procedura per creare un criterio di protezione personalizzato per il proprio specifico ambiente. Dopo aver creato un criterio personalizzato, è possibile utilizzarlo per applicare lo stesso livello di protezione a ogni server di Exchange 2007 sul quale è in esecuzione lo stesso ruolo o gli stessi ruoli del server nell'organizzazione.

Nota

Alcuni dei passaggi della procedura seguente non includono dettagli di configurazione specifici per tutte le pagine nella Configurazione guidata impostazioni di sicurezza. In questi casi, si consiglia di mantenere le selezioni predefinite se si hanno dubbi riguardo i servizi o le funzionalità che è opportuno abilitare. Come con tutto il contenuto del file della Guida di Exchange 2007, le informazioni più aggiornate sull'utilizzo della Configurazione guidata impostazioni di sicurezza con Exchange 2007 sono disponibili all'indirizzo Exchange Server TechCenter.

Per utilizzare la Configurazione guidata impostazioni di protezione per creare un criterio di protezione personalizzato

  1. Fare clic su Start, scegliere Tutti i programmi, quindi Strumenti di amministrazione e infine Configurazione guidata impostazioni di protezione per avviare la procedura. Nella pagina iniziale scegliere Avanti.

  2. Nella pagina Azione di configurazione selezionare Crea un nuovo criterio di protezione, quindi scegliere il pulsante Avanti.

  3. Nella pagina Seleziona server verificare che nel campo Server (utilizzare il nome DNS, il nome NetBIOS o l'indirizzo IP): sia visualizzato il nome server corretto. Scegliere il pulsante Avanti.

  4. Nella pagina Elaborazione del database di configurazione della protezione, attendere il completamento dell'indicatore di stato, quindi scegliere il pulsante Avanti.

  5. Nella pagina Configurazione dei servizi in base ai ruoli, scegliere il pulsante Avanti.

  6. Nella pagina Seleziona ruoli server selezionare i ruoli del server di Exchange 2007 che si desidera installare sul computer, quindi fare clic su Avanti.

  7. Nella pagina Seleziona funzionalità client selezionare tutte le funzionalità client necessarie sul server di Exchange, quindi fare clic su Avanti.

  8. Nella pagina Seleziona opzioni di amministrazione e altre opzioni selezionare tutte le funzionalità amministrative necessarie sul server di Exchange, quindi fare clic su Avanti.

  9. Nella pagina Seleziona servizi aggiuntivi selezionare tutti i servizi da abilitare sul server di Exchange, quindi fare clic su Avanti.

  10. Nella pagina Gestione servizi non specificati selezionare l'azione da eseguire quando viene trovato un servizio che non è installato nel server locale. È possibile scegliere di non eseguire alcuna azione selezionando Lascia inalterata la modalità di avvio del servizio o scegliere di disabilitare automaticamente il servizio selezionando Disabilita il servizio. Scegliere il pulsante Avanti.

  11. Nella pagina Conferma cambiamenti servizi esaminare le modifiche che verranno apportate dal criterio alla configurazione del servizio corrente. Scegliere il pulsante Avanti.

  12. Nella pagina Protezione di rete verificare che l'opzione Ignora questa sezione sia deselezionata, quindi scegliere il pulsante Avanti.

  13. Nella pagina Apri porte e approva applicazioni, se Configurazione guidata impostazioni di sicurezza è in esecuzione su un server Trasporto Edge, aggiungere due porte per la comunicazione LDAP in Active Directory Application Mode (ADAM).

    1. Scegliere il pulsante Aggiungi. Nella pagina Aggiungi porta o applicazione, nel campo Numero porta: immettere 50389. Selezionare la casella di controllo TCP, quindi scegliere OK.

    2. Scegliere il pulsante Aggiungi. Nella pagina Aggiungi porta o applicazione, nel campo Numero porta: immettere 50636. Selezionare la casella di controllo TCP, quindi scegliere OK.

  14. (Solo server Trasporto Edge) Nella pagina Apri porte e approva applicazioni è necessario configurare le porte per ogni scheda di rete.

    1. Selezionare Porta 25, quindi scegliere Avanzate. Nella pagina Limitazioni porta fare clic sulla scheda Limitazioni interfacce locali. Selezionare Dalle seguenti interfacce locali:, selezionare le caselle di controllo relative alla scheda di rete interna e a quella esterna, quindi scegliere OK.

    2. Selezionare Porta 50389, quindi scegliere Avanzate. Nella pagina Limitazioni porta fare clic sulla scheda Limitazioni interfacce locali. Selezionare Dalle seguenti interfacce locali:, quindi solo la casella di controllo relativa alla scheda di rete interna, infine scegliere OK.

    3. Selezionare Porta 50636, quindi scegliere Avanzate. Nella pagina Limitazioni porta fare clic sulla scheda Limitazioni interfacce locali. Selezionare Dalle seguenti interfacce locali:, quindi solo la casella di controllo relativa alla scheda di rete interna, infine scegliere OK.

    Nota

    Per ciascuna porta, è inoltre possibile configurare le limitazioni relative all'indirizzo remoto.

  15. Nella pagina Apri porte e approva applicazioni scegliere il pulsante Avanti.

  16. Nella pagina Conferma configurazione porta verificare che la configurazione della porta in arrivo sia corretta, quindi scegliere il pulsante Avanti.

  17. Nella pagina Impostazioni del Registro di sistema selezionare la casella di controllo Ignora questa sezione, quindi scegliere il pulsante Avanti.

  18. Nella pagina Criterio di controllo selezionare la casella di controllo Ignora questa sezione, quindi scegliere il pulsante Avanti.

  19. Nella pagina Internet Information Services (IIS) selezionare la casella di controllo Ignora questa sezione, quindi fare clic su Avanti.

  20. Nella pagina Salva criterio di protezione scegliere il pulsante Avanti.

  21. Nella pagina Nome file criterio di protezione immettere un nome file per il criterio di protezione e una descrizione facoltativa. Scegliere il pulsante Avanti. In caso di necessità di riavvio del server dopo l'applicazione del criterio, verrà visualizzata una finestra di dialogo. Fare clic su OK per chiudere la finestra di dialogo.

  22. Nella pagina Applica criterio di protezione selezionare Applica in seguito oppure Applica, quindi scegliere il pulsante Avanti.

  23. Nella pagina Completamento della Configurazione guidata impostazioni di sicurezza scegliere il pulsante Fine.

Applicazione di un criterio esistente della Configurazione guidata impostazioni di sicurezza a un ruolo del server Exchange

Dopo aver creato il criterio, è necessario applicarlo a più computer che eseguono lo stesso ruolo all'interno dell'organizzazione.

Per utilizzare la Configurazione guidata impostazioni di protezione per applicare un criterio esistente

  1. Fare clic su Start, scegliere Tutti i programmi, quindi Strumenti di amministrazione e infine Configurazione guidata impostazioni di protezione per avviare la procedura. Nella pagina iniziale scegliere Avanti.

  2. Nella pagina Azione di configurazione selezionare Applica un criterio di protezione esistente. Fare clic su Sfoglia, selezionare il file XML per il criterio, quindi fare clic su Apri. Scegliere il pulsante Avanti.

  3. Nella pagina Seleziona server verificare che nel campo Server (utilizzare il nome DNS, il nome NetBIOS o l'indirizzo IP): sia visualizzato il nome server corretto. Scegliere il pulsante Avanti.

  4. Nella pagina Applica criterio di protezione fare clic su Visualizza criterio di protezione, se si desidera visualizzare i dettagli del criterio, quindi scegliere il pulsante Avanti.

  5. Nella pagina Applicazione criterio di protezione in corso attendere fino a quando sull'indicatore di stato non viene visualizzato il messaggio Applicazione completata, quindi scegliere il pulsante Avanti.

  6. Nella pagina Completamento della Configurazione guidata impostazioni di sicurezza scegliere il pulsante Fine.

Informazioni contenute in questa Guida

Appendice 1: Eseguibili di porte e servizi abilitati dai file di registrazione della Configurazione guidata impostazioni di protezione di Exchange 2007

La configurazione guidata impostazioni di sicurezza (SCW) utilizza i file di registrazione XML per configurare il sistema operativo Windows per il funzionamento con altre applicazioni. I file di registrazione che la Configurazione guidata impostazioni di protezione utilizza la configurazione di protezione necessaria per il funzionamento di una specifica applicazione. Come minimo, la configurazione di protezione definisce i servizi e le porte necessari per una specifica applicazione.

In questo argomento vengono descritti i servizi e le porte abilitati per ciascun ruolo del server di Exchange 2007 quando si esegue la Configurazione guidata impostazioni di sicurezza con i file di registrazione di Exchange 2007 predefiniti.

File di registrazione

In Exchange 2007 sono inclusi due file di registrazione per la Configurazione guidata impostazioni di protezione. Il file di registrazione generale di Exchange 2007 è denominato Exchange2007.xml. Definisce la configurazione di protezione per tutti i ruoli del server di Microsoft Exchange, tranne Trasporto Edge. Il file di registrazione per il ruolo del server Trasporto Edge è denominato Exchange2007Edge.xml. Definisce la configurazione di protezione per i server Trasporto Edge.

I file di registrazione vengono installati nella directory %Programfiles%\Microsoft\Exchange Server\Scripts al momento dell'installazione di Exchange 2007.

I servizi abilitati consentono di impostare il valore di avvio del servizio sia manualmente che automaticamente.

La porte abilitate specificano i file eseguibili (.exe) considerate attendibili da Windows Firewall per l'apertura di porte per l'applicazione specifica.

I file di registrazione di Exchange 2007 utilizzati dalla Configurazione guidata impostazioni di protezione specificano gli eseguibili delle porte in base alla posizione predefinita. Nella maggior parte dei casi, la posizione predefinita si trova in %Programfiles%\Microsoft\Exchange Server\bin. Se Exchange è stato installato in una posizione diversa, è necessario modificare il valore del <Percorso> nella sezione della <Porta> dei file di registrazione di Exchange 2007 per indicare la posizione di installazione corretta.

Ruolo del server Cassette postali

I servizi seguenti sono abilitati dal file di registrazione di Exchange 2007 (Exchange2007.xml) per il ruolo del server Cassette postali.

Il servizio Microsoft Search (Exchange Server) e il Monitoraggio di Microsoft Exchange sono impostati per l'avvio manuale, mentre per tutti gli altri servizi è previsto l'avvio automatico.

Nome breve del servizio Nome del servizio

MSExchangeIS

Archivio informazioni di Microsoft Exchange

MSExchangeADTopology

Topologia di Active Directory di Microsoft Exchange

MSExchangeRepl

Servizio Replica di Microsoft Exchange

MSExchangeMailboxAssistants

Assistenti cassette postali di Microsoft Exchange

MSExchangeSearch

Indicizzatore ricerca di Microsoft Exchange

MSExchangeServiceHost

Service Host di Microsoft Exchange

MSExchangeMonitoring

Monitoraggio di Microsoft Exchange

MSExchangeSA

Supervisore sistema di Microsoft Exchange

MSExchangeMailSubmission

Servizio Invio posta di Microsoft Exchange

msftesql-Exchange

Microsoft Search (Exchange Server)

Sono abilitate le seguenti porte.

Nome della porta File eseguibile associato

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSExchangeISPorts

Store.exe

MSExchangeReplPorts

Microsoft.Exchange.Cluster.ReplayService.exe

MSExchangeMailboxAssistantsPorts

MSExchangeMailboxAssistants.exe

MSExchangeSearchPorts

Microsoft.Exchange.Search.ExSearch.exe

MSExchangeServiceHostPorts

Microsoft.Exchange.ServiceHost.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

MSExchangeSAPorts

Mad.exe

MSExchangeMailSubmissionPorts

MSExchangeMailSubmission.exe

msftesql-ExchangePorts

Msftesql.exe

MSExchangeTransportLogSearchPorts

MSExchangeTransportLogSearch.exe

Ruolo server cassette postali cluster

I servizi e le porte abilitati sul ruolo del server Cassette postali e descritti nella sezione precedente di questo argomento denominata Ruolo del server Cassette postali sono abilitati sul ruolo del server di cassette postali in cluster.

Inoltre, il servizio cluster Microsoft è impostato per l'avvio automatico.

Nome breve del servizio Nome del servizio

ClusSvc

Servizio cluster Microsoft

Sono abilitate anche le seguenti porte.

Nota

Il percorso predefinito degli eseguibili specifici del cluster è %windir%\Cluster. Il percorso predefinito di Powershell.exe è %windir%\system32\windowspowershell\v1.0.

Nome della porta File eseguibile associato

ExSetupPorts

ExSetup.exe

clussvcPorts

Clussvc.exe

CluAdminPorts

CluAdmin.exe

resrcmonPorts

Resrcmon.exe

msftefdPorts

Msftefd.exe

powershellPorts

Powershell.exe

Ruolo del server Trasporto Hub

I servizi seguenti sono abilitati dal file di registrazione di Exchange 2007 (Exchange2007.xml) per il ruolo del server Trasporto Hub.

Il Monitoraggio di Microsoft Exchange è impostato per l'avvio manuale mentre per tutti gli altri servizi è previsto l'avvio automatico.

Nome breve del servizio Nome del servizio

MSExchangeADTopology

Servizio Topologia di Active Directory di Microsoft Exchange

MSExchangeTransport

Servizio di trasporto di Microsoft Exchange

MSExchangeAntispamUpdate

Servizio di aggiornamento della protezione da posta indesiderata di Microsoft Exchange

MSExchangeEdgeSync

Servizio EdgeSync di Microsoft Exchange

MSExchangeTransportLogSearch

Servizio di ricerca dei registri di trasporto di Microsoft Exchange

MSExchangeMonitoring

Monitoraggio di Microsoft Exchange

Sono abilitate le seguenti porte.

Nome della porta File eseguibile associato

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSExchangeTransportPorts

MSExchangeTransport.exe

EdgeTransportPorts

EdgeTransport.exe

MSExchangeAntispamUpdatePorts

Microsoft.Exchange.AntispamUpdateSvc.exe

MSExchangeEdgeSyncPorts

Microsoft.Exchange.EdgeSyncSvc.exe

MSExchangeTransportLogSearchPorts

MSExchangeTransportLogSearch.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

Ruolo del server Trasporto Edge

I servizi seguenti sono abilitati dal file di registrazione per il ruolo del server Trasporto Edge (Exchange2007Edge.xml).

Il Monitoraggio di Microsoft Exchange e il Servizio di ricerca dei registri di trasporto di Microsoft Exchange sono impostati per l'avvio manuale mentre per tutti gli altri servizi è previsto l'avvio automatico.

Nome breve del servizio Nome del servizio

MSExchangeTransport

Servizio di trasporto di Microsoft Exchange

MSExchangeAntispamUpdate

Servizio di aggiornamento della protezione da posta indesiderata di Microsoft Exchange

ADAM_MSExchange

ADAM di Microsoft Exchange

EdgeCredentialSvc

Servizio credenziali di Microsoft Exchange

MSExchangeTransportLogSearch

Servizio di ricerca dei registri di trasporto di Microsoft Exchange

MSExchangeMonitoring

Monitoraggio di Microsoft Exchange

Sono abilitate le seguenti porte.

Nota

Il percorso predefinito di Dsadmin.exe è %windir%\ADAM.

Nome della porta File eseguibile associato

MSExchangeTransportPorts

MSExchangeTransport.exe

EdgeTransportPorts

EdgeTransport.exe

MSExchangeAntispamUpdatePorts

Microsoft.Exchange.AntispamUpdateSvc.exe

ADAM_MSExchangePorts

Dsamain.exe

EdgeCredentialSvcPorts

EdgeCredentialSvc.exe

MSExchangeTransportLogSearchPorts

MSExchangeTransportLogSearch.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

Ruolo del server Accesso client

I servizi seguenti sono abilitati dal file di registrazione di Exchange 2007 (Exchange2007.xml) per il ruolo del server Accesso client.

Il Monitoraggio di Microsoft Exchange, il servizio POP3 di Microsoft Exchange e il servizio Microsoft Exchange IMAP4 sono impostati per l'avvio manuale mentre per tutti gli altri servizi è previsto l'avvio automatico.

Nome breve del servizio Nome del servizio

MSExchangeADTopology

Servizio Topologia di Active Directory di Microsoft Exchange

MSExchangePOP3

servizio POP3 di Microsoft Exchange

MSExchangeIMAP4

Servizio IMAP4 di Microsoft Exchange

MSExchangeFDS

Servizio distribuzione file di Microsoft Exchange

MSExchangeServiceHost

Service Host di Microsoft Exchange

MSExchangeMonitoring

Monitoraggio di Microsoft Exchange

Sono abilitate le seguenti porte.

Nota

Il percorso predefinito dei file Pop3Service.exe e Imap4Service.exe è %Programfiles%\Microsoft\Exchange Server\ClientAccess\PopImap.

Nome della porta File eseguibile associato

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSExchangePOP3Ports

Microsoft.Exchange.Pop3Service.exe

MSExchangeIMAP4Ports

Microsoft.Exchange.Imap4Service.exe

MSExchangeFDSPorts

MSExchangeFDS.exe

MSExchangeServiceHostPorts

Microsoft.Exchange.ServiceHost.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

Ruolo del server Messaggistica unificata

I servizi seguenti sono abilitati dal file di registrazione di Exchange 2007 (Exchange2007.xml) per il ruolo del server Messaggistica unificata.

Il Monitoraggio di Microsoft Exchange è impostato per l'avvio manuale mentre per tutti gli altri servizi è previsto l'avvio automatico.

Nome del servizio Nome descrittivo

MSExchangeADTopology

Servizio Topologia di Active Directory di Microsoft Exchange

MSSpeechService

Speech Engine di Microsoft Exchange

MSExchangeUM

Messaggistica unificata di Microsoft Exchange

MSExchangeFDS

Servizio distribuzione file di Microsoft Exchange

MSExchangeMonitoring

Monitoraggio di Microsoft Exchange

Sono abilitate le seguenti porte.

Nota

Il percorso predefinito del file SpeechService.exe è %Programfiles%\Microsoft\Exchange Server\UnifiedMessaging.

Nome della porta File eseguibile associato

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSSPorts

SpeechService.exe

MSExchangeUMPorts

umservice.exe

UMWorkerProcessPorts

UMWorkerProcess.exe

MSExchangeFDSPorts

MSExchangeFDS.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

Informazioni contenute in questa Guida

Appendice 2: Documentazione aggiuntiva relativa alla protezione di Exchange

In questa sezione sono contenuti i collegamenti alla documentazione aggiuntiva relativa alla protezione di Exchange. Per l'elenco più aggiornato di contenuto relativo alla protezione, vedere Protezione.

Funzionalità antivirus e per la posta indesiderata

Autenticazione dei client e accesso protetto

Microsoft Office Outlook Web Access

Outlook via Internet

POP3 e IMAP4

Autorizzazioni

Protezione del flusso di posta

Informazioni contenute in questa Guida