배포 보안 검사 목록
적용 대상: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
마지막으로 수정된 항목: 2007-12-11
Microsoft Exchange Server 2007은 대부분의 고객 시나리오에서 기본 보안 상태를 유지하도록 설계되었습니다. 일반적으로 Exchange 2007에서 기본 보안 상태는 다음 조건에 해당되는 경우입니다.
Exchange 2007에 사용되는 계정이 지정된 작업 모음을 수행하는 데 필요한 최소 권한만 갖습니다.
기본적으로 서비스가 필요할 때만 시작됩니다.
Exchange 개체에 대한 ACL(액세스 제어 목록) 권한이 최소화되어 있습니다.
지정된 수정 작업에 필요한 개체의 변경 범위에 따라 관리 권한이 설정됩니다.
모든 내부 기본 메시지 경로가 암호화되어 있습니다.
많은 다른 기능들이 초기 설치 시 비교적 안전한 메시징 환경을 제공하도록 디자인되었습니다.
이 항목에서는 Microsoft Exchange 설치 전과 후에 메시징 환경의 보안을 강화하기 위해 수행할 수 있는 몇 가지 권장 작업에 대해 설명합니다. 새 Exchange 서버 역할을 설치할 때마다 이 검사 목록을 확인하는 것이 좋습니다.
Exchange 2007 도움말 파일의 모든 내용과 마찬가지로 최신 내용은 Exchange Server TechCenter에서 찾을 수 있습니다.
사전 설치
Exchange 2007을 설치하기 전에 다음 절차를 수행하십시오.
| 절차 | 검사 |
|---|---|
Microsoft Update를 실행합니다. |
|
Microsoft 악성 소프트웨어 제거 도구를 실행합니다. 악성 소프트웨어 제거 도구는 Microsoft Update에 포함되어 있습니다. 이 도구에 대한 자세한 내용은 악성 소프트웨어 제거 도구를 참조하십시오. |
|
Microsoft Baseline Security Analyzer(영문)를 실행합니다. |
|
설치 후
모든 Exchange 2007 서버 역할에서 SCW(보안 구성 마법사)를 실행하는 것이 좋습니다. 또한 Windows Server 2003을 실행 중인 서버에서 LAN Manager 인증 수준을 수정하는 것이 좋습니다.
보안 구성 마법사
SCW는 Microsoft Windows Server 2003 SP1(서비스 팩 1)에 포함된 도구입니다. SCW를 사용하면 Exchange 2007 서버 역할에 필요하지 않은 Windows 기능을 비활성화하여 서버에서 공격에 취약한 부분을 최소화할 수 있습니다. SCW는 서버에 대한 공격 영역을 줄이는 최상의 방법으로 보안을 자동화합니다. SCW는 역할 기반 메타포를 사용하여 서버에서 응용 프로그램에 필요한 서비스를 요청합니다. 이 도구를 사용하면 보안상 취약한 부분이 악용되는 것에 대한 Windows 환경의 영향을 줄일 수 있습니다. 자세한 내용은 보안 구성 마법사를 사용하여 Exchange 서버 역할의 Windows 보안을 참조하십시오.
LAN Manager 인증 수준
Windows Server 2003에서 실행 중인 각 Exchange 서버의 경우 LAN Manager 인증 수준을 작업 환경에 대해 Windows Server 2003 보안 가이드에서 권장하는 수준으로 설정하는 것이 좋습니다. 이 설정에 따라 네트워크 로그온에 사용되는 Challenge/Response 인증 프로토콜이 결정됩니다. 이렇게 선택한 설정은 클라이언트 컴퓨터에서 사용하는 인증 프로토콜 수준, 협상되는 보안 수준 및 서버에서 허용하는 인증 수준에 영향을 줍니다. LAN Manager 인증 수준을 수정하려면 레지스트리에서 LmCompatibilityLevel 항목을 수정해야 합니다.
경고
UNRESOLVED_TOKEN_VAL(exRegistry)
다음은 Windows Server 2003 보안 가이드에서 권장하는 LAN Manager 인증 수준입니다**.**
레거시 클라이언트 환경 Windows Server 2003 보안 가이드에서는 레거시 클라이언트 환경을 Windows Server 2003을 실행하는 구성원 서버 및 도메인 컨트롤러가 있는 Active Directory 디렉터리 서비스와 Microsoft Windows 98 및 Windows NT 4.0을 실행하는 일부 클라이언트 컴퓨터로 구성되는 환경으로 정의합니다. Windows 98을 실행하는 컴퓨터에는 Active Directory Client 확장(DSCLient)이 설치되어 있어야 합니다. DSClient 설치 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 288358, Microsoft 고객지원을 참조하십시오. 레거시 클라이언트 환경을 사용하는 경우 Windows Server 2003 보안 가이드에서는 LmCompatibilityLevel 항목을 3으로 설정하도록 권장합니다.
엔터프라이즈 클라이언트 환경 Windows Server 2003 보안 가이드에서는 엔터프라이즈 클라이언트 환경을 Windows Server 2003 SP1을 실행하는 구성원 서버 및 도메인 컨트롤러가 있는 Active Directory 도메인과 Windows 2000 Server 및 Windows XP를 실행하는 클라이언트 컴퓨터로 구성되는 환경으로 정의합니다. 엔터프라이즈 클라이언트 환경을 사용하는 경우 Windows Server 2003 보안 가이드에서는 LmCompatibilityLevel 항목을 4로 설정하도록 권장합니다.
또한 클러스터 환경에는 LAN Manager 인증 수준과 관련된 요구 사항도 있습니다. CCR(클러스터 연속 복제) 환경에서는 조직에 포함된 각 도메인 컨트롤러의 LmCompatibilityLevel 항목을 Exchange 서버의 LmCompatibilityLevel 항목과 같은 값으로 설정해야 합니다. 도메인 컨트롤러의 LmCompatibilityLevel 항목이 Exchange 서버의 LmCompatibilityLevel 항목과 다르면 복제 시 오류가 발생할 수 있습니다. 먼저 도메인의 모든 도메인 컨트롤러에 대해 LmCompatibilityLevel 항목을 설정한 후에 각 클러스터에 대해 LmCompatibilityLevel 항목을 설정하는 것이 좋습니다.
클러스터에 대해 LmCompatibilityLevel 항목을 설정하려면 클러스터의 모든 노드에 대한 값을 동시에 변경한 후에 클러스터의 각 노드를 다시 시작해야 합니다. GPO(그룹 정책 개체)를 사용하는 대신 클러스터의 모든 노드가 동시에 다시 시작되도록 레지스트리 항목을 수정한 후에 해당 클러스터에서 각 컴퓨터를 다시 시작하는 것이 좋습니다.
참고
기본적으로 Windows Server 2008을 실행하는 컴퓨터에서 LmCompatibilityLevel의 값은 3 이상입니다.
LAN Manager 인증 수준에 대한 자세한 내용은 Windows Server 2003 보안 가이드에서 "4장: 구성원 서버 기본 정책"(영문)을 참조하십시오. LmCompatibilityLevel 레지스트리 항목을 수정하여 LAN Manager 인증 수준을 설정하는 방법에 대한 자세한 내용은 How to Configure the LAN Manager Authentication Level을 참조하십시오. GPO를 사용하여 조직의 모든 컴퓨터에 대해 LmCompatibilityLevel 레지스트리 항목을 설정할 수 있습니다. 자세한 내용은 How to Configure the LAN Manager Authentication Level을 참조하십시오.