Guia de Segurança do Exchange 2007
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2007-09-17
Antigamente, para cada versão do Microsoft Exchange Server, a equipe do Exchange publicava guias de segurança independentes com informações sobre segurança e permissões. Essa abordagem funcionava para bloquear serviços e diretórios depois da execução da Instalação do Exchange. Contudo, no Microsoft Exchange Server 2007 com instalação baseada em função de servidor, o Microsoft Exchange habilita apenas os serviços necessários pela função de servidor que está sendo instalada. O Microsoft Exchange não é mais instalado e depois bloqueado por segurança. Ele foi projetado para ser seguro por padrão.
Portanto, diferentemente de versões anteriores do Exchange Server, nas quais os administradores de TI tinham que executar vários procedimentos para bloquear seus servidores que executavam o Exchange Server, o Exchange 2007 não precisa de bloqueio o reforço de segurança.
O que é abordado neste guia?
Este guia foi escrito para o administrador de TI responsável por proteger a implantação do Exchange 2007. Ele foi projetado para ajudar o administrador de TI a compreender e gerenciar o ambiente geral de segurança onde o Exchange está instalado. As seguintes informações foram incluídas neste guia:
O ciclo de vida do desenvolvimento de segurança do Exchange 2007 Esta seção oferece uma descrição breve de como o Exchange 2007 foi desenvolvido.
Práticas Recomendadas Esta seção descreve práticas recomendadas para configuração e manutenção de um ambiente seguro no Exchange 2007.
Protegendo caminhos de dados do Exchange Esta seção descreve especificações de criptografia e autenticação para todos os caminhos de dados e caminhos de comunicação de rede usados pelo Exchange 2007.
Usando o Assistente de Configuração de Segurança para Proteger o Windows para Funções do Exchange Server Esta seção fornece instruções sobre como habilitar o Exchange 2007 para o Windows ACS (Assistente de Configuração de Segurança).
Apêndice 1: Serviços e portas executáveis habilitados pelos arquivos de registro do ACS do Exchange 2007 Este apêndice documenta executáveis de porta e serviços habilitados pelos arquivos de registro do ACS do Exchange 2007.
Apêndice 2: Documentação adicional do Exchange relacionada à segurança Este apêndice fornece apontadores para documentação adicional do Exchange relacionada à segurança.
O ciclo de vida do desenvolvimento de segurança do Exchange 2007
No começo de 2002, a Microsoft apresentou a iniciativa Trustworthy Computing (Computação Confiável). Desde então, o processo de desenvolvimento na Microsoft e na equipe do Exchange Server se concentrou em desenvolver softwares que fossem seguros por padrão. Para obter mais informações, consulte Trustworthy Computing (em inglês).
No Exchange 2007, o Trustworthy Computing foi implementado nas quatro áreas fundamentais a seguir:
Design seguro O Exchange 2007 foi projetado e desenvolvido de acordo com O ciclo de vida do desenvolvimento de segurança de Trustworthy Computing (em inglês). A primeira etapa na criação de um sistema de mensagens mais seguro foi projetar modelos de ameaças e testar todos os recursos conforme eram desenvolvidos. Vários aprimoramentos relacionados à segurança foram incorporados às práticas e processos de codificação. Ferramentas usadas no momento da compilação detectam sobrecargas de buffer e outras ameaças potenciais à segurança antes que o código seja incluído no produto final. É claro que é impossível prever todas as ameaças à segurança desconhecidas e incluí-las no projeto. Nenhum sistema pode garantir segurança completa. No entanto, com a inclusão de princípios de design seguros no projeto geral de desenvolvimento, o Exchange 2007 é mais seguro do que as versões anteriores.
Seguro por padrão Um objetivo do Exchange 2007 era desenvolver um sistema no qual a maior parte das comunicações de rede fossem criptografadas por padrão. Com exceção de comunicações em cluster SMB (bloco de mensagens do servidor) e de algumas comunicações da UM (Unificação de Mensagens), esse objetivo foi alcançado. Usando certificados auto-assinados, o protocolo Kerberos, SSL e outras técnicas de criptografia padronizadas, quase todos os dados do Exchange 2007 são protegidos na rede. Além disso, a instalação com base em funções possibilita a instalação do Exchange 2007 de modo que apenas os serviços e as permissões relacionadas a estes sejam instaladas com uma função de servidor específica e adequada. Em versões anteriores do Exchange Server, todos os serviços para todas as funcionalidades tinham que ser instalados.
Dica
Para criptografar comunicações SMB e de UM, é necessário implantar a segurança do Protocolo IPsec. Versões futuras deste guia poderão incluir informações sobre como criptografar comunicações SMB e de UM.
Funcionalidade anti-spam e antivírus O Exchange 2007 inclui um conjunto de agentes anti-spam que são executados na rede de perímetro. A funcionalidade antivírus foi aprimorada com a adição do Microsoft Forefront Security para Exchange Server como uma solução da Microsoft.
Seguro na implantação Durante o desenvolvimento do Exchange 2007, a versão pré-lançamento foi implantada no ambiente de produção de TI da Microsoft. Com base nos dados dessa implantação, o Microsoft Exchange Best Practice Analyzer foi atualizado para analisar configurações de segurança reais, e foram documentadas práticas recomendadas pré e pós-implantação na Ajuda do Exchange 2007.
Antes, o gerenciamento de permissões era documentado e entregue depois que a documentação do produto principal era concluída. No entanto, sabemos que o gerenciamento de permissões não é um processo suplementar. Ele deve ser incorporado nas fases de planejamento e implantação geral da sua instalação do Exchange 2007. Portanto, dinamizamos nossa documentação de permissões e a integramos na documentação principal para fornecer um contexto contínuo para os administradores durante o planejamento e implantação de seu modelo administrativo.
Comunicações Agora que o Exchange 2007 foi lançado, a equipe do Exchange se dedica a manter o software atualizado e você bem informado. Mantendo o sistema atualizado com o Microsoft Update, você pode garantir que as atualizações de segurança mais recentes sejam instaladas em sua organização. O Exchange 2007 também inclui atualizações anti-spam. Além disso, se você assinar as Notificações Técnicas de Segurança da Microsoft (em inglês), poderá estar ao par dos últimos problemas de segurança no Exchange 2007.
O que é abordado neste guia?
Práticas Recomendadas
Vamos analisar algumas das práticas recomendadas que ajudarão você a criar e manter um ambiente mais seguro. Em geral, a simples atualização de arquivos de assinatura antivírus e softwares atualizados, e execução de ferramentas de análise periodicamente, são as maneiras mais eficazes de otimizar a segurança de seu ambiente do Exchange 2007.
Esta seção descreve algumas das práticas recomendadas para obter a manter a segurança de um ambiente do Exchange 2007.
Protegendo-se
As ferramentas a seguir são fornecidas pela Microsoft para ajudar a criar um ambiente seguro. Execute-as antes de instalar o Exchange 2007:
Microsoft Update
Exchange Best Practices Analyzer
Microsoft Baseline Security Analyzer
Ferramenta de Bloqueio de IIS (Serviços de Informação da Internet) e URLScan, apenas para ambientes em que você esteja executando o Windows Server 2003 depois da atualização para o Windows 2000 Server.
Modelos do Exchange para o Assistente de Configuração de Segurança (ACS)
Microsoft Update
O Microsoft Update é um serviço novo que oferece os mesmos downloads que o Windows Update, além das últimas atualizações de outros programas da Microsoft. Ele pode ajudar a manter seu computador mais seguro e com melhor desempenho.
Um recurso fundamental do Microsoft Update é a Atualização Automática do Windows. Esse recurso instala automaticamente as atualizações de alta prioridade fundamentais para a segurança e confiabilidade do computador. Sem essas atualizações de segurança, seu computador fica mais vulnerável a ataques de criminosos da Internet ou de softwares mal intencionados (ou malware).
O modo mais confiável de usar o Microsoft Update é receber as atualizações automaticamente no computador com a Atualização Automática do Windows. Você pode ligar as Atualizações Automáticas quando se inscrever no Microsoft Update.
O Windows então analisará o software Microsoft instalado em seu computador e verá se há atualizações de alta prioridade atuais ou antigas que sejam necessárias e em seguida fará o download e instalação automaticamente.- Depois disso, sempre que você se conectar à Internet, o Windows repetirá esse processo de atualização se houver novas atualizações de alta prioridade.
Dica
Se você já estiver usando as Atualizações Automáticas, o Microsoft Update continuará a funcionar do modo com você configurou.
Para habilitar o Microsoft Update, consulte Microsoft Update (em inglês).
O modo padrão do Microsoft Update exige que todos os computadores do Exchange estejam conectados à Internet para receber atualizações automáticas. Se você estiver executando servidores sem conexão à Internet, poderá instalar o WSUS (Windows Server Update Services) para gerenciar a distribuição de atualizações para os computadores da organização. Você poderá então configurar o Microsoft Update nos computadores internos do Exchange Server para que entre em contato com o servidor WSUS interno para fazer atualizações. Para obter mais informações, consulte Microsoft Windows Server Update Services 3.0 (em inglês).
O WSUS não é a única solução disponível para gerenciamento do Microsoft Update. Para obter mais informações sobre qual solução de gerenciamento do Microsoft Update atende melhor a suas necessidades, consulte MBSA, MU, WSUS, Essentials 2007 ou SMS 2003? (em inglês).
Atualizações de Anti-spam
O Exchange 2007 também usa a infra-estrutura do Microsoft Update para atualizar os filtros anti-spam. Por padrão, com atualizações manuais, o administrador deve visitar o Microsoft Update para baixar e instalar as atualizações de filtro de conteúdo. Os dados de atualização do filtro de conteúdo são atualizados e disponibilizados para download a cada duas semanas.
Atualizações manuais do Microsoft Update não incluem o Serviço de Reputação de IP da Microsoft ou dados de assinatura de spam. O Serviço de Reputação de IP da Microsoft e dados de assinatura de spam estão disponíveis somente com o Forefront Security para Atualizações Automáticas Anti-Spam do Exchange Server.
Dica
As Atualizações Automáticas Anti-spam do Forefront são um recurso premium que exige uma CAL (licença de acesso para cliente) Corporativa do Exchange para cada caixa de correio de usuário ou uma licença do Forefront Security para Exchange Server.
Para obter mais informações sobre como habilitar as Atualizações Automáticas Anti-spam do Forefront, consulte Atualizações de Anti-spam.
Microsoft Exchange Best Practices Analyzer
O Best Practices Analyzer do Exchange é um das ferramentas mais eficazes que você pode executar regularmente para ajudar a verificar se seu ambiente do Exchange está seguro. O Best Practices Analyzer do Exchange examina automaticamente uma implantação do Microsoft Exchange Server e determina se a configuração está definida de acordo com as práticas recomendadas do Microsoft. Você pode instalar o Best Practices Analyzer do Exchange em um computador cliente que esteja executando o Microsoft .NET Framework 1.1. Com o acesso à rede adequado, o Best Practices Analyzer do Exchange examina todo o seu serviço de diretório do Active Directory e servidores Exchange.
Para obter mais informações, inclusive práticas recomendadas, consulte a seção "Executando o Best Practices Analyzer do Exchange" mais à frente neste guia e Microsoft Exchange Best Practices Analyzer v2.8 (em inglês).
Microsoft Baseline Security Analyzer
O MBSA (Microsoft Baseline Security Analyzer) é uma ferramenta que foi projetada para o profissional de TI, para ajudar pequenas e médias empresas a determinar se sua segurança está de acordo com as recomendações da Microsoft. Melhore seu processo de gerenciamento de segurança usando o MBSA para detectar falhas de configuração de segurança comuns e atualizações de segurança ausentes em seus sistemas.
Você pode baixar o MBSA em Microsoft Baseline Security Analyzer (em inglês).
Ferramenta de Bloqueio de IIS e URLScan
Por padrão, as versões 6.0 e 7.0 do IIS, que são instaladas com o Windows Server e com o Windows Server 2008, respectivamente, têm configurações de segurança similares àquelas feitas pela Ferramenta de Bloqueio de IIS. Portanto, você não precisa executar a Ferramenta de Bloqueio de IIS em servidores da Web que estejam executando as versões 6.0 ou 7.0 do IIS. Entretanto, se estiver atualizando de uma versão anterior do IIS para as versões 6.0 ou 7.0 do IIS, recomendados a execução da Ferramenta de Bloqueio de IIS para fortalecer a segurança de seu servidor da Web.
Recomendamos que você não execute o URLScan com as versões 6.0 ou 7.0 do IIS, porque o risco de falhas na configuração é maior que do os benefícios do URLScan.
Para obter mais informações, consulte How To : Use IISLockdown.exe.
Modelos do Exchange 2007 para o Assistente de Configuração de Segurança
O ACS (Assistente de Configuração de Segurança) é uma ferramenta que foi apresentada com o Windows Server 2003 Service Pack 1. Use o ACS para minimizar a superfície de ataque dos servidores desabilitando as funcionalidades do Windows que não são necessárias para funções de servidor do Exchange 2007. O ACS automatiza as práticas recomendadas de segurança para a redução da superfície de ataque de um servidor. O ACS usa uma metáfora baseada em função para solicitar serviços que são necessários para os aplicativos em um servidor. Essa ferramenta reduz a suscetibilidade dos ambientes Windows a exploração de vulnerabilidades de segurança.
Para obter mais informações sobre como criar modelos do Exchange 2007 para o ACS, consulte a seção "Usando o Assistente de Configuração de Segurança para proteger o Windows com funções de servidor do Exchange", mais à frente neste guia.
Mantendo a segurança
Esta seção oferece práticas recomendadas para manter seu ambiente do Exchange 2007 seguro.
Executando o Exchange Best Practices Analyzer
Como mencionado na seção anterior, o Best Practices Analyzer do Exchange é um das ferramentas mais eficazes que você pode executar regularmente para ajudar a verificar se seu ambiente do Exchange está seguro.
Para a maioria dos ambientes, recomendamos executar o Best Practices Analyzer do Exchange pelo menos uma vez a cada três meses. Contudo, a prática recomendada é executá-lo uma vez por mês em todos os servidores onde o Exchange Server esteja instalado.
Além disso, você deve executar o Best Practices Analyzer do Exchange nos seguintes cenários:
Sempre que você fizer alterações significativas de configuração em um servidor Exchange. Por exemplo, você deve executá-lo depois de adicionar ou remover conectores ou depois de criar uma conexão EdgeSync com um servidor de Transporte de Borda.
Imediatamente depois de instalar ou remover uma função de servidor do Exchange.
Depois de instalar um service pack do Windows ou do Exchange Server.
Depois de instalar software de terceiros em um computador que esteja executando o Microsoft Exchange.
Executando software antivírus
Vírus, worms e outros conteúdos mal intencionados transmitidos por sistemas de email são uma realidade destrutiva enfrentada por muitos administradores do Microsoft Exchange. Portanto, você precisa desenvolver uma implantação de antivírus defensiva para todos os sistemas de mensagens. Esta seção fornece práticas recomendadas para a implantação de software antivírus para o Exchange 2007 e o Microsoft Office Outlook 2007.
Você deve dar atenção especial a duas alterações importantes no Exchange 2007 quando você selecionar um fornecedor de software antivírus:
O Exchange 2007 é baseado em uma arquitetura de 64 bits.
Conforme descrito com mais detalhes posteriormente neste tópico, o Exchange 2007 inclui uma nova funcionalidade de agente de transporte.
Essas duas alterações significam que os fornecedores de antivírus devem fornecer softwares específicos do Exchange 2007. Qualquer software antivírus desenvolvido para versões anteriores do Exchange Server provavelmente não funcionará corretamente com o Exchange 2007.
Para usar abordagem de defesa em profundidade, recomendamos que você implante um software antivírus projetado para sistemas de mensagens no gateway do protocolo SMTP ou nos servidores Exchange que hospedam caixas de correio, além de softwares antivírus no computador do usuário.
Você decide que tipo de softwares antivírus usar e onde eles devem ser implantados encontrando o equilíbrio correto entre o custo que se dispõe a assumir e o risco que se dispõe a correr. Por exemplo, algumas organizações executam software antivírus para mensagens no gateway SMTP, varredura antivírus no nível dos arquivos no servidor Exchange e software de cliente antivírus no computador do usuário. Essa abordagem oferece proteção específica para mensagens no gateway, proteção geral no nível dos arquivos no servidor de mensagens e proteção no cliente. Outras organizações podem tolerar custos mais altos e melhorar a segurança, executando softwares antivírus para mensagens no gateway SMTP, varredura antivírus no nível dos arquivos no servidor Exchange e software cliente antivírus no computador do usuário, juntamente com um software antivírus compatível com o VSAPI 2.5 (Virus Scanning Application Programming Interface) do Exchange no servidor de Caixa de Correio do Exchange.
Executando software antivírus em Servidores de Transporte de Hub e de Transporte de Borda
O local mais importante para executar o software antivírus de mensagens seja na primeira linha de defesa de sua organização. No Exchange 2007, a primeira linha de defesa encontra-se no perímetro de rede no servidor de Transporte de Borda.
Para se proteger bem contra epidemias de vírus de dentro da organização e fornecer uma segunda linha de defesa, recomendamos também que você execute o software antivírus com base em transporte nos servidores de Transporte de Hub dentro da organização.
No Exchange 2007, os agentes agem em eventos de transporte, semelhantes aos coletores de eventos em versões anteriores do Microsoft Exchange. Os desenvolvedores de terceiros podem gravar agentes personalizados para tirar proveito do mecanismo subjacente de análise de MIME do Exchange para verificação robusta antivírus no nível de transporte.
Muitos fornecedores de software de terceiros oferecem agentes específicos ao Exchange 2007 para tirar proveito do mecanismo de análise de MIME de transporte do Exchange. Entre em contato com seu fornecedor de antivírus para obter mais informações.
Além disso, o Microsoft Forefront Security para Exchange Server inclui um agente antivírus de transporte para o Exchange 2007. Para obter mais informações sobre como instalar e configurar o agente antivírus do Forefront Security para Exchange Server, consulte Protegendo sua organização do Microsoft Exchange com o Microsoft Forefront Security para Exchange Server (em inglês).
Dica
Objetos que não são roteados por transporte, como itens em postas públicas, Itens enviados e itens de calendário, que só podem ser analisados em um servidor de Caixa de Correio, não são protegidos por análise de vírus somente em transporte.
Executando o software antivírus em outros computadores da organização
Você pode executar verificações de vírus no nível de arquivo nas duas classes de computadores a seguir:
Áreas de trabalho do usuário
Servidores
Além de análise de vírus no nível dos arquivos, considere a possibilidade de executar uma solução Microsoft VSAPI no servidor de Caixa de Correio do Exchange.
Verificação de vírus na área de trabalho
É altamente recomendável que seus usuários executem a versão mais recente do Outlook. Se você executar clientes de email desatualizados na área de trabalho, correrá sérios riscos devido ao modelo do objeto e ao comportamento da manipulação de anexo em clientes de email mais antigos. Por padrão, portanto, o Microsoft Office Outlook 2003 e o Office Outlook 2007 são os únicos clientes MAPI dos quais o Exchange 2007 aceita conexões. Para obter mais informações sobre os riscos associados à execução de versões antigas de clientes de email, consulte Etapas para proteger o Outlook (página em inglês).
Após ter feito a atualização para o Outlook 2003 ou Outlook 2007, verifique se você instalou um software antivírus no nível de arquivo em todos os computadores desktop. Além disso, realize as seguintes etapas:
Desenvolva um plano para certificar-se de que os arquivos de assinatura do antivírus são atualizados automaticamente em todos os computadores desktop.
Certifique-se de desenvolver e manter uma solução de gerenciamento de atualizações de ponta a ponta em sua organização para combater vírus.
Verificação de vírus no servidor
Considere a possibilidade de adotar uma diretiva geral para executar verificações de vírus no nível de arquivo em todos os computadores servidores e desktop da organização. Portanto, todos os computadores do Exchange Server deve ter alguma forma de verificação antivírus no nível de arquivo sendo executada. Para cada função de servidor, você deverá executar configurações adicionais à verificação no nível de arquivo para que determinados diretórios, tipos de arquivos e processos não sejam verificados. Por exemplo, recomendamos que você nunca execute um software antivírus de nível de arquivo em bancos de dados de armazenamento do Exchange. Para obter informações detalhadas sobre configuração, consulte Verificação antivírus no nível de arquivo no Exchange 2007.
Verificação de banco de dados de caixa de correio com VSAPI
Uma solução de verificação VSAPI (Microsoft Virus Scanning API) pode ser uma cama de defesa importante para muitas organizações. Você deve considerar a possibilidade de usar uma solução antivírus VSAPI se alguma das seguintes condições for verdadeira:
Sua organização não possui produtos antivírus de área de trabalho completos e confiáveis implantados.
Sua organização deseja a proteção adicional que a verificação de armazenamento pode oferecer.
Sua organização desenvolver aplicativos personalizados com acesso programático a um banco de dados do Exchange.
Sua comunidade de usuários costuma postar mensagens em pastas públicas.
Soluções antivírus que usam o VSAPI do Exchange são executadas diretamente do processo do armazenamento de informações do Exchange. As soluções VSAPI são provavelmente as únicas que podem proteger contra vetores de ataque que colocam conteúdo infectado dentro do armazenamento de informações do Exchange, ignorando a verificação de transporte e no cliente padrão. Por exemplo, VSAPI é a única solução que verifica dados enviados a um banco de dados por CDO (Objetos de dados de colabora;'ao) WebDAV e serviços da Web do Exchange.
Além disso, quando ocorre uma epidemia de vírus, freqüentemente uma solução antivírus VSAPI fornece o modo mais rápido de remover e eliminar vírus de um armazenamento de mensagens infectado.
Para obter informações mais específicas sobre como executar o Forefront Security para Exchange Server, que inclui um mecanismo de verificação VSAPI, consulte Protegendo sua organização do Microsoft Exchange com o Microsoft Forefront Security para Exchange Server (em inglês).
Usando o Exchange Hosted Services
A filtragem de spam e vírus é aprimorada por ou também está disponível como um serviço dos Serviços Hospedados pelo Microsoft Exchange. Exchange Hosted Services é um conjunto de quatro serviços hospedados diferentes:
Filtragem Hospedada, que ajuda organizações a se protegerem contra malwares provenientes de email
Arquivamento Hospedado, que as ajuda a atender aos requisitos de retenção quanto à conformidade
Criptografia Hospedada, que as ajuda a criptografar dados para preservar o sigilo
Continuidade Hospedada, que as ajuda a preservar o acesso ao email durante e após situações de emergência
Esses serviços se integram com todos os servidores Exchange no local, que são gerenciados internamente, ou serviços de email do Hosted Exchange, que são oferecidos por meio de provedores de serviço. Para obter mais informações sobre o Exchange Hosted Services, consulte Microsoft Exchange Hosted Services (página em inglês).
Mais informações antivírus
Para obter um documento detalhado sobre como a MSIT implantou uma solução antivírus para o servidor Exchange 2007, consulte Transporte de Borda e Proteção de Mensagens no Microsoft Exchange Server 2007 (em inglês).
O Forefront Security para Exchange Server oferece uma solução antivírus com vários mecanismos de verificação para funções de servidor de Transporte do Exchange e uma solução VSAPI para o servidor de Caixa de Correio do Exchange. Para obter práticas recomendadas sobre uma solução antivírus de ponta a ponta, consulte Protecting Your Microsoft Exchange Organization with Microsoft Forefront Security for Exchange Server.
Mantendo softwares atualizados
Como mencionado anteriormente, executar o Microsoft Update é uma prática recomendada. Além de executar o Microsoft Update em todos os servidores, também é muito importante manter todos os computadores clientes atualizados e manter atualizações antivírus em todos os computadores da organização.
Além dos softwares da Microsoft, verifique se você está executando as atualizações mais recentes de todos os softwares executados na organização.
Bloqueando clientes Outlook herdados
Versões antigas do Outlook continham vulnerabilidades que podem aumentar a disseminação de vírus. É uma prática recomendada permitir que o Exchange 2007 aceite conexões MAPI somente dos clientes Outlook 2007, Outlook 2003 e Outlook 2002. Restringindo as versões do cliente Outlook que podem se conectar ao Exchange, você pode reduzir significativamente o risco de ataques de vírus e outros malware. Recomendamos que você reduza e padronize as versões de software em sua organização.
Para obter mais informações sobre como remover o acesso do cliente Outlook ao Exchange 2007, consulte Todas as versões do Outlook têm permissão para acessar o servidor (em inglês).
Executando filtragem de anexos
No Exchange 2007, a filtragem de anexos permite aplicar filtros no nível do servidor para controlar os anexos que os usuários recebem. A filtragem de anexos é muito importante no ambiente atual, em que vários anexos contêm vírus perigosos ou materiais inadequados que podem causar danos significativos ao computador do usuário ou à organização como um todo, danificando documentações importantes ou liberando informações confidenciais ao público.
Dica
Como prática recomendada, não remova anexos de mensagens assinadas digitalmente, criptografadas ou com proteção de direitos. Se você remover os anexos dessas mensagens, invalidará as mensagens assinadas digitalmente e tornará ilegível as mensagens criptografadas e com proteção de direitos.
Tipos de filtragem de anexos no Exchange 2007
Você pode usar os seguintes tipos de filtragem de anexos para controlar anexos que entram ou saem da organização:
Filtragem baseada no nome do arquivo ou na extensão do nome do arquivo Você pode filtrar anexos especificando o nome exato do arquivo ou a extensão do nome do arquivo a ser filtrado. Um exemplo de um nome de arquivo exato é BadFilename.exe. Um exemplo de um filtro de extensão de nome de arquivo é *.exe.
Filtragem baseada no tipo de conteúdo MIME do arquivo Também é possível filtrar anexos especificando o tipo de conteúdo MIME a ser filtrado. Os tipos de conteúdo MIME indicam qual é o anexo, se ele é uma imagem JPEG, um arquivo executável, um arquivo do Microsoft Office Excel 2003 ou algum outro tipo de arquivo. Os tipos de conteúdo são expressos como
type/subtype. Por exemplo, o tipo de conteúdo de imagem JPEG é expresso comoimage/jpeg.Para exibir uma lista completa de todas as extensões de nome de arquivo e tipos de conteúdo que podem ser usados pela filtragem de anexos, execute o seguinte comando:
Get-AttachmentFilterEntry | FLPara executar o cmdlet Get-AttachmentFilterEntry em um computador vinculado a um domínio, use uma conta à qual esteja delegada a função Administradores Somente para Exibição do Exchange.
Para executar o cmdlet Get-AttachmentFilterEntry em um computador com a função de servidor Transporte de Borda instalada, faça logon com uma conta que seja membro do grupo Administradores local nesse computador.
Para obter mais informações sobre permissões, delegação de funções e os direitos necessários para administrar o Exchange 2007, consulte Considerações sobre permissão.
Se um anexo corresponder a um desses critérios de filtragem, você poderá configurar uma das seguintes ações a serem executadas no anexo:
Bloquear a mensagem inteira e o anexo Um anexo que corresponda a um filtro de anexo juntamente com a mensagem de email inteira pode ser impedido de entrar no sistema de mensagens. Se um anexo e uma mensagem de email forem bloqueados, o remetente receberá uma mensagem DSN (delivery status notification, notificação de status de entrega) que comunicará que a mensagem contém um nome de arquivo de anexo inaceitável.
Remover anexo, mas permitir o envio da mensagem Um anexo que corresponda a um filtro de anexo pode ser removido, enquanto o envio da mensagem de email e de quaisquer outros anexos que não correspondam ao filtro será permitido. Se um anexo for removido, ele será substituído por um arquivo de texto que explicará por que o anexo foi removido. Essa ação é a configuração padrão.
Excluir silenciosamente a mensagem e o anexo Um anexo que corresponda a um filtro de anexo juntamente com a mensagem de email inteira pode ser impedido de entrar no sistema de mensagens. Se um anexo e a mensagem de email forem bloqueados, nem o remetente nem o destinatário receberão a notificação.
Aviso
Não é possível recuperar mensagens de email e anexos bloqueados ou removidos. Ao configurar filtros de anexos, verifique se examinou cuidadosamente todas as correspondências possíveis de nomes de arquivos e verifique se anexos legítimos não serão afetados pelo filtro.
Para obter mais informações, consulte Como configurar a Filtragem de Anexo.
Filtragem de arquivos usando o Forefront Security para Exchange Server
A funcionalidade de filtragem de arquivos fornecida pelo Forefront Security para Exchange Server inclui recursos avançados que não estão disponíveis no agente padrão de Filtro de Anexo incluído no Exchange Server 2007 Standard Edition.
Por exemplo, é possível verificar nos arquivos de contêiner, que são arquivos que contem outros arquivos, a presença de tipos de arquivo ofensivos. A filtragem do Forefront Security para Exchange Server pode verificar os seguintes arquivos de contêiner e agir sobre os arquivos incorporados:
PKZip (.zip)
GNU Zip (.gzip)
Arquivos ZIP de Auto-extração
Arquivos Zip (.zip)
Arquivo Java (.jar)
TNEF (winmail.dat)
Armazenamento estruturado (.doc, .xls, .ppt, etc.)
MIME (.IML)
SMIME (.eml)
UUEncode (.uue)
Arquivo de fita Unix (.tar)
Arquivo RAR (.rar)
MACBinary (.bin)
Dica
O agente padrão Filtro de Anexo incluído no Exchange 2007 Standard Edition detecta tipos de arquivos, mesmo que eles tenham sido renomeados. A Filtragem de Anexo também assegura que os arquivos Zip e LZH compactados não contenham anexos bloqueados, comparando uma extensão de nome de arquivo com os arquivos contidos no Zip ou no LZH compactado. A filtragem de arquivos do Forefront Security para Exchange Server possui o recurso adicional para detectar se um anexo bloqueado foi renomeado dentro de um arquivo de contêiner.
Também é possível filtrar arquivos pelo tamanho. Além disso, você pode configurar o Forefront Security para Exchange Server para colocar os arquivos filtrados em quarentena ou para enviar notificações de email com base nas correspondências do filtro de arquivos.
Para obter mais informações, consulte Protegendo sua organização do Microsoft Exchange com o Microsoft Forefront Security para Exchange Server (em inglês).
Forçando senhas de alta segurança em sua organização
A maioria dos usuários fazem logon n computador local e em computadores remotos com uma combinação de seu nome de usuário e uma senha digitados no teclado. Embora haja tecnologias de autenticação alternativas para todos os sistemas operacionais populares, como biométrica, cartões inteligentes e senhas únicas, a maioria das organizações ainda confiam nas senhas tradicionais e continuarão a fazê-lo por anos. Portanto, é muito importante que as organizações definam e forcem diretivas de senhas em seus computadores. Isso inclui a obrigação do uso de senhas de alta segurança. Senhas de alta segurança atendem a diversos requisitos de complexidade, que fazem com que fique mais difícil para um invasor descobri-las. Dentre esses requisitos estão a comprimento da senha e categorias de caracteres. Estabelecendo diretivas de senha estritas para sua organização, você pode ajudar a evitar que um invasor se faça passar por um usuário, evitando perda, exposição ou danificação de informações sensíveis.
Para obter mais informações, consulte Forçando o uso de senhas de alta segurança em toda a organização (em inglês).
Desconectando nomes de usuários do Windows e endereços SMTP
Por padrão, quando você cria uma caixa de correio para um usuário, o endereço SMTP resultante para esse usuário é username@contoso.com, onde username é o nome da conta do usuário no Windows.
É uma prática recomendada criar um novo endereço SMTP para os usuários, para ocultar os nomes de usuários do Windows de usuários mal-intencionados.
Por exemplo, considere o usuário Kweku Ako-Adjei, cujo nome de usuário no Windows é KwekuA. Para ocultar o nome de usuário no Windows, o administrador pode criar um endereço SMTP Kweku.Ako-Adjei@contoso.com.
O uso de um endereço SMTP separado não é considerado uma medida de segurança muito forte. Contudo, cria mais uma barreira para usuários mal-intencionados que podem tentar invadir a organização com um nome de usuário conhecido.
Para obter mais informações sobre adicionar endereços SMTP para usuários existentes, consulte Como criar uma diretiva de endereço de email.
Gerenciando a segurança do acesso para cliente
A função de servidor Acesso para Cliente fornece acesso ao Microsoft Outlook Web Access, Microsoft Exchange ActiveSync, Outlook em Qualquer Lugar, protocolos POP3 e IMAP4. Além disso, oferece suporte para o serviço Descoberta Automática e Serviço de Disponibilidade. Cada um desses protocolos e serviços tem necessidades de segurança exclusivas.
Gerenciando a autenticação
Uma das tarefas mais importantes relacionadas a segurança que você pode executar para a função de servidor Acesso para Cliente é configurar um método de autenticação. A função de servidor Acesso para Cliente é instalada com um certificado digital auto-assinado padrão. Um certificado digital tem duas funções:
Autenticar que seu proprietário é quem ou o que ele alega ser.
Proteger dados trocados online contra roubo ou violação.
Embora o certificado auto-assinado padrão tenha suporte para o Exchange ActiveSync e o Outlook Web Access, ele não é o método mais seguro de autenticação. Além disso, ele não tem suporte no Outlook em Qualquer Lugar. Para obter segurança adicional, tente configurar o servidor de Acesso para Cliente do Exchange 2007 para usar um certificado confiável de uma autoridade de certificação (CA) comercial de terceiros ou uma CA de infra-estrutura de chave pública (PKI) confiável do Windows. Você pode configurar a autenticação separadamente para o Exchange ActiveSync, o Outlook Web Access, o Outlook em Qualquer Lugar, o POP3 e o IMAP4.
Para obter mais informações sobre como configurar a autenticação, consulte os seguintes tópicos:
Configurando a autenticação baseada em formulários para o Outlook Web Access
Configurando métodos de autenticação padrão para o Outlook Web Access
Aprimorando comunicações seguras entre o servidor de Acesso para Cliente e outros servidores
Depois de otimizar a segurança de suas comunicações entre clientes e o servidor Exchange 2007, você deverá otimizar a segurança das comunicações entre o servidor Exchange 2007 e outros servidores de sua organização. Por padrão, as comunicações HTTP, Exchange ActiveSync, POP3 e IMAP4 entre o servidor de Acesso para Cliente e outros servidores, como servidores Exchange 2007 que tenham a função de servidor Caixa de Correio instalada, controladores de domínio e servidores de catálogo global, são criptografadas.
Para obter mais informações sobre como gerenciar a segurança de vários componentes do servidor de Acesso para Cliente, consulte os seguintes tópicos:
O que é abordado neste guia?
Compreendendo a Segurança de Domínio
O Exchange 2007 inclui um novo conjunto de recursos denominado "Segurança de Domínio". A Segurança do Domínio está relacionada ao conjunto de funcionalidades contido no Exchange 2007 e no Outlook 2007 que é uma alternativa relativamente barata para o S/MIME ou outras soluções de segurança no nível de mensagens. O objetivo do recurso Segurança de Domínio é oferecer aos administradores um método de gerenciar caminhos de mensagem protegidos pela Internet com parceiros de negócios. Após a configuração desses caminhos de mensagens protegidos, as mensagens que transitaram com êxito por esses caminhos a partir de um servidor autenticado são exibidas aos usuários como "Domínio Seguro" na interface do Outlook e do Outlook Web Access.
A Segurança de Domínio usa o padrão TLS (Transport Layer Security) com autenticação mútua para fornecer autenticação e criptografia baseadas em sessão. A TLS com autenticação mútua é diferente da TLS normalmente implementada. Geralmente, quando a TLS é implementada, o cliente verifica se a conexão é estabelecida de modo seguro com o servidor desejado, validando o certificado do servidor. Esse certificado é recebido como parte da negociação de TLS. Nesse cenário, o cliente autentica o servidor antes de transmitir os dados. Contudo, o servidor não autentica a sessão com o cliente.
Com a autenticação mútua de TLS, cada servidor verifica a conexão estabelecida com o outro servidor, validando um certificado fornecido por esse outro servidor. Nesse cenário, quando as mensagens forem recebidas de domínios externos através de conexões verificadas em um ambiente do Exchange 2007, o Outlook 2007 exibirá um ícone "Domínio Seguro".
Para obter mais informações sobre como planejar e implantar a Segurança de Domínio em sua organização, consulte White Paper: Domain Security in Exchange 2007.
O que é abordado neste guia?
Protegendo caminhos de dados do Exchange
Por padrão, quase todos os caminhos de dados usados pelo Exchange 2007 são protegidos. Esta seção fornece detalhes sobre portas, autenticação e criptografia para todos os caminhos de dados usados pelo Exchange 2007. As seções de Notas após cada tabela esclarecem ou definem métodos não-padrão de autenticação ou criptografia.
Servidores de Transporte
A tabela a seguir fornece informações sobre portas, autenticação e criptografia para os caminhos de dados entre servidores de Transporte de Hub e de Transporte de borda, e para/de outros servidores e serviços do Exchange 2007.
Caminhos de dados do servidor de transporte
| Caminho de dados | Portas necessárias | Autenticação padrão | Autenticação aceita | Criptografia aceita? | Criptografado por padrão? |
|---|---|---|---|---|---|
Servidor de Transporte de Hub para servidor de Transporte de Hub |
25/TCP (Secure Sockets Layer [SSL]), 587/TCP (SSL) |
Kerberos |
Kerberos |
Sim (TLS) |
Sim |
Servidor de Transporte de Hub para servidor de Transporte de Borda |
25/TCP (SSL) |
Confiança direta |
Confiança direta |
Sim (TLS) |
Sim |
Servidor de Transporte de Borda para servidor de Transporte de Hub |
25/TCP (SSL) |
Confiança direta |
Confiança direta |
Sim (TLS) |
Sim |
Servidor de Transporte de Borda para servidor de Transporte de Borda |
25/TCP (SSL), 389/TCP/UDP e 80/TCP (autenticação de certificados) |
Anônimo, Certificado |
Anônimo, Certificado |
Sim (TLS) |
Não |
Servidor de Caixa de Correio para servidor de Transporte de Hub através do Serviço de Envio de Mensagens do Microsoft Exchange |
135/TCP (RPC) |
NTLM. Se conectando com uma conta de serviço (local), o Kerberos é usado. |
NTLM/Kerberos |
Sim (criptografia RPC) |
Sim |
Transporte de Hub para servidor de Caixa de Correio via MAPI |
135/TCP (RPC) |
NTLM. Se conectando com uma conta de serviço (local), o Kerberos é usado. |
NTLM/Kerberos |
Sim (criptografia RPC) |
Sim |
Serviço Microsoft Exchange EdgeSync |
50636/TCP (SSL), 50389/TCP (Sem SSL) |
Básica |
Básica |
Sim (LDAPS) |
Sim |
Serviço de diretório do ADAM (Active Directory Application Mode) no servidor de Transporte de Borda |
50389/TCP (Sem SSL) |
NTLM/Kerberos |
NTLM/Kerberos |
Não |
Não |
Acesso do serviço de diretório do Active Directory a partir do servidor de Transporte de Hub |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
Sim (criptografia Kerberos) |
Sim |
Notas sobre os servidores de transporte
Todo o tráfego entre os servidores de Transporte de Hub é criptografado usando TLS com certificados auto-assinados que são instalados por padrão pela Instalação do Exchange 2007.
Todo o tráfego entre os servidores de Transporte de Borda e de servidores de Transporte de Hub é autenticado e criptografado. O mecanismo subjacente de autenticação e criptografia é TLS mútuo. Em vez de usar a validação de X.509, o Exchange 2007 usa a confiança direta para autenticar os certificados. Confiança direta significa que a presença do certificado no Active Directory ou ADAM valida o certificado. O Active Directory é considerado um mecanismo de armazenamento confiável. Quando a confiança direta é usada, não importa se o certificado é auto-assinado ou assinado por uma autoridade de certificação. Quando você inscreve um servidor de Transporte de Borda na organização do Exchange, a Inscrição de Borda publica o certificado do servidor de Transporte de Borda no Active Directory para que os servidores de Transporte de Hub o validem. O serviço Microsoft Exchange Edgesync atualiza o ADAM com o conjunto de certificados do servidor de Transporte de Hub para que o servidor de Transporte de Borda o valide.
Por padrão, o tráfego entre os servidores de Transporte de Borda em organizações diferentes é criptografado. A Instalação do Exchange 2007 cria um certificado auto-assinado e o TLS é habilitado por padrão. Isso permite que qualquer sistema de envio criptografe a sessão SMTP de entrada para o Microsoft Exchange. Também por padrão, o Exchange 2007 testa o TLS em todas as conexões remotas.
Os métodos de autenticação de tráfego entre os servidores de Transporte de Hub e de Caixa de Correio são diferentes quando as funções de servidor Transporte de Hub e Caixa de Correio estão localizadas no mesmo computador. Quando o envio de mensagens é local, a autenticação Kerberos é usada. Quando o envio de mensagens é remoto, a autenticação do NTLM é usada.
O Exchange 2007 também oferece suporte para a Segurança de Domínio. A Segurança do Domínio refere-se ao conjunto de funcionalidades contido no Exchange 2007 e no Outlook 2007 que fornece uma alternativa de baixo custo ao S/MIME ou outras soluções de segurança no nível de mensagens pela Internet. O objetivo do recurso Segurança de Domínio é oferecer aos administradores um modo de gerenciar caminhos de mensagem protegidos entre domínios pela Internet. Após a configuração desses caminhos de mensagens protegidos, as mensagens que transitaram com êxito por esses caminhos a partir de um servidor autenticado são exibidas aos usuários como "Domínio Seguro" na interface do Outlook e do Outlook Web Access. Para obter mais informações, consulte Planejando segurança de domínio.
Vários agentes podem ser executados nos servidores de Transporte de Hub e Transporte de Borda. Geralmente, os agentes anti-spam dependem de informações locais para o computador no qual os agentes são executados. Portanto, é necessária muito pouca comunicação com os computadores remotos. A exceção é a filtragem de destinatários. Isso exige chamadas para o ADAM ou para o Active Directory. É uma prática recomendada executar a filtragem de destinatários no servidor de Transporte de Borda. Nesse caso, o diretório do ADAM está no mesmo computador que o servidor de Transporte de Borda e nenhuma comunicação remota é necessária. Quando a filtragem de destinatário foi instalada e configurada no servidor de Transporte de Hub, a filtragem de destinatário acessa o Active Directory.
O agente Análise de Protocolo é usado pelo recurso Reputação do Remetente no Exchange 2007. Esse agente também estabelece várias conexões com servidores proxy externos para determinar os caminhos de mensagem de entrada para conexões suspeitas.
Todas as outras funcionalidades anti-spam usam os dados reunidos, armazenados e acessados somente no computador local. Freqüentemente, dados, como a agregação de lista segura ou dados de destinatários para a filtragem de destinatários, são enviados para o diretório do ADAM local usando o serviço Microsoft Exchange EdgeSync.
O registro no diário e a classificação de mensagens são executados nos servidores de Transporte de Hub e baseiam-se nos dados do Active Directory para funcionarem.
Servidor de Caixa de Correio
No contexto da função de servidor Caixa de Correio, se a autenticação é NTLM ou Kerberos depende do usuário ou contexto do processo em que o consumidor da camada de Lógica Comercial do Exchange está sendo executado. Nesse contexto, o consumidor é qualquer aplicativo ou processo que use a camada de Lógica Comercial do Exchange. Em muitas células da "Autenticação Padrão" na tabela "Caminhos de dados do Servidor de Caixa de Correio" nesta seção, a autenticação é listada como "NTLM/Kerberos".
A camada de Lógica Comercial do Exchange é usada para acessar e se comunicar com o armazenamento do Exchange. A camada de Lógica Comercial do Exchange também é conhecida a partir do armazenamento do Exchange para se comunicar com aplicativos e processos externos.
Se o consumidor da camada de Lógica Comercial do Exchange estiver em execução como Sistema Local, o método de autenticação será sempre Kerberos do consumidor para o armazenamento do Exchange. O Kerberos é usado porque o consumidor deve ser autenticado, usando o Sistema Local da conta do computador, e deverá existir a confiança autenticada bidirecional.
Se o consumidor da camada de Lógica Comercial do Exchange não estiver em execução como Sistema Local, o método de autenticação será o NTLM. Por exemplo, quando um Administrador executa um cmdlet do Shell de Gerenciamento do Exchange que usa a camada de Lógica Comercial do Exchange, o NTLM é usado.
O tráfego RPC é sempre criptografado.
A tabela a seguir fornece informações sobre portas, autenticação e criptografia para os caminhos de dados para/de servidores de Caixa de Correio.
Caminhos de dados do servidor de Caixa de Correio
| Caminho de dados | Portas necessárias | Autenticação padrão | Autenticação aceita | Criptografia aceita? | Criptografado por padrão? |
|---|---|---|---|---|---|
Envio de logs (Replicação Contínua Local e Replicação Contínua em Cluster) |
445/Porta aleatória (Propagação) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim (IPsec) |
Não |
Backup do VSS (serviço de cópias de sombra de volume) |
Bloco de Mensagens Locais (SMB)l |
NTLM/Kerberos |
NTLM/Kerberos |
Não |
Não |
Backup/Propagação Herdados |
Porta aleatória |
NTLM/Kerberos |
NTLM/Kerberos |
Sim (IPsec) |
Não |
Agrupamento |
135 /TCP (RPC) Consulte as "Notas sobre servidores de Caixa de Correio", após esta tabela. |
NTLM/Kerberos |
NTLM/Kerberos |
Sim (IPsec) |
Não |
Acesso MAPI |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim (criptografia RPC) |
Sim |
Assistentes de Caixa de Correio |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Não |
Não |
Serviço Web de Disponibilidade (Acesso para Cliente à Caixa de Correio) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim (criptografia RPC) |
Sim |
Acesso ao Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
Sim (criptografia Kerberos) |
Sim |
Indexação de conteúdo |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim (criptografia RPC) |
Sim |
Acesso remoto de Admin. (Registro remoto) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim (IPsec) |
Não |
Acesso remoto de Admin. (SMB/Arquivo) |
445/TCP (SMB) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim (IPsec) |
Não |
Acesso de RPC ao Serviço de Atualização de Destinatários |
135/TCP (RPC) |
Kerberos |
Kerberos |
Sim (criptografia RPC) |
Sim |
Acesso ao serviço de Topologia do Microsoft Exchange Active Directory |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim (criptografia RPC) |
Sim |
Acesso herdado do serviço Atendedor do Sistema do Microsoft Exchange (Ouvir solicitações) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Não |
Não |
Acesso herdado do serviço Atendedor do Sistema do Microsoft Exchange ao Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
Sim (criptografia Kerberos) |
Sim |
Acesso herdado do serviço Atendedor do Sistema do Microsoft Exchange (como Cliente MAPI) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim (criptografia RPC) |
Sim |
OAB (Catálogo de Endereços Offline) acessando o Active Directory |
135/TCP (RPC) |
Kerberos |
Kerberos |
Sim (criptografia RPC) |
Sim |
Atualização de destinatários para o Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
Sim (criptografia Kerberos) |
Sim |
DSAccess para Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
Sim (criptografia Kerberos) |
Sim |
Outlook acessando o OAB (Catálogo de Endereços Offline) |
80/TCP, 443/TCP (SSL) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim (HTTPS) |
Não |
WebDav |
80/TCP, 443/TCP (SSL) |
Básico, NTLM, Negociar |
Básico, NTLM, Negociar |
Sim (HTTPS) |
Sim |
Notas sobre servidores de Caixa de Correio
Para autenticação HTTP onde "Negociar" é listado, Kerberos é tentado em primeiro lugar e depois o NTLM.
Para as comunicações entre nós, os nós de cluster se comunicam através da porta 3343 UDP (User Datagram Protocol). Cada nó no cluster troca datagramas UDP unicast em seqüência com cada nó alternado no cluster. A finalidade dessa troca é determinar se todos os nós estão sendo executados corretamente e monitorar a integridade dos links da rede.
Embora os aplicativos ou clientes WebDav possam se conectar ao servidor de Caixa de Correio por meio de 80/TCP ou 443/TCP, o aplicativo ou os clientes, na maioria das vezes, se conectam ao servidor de Acesso para Cliente. Em seguida, o servidor de Acesso para Cliente se conecta ao servidor de Caixa de Correio através de 80/TCP ou 443/TCP.
O caminho dos dados de agrupamento listado na tabela "Caminhos de dados do Servidor de Caixa de Correio", nesta seção, usa o RPC (TCP) dinâmico para informar o status do cluster e a atividade entre os diversos nós do cluster. O serviço de cluster (ClusSvc.exe) também usa o UDP/3343 e as portas TCP altas alocadas aleatoriamente, para se comunicar entre os nós do cluster.
Servidor de Acesso para Cliente
A menos que observado de outra forma, tecnologias de acesso a clientes, como o Office Outlook Web Access, POP3 ou IMAP4, são descritas pela autenticação e criptografia do aplicativo cliente para o servidor de Acesso para Cliente.
A tabela a seguir fornece informações sobre portas, autenticação e criptografia para os caminhos de dados entre os servidores de Acesso para Cliente e outros servidores e clientes.
Caminhos de dados do servidor de Acesso para Cliente
| Caminho de dados | Portas necessárias | Autenticação padrão | Autenticação aceita | Criptografia aceita? | Criptografado por padrão? |
|---|---|---|---|---|---|
serviço de Descoberta Automática |
80/TCP, 443/TCP (SSL) |
Autenticação do Windows Integrada/Básica (Negociar) |
Básica, Resumida, NTLM, Negociar (Kerberos) |
Sim (HTTPS) |
Sim |
Serviço de Disponibilidade |
80/TCP, 443/TCP (SSL) |
NTLM/Kerberos |
NTLM, Kerberos |
Sim (HTTPS) |
Sim |
Outlook Web Access |
80/TCP, 443/TCP (SSL) |
Autenticação Baseada em Formulários |
Autenticação Básica, Resumida, Baseada em Formulários, NTLM (somente v2), Kerberos, Certificado |
Sim (HTTPS) |
Sim, usando certificado auto-assinado |
POP3 |
110/TCP (TLS), 995/TCP (SSL) |
Básico, NTLM, Kerberos |
Básico, NTLM, Kerberos |
Sim (SSL, TLS) |
Sim |
IMAP4 |
143/TCP (TLS), 993/TCP (SSL) |
Básico, NTLM, Kerberos |
Básico, NTLM, Kerberos |
Sim (SSL, TLS) |
Sim |
Outlook em Qualquer Lugar (conhecido anteriormente como RPC sobre HTTP). |
80/TCP, 443/TCP (SSL) |
Básica |
Básica ou NTLM |
Sim (HTTPS) |
Sim |
Aplicativo do Exchange ActiveSync |
80/TCP, 443/TCP (SSL) |
Básica |
Básica, Certificado |
Sim (HTTPS) |
Sim |
Servidor de Acesso para Cliente para servidor de Unificação de Mensagens |
5060/TCP, 5061/TCP, 5062/TCP, uma porta dinâmica |
Por endereço IP |
Por endereço IP |
Sim (Protocolo SIP por TLS) |
Sim |
O Servidor de Acesso para Cliente para um servidor de Caixa de Correio está executando uma versão anterior do Exchange Server |
80/TCP, 443/TCP (SSL) |
NTLM/Kerberos |
Negociar (Kerberos com fallback para NTLM ou opcionalmente Básico,) texto sem formatação de POP/IMAP |
Sim (IPsec) |
Não |
Servidor de Acesso para Cliente para servidor de Caixa de Correio do Exchange 2007 |
RPC. Consulte as "Notas sobre Servidores de Acesso para Cliente" depois desta tabela. |
Kerberos |
NTLM/Kerberos |
Sim (criptografia RPC) |
Sim |
Servidor de Acesso para Cliente para o servidor de Acesso para Cliente (Exchange ActiveSync) |
80/TCP, 443/TCP (SSL) |
Kerberos |
Kerberos, Certificado |
Sim (HTTPS) |
Sim, usando certificado auto-assinado |
Servidor de Acesso para Cliente para o servidor de Acesso para Cliente (Outlook Web Access) |
80/TCP, 443/TCP (SSL) |
Kerberos |
Kerberos |
Sim (HTTPS) |
Sim |
WebDAV |
80/TCP, 443/TCP (SSL) |
Autenticação HTTP Básica ou baseada em formulários do Outlook Web Access |
Autenticação Básica, baseada em formulários do Outlook Web Access |
Sim (HTTPS) |
Sim |
Notas sobre Servidores de Acesso para Cliente
O servidor de Acesso para Cliente se comunica com o servidor de Caixa de Correio usando várias portas. Com algumas exceções, essas portas são determinadas pelo serviço RPC e não são fixas.
Para autenticação de HTTP, onde "Negociar" é listado, Kerberos é tentado em primeiro lugar e depois o NTLM.
Quando um servidor de Acesso para Cliente do Exchange 2007 estiver se comunicando com um servidor de Caixa de Correio que esteja executando o Exchange Server 2003, é uma prática recomendada usar o Kerberos e desabilitar as autenticações NTLM e Básica. Além disso, é uma prática recomendada configurar o Outlook Web Access para usar autenticação baseada em formulários com um certificado confiável. Para que clientes Exchange ActiveSync se comuniquem através do servidor de Acesso para Cliente do Exchange 2007 com o servidor back-end do Exchange 2003, a Autenticação Integrada do Windows deve estar habilitada no diretório virtual do Microsoft-Server-ActiveSync no servidor back-end do Exchange 2003. Para usar o Gerenciador de Sistema do Exchange no servidor Exchange 2003 para gerenciar a autenticação em um diretório virtual do Exchange 2003, baixe e instale o hot fix mencionado no artigo 937301 da Base da Dados de Conhecimento da Microsoft, ID de Evento 1036 está conectada a um servidor Exchange 2007 que está executando a função CAS quando dispositivos móveis se conectam ao servidor Exchange 2007 para acessar caixas de correio em um servidor back-end Exchange 2003 (em inglês).
Para obter mais informações, consulte Gerenciando a segurança do acesso para cliente.
Servidor de Unificação de Mensagens
Os gateways IP só oferecem suporte para a autenticação baseada em certificados, que utiliza a autenticação de TLS mútuo e baseada em IP para as conexões de protocolo SIP/TCP. Os gateways IP não têm suporte para a autenticação do NTLM ou Kerberos. Portanto, quando você usar a autenticação baseada em IP, o endereço ou endereços IP da conexão são utilizados para oferecer o mecanismo de autenticação para as conexões (TCP) sem criptografia. Quando a autenticação baseada em IP é utilizada na Unificação de Mensagens, o servidor de Unificação de Mensagens verifica se o endereço IP está autorizado a se conectar. O endereço IP é configurado no gateway IP ou no IP-PBX.
A tabela a seguir fornece informações sobre portas, autenticação e criptografia para os caminhos de dados entre os servidores de Unificação de Mensagens e outros servidores.
Caminhos de dados do servidor de Unificação de Mensagens
| Caminho de dados | Portas necessárias | Autenticação padrão | Autenticação aceita | Criptografia aceita? | Criptografado por padrão? |
|---|---|---|---|---|---|
Fax da Unificação de Mensagens |
5060/TCP, 5061/TCP, 5062/TCP, uma porta dinâmica |
Por endereço IP |
Por endereço IP |
SIP por TLS, mas a mídia não é criptografada |
Sim para SIP |
Interação por telefone da Unificação de Mensagens (PBX) |
5060/TCP, 5061/TCP, 5062/TCP, uma porta dinâmica |
Por endereço IP |
Por endereço IP |
SIP por TLS, mas a Mídia não é criptografada |
Sim para SIP |
Serviço Web de Unificação de Mensagens |
80/TCP, 443/TCP (SSL) |
Autenticação Integrada do Windows (Negociar) |
Básica, Resumida, NTLM, Negociar (Kerberos) |
Sim (SSL) |
Sim |
Unificação de Mensagens para Transporte de Hub |
25/TCP (SSL) |
Kerberos |
Kerberos |
Sim (TLS) |
Sim |
Servidor de Unificação de Mensagens para servidor de Caixa de Correio |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim (criptografia RPC) |
Sim |
Notas sobre os Servidores de Unificação de Mensagens
Ao criar um objeto de gateway IP de UM (Unificação de Mensagens) no Active Directory, defina o endereço IP do gateway IP físico ou IP PBX (Private Branch eXchange). Quando você definir o endereço IP no objeto de gateway IP de UM, esse endereço será adicionado a uma lista de gateways IP válidos com os quais o servidor de Unificação de Mensagens está autorizado a se comunicar. Quando criado, o gateway IP da UM é associado a um plano de discagem de UM. A associação do gateway IP da UM a um plano de discagem permite que os servidores de Unificação de Mensagens associados ao plano de discagem usem a autenticação baseada em IP para se comunicar com o gateway IP. Se o gateway IP da UM não tiver sido criado ou não estiver configurado para usar o endereço IP correto, ocorrerá falha na autenticação e os servidores de Unificação de Mensagens não aceitarão conexões provenientes do endereço IP desse gateway IP.
Com a versão RTM (versão de produção) do Exchange 2007, um servidor de Unificação de Mensagens pode se comunicar na porta 5060/TCP, que não é protegida, ou na porta 5061/TCP, que é protegida, mas não nas duas. Com o Exchange 2007 Service Pack 1 (SP1), um servidor de Unificação de Mensagens escuta na porta 5060/TCP e na porta 5061/TCP ao mesmo tempo.
Para obter mais informações, consulte Compreendendo a segurança VoIP da Unificação de Mensagens e Noções básicas sobre protocolos, portas e serviços da Unificação de Mensagens.
O que é abordado neste guia?
Usando o Assistente de Configuração de Segurança para Proteger o Windows para Funções do Exchange Server
Esta seção explica como usar o ACS (Assistente de Configurações de Segurança) para minimizar a superfície de ataque em servidores, desabilitando funcionalidades do Windows que não são necessárias para as funções de servidor do Exchange 2007.
Usando o Assistente de Configuração de Segurança
O Exchange 2007 fornece um modelo de ACS para cada função do servidor Exchange 2007. Ao usar esse modelo com o ACS, você pode configurar o sistema operacional Windows para bloquear serviços e portas que não sejam necessários para cada função de servidor do Exchange. Quando executa o ACS, você cria uma diretiva de segurança personalizada para seu ambiente. Você pode aplicar a diretiva personalizada a todos os servidores Exchange de sua organização. Você também pode configurar a seguinte funcionalidade usando o ACS:
Função de servidor O ACS usa as informações de função de servidor para habilitar serviços e abrir portas no firewall local.
Recursos de cliente Os servidores também agem como clientes para outros servidores. Selecione somente os recursos de cliente necessários ao seu ambiente.
Opções de administração Selecione as opções necessárias ao seu ambiente, como backup e relatório de erros.
Serviços Selecione os serviços necessários ao servidor e defina o modo de inicialização para os serviços que não são especificados pela diretiva. Serviços não especificados não são instalados no servidor selecionado e não são listados no banco de dados de configuração de segurança. A diretiva de segurança que você configura pode ser aplicada a servidores que estejam executando serviços diferentes dos executados pelo servidor em que a diretiva foi criada. Você pode selecionar a configuração de diretiva que determina a ação a ser executada quando um serviço não especificado é encontrado em um servidor ao qual essa diretiva é aplicada. Você pode configurar a ação para não alterar o modo de inicialização do serviço ou desabilitar o serviço.
Segurança de rede Selecione as portas a serem abertas para cada interface de rede. O acesso as portas pode ser limitado com base na interface de rede local ou com base em endereços IP remotos e sub-redes.
Configurações do Registro Use as configurações do Registro para configurar protocolos usados para comunicação com outros computadores.
Diretiva de auditoria A diretiva de auditoria determina quais eventos com êxito e falha são registrados em log e quais objetos de sistema de arquivos são auditados.
Usando o modelo de ACS do Exchange Server 2007
Depois de instalar a função de servidor Exchange, siga estas etapas para configurar uma diretiva de segurança usando o ACS:
Instale o ACS.
Registre a extensão do ACS.
Crie uma diretiva de segurança personalizada e aplique a diretiva ao servidor local.
Se tiver mais de um servidor Exchange em sua organização executando determinada função, você poderá aplicar sua diretiva de segurança personalizada a cada servidor Exchange.
As seções a seguir fornecem procedimentos para cada uma das etapas anteriores.
Para executar os procedimentos a seguir, você deve usar uma conta a qual esteja delegado o seguinte:
- Função de Administrador do Exchange Server e grupo Administradores local para o servidor de destino
Para executar os procedimentos a seguir em um computador em que a função de servidor Transporte de Borda esteja instalada, faça logon com uma conta que seja membro do grupo Administradores local no computador.
Para obter mais informações sobre permissões, delegação de funções e os direitos necessários para administrar o Exchange 2007, consulte Considerações sobre permissão.
Instalando o Assistente de Configuração de Segurança
Você deve realizar esse procedimento em cada servidor do Exchange 2007 em que deseja aplicar uma diretiva de segurança do ACS usando o ACS.
Para instalar o Assistente de Configuração de Segurança
Em Painel de Controle, clique em Adicionar ou Remover Programas.
Clique em Adicionar/Remover Componentes do Windows para iniciar o Assistente de Componentes do Windows.
Na caixa de diálogo Componentes do Windows, marque a caixa de seleção Assistente de Configuração de Segurança e, em seguida, clique em Avançar.
Aguarde a conclusão da instalação, depois clique em Concluir.
Para abrir o ACS depois de realizar esse procedimento, clique em Iniciar, aponte para Todos os Programas, aponte para Ferramentas Administrativas e clique em Assistente de Configuração de Segurança.
Registrado extensões de ACS de função de servidor Exchange
As extensões da função do Exchange Server permitem usar o ACS para criar uma diretiva de segurança específica para a funcionalidade exigida para cada função de servidor do Microsoft Exchange. As extensões são fornecidas com o Exchange 2007 e devem ser registradas para que você possa criar uma diretiva de segurança personalizada.
Você deve executar o procedimento de Registro em cada servidor Exchange 2007 ao qual deseja aplicar uma diretiva de segurança do ACS. Dois arquivos de extensões são exigidos para as várias funções de servidor do Exchange 2007. Para as funções de servidor Caixa de Correio, Transporte de Hub, Unificação de Mensagens e Acesso para Cliente, registre o arquivo de extensão Exchange2007.xml. Para a função de servidor Transporte de Borda, registre o arquivo de extensão Exchange2007Edge.xml.
Dica
Os arquivos de extensão do ACS do Exchange 2007 estão localizados no diretório %Exchange%\Scripts. O diretório de instalação padrão do Exchange é Arquivos de Programas\Microsoft\Exchange Server. O local desse diretório poderá ser diferente se você tiver selecionado um local de diretório personalizado durante a instalação do servidor.
Importante
Se você tiver instalado o Exchange 2007 em um diretório de instalação personalizado, o registro do ACS ainda funcionará. No entanto, para habilitar o ACS, execute soluções alternativas manuais para reconhecer o diretório de instalação personalizado. Para obter mais informações, consulte o artigo 896742 da Base de Dados de Conhecimento Microsoft, Depois de executar o Assistente de Configuração de Segurança no Windows Server 2003 SP1, os usuários do Outlook talvez não consigam se conectar a suas contas (página em inglês).
Para registrar a extensão do Assistente de Configuração de Segurança em um computador que esteja executando a função de servidor Caixa de Correio, Transporte de Hub, Unificação de Mensagens ou Acesso para Cliente
Abra uma janela de prompt de comando. Digite o comando a seguir para usar a ferramenta de linha de comando do ACS para registrar a extensão do Exchange 2007 com o banco de dados de configuração de segurança local:
scwcmd register /kbname:Ex2007KB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007.xml"Para verificar se o comando foi concluído com êxito, você pode exibir o arquivo SCWRegistrar_log.xml que está localizado no diretório %windir%\security\msscw\logs.
Para registrar a extensão do Assistente de Configuração de Segurança em um computador que esteja executando a função de servidor Transporte de Borda
Abra uma janela de prompt de comando. Digite o comando a seguir para usar a ferramenta de linha de comando do ACS para registrar a extensão do Exchange 2007 com o banco de dados de configuração de segurança local:
scwcmd register /kbname:Ex2007EdgeKB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\ Exchange2007Edge.xml"Para verificar se o comando foi concluído com êxito, você pode exibir o arquivo SCWRegistrar_log.xml que está localizado no diretório %windir%\security\msscw\logs.
Criando uma nova diretiva do ACS de função de servidor do Exchange Server
Use este procedimento para criar uma diretiva de segurança personalizada para o seu ambiente específico. Após criar uma diretiva personalizada, use a diretiva para aplicar o mesmo nível de segurança a cada servidor Exchange 2007 que executa a mesma função ou funções de servidor em sua organização.
Dica
Algumas etapas do procedimento a seguir não fornecem detalhes de configuração específicos para todas as páginas do Assistente de Configuração de Segurança. Nesses casos, recomendamos deixar as seleções padrão se você não estiver certo de quais serviços ou recursos habilitar. Como ocorre com todo conteúdo do arquivo da Ajuda do Exchange 2007, as informações mais atuais sobre como usar o ACS com o Exchange 2007 se encontram no Exchange Server TechCenter (página em inglês).
Para usar o Assistente de Configuração de Segurança para criar uma diretiva de segurança personalizada
Clique em Iniciar, aponte para Todos os Programas, aponte para Ferramentas Administrativas e clique em Assistente de Configuração de Segurança para iniciar a ferramenta. Clique em Avançar na tela de boas-vindas.
Na página Ação de Configuração, selecione Criar uma nova diretiva de segurança e clique em Avançar.
Na página Selecionar Servidor, verifique se o nome do servidor correto aparece no campo Servidor (use o nome DNS, nome NetBIOS ou endereço IP): . Clique em Avançar.
Na página Processando o Banco de Dados de Configuração de Segurança, aguarde até que a barra de progresso esteja concluída e clique em Avançar.
Na página Configuração de Serviço com Base em Funções, clique em Avançar.
Na página Selecionar Funções de Servidor, selecione as funções do Exchange 2007 que você instalou no computador e clique em Avançar.
Na página Selecionar Recursos do Cliente, selecione cada recurso de cliente necessário no servidor Exchange e clique em Avançar.
Na página Selecionar Administração e Outras Opções, selecione cada recurso de administração necessário no servidor Exchange e clique em Avançar.
Na página Selecionar Serviços Adicionais, selecione cada serviço necessário habilitar no servidor Exchange e clique em Avançar.
Na página Tratando Serviços Não Especificados, selecione a ação a ser executada quando um serviço não instalado no momento no servidor local for encontrado. Você pode optar por não executar nenhuma ação selecionando Não alterar o modo de inicialização do serviço ou pode escolher desabilitar automaticamente o serviço selecionando Desabilitar o serviço. Clique em Avançar.
Na página Confirmar Alterações no Serviço, revise as alterações que essa diretiva fará na configuração de serviço atual. Clique em Avançar.
Na página Segurança de Rede, verifique se Ignorar esta seção não está selecionado e clique em Avançar.
Na página Abrir Portas e Aprovar Aplicativos, se você estiver executando o ACS em um servidor de Transporte de Borda, adicione duas portas para comunicação LDAP ao ADAM (Active Directory Application Mode).
Clique em Adicionar. Na página Adicionar Porta ou Aplicativo, no campo Número da porta:, digite 50389. Marque a caixa de seleção TCP e clique em OK.
Clique em Adicionar. Na página Adicionar Porta ou Aplicativo, no campo Número da porta:, digite 50636. Marque a caixa de seleção TCP e clique em OK.
(Somente servidor de Transporte de Borda) Na página Abrir Portas e Aprovar Aplicativos, configure as portas para cada adaptador de rede.
Selecione Porta 25 e clique em Avançado. Na página Restrições da Porta, clique na guia Restrições da Interface Local. Selecione Sobre as seguintes interfaces locais:, marque as caixas de seleção do adaptador de rede interna e externa e clique em OK.
Selecione Porta 50389 e clique em Avançado. Na página Restrições da Porta, clique na guia Restrições da Interface Local. Selecione Sobre as seguintes interfaces locais:, marque somente a caixa de seleção do adaptador de rede interna e clique em OK.
Selecione Porta 50636 e clique em Avançado. Na página Restrições da Porta, clique na guia Restrições da Interface Local. Selecione Sobre as seguintes interfaces locais:, marque somente a caixa de seleção do adaptador de rede interna e clique em OK.
Dica
Você pode configurar também restrições de endereço remoto para cada porta.
Na página Abrir Portas e Aprovar Aplicativos, clique em Avançar.
Na página Confirmar Configuração de Porta, verifique se a configuração da porta de entrada está correta e clique em Avançar.
Na página Configurações do Registro, marque a caixa de seleção Ignorar esta seção e clique em Avançar.
Na página Diretiva de Auditoria, marque a caixa de seleção Ignorar esta seção e clique em Avançar.
Na página IIS (Serviços de Informações da Internet), marque a caixa de seleção Ignorar esta seção e clique em Avançar.
Na página Salvar Diretiva de Segurança, clique em Avançar.
Na página Nome do Arquivo da Diretiva de Segurança, insira um nome de arquivo para a diretiva de segurança e uma descrição opcional. Clique em Avançar. Se for necessário reiniciar o servidor depois que a diretiva for aplicada, uma caixa de diálogo será exibida. Clique em OK para fechar a caixa de diálogo.
Na página Aplicar Diretiva de Segurança, selecione Aplicar mais tarde ou Aplicar agora e clique em Avançar.
Na página Conclusão do Assistente de Configuração de Segurança, clique em Concluir.
Como aplicar uma diretiva do ACS existente a uma função do Exchange Server
Depois de criar a diretiva, você pode aplicá-la a vários computadores que estejam executando a mesma função na organização.
Para usar o Assistente de Configuração de Segurança para aplicar uma diretiva existente
Clique em Iniciar, aponte para Todos os Programas, aponte para Ferramentas Administrativas e clique em Assistente de Configuração de Segurança para iniciar a ferramenta. Clique em Avançar na tela de boas-vindas.
Na página Ação de Configuração, selecione Aplicar uma diretiva de segurança existente. Clique em Procurar, selecione o arquivo XML de sua diretiva e clique em Abrir. Clique em Avançar.
Na página Selecionar Servidor, verifique se o nome do servidor correto aparece no campo Servidor (use o nome DNS, nome NetBIOS ou endereço IP): . Clique em Avançar.
Na página Aplicar Diretiva de Segurança, clique em Exibir Diretiva de Segurança se desejar exibir os detalhes da diretiva e clique em Avançar.
Na página Aplicando Diretiva de Segurança, aguarde até que a barra de progresso indique Aplicativo concluído e clique em Avançar.
Na página Conclusão do Assistente de Configuração de Segurança, clique em Concluir.
O que é abordado neste guia?
Apêndice 1: Serviços e portas executáveis habilitados pelos arquivos de registro do ACS do Exchange 2007
O ACS (Assistente de Configuração de Segurança) usa arquivos de registro XML para ajudar a configurar o sistema operacional Windows para operar com outros aplicativos. Os arquivos de registro que o ACS usa definem as configurações de segurança necessárias para operar um aplicativo específico. No mínimo, a configuração de segurança define os serviços e as portas necessários para um aplicativo específico.
Este tópico descreve os serviços e as portas que são habilitados para cada função de servidor Exchange 2007 quando você executa o ACS com os arquivos de registro padrão do Exchange 2007.
Arquivos de registro
O Exchange 2007 inclui dois arquivos de registro para o ACS. O arquivo de registro geral do Exchange 2007 é chamado de Exchange2007.xml. Ele define a configuração de segurança de todas as funções do servidor Microsoft Exchange, exceto a função de servidor Transporte de Borda. O arquivo de registro da função de servidor Transporte de Borda é chamado de Exchange2007Edge.xml. Ele define a configuração de segurança de servidores de Transporte de Borda.
Os arquivos de registro são instalados no diretório %Programfiles%\Microsoft\Exchange Server\Scripts quando você instala o Exchange 2007.
Os serviços habilitados definem o valor de inicialização do serviço como Automático ou Manual.
As portas habilitadas especificam os arquivos executáveis (.exe) em que o Windows Firewall confia para abrir portas para o aplicativo específico.
Os arquivos de registro do Exchange 2007 que são usados pelo ACS especificam os executáveis de porta de acordo com seu local padrão. Na maioria dos casos, o local padrão é em %Programfiles%\Microsoft\Exchange Server\bin. Se você tiver instalado o Exchange em outro local, será necessário editar o valor do <Caminho> na seção <Porta> dos arquivos de registro do Exchange 2007 para indicar o local de instalação correto.
Função de servidor Caixa de Correio
Os serviços a seguir são habilitados pelo arquivo de registro do Exchange 2007 (Exchange2007.xml) para a função de servidor Caixa de Correio.
O serviço Pesquisa da Microsoft (Exchange Server) e o Monitoramento do Microsoft Exchange são definidos para iniciar manualmente. Todos os outros serviços estão configurados para iniciar automaticamente.
| Nome abreviado do serviço | Nome do serviço |
|---|---|
MSExchangeIS |
Armazenamento de Informações do Microsoft Exchange |
MSExchangeADTopology |
Topologia do Active Directory do Microsoft Exchange |
MSExchangeRepl |
Serviço de Replicação do Microsoft Exchange |
MSExchangeMailboxAssistants |
Assistentes de Caixa de Correio do Microsoft Exchange |
MSExchangeSearch |
Indexador de pesquisa do Microsoft Exchange |
MSExchangeServiceHost |
Host do Microsoft Exchange Service |
MSExchangeMonitoring |
Monitoramento do Microsoft Exchange |
MSExchangeSA |
Atendedor do Sistema do Microsoft Exchange |
MSExchangeMailSubmission |
Serviço de Envio de Emails do Microsoft Exchange |
msftesql-Exchange |
Pesquisa da Microsoft (Exchange Server) |
As portas a seguir estão habilitadas.
| Nome da porta | Arquivo executável associado |
|---|---|
MSExchangeADTopologyPorts |
MSExchangeADTopologyService.exe |
MSExchangeISPorts |
Store.exe |
MSExchangeReplPorts |
Microsoft.Exchange.Cluster.ReplayService.exe |
MSExchangeMailboxAssistantsPorts |
MSExchangeMailboxAssistants.exe |
MSExchangeSearchPorts |
Microsoft.Exchange.Search.ExSearch.exe |
MSExchangeServiceHostPorts |
Microsoft.Exchange.ServiceHost.exe |
MSExchangeMonitoringPorts |
Microsoft.Exchange.Monitoring.exe |
MSExchangeSAPorts |
Mad.exe |
MSExchangeMailSubmissionPorts |
MSExchangeMailSubmission.exe |
msftesql-ExchangePorts |
Msftesql.exe |
MSExchangeTransportLogSearchPorts |
MSExchangeTransportLogSearch.exe |
Função de servidor de caixas de correio clusterizadas
Os serviços e as portas que são habilitados na função de servidor Caixa de Correio e descritos na seção Função de Servidor Caixa de Correio anteriormente neste tópico são habilitados na função de servidor caixas de correio clusterizadas.
Além disso, o Serviço de Cluster da Microsoft é definido para iniciar automaticamente.
| Nome abreviado do serviço | Nome do serviço |
|---|---|
ClusSvc |
Serviço de Cluster da Microsoft |
As portas a seguir também estão habilitadas.
Dica
O caminho padrão para executáveis específicos de cluster é %windir%\Cluster. O caminho padrão do arquivo Powershell.exe é %windir%\system32\windowspowershell\v1.0.
| Nome da porta | Arquivo executável associado |
|---|---|
ExSetupPorts |
ExSetup.exe |
clussvcPorts |
Clussvc.exe |
CluAdminPorts |
CluAdmin.exe |
resrcmonPorts |
Resrcmon.exe |
msftefdPorts |
Msftefd.exe |
powershellPorts |
Powershell.exe |
Função de servidor Transporte de Hub
Os serviços a seguir são habilitados pelo arquivo de registro do Exchange 2007 (Exchange2007.xml) para a função de servidor Transporte de Hub.
O Gerenciamento do Microsoft Exchange está definido para iniciar manualmente. Todos os outros serviços estão configurados para iniciar automaticamente.
| Nome abreviado do serviço | Nome do serviço |
|---|---|
MSExchangeADTopology |
Serviço de topologia do Active Directory do Microsoft Exchange |
MSExchangeTransport |
Serviço de Transporte do Microsoft Exchange |
MSExchangeAntispamUpdate |
Serviço de atualização do Microsoft Exchange Anti-spam |
MSExchangeEdgeSync |
Serviço Microsoft Exchange EdgeSync |
MSExchangeTransportLogSearch |
Serviço de pesquisa de log de transporte do Microsoft Exchange |
MSExchangeMonitoring |
Monitoramento do Microsoft Exchange |
As portas a seguir estão habilitadas.
| Nome da porta | Arquivo executável associado |
|---|---|
MSExchangeADTopologyPorts |
MSExchangeADTopologyService.exe |
MSExchangeTransportPorts |
MSExchangeTransport.exe |
EdgeTransportPorts |
EdgeTransport.exe |
MSExchangeAntispamUpdatePorts |
Microsoft.Exchange.AntispamUpdateSvc.exe |
MSExchangeEdgeSyncPorts |
Microsoft.Exchange.EdgeSyncSvc.exe |
MSExchangeTransportLogSearchPorts |
MSExchangeTransportLogSearch.exe |
MSExchangeMonitoringPorts |
Microsoft.Exchange.Monitoring.exe |
Função de servidor Transporte de Borda
Os serviços a seguir são habilitados pelo arquivo de registro da função de servidor Transporte de Borda (Exchange2007Edge.xml).
O Monitoramento do Microsoft Exchange e o serviço Pesquisa de Log de Transporte do Microsoft Exchange são definidos para iniciar manualmente. Todos os outros serviços estão configurados para iniciar automaticamente.
| Nome abreviado do serviço | Nome do serviço |
|---|---|
MSExchangeTransport |
Serviço de Transporte do Microsoft Exchange |
MSExchangeAntispamUpdate |
Serviço de atualização do Microsoft Exchange Anti-spam |
ADAM_MSExchange |
Microsoft Exchange ADAM |
EdgeCredentialSvc |
Serviço de Credencial do Microsoft Exchange |
MSExchangeTransportLogSearch |
Serviço de pesquisa de log de transporte do Microsoft Exchange |
MSExchangeMonitoring |
Monitoramento do Microsoft Exchange |
As portas a seguir estão habilitadas.
Dica
O caminho padrão do arquivo Dsadmin.exe é %windir%\ADAM.
| Nome da porta | Arquivo executável associado |
|---|---|
MSExchangeTransportPorts |
MSExchangeTransport.exe |
EdgeTransportPorts |
EdgeTransport.exe |
MSExchangeAntispamUpdatePorts |
Microsoft.Exchange.AntispamUpdateSvc.exe |
ADAM_MSExchangePorts |
Dsamain.exe |
EdgeCredentialSvcPorts |
EdgeCredentialSvc.exe |
MSExchangeTransportLogSearchPorts |
MSExchangeTransportLogSearch.exe |
MSExchangeMonitoringPorts |
Microsoft.Exchange.Monitoring.exe |
Função do Servidor de Acesso para Cliente
Os serviços a seguir são habilitados pelo arquivo de registro do Exchange 2007 (Exchange2007.xml) para a função de servidor Acesso para Cliente.
O Monitoramento do Microsoft Exchange e os serviços POP3 e IMAP4 do Microsoft Exchange são definidos para iniciar manualmente. Todos os outros serviços estão configurados para iniciar automaticamente.
| Nome abreviado do serviço | Nome do serviço |
|---|---|
MSExchangeADTopology |
Serviço de topologia do Active Directory do Microsoft Exchange |
MSExchangePOP3 |
Serviço POP3 do Microsoft Exchange |
MSExchangeIMAP4 |
Serviço IMAP4 do Microsoft Exchange |
MSExchangeFDS |
Serviço de Distribuição de Arquivos do Microsoft Exchange |
MSExchangeServiceHost |
Host do Microsoft Exchange Service |
MSExchangeMonitoring |
Monitoramento do Microsoft Exchange |
As portas a seguir estão habilitadas.
Dica
O caminho padrão dos arquivos Pop3Service.exe e Imap4Service.exe é %Programfiles%\Microsoft\Exchange Server\ClientAccess\PopImap.
| Nome da porta | Arquivo executável associado |
|---|---|
MSExchangeADTopologyPorts |
MSExchangeADTopologyService.exe |
MSExchangePOP3Ports |
Microsoft.Exchange.Pop3Service.exe |
MSExchangeIMAP4Ports |
Microsoft.Exchange.Imap4Service.exe |
MSExchangeFDSPorts |
MSExchangeFDS.exe |
MSExchangeServiceHostPorts |
Microsoft.Exchange.ServiceHost.exe |
MSExchangeMonitoringPorts |
Microsoft.Exchange.Monitoring.exe |
Função de servidor Unificação de Mensagens
Os serviços a seguir são habilitados pelo arquivo de registro do Exchange 2007 (Exchange2007.xml) para a função de servidor Unificação de Mensagens.
O Gerenciamento do Microsoft Exchange está definido para iniciar manualmente. Todos os outros serviços estão configurados para iniciar automaticamente.
| Nome do serviço | Nome amigável |
|---|---|
MSExchangeADTopology |
Serviço de topologia do Active Directory do Microsoft Exchange |
MSSpeechService |
Mecanismo de Fala do Microsoft Exchange |
MSExchangeUM |
Unificação de Mensagens do Microsoft Exchange |
MSExchangeFDS |
Serviço de Distribuição de Arquivos do Microsoft Exchange |
MSExchangeMonitoring |
Monitoramento do Microsoft Exchange |
As portas a seguir estão habilitadas.
Dica
O caminho padrão do arquivo SpeechService.exe é %Programfiles%\Microsoft\Exchange Server\UnifiedMessaging.
| Nome da porta | Arquivo executável associado |
|---|---|
MSExchangeADTopologyPorts |
MSExchangeADTopologyService.exe |
MSSPorts |
SpeechService.exe |
MSExchangeUMPorts |
umservice.exe |
UMWorkerProcessPorts |
UMWorkerProcess.exe |
MSExchangeFDSPorts |
MSExchangeFDS.exe |
MSExchangeMonitoringPorts |
Microsoft.Exchange.Monitoring.exe |
O que é abordado neste guia?
Apêndice 2: Documentação adicional do Exchange relacionada à segurança
Esta seção contém links para outros documentos do Exchange relacionados à segurança. Para obter a lista mais atualizada de conteúdo relacionado à segurança, consulte Segurança e proteção.
Funcionalidade anti-spam e antivírus
Autenticação de cliente e segurança de acesso
Microsoft Office Outlook Web Access
Configurando a autenticação baseada em formulários para o Outlook Web Access
Configurando métodos de autenticação padrão para o Outlook Web Access
Outlook em Qualquer Lugar
POP3 e IMAP4
Permissões
Permissões necessárias para gerenciar a Unificação de Mensagens
Definindo as permissões de administrador da função de servidor de Transporte de Borda
Gerenciamento de destinatários das permissões divididas da Unificação de Mensagens
Referência de permissões de configuração do Exchange 2007 Server
Protegendo o fluxo de mensagens
O que é abordado neste guia?