部署安全检查表
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2007-12-11
Microsoft Exchange Server 2007 通过工程设计,默认情况下对大多数客户方案都是安全的。通常情况下,对于 Exchange 2007,默认安全性就意味着下列条件为真:
Exchange 2007 所使用的帐户具有执行给定任务集所需的最低权限。
默认情况下,仅当需要时才会启动服务。
Exchange 对象的访问控制列表 (ACL) 权限被最小化。
管理权限是根据在对象上进行指定修改所需的更改范围进行设置的。
所有内部的默认邮件路径都会被加密。
已将许多其他功能设计为在初始安装时提供一个相对安全的邮件环境。
本主题介绍了一些建议的步骤,在安装 Microsoft Exchange 之前和之后,可以通过执行这些步骤来更好地保护邮件环境。建议您在每次安装新的 Exchange 服务器角色时参考此检查表。
与 Exchange 2007 帮助文件中的所有内容一样,大多数最新内容都可以在 Exchange Server TechCenter上找到。
安装前
在安装 Exchange 2007 之前,请执行下列步骤。
| 步骤 | 检查 |
|---|---|
运行 Microsoft Update。 |
|
运行 Microsoft 恶意软件删除工具。恶意软件删除工具包含在 Microsoft Update 中。有关该工具的详细信息,请参阅 Malicious Software Removal Tool。 |
|
|
安装后
建议对所有 Exchange 2007 服务器角色运行安全配置向导 (SCW)。我们还建议在正运行 Windows Server 2003 的服务器上修改 LAN Manager 身份验证级别。
安全配置向导
SCW 是与 Microsoft Windows Server 2003 Service Pack1 (SP1) 一起引入的工具。通过禁用 Exchange 2007 服务器角色非必需的 Windows 功能,可以使用 SCW 最大程度减少服务器所面临的攻击。SCW 会自动执行最佳安全实践来减少服务器所面临的攻击。SCW 使用基于角色的隐喻来请求服务器上的应用程序所需的服务。该工具可以降低其他人恶意利用安全漏洞来攻击 Windows 环境的可能性。有关详细信息,请参阅使用安全配置向导保护 Windows Exchange Server 角色。
LAN Manager 身份验证级别
对于在 Windows Server 2003 上运行的每个 Exchange 服务器,我们建议将 LAN Manager 身份验证级别设置为《Windows Server 2003 安全指南》中针对您的环境所建议的级别。该设置可以确定将哪个质询/响应身份验证协议用于网络登录。这项选择会影响客户端计算机所使用的身份验证协议的级别、所协商的安全级别以及服务器所接受的身份验证级别。若要修改 LAN Manager 身份验证级别,必须在注册表中修改“LmCompatibilityLevel”项。
.gif "Caution") 警告: |
|---|
| UNRESOLVED_TOKEN_VAL(exRegistry) |
下面是《Windows Server 2003 安全指南》中推荐的 LAN Manager 身份验证级别:
旧客户端环境 《Windows Server 2003 安全指南》中将旧客户端环境定义为由 Active Directory 目录服务域(包含运行 Windows Server 2003 的成员服务器和域控制器)以及一些运行 Microsoft Windows 98 和 Windows NT 4.0 的客户端计算机组成的环境。运行 Windows 98 的计算机必须安装 Active Directory 客户端扩展 (DSCLient)。有关安装 DSClient 的详细信息,请参阅 Microsoft 知识库文章 288358 如何安装 Active Directory 客户端扩展。如果有旧客户端环境,《Windows Server 2003 安全指南》中建议您将“LmCompatibilityLevel”项设置为 3。
企业客户端环境 《Windows Server 2003 安全指南》中将企业客户端环境定义为由 Active Directory 域(包含运行 Windows Server 2003 SP1 的成员服务器和域控制器)以及运行 Windows 2000 Server 和 Windows XP 的客户端计算机组成的环境。对于企业客户端环境,《Windows Server 2003 安全指南》中建议您将“LmCompatibilityLevel”项设置为 4。
此外,群集环境还有与 LAN Manager 身份验证级别相关的要求。在群集连续复制 (CCR) 环境中,必须将组织中每个域控制器的“LmCompatibilityLevel”项的值设置为与 Exchange 服务器上的“LmCompatibilityLevel”项的值相同。如果域控制器上的“LmCompatibilityLevel”项与 Exchange 服务器上的“LmCompatibilityLevel”项不相同,则可能遇到复制错误。我们建议首先在域中所有域控制器上设置“LmCompatibilityLevel”项,然后设置每个群集的“LmCompatibilityLevel”项。
若要在群集上设置“LmCompatibilityLevel”项,必须同时在群集的所有节点上更改该值,然后重新启动群集的每个节点。我们建议不要使用组策略对象 (GPO) 而是手动修改注册表项,并在群集中重新启动每台计算机,以确保同时重新启动群集的所有节点。
.gif "note") 注意: |
|---|
| 默认情况下,正在运行 Windows Server 2008 的计算机上的“LmCompatibilityLevel”是 3 或更高。 |
有关 LAN Manager 身份验证级别的详细信息,请参阅 Windows Server 2003 安全指南中的“Chapter 4: The Member Server Baseline Policy”。有关修改“LmCompatibilityLevel”注册表项以设置 LAN Manager 身份验证级别的详细信息,请参阅How to Configure the LAN Manager Authentication Level。可以在组织中的所有计算机上使用 GPO 设置“LmCompatibilityLevel”注册表项。有关详细步骤,请参阅How to Configure the LAN Manager Authentication Level。