Exchange Server 2003 Secure-By-Default:从 Exchange 2000 Server 升级
上一次修改主题: 2006-10-31
从 Exchange 2000 升级到 Exchange 2003 时,Exchange 2003 ForestPrep 和 Exchange 2003 安装程序会配置新安装的 Exchange 2003 所实现的大多数“默认安全 (secure-by-default)”设置。本主题解释了哪些安全设置是升级过程中自动配置的,哪些安全设置应手动配置。
邮件限制
当邮件系统收到大量的大型邮件 (20+ MB) 时,最有效的拒绝服务攻击之一便会发生。此类攻击强制邮件服务器移动大数据块,从而可能影响计算机的输入/输出 (I/O),甚至导致邮件服务出现延迟或被中断。
作为对此类攻击的一种响应措施,Exchange 2003 将所有邮件限制均设置为 10 MB (10240 KB)。这包括 Exchange 组织所接收和发送的邮件。此外,还对投递到公用文件夹的所有邮件强制应用 10 MB 的邮件大小限制。
升级过程中,Exchange 安装程序不会更改已经设置的限制。只有当该限制设置为“无限制”时,Exchange 安装程序才会强制这些设置。
要为发送和接收邮件配置这些设置,请在 Exchange 系统管理器中,使用“全局邮件传递”属性中的“默认设置”选项卡。
要为公用文件夹配置最大邮件大小,请在 Exchange 系统管理器中,使用“公用文件夹存储”属性中的“限制”选项卡。
Exchange 2003 还提供了针对 MIME 的邮件限制。当升级到 Exchange 2003 时也会强制应用这些限制。下表描述了这些设置。
.gif "note") 注意: |
|---|
| 如果达到了 MIME 限制,则向发件人返回未送达报告 (NDR)。 |
MIME 限制
限制 |
值 |
描述 |
嵌套级别 |
30 |
每个邮件的嵌套 MIME 部分数 |
正文部分 |
250 |
任何给定邮件中的最小正文部分数 |
邮件 ID 头大小 |
1877 字节 |
邮件 ID 头的最大大小。 |
主题头大小 |
2000 字节 |
主题头的最大大小。 |
MIME 头大小 |
每个 2000 字节 |
下列任意某个头的最大大小:Content-Type、Content-Description、Content-Disposition、Content-Transfer-Encoding、Content-ID、Content-Base、Content-Location。 |
服务
Exchange 2003 安装程序不对现有的服务配置进行任何更改。强烈建议您应用 Exchange 安全组策略模板,或者依照服务器的角色相应地配置服务。
Outlook Mobile Access
运行 Exchange 2003 ForestPrep 时,会设置启用 Outlook Mobile Access 功能的设置。默认情况下,Exchange 2003 ForestPrep 不启用 Outlook Mobile Access。但是,在升级过程中,如果已启用 Outlook Mobile Access,则 Exchange 2003 ForestPrep 不会将其禁用。
M:驱动器
从 Exchange 2000 升级的过程中,Exchange 2003 安装程序删除 M: 驱动器。
虚拟服务器身份验证
从 Exchange 2000 升级的过程中,Exchange 2003 安装程序会强化 POP3、IMAP4 以及 NNTP 的某些虚拟服务器实例。
POP3 和 IMAP4 虚拟服务器
升级配置为前端服务器的 Exchange 2000 计算机时,Exchange 2003 安装程序禁用匿名访问,并在 POP3 和 IMAP4 虚拟服务器上启用基本身份验证。如果升级的是后端服务器,则这些虚拟服务器实例不会发生改变。
NNTP 虚拟服务器
升级过程中,Exchange 2003 安装程序会修改 NNTP 虚拟服务器的默认实例。具体地说,是禁用匿名身份验证,而启用基本身份验证和集成 Windows 身份验证。非默认的虚拟服务器(不是由安装程序创建的虚拟服务器实例)在升级过程中不发生改变。如果创建了新的 NNTP 虚拟服务器实例,请确保要求了适当的身份验证。
对域用户拒绝本地访问权限
在 Exchange 2003 中,域用户无法以本地方式登录到 Exchange 服务器。升级过程中,Exchange 2003 安装程序会配置本地计算机策略,以拒绝域用户的本地访问权限。
创建顶级公用文件夹
在 Exchange 2003 中,Everyone 组的成员以及匿名用户无法创建顶级公用文件夹。升级过程中,Exchange 2003 ForestPrep 配置此访问控制设置。
访问控制配置
无论是升级还是全新安装,Exchange 2003 安装程序都依照 Program Files 目录中设置的明确 ACL,对所创建的目录应用访问控制列表 (ACL)。如果您或另一个管理员对 Program Files 目录中的默认 ACL 进行了修改,则 Exchange 2003 安装程序会将修改应用于安装过程中创建的大多数目录。除非有明确的更改,否则目录会被锁定。但是,无论 Program Files 目录中拥有怎样明确的 ACL,Exchange 安装程序都会配置 Mailroot 目录(位于 \Program Files\Exchsrvr),以便删除 Guest 帐户访问权限和匿名访问权限。
强烈建议在 Exchange 目录上配置访问控制。有关如何在 Exchange 目录上配置访问控制的信息,请参阅强化后端服务器。