强化前端服务器

  • 项目

 

上一次修改主题: 2006-01-05

强化 Exchange 前端服务器与强化后端服务器类似,并且可以选择(但推荐)执行在 HTTP 前端服务器上配置和运行 URLScan 的步骤。

概括起来,可以在六个方面进行配置以强化前端服务器:

  • 强化服务
    许多不使用的服务是默认启用的,如果不需要某一项功能,则应将相应的服务禁用。
  • 强化文件访问控制列表 (ACL)
    前端服务器的文件 ACL 配置与后端服务器的文件 ACL 配置完全相同。
  • 启用其他服务(可选)
    启用组织需要的其他任何前端服务。
  • 运行 URLScan(可选,但推荐)
    虽然运行 URLScan 对于服务运行不是必需的,但是强烈建议将这作为一种机制以进一步强化前端 HTTP 服务器。
  • 卸除邮箱存储并删除公用文件夹存储(可选,但推荐)
    对于非 SMTP 前端服务器的前端服务器,可以卸除并删除这些存储。
    note注意:
    如果计划删除公用文件夹存储,则应该在应用 Exchange 安全策略之前将其删除,以便所做的更改可以复制到其他 Exchange 服务器。

将 Exchange_2003-Frontend_V1_1.inf 安全模板(随本指南附带)应用于前端服务器,是执行本节中所述的强化配置过程的最有效机制。此外,应用 Exchange_2003-Frontend_V1_1.inf 模板之后,可以使用协议特定的安全模板来启用适当的服务。

有关如何部署 Exchange 组策略安全模板的信息,请参阅“部署 Exchange 组策略安全模板”。

开始之前

开始强化组织中的前端服务器之前,请考虑下面的内容:

  • Exchange 2003 包含下列应用程序:
    • Outlook Web Access
    • Outlook Mobile Access
    • Exchange Server ActiveSync®
      这些应用程序使用户可以从其个人计算机或移动设备访问 Exchange 信息。这些应用程序均使用超文本传输协议 (HTTP) 和 WebDAV 的组合。Outlook Web Access 和 Exchange Server ActiveSync 是默认启用的。此外还默认安装 Outlook Mobile Access,但新安装的 Exchange 2003 上禁用了该服务。
  • POP3 和 IMAP4 客户端还可以使用前端服务器来访问邮箱。这种情况下,它们还将前端服务器用作 SMTP 网关。
  • 要构建更安全的邮件系统,一个必不可少的措施是使用防火墙服务器 (Internet Security and Acceleration (ISA) Server 2004) 来控制对 HTTP、RPC over HTTP、POP3 和 IMAP4 协议通信的访问。有关使用 Exchange 2003 部署 ISA 2000 的信息,请参阅 Using ISA Server 2000 with Exchange Server 2003(英文)。有关使用 Exchange 2003 部署 ISA 2004 的信息,请参阅 Using ISA Server 2004 with Exchange Server 2003(英文)。
  • 建议您将 ISA 服务器隔离在外围网络(也称 DMZ、网络隔离和屏蔽子网)中,以便只允许通过基本的端口访问您的组织。然后 Exchange 前端服务器可以通过 IPSec 自由地与所有 Windows 和 Exchange 服务通信。有关 Exchange 2003 可以使用的端口列表,请参阅“Exchange Server 2003 中使用的端口”。
  • IIS Lockdown (IISlockd.exe) 工具只有在操作系统是 Windows 2000 Server 的情况下才需要。在 Windows Server 2003 中,IIS Lockdown 是 Internet 信息服务 (IIS) 的核心组件。如果是在运行 Windows 2000 的服务器上运行 Exchange 2003,请参阅 Microsoft 知识库文章“XADM: Known Issues and Fine Tuning When You Use the IIS Lockdown Wizard in an Exchange 2000 Environment”(英文)。
  • 建议对 Outlook Web Access 使用安全套接字层 (SSL) 和 cookie 身份验证。SSL 通过加密客户端与 Exchange 2003 之间的邮件通信来帮助维护机密性。Cookie 身份验证可使非活动的非域连接在一段未活动时间后超时,并强制用户重新通过身份验证,从而提高安全性。有关 cookie 身份验证的详细信息,请参阅 Exchange Server 2003 Administration Guide