强化 Exchange 2003 服务器的安全性

上一次修改主题： 2006-01-05

本节讲述如何根据 Exchange 2003 服务器在组织中的角色强化 Exchange 2003 服务器。本节主要分成三个子节。

• 强化 Windows 基础结构 此节提供在强化 Exchange 服务器之前必须执行的预备步骤。
• 强化后端服务器 此节提供强化 Exchange 邮箱服务器所必须执行的步骤，其中包括如何禁用不重要的服务、限制对本地目录的访问，以及其他配置。
• 强化前端服务器 此节提供强化 Exchange 前端服务器所必须执行的步骤。此节还讨论前端服务器的角色，并根据这些角色提供更详细的配置建议。此外，此节还包含有关 URLScan 的信息。URLScan 是运行在 IIS 上的工具，使用该工具能够准确地指定可以在计算机上运行哪些 HTTP 请求。

本节（本指南的剩余部分）假定您已经阅读 Windows Server 2003 Security Guide（英文），并实现了有关强化域、域控制器和成员服务器的建议。某些情况下，本节中的 Exchange 2003 配置建议依赖于 Windows Server 2003 Security Guide 中的建议。这些要求会在适当的地方指出来。

此外，本节中的所有建议都是在 Exchange 组策略安全模板配置的基础上衍生出来的，本指南附带了这些模板。（有关这些模板的详细信息，请参阅“部署 Exchange 组策略安全模板”。）本节详细地解释了这些安全模板中的设置，以备您手动配置服务器。

或者，可以通过下列两种方法之一导入所提供的模板：

• 可以将任何安全模板导入到本地计算机中。要执行此操作，请打开本地安全策略 MMC 管理单元，用鼠标右键单击“安全设置”，再单击“导入策略”。导航到相应的 Exchange 组策略安全模板，然后双击该模板。
• 可以镜像所建议的 Active Directory 组织结构（Windows Server 2003 Security Guide 和本指南均建议您这样做），然后使用组策略编辑器将策略导入到相应的组织单位中。有关此方法的特定信息，请参阅“部署 Exchange 组策略安全模板”。

  重要提示：
  由于“部署 Exchange 组策略安全模板”一节是在假定您了解如何强化 Exchange 2003 服务器的情况下撰写的，因此首先阅读“强化 Exchange 2003 服务器的安全性”一节很重要。

与所有软件部署一样，在生产环境中部署所有建议的配置之前，应确保在测试环境中对其进行全面测试。

注意：
要运行自定义应用程序或第三方 Exchange 或 Outlook 插件，可能需要进一步的配置和测试。