如何建立新的 Exchange Server 角色 SCW 原則

適用版本： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間： 2007-01-02

本主題說明如何使用 Microsoft Exchange Server 2007 中的資訊安全設定精靈 (SCW)，為已安裝 Exchange Server 角色的電腦建立新的安全性原則。SCW 是 Microsoft Windows Server 2003 Service Pack 1 引入的工具。SCW 會自動化安全性最佳作法以減少伺服器的受攻擊面。

請使用此程序為特定環境建立自訂安全性原則。建立自訂原則後，可使用此原則將相同的安全性層級套用至組織中執行相同角色的每一部 Exchange 2007 伺服器。

開始之前

開始之前，必須遵循下列步驟：

• 安裝 Exchange 伺服器角色。如需相關資訊，請參閱部署伺服器角色。
• 安裝 SCW。如需相關資訊，請參閱如何安裝資訊安全設定精靈。
• 登錄 Exchange 伺服器角色的 SCW 延伸模組。如需相關資訊，請參閱如何登錄 Exchange Server 角色 SCW 延伸模組。
• 判斷您環境獨特的安全性需求。如需相關資訊，請參閱使用資訊安全設定精靈為 Exchange 伺服器角色保護 Windows。

若要執行下列程序，您使用的帳戶必須已委派下列資格：

• Exchange Server 系統管理員角色和目標伺服器的本機 Administrators 群組

若要在已安裝 Edge Transport server role 的電腦上執行下列程序，則必須使用該電腦之本機 Administrators 群組成員的帳戶進行登入。

如需管理 Microsoft Exchange Server 2007 所需之權限、委派角色以及權利的相關資訊，請參閱權限考量。

附註：
下列程序的某些步驟不會為資訊安全設定精靈中的所有頁面提供特定的組態詳細資料。在這些情況下，如果您不確定需要啟用的服務或功能，Microsoft 建議保留預設選項。如同 Exchange 2007 說明檔的所有內容，有關如何搭配 Exchange 2007 使用 SCW 的最新資訊，都可在＜Exchange Server 技術資源中心＞(英文) 上找到。

程序

使用資訊安全設定精靈建立自訂安全性原則

1. 按一下 [開始]，依序指向 [所有程式] 與 [系統管理工具]，再按 [資訊安全設定精靈] 以啟動工具。在歡迎使用畫面上按 [下一步]。

2. 在 [組態動作] 頁面上，選取 [建立新的安全性原則]，再按 [下一步]。

3. 在 [選取伺服器] 頁面上，確認 [伺服器 (使用 DNS 名稱、NetBIOS 名稱或 IP 位址):] 欄位中出現的是正確的伺服器名稱。按 [下一步]。

4. 在 [處理安全性組態資料庫] 頁面上，等待進度列完成，再按 [下一步]。

5. 在 [角色型服務組態] 頁面上按 [下一步]。

6. 在 [選取伺服器角色] 頁面上，選取已在電腦上安裝的 Exchange 2007 角色，再按 [下一步]。

7. 在 [選取用戶端功能] 頁面上，選取 Exchange 伺服器上需要的每個用戶端功能，再按 [下一步]。

8. 在 [選取系統管理及其他選項] 頁面上，選取 Exchange 伺服器上需要的每個系統管理功能，再按 [下一步]。

9. 在 [選取其他服務] 頁面上，選取 Exchange 伺服器上需要啟用的每個服務，再按 [下一步]。

10. 在 [處理未指定的服務] 頁面上，選取在本機伺服器上找到目前未安裝的服務時所要執行的動作。您可以選取 [不要變更服務的啟動模式] 來選擇不執行任何動作，或者可以選取 [停用服務] 來選擇自動停用服務。按 [下一步]。

11. 在 [確認服務變更] 頁面上，檢閱此原則將對目前的服務組態做出的變更。按 [下一步]。

12. 在 [網路安全性] 頁面上，確認未選取 [略過此區段]，再按 [下一步]。

13. 在 [開啟通訊埠及核准應用程式] 頁面上，如果您正在 Edge Transport Server 上執行 SCW，則必須將 LDAP 通訊的兩個通訊埠新增至 Active Directory 應用程式模式 (ADAM) 中。

    1. 按一下 [新增]。在 [新增通訊埠或應用程式] 頁面上的 [通訊埠號碼:]欄位中，輸入 50389。選取 [TCP] 核取方塊，再按 [確定]。
    2. 按一下 [新增]。在 [新增通訊埠或應用程式] 頁面上的 [通訊埠號碼:]欄位中，輸入 50636。選取 [TCP] 核取方塊，再按 [確定]。

14. (僅限 Edge Transport Server) 在 [開啟通訊埠及核准應用程式] 頁面上，必須設定每個網路介面卡的通訊埠。

    1. 選取 [通訊埠 25]，再按 [進階]。在 [通訊埠限制] 頁面上，按一下 [本機介面限制] 索引標籤。選取 [對下列本機介面:]，選取內部網路介面卡及外部網路介面卡兩個核取方塊，再按 [確定]。
    2. 選取 [通訊埠 50389]，再按 [進階]。在 [通訊埠限制] 頁面上，按一下 [本機介面限制] 索引標籤。選取 [對下列本機介面:]，只選取內部網路介面卡核取方塊，再按 [確定]。
    3. 選取 [通訊埠 50636]，再按 [進階]。在 [通訊埠限制] 頁面上，按一下 [本機介面限制] 索引標籤。選取 [對下列本機介面:]，只選取內部網路介面卡核取方塊，再按 [確定]。

    附註：
    您也可以設定每個通訊埠的遠端位址限制。

15. 在 [開啟通訊埠及核准應用程式] 頁面上按 [下一步]。

16. 在 [確認通訊埠組態] 頁面上，確認傳入通訊埠組態正確，再按 [下一步]。

17. 在 [登錄設定] 頁面上，選取 [略過此區段] 核取方塊，再按 [下一步]。

18. 在 [稽核原則] 頁面上，選取 [略過此區段] 核取方塊，再按 [下一步]。

19. 在 [網際網路資訊服務 (IIS)] 頁面上，選取 [略過此區段] 核取方塊，再按 [下一步]。

20. 在 [儲存安全性原則] 頁面上按 [下一步]。

21. 在 [安全性原則檔案名稱] 頁面上，輸入安全性原則的檔案名稱及選擇性的描述。按 [下一步]。如果套用原則後必須重新啟動伺服器，會出現對話方塊。按一下 [確定] 關閉對話方塊。

22. 在 [套用安全性原則] 頁面上，選取 [稍後套用] 或 [立即套用]，再按 [下一步]。

23. 在 [完成資訊安全設定精靈] 頁面上，按一下 [完成]。

相關資訊

如需相關資訊，請參閱下列主題：

• 使用資訊安全設定精靈為 Exchange 伺服器角色保護 Windows
• 如何安裝資訊安全設定精靈
• 如何登錄 Exchange Server 角色 SCW 延伸模組
• 如何將現有的 SCW 原則套用至 Exchange 伺服器角色

若要確保您目前閱讀的是最新資訊，並尋找其他的 Exchange Server 2007 說明文件，請造訪 Exchange Server 技術資源中心.