Exchange 2010 安全性手冊
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2016-11-28
本手冊適用於負責 MicrosoftExchange Server 2010 部署安全性的 IT 系統管理員,目的是協助 IT 系統管理員了解和管理其中安裝了 Exchange 的整體安全性環境。
以往,對於每一版 Microsoft Exchange,Exchange 小組會發行內含權限和安全性資訊的獨立安全性強化手冊。 這種作法可以在 Exchange 2010 安裝程式執行之後鎖定服務和目錄。 不過,從 MicrosoftExchange Server 2007 開始,Exchange 安裝程式只會啟用正在安裝的伺服器角色所需的服務。將不再安裝 Microsoft Exchange 並強化其安全性。 依預設,這已經是一項更具安全性的設計。
因此,不同於在舊版 Microsoft Exchange 中,IT 系統管理員必須執行許多程序,才能將執行 Microsoft Exchange 的伺服器鎖定,Exchange 2010 並不需要鎖定或強化安全性。
範圍
Exchange 2010 是使用 Microsoft 安全性開發生命週期 (SDL) 原則所開發。 已針對每項功能和每個元件執行安全性檢閱。 謹慎挑選預設設定可確保部署更安全。 本手冊包含可為系統管理員提供安全性相關功能,以及可能會影響安全性考量之功能的詳細資訊。 本手冊連結至 Exchange 2010 文件中的安全性相關主題。 這些主題列於<附錄 1: 其他安全性相關的文件>中。 本手冊未涵蓋任何強化 Windows Server 作業系統的步驟。
目錄
新功能
Exchange 2010 安全性開發生命週期
獲得保護 - 最佳作法
保持安全 - 最佳作法
網路通訊埠使用方式和防火牆強化
節流參數和用戶端節流原則
應用角色的存取控制
Active Directory
Exchange 伺服器帳戶
檔案系統
服務
憑證
NTLM 考量
雙因素驗證
同盟
Secure/Multipurpose Internet Mail Extensions (S/MIME)
伺服器角色考量
附錄 1: 其他安全性相關的文件
新功能
Exchange 2010 包含下列新安全性功能:
應用角色的存取控制Exchange 2010 包含一個新的應用角色的存取控制模型,可讓組織針對指派給不同專案關係人 (如收件者系統管理員、伺服器系統管理員、記錄和探索管理員,以及組織系統管理員) 的權限進行細緻的管理。
節流原則Exchange 2010 在信箱、用戶端存取和傳輸伺服器上引入節流機制,保護組織免於遭受拒絕服務攻擊,並降低此類攻擊造成的影響。
同盟委派Exchange 2010 引進新的同盟委派功能,可讓使用者安全地與外部組織的使用者合作。 利用同盟委派功能,使用者可以與外部同盟組織的使用者共用其行事曆和連絡人。 其中也可以進行跨樹系共同作業,無須設定及管理 Active Directory 信任關係。
資訊版權管理Exchange 2010 包含新的資訊保護及控制功能,可以多個層次保護機密的訊息內容,同時維持組織對於受保護內容的解密、搜尋及套用郵件原則的能力。
無資訊安全性設定精靈 在 Exchange 2010 中,安裝程式會進行必要的設定變更,以便安裝並啟用特定 Exchange 伺服器角色所需的那些服務,同時將通訊限制為在每個伺服器角色中執行之服務和處理程序所需的那些通訊埠。 如此一來,您就不需要使用如安全性設定精靈 (SCW) 等工具來設定這些設定。
Exchange 2010 安全性開發生命週期
早在 2002 年,Microsoft 就已提出高可信度電腦運算計畫。 自提出高可信度電腦運算之後,Microsoft 與 Microsoft Exchange 團隊的開發流程即以開發協助您更具安全性的軟體為重點。 如需相關資訊,請參閱高可信度電腦運算。
在 Exchange 2010 中,高可信度電腦運算已運用在下列核心領域:
安全的設計Exchange 2010 的設計與開發遵循高可信度電腦運算安全性開發生命週期。 建立更安全郵件系統的第一步是設計威脅模型,並在設計每一項功能時同步測試。 程式碼撰寫和慣例已內建許多安全性相關的改進。 建置階段工具會偵測緩衝區溢位和其他潛在的安全性威脅。 沒有任何系統可以保證絕對的安全性。 不過,由於整個設計過程採取安全的設計原則,Exchange 2010 比舊版更安全。
預設的安全性 Exchange 2010 的一項目標是開發一套預設加密大部分網路通訊的系統。 除伺服器訊息區 (SMB) 通訊和某些整合通訊 (UM) 通訊之外,此目標已達成。 也因為採用自行簽署憑證、Kerberos 通訊協定、安全通訊端層 (SSL) 及其他業界標準加密技術,網路上的所有 Exchange 2010 資料幾乎都受到保護。 此外,以角色為基礎的安裝可以在安裝 Exchange 2010 時,只針對特定和適當的伺服器角色來安裝服務和這些服務相關的權限。 在舊版 Microsoft Exchange 中,必須安裝所有功能的所有服務。
反垃圾郵件和防毒功能Exchange 2010 包含一套在周邊網路的邊際傳輸伺服器角色上執行的反垃圾郵件代理程式,也可以安裝在內部網路的集線傳輸伺服器角色上。 Microsoft 解決方案中已納入 MicrosoftForefront Protection 2010 for Exchange Server,進一步改進防毒功能。
安全的部署 在開發 Exchange 2010 時,發行前版本已部署在 Microsoft IT 生產環境中。 根據該部署產生的資料,MicrosoftExchange Server Best Practices Analyzer 已更新為可掃描實際的安全性組態,部署前和部署後的最佳作法也已記錄在 Exchange 2010 說明中。
以往,必須等到核心文件完成之後,才會開始編製和交付權限管理的說明。 不過,我們知道權限管理並不是額外附加的程序。 應該內建在 Exchange 2010 部署的整體規劃與部署中。 因此,我們已簡化權限文件的編排並整合到核心文件中,讓系統管理員在規劃和部署系統其管理模型時,有前後連貫的文章脈絡可以參考。Exchange 2010 包含一個新的應用角色的權限模型,可讓您授與細微的權限給系統管理員和使用者,使其以所需的最低權限執行工作。
通訊 現在,Exchange 2010 已問市,Exchange 團隊致力於隨時更新軟體,並提供最新的資訊給您。 只要利用 Microsoft Update 來隨時更新您的系統,就可以確保組織中安裝最新的安全性更新。Exchange 2010 也包含反垃圾郵件更新。 此外,您可以訂閱 Microsoft 技術安全性通知,瞭解最新的 Exchange 2010 安全性議題。
獲得保護 - 最佳作法
一些基本的最佳作法可協助您建立和維護更安全的環境。 通常,只要定期執行 Analyzer 工具並隨時更新軟體和防毒簽章檔案,就能有效地最佳化 Exchange 2010 環境從而獲取安全性。
設定及安裝建議
這些最佳作法可協助您建立更安全的 Exchange 2010 環境。
委派設定 在組織中安裝第一部 Exchange 2010 伺服器時,用來執行安裝程式的帳戶必須是企業系統管理員群組的成員。 所使用的帳戶會新增至 Exchange 2010 安裝程式所建立的組織管理角色群組。 您可以使用已委派的安裝程式,讓不屬於組織管理角色群組的系統管理員得以設定後續的伺服器。 如需詳細資訊,請參閱佈建 Exchange 2010 Server 及委派設定。
檔案系統權限Exchange 2010 安裝程式會為儲存 Exchange 二進位檔案和資料的檔案系統指派最低的必要權限。 您不得對檔案系統的根資料夾和 Program Files 資料夾的存取控制清單 (ACL) 進行任何變更。
安裝路徑 建議您在非系統磁碟機 (即不是安裝作業系統所在的磁碟區) 上安裝 Exchange 2010 二進位檔案。Exchange 資料庫和交易記錄可能會快速增長,就容量的大小及效能而言,必須位於非系統磁碟區。 許多由不同 Exchange 元件產生的其他記錄 (如傳輸記錄) 也會儲存在與 Exchange 二進位檔案相同的安裝路徑中,根據組態和郵件環境,這些記錄會大幅增長。 在 Exchange 2010 中,許多記錄檔的大小上限和記錄檔資料夾可佔用的儲存空間上限是可以設定的,預設會設為 250 MB。 若要防止因為磁碟空間不足造成的系統中斷情形,建議您評估每個伺服器角色的記錄需求,並根據您的需求設定記錄選項及記錄檔儲存位置。
封鎖舊版的 Outlook 用戶端 您可以依需求將 Outlook 用戶端封鎖設定為封鎖舊版的 Outlook 用戶端。 某些 Exchange 2010 功能 (如 Outlook 保護規則和個人封存) 不支援舊版的 Outlook 用戶端。 如需 Outlook 用戶端封鎖的相關資訊,請參閱設定 Outlook 用戶端封鎖以進行通訊記錄管理。
降低 SMTP 位址和使用者之間的關聯 依預設,Exchange 會根據信箱使用者的使用者名稱產生電子郵件地址和別名。 許多組織會建立其他電子郵件地址原則,降低使用者電子郵件地址與使用者名稱的關聯,以提高安全性。 例如,若使用者 Ben Smith 的使用者名稱為 bsmith,網域為 contoso.com,則依預設電子郵件地址原則產生的主要電子郵件地址為 bsmith@contoso.com。您可以建立其他電子郵件地址原則,產生不使用使用者的別名或使用者名稱的電子郵件地址。 例如,建立一個使用範本
%g.%s@domain的電子郵件地址原則,可以產生格式為 Firstname.Lastname@domain 的電子郵件地址。 對於使用者 Ben Smith,此原則將會產生地址 Ben.Smith@contoso.com。或者,若要降低電子郵件地址與使用者名稱之間的關聯,可以在建立或啟用信箱時指定不同於使用者名稱的別名。.gif "注意事項")
附註:如果使用者的主要 SMTP 位址與帳戶的 UPN 不符,使用者便無法使用他們的電子郵件地址登入 MicrosoftOfficeOutlook Web App,同時還必須提供網域\使用者名稱格式的使用者名稱。 使用 MicrosoftOutlook 時,若系統在 Outlook 連線至自動探索服務時提示輸入認證,使用者就必須提供網域\使用者名稱格式的使用者名稱。
Microsoft Update
Microsoft Update 是一項提供與 MicrosoftWindows Update 相同下載的服務,以及其他 Microsoft 程式的最新更新。 可讓您的伺服器更安全並達到最佳的效率。
Microsoft Update 的一項重要功能是 Windows 自動更新。 此功能可自動安裝對電腦安全性和可靠性很重要的高優先順序更新。 如果缺少這些安全性更新,您的電腦很容易遭受網路詐欺和惡意軟體 (惡意程式碼) 的攻擊。
接收 Microsoft Update 最可靠的方法是利用 Windows 自動更新,自動讓更新傳送到您的電腦上。 您可以註冊 Microsoft Update 來啟用自動更新。
接著,Windows 會分析電腦上已安裝的 Microsoft 軟體以便了解該軟體在目前和過去需要的任何高優先順序更新,然後自動下載並安裝這些更新。 此後,當您連上網際網路時,Windows 就會重複執行更新程序,尋找任何新的高優先順序更新。
若要啟用 Microsoft Update,請參閱 Microsoft Update。
Microsoft Update 的預設模式會要求每一部 Exchange 伺服器必須連上網際網路,才能接收自動更新。 如果您執行的伺服器未連上網際網路,您可以安裝 Windows Server Update Services (WSUS),設法將更新散發至組織中的電腦。 接著,您可以在內部 Microsoft Exchange 電腦上設定 Microsoft Update,以連接內部 WSUS 伺服器來取得更新。 如需相關資訊,請參閱 Microsoft Windows Server Update Services 3.0。
WSUS 並非唯一可用的 Microsoft Update 管理解決方案。 如需 Microsoft 安全性版本、處理程序、通訊和工具的相關資訊,請參閱 Microsoft 安全性更新指南 (英文)。
Exchange 2010 中不再需要的工作
您不再需要安裝或執行下列工具:
IIS 7 不再需要 URLScan 安全性工具。在舊版的 Microsoft Exchange 中,常見的作法是安裝如 URLScan 等 IIS 工具,以確保 IIS 安裝的安全。 Exchange 2010 需要 Windows Server 2008,其中包含 IIS 7。許多原本在 UrlScan 中提供的安全性功能現在由 IIS 7 要求篩選功能提供。
您不再需要安裝 Exchange Best Practices Analyzer。 在舊版的 Microsoft Exchange 中,常見的作法是在安裝前和安裝後定期安裝和執行 Exchange Best Practices Analyzer。 Exchange 2010 安裝程式內含 Exchange Best Practices Analyzer 元件,會在安裝期間執行它們。 執行安裝程式前不需要執行 Exchange Best Practices Analyzer。
您無須再使用安全性設定精靈 (SCW) 或 SCW 的 Exchange 範本。 Exchange 2010 安裝程式只會安裝指定 Exchange 伺服器角色所需的服務,並藉由進階安全性規則建立 Windows 防火牆,針對該伺服器角色開啟服務和處理程序所需的通訊埠。 您不再需要執行安全性設定精靈 (SCW) 來執行此動作。 與 Exchange Server 2007 不同的是,Exchange 2010 未隨附 SCW 範本。
保持安全 - 最佳作法
這些最佳作法建議可協助您保持 Exchange 2010 環境的安全。
讓軟體保持在最新狀態
如上一節所述,執行 Microsoft Update 是一種最佳作法。 除了在所有伺服器上執行 Microsoft Update 之外,另外也必須保持所有用戶端電腦達到最新狀態,並且在組織中所有電腦上維護防毒更新。
除了 Microsoft 軟體,也要確定對組織中執行的所有軟體執行最新的更新。
反垃圾郵件更新
Exchange 2010 也使用 Microsoft Update 基礎結構讓反垃圾郵件篩選器保持最新。 依預設,採取手動更新的系統管理員必須造訪 Microsoft Update 來下載並安裝內容篩選器更新。 內容篩選器更新資料每兩週更新並提供下載。
Microsoft Update 的手動更新包含 Microsoft IP 信譽服務或垃圾郵件簽章資料。 只有透過 Forefront Security for Exchange Server 反垃圾郵件自動更新,才能取得 Microsoft IP 信譽服務和垃圾郵件簽章資料。
如需如何啟用 Forefront 反垃圾郵件自動更新的相關資訊,請參閱瞭解反垃圾郵件更新。
執行防毒軟體
透過電子郵件系統傳送的病毒、蠕蟲及其他惡意內容,是大多數 Microsoft Exchange 系統管理員所面臨的破壞性力量。 因此,您必須為所有郵件系統開發防禦性的防毒部署。 本節提供為 Exchange 2010 部署防毒軟體的最佳作法建議。
在選取防毒軟體廠商時,您應該特別注意 Exchange 2010 中兩項重要的變更:
從 Exchange Server 2007 開始,Microsoft Exchange 是基於 64 位元的架構。
Exchange 2010 包含傳輸代理程式功能。
這兩項變更意味著防毒廠商必須提供 Exchange 2010 專用的軟體。 針對較早版本之 Exchange 撰寫的防毒軟體不大可能與 Exchange 2010 正確地搭配運作。
若要採取深度防禦方法,除了在使用者桌上型電腦上安裝防毒軟體之外,建議您在 SMTP 閘道或管理信箱的 Exchange 伺服器上,也要部署專為郵件系統而設計的防毒軟體。
您可以在願意承受的成本與風險之間取得適當的平衡點,決定要使用的防毒軟體類型和部署軟體的位置。 例如,某些組織會在 SMTP 閘道上執行郵件防毒軟體、在 Exchange 伺服器上執行檔案層級的防毒掃描,以及在使用者桌上型電腦上執行用戶端防毒軟體。 此方法可在用戶端上提供特定的郵件保護。 其他組織可能在 SMTP 閘道上執行郵件防毒軟體、在 Exchange 伺服器上執行檔案層級的防毒掃描、在使用者桌上型電腦上執行用戶端防毒軟體,再搭配於 Exchange 信箱伺服器上執行 Exchange 病毒掃描應用程式發展介面 (VSAPI) 2.5 相容的防毒軟體,藉由忍受較高的成本來改進安全性。
在邊際傳輸伺服器與集線器傳輸伺服器上執行防毒軟體
基於傳輸的防毒軟體會實作為 (或包含) 傳輸代理程式。 傳輸代理程式會針對傳輸事件而作用,這很類似舊版 Microsoft Exchange 中的事件接收器。 如需詳細資訊,請參閱瞭解傳輸代理程式。
| 附註: |
|---|
| 未經由傳輸來路由傳送的訊息不受傳輸專用病毒掃描的保護,例如公用資料夾中的項目、寄件備份及行事曆項目,這些項目只在信箱伺服器上掃描。 |
協力廠商的開發人員可以撰寫自訂的傳輸代理程式,利用基礎的 MIME 剖析引擎,進行強大的傳輸層級防毒掃描。 如需 Exchange 防毒和反垃圾郵件協力廠商清單,請參閱獨立軟體廠商 (英文)。
此外,Forefront Protection for Exchange Server 是防毒軟體套件,它與 Exchange 2010 緊密整合,可以為您的 Exchange 環境提供額外的防毒保護。 如需詳細資訊,請參閱 Microsoft Forefront Protection 2010 for Exchange Server。
郵件防毒軟體的重要性是在組織中扮演第一道防線的角色。 這就是 SMTP 閘道,外部郵件會透過它進入您的郵件環境。 在 Exchange 2010 中,第一道防線就是邊際傳輸伺服器。
如果使用非 Exchange SMTP 伺服器或閘道在 Exchange 之前接收輸入電子郵件,您應該在非 Exchange SMTP 主機上實作足夠的反垃圾郵件和防毒功能。
在 Exchange 2010 中,所有郵件皆透過集線傳輸伺服器路由傳送。 這包括收發 Exchange 組織外部的郵件,以及收發 Exchange 組織內部的郵件。 傳送至相同信箱伺服器中之信箱 (作為寄件者) 的郵件。 為了更加防禦從組織內爆發的病毒疫情,以及提供第二道防禦線,我們建議您在集線傳輸伺服器上執行以傳輸為主的防毒軟體。
在信箱伺服器上執行防毒軟體
除了傳輸伺服器上的病毒掃描程式之外,在信箱伺服器上執行 MicrosoftExchange 病毒掃描 API (VSAPI) 掃描解決方案可能是許多組織中的一道重要防線。 如果符合下列任一條件,您就應該考慮執行 VSAPI 防毒解決方案:
您的組織沒有部署完整而可靠的桌上型電腦防毒掃描產品。
您的組織想要獲得掃描信箱資料庫所能提供的額外保護。
組織已開發自訂應用程式,以程式控制方式存取 Exchange 資料庫。
您的使用者社群會定期將訊息張貼到公用資料夾。
使用 Exchange VSAPI 的防毒解決方案會直接在 Exchange 資訊儲存庫程序中執行。 對於將受感染內容放入 Exchange 資訊儲存庫中而迴避標準用戶端和傳輸掃描的攻擊媒介,VSAPI 解決方案可能是唯一能夠防範的解決方案。 例如,對於 CDO (協同作業資料物件)、WebDAV 及 Exchange Web 服務 (EWS) 提交至資料庫的資料,VSAPI 是唯一可掃描這種資料的解決方案。 此外,當病毒發作時,VSAPI 解決方案通常可以最快移除和消滅受感染郵件資料庫的病毒。
Exchange 伺服器和檔案系統的防毒
如果要部署檔案系統防毒軟體來保護 Exchange 伺服器,請考量下列項目:
您必須將儲存 Exchange 信箱和公用資料夾資料庫的 Exchange 伺服器目錄從檔案系統防毒掃描程式中排除。 如需詳細資料,請參閱Exchange 2010 上的檔案等級防毒掃描。
檔案系統防毒掃描程式只能保護檔案。 若要保護電子郵件訊息,則應該考慮實作 Exchange 感知的防毒或郵件安全性產品,如隨附的 MicrosoftForefront 或適合的合作夥伴或協力廠商產品。 如需反垃圾郵件及防毒保護的詳細資訊,請參閱瞭解反垃圾郵件及防毒功能。 如需詳細資訊,請參閱 Forefront Protection 2010 for Exchange Server: 概觀。
您必須隨時更新防毒和反垃圾郵件簽章,以提供有效的保護。
您應定期檢閱防毒和反垃圾郵件軟體或服務提供的報告,以確定是否啟用保護並依需求執行、快速偵測事件,以及採取任何必要的動作。
使用 Exchange Hosted Services
垃圾郵件及病毒篩選已透過 MicrosoftExchange Hosted Services 予以加強,也可作為上述服務的服務。 Exchange Hosted Services 是一組四個不同的託管服務:
「託管篩選」可協助組織保護自己不受來自電子郵件的惡意程式碼攻擊
託管封存可協助組織達到符合性和保留需求
託管加密可協助組織加密資料,以維護機密性
託管持續性可協助組織在發生中斷時及之後仍可存取電子郵件
這些服務會整合任何內部管理的內部部署 Exchange 伺服器。 如需詳細資訊,請參閱 Forefront Online Protection for Exchange。
使用附件篩選
在 Exchange 2010 中,附件篩選可讓您在邊際傳輸伺服器上套用篩選器,控制使用者可接收的附件。 附件篩選在現今的環境中日漸重要,因為很多附件類型包含有害的病毒或不適當的內容,可能損毀重要文件或洩漏敏感資訊,因而對使用者的電腦或組織造成重大的危害。
您可以使用下列的附件篩選類型來控制透過邊際傳輸伺服器進出您組織的附件:
以檔案名稱或副檔名為基礎的篩選 您可以藉由指定想要篩選的實際檔案名稱或副檔名來篩選附件。 實際檔案名稱篩選範例為 BadFilename.exe。副檔名篩選的範例為 *.exe。
以檔案 MIME 內容類型為基礎的篩選 您也可以藉由指定想要篩選的 MIME 內容類型來篩選附件。 MIME 內容類型可指出附件的類型,例如 JPEG 影像、可執行檔、MicrosoftOfficeExcel 2010 檔案,或是其他檔案類型。 內容類型是以 type/subtype 表示。 例如,JPEG 影像內容類型是以 image/jpeg 表示。
如果附件符合以下其中一個篩選條件,您可以設定針對附件執行下列動作:
封鎖整封郵件與附件
移除附件但是允許郵件通過
自動刪除郵件與附件
如需詳細資訊,請參閱瞭解附件篩選。
| 附註: |
|---|
| 您無法使用附件篩選器代理程式來依據附件的內容篩選附件。 您可以使用傳輸規則檢查郵件和附件內容,並採取如刪除或拒絕郵件,或使用 IRM 保護郵件和附件等動作。 如需詳細資料,請參閱瞭解傳輸規則。 |
使用 Forefront Protection for Exchange Server 進行檔案篩選
Forefront Protection for Exchange Server 提供的檔案篩選功能,包含 Exchange 2010 隨附的附件篩選器代理程式所沒有的進階功能。
例如,可以掃描容器檔案 (含有其他檔案的檔案) 以找出違規檔案類型。 Forefront Protection for Exchange Server 篩選可以掃描下列容器檔案和處理內嵌檔案:
PKZip (.zip)
GNU Zip (.gzip)
自我解壓縮檔案封存 (.zip)
壓縮檔案 (.zip)
Java 封存 (.jar)
TNEF (winmail.dat)
結構化儲存 (.doc, .xls, .ppt 等)
MIME (.eml)
SMIME (.eml)
UUEncode (.uue)
Unix 磁帶封存 (.tar)
RAR 封存 (.rar)
MACBinary (.bin)
| 附註: |
|---|
| 即使已重新命名檔案類型,Exchange 2010 所含的附件篩選器代理程式仍然會偵測到這些檔案類型。 附件篩選也會比對副檔名與壓縮之 Zip 或 LZH 檔中的檔案,以確定壓縮的 Zip 及 LZH 檔未包含封鎖的附件。 Forefront Protection for Exchange Server 檔案篩選具有額外的功能,可以判斷容器檔案內封鎖的附件是否已重新命名。 |
您也可以根據檔案大小篩選檔案。 此外,也可以設定 Forefront Protection for Exchange Server 來隔離篩選的檔案,或根據 Exchange 上的檔案篩選相符來傳送電子郵件通知。
如需相關資訊,請參閱使用 Microsoft Forefront Security for Exchange Server 保護您的 Microsoft Exchange 組織。
執行 Exchange Best Practices Analyzer
Exchange Best Practices Analyzer 是最有效的工具之一,可定期執行來確保 Exchange 環境的安全性。 Exchange Best Practices Analyzer 會自動檢查 Microsoft Exchange 部署,判斷其設定是否符合 Microsoft 最佳作法。 在 Exchange 2010 中,Exchange Best Practices Analyzer 會隨 Exchange 安裝程式一同安裝,可以從 Exchange 管理主控台 (EMC) 的 [工具] 區段執行。 Exchange Best Practices Analyzer 會透過適當的網路存取,檢查所有 Active Directory 網域服務 (AD DS) 伺服器和 Exchange 伺服器。 Exchange Best Practices Analyzer 內含權限繼承檢查。 此外,它會測試以驗證 RBAC 權限。 這包含測試以確保所有使用者能夠存取 Exchange 控制台 (ECP)、所有由 Exchange 安裝程式建立的預設 RBAC 角色正確設定,以及 Exchange 組織中至少存在一個系統管理員帳戶。
網路通訊埠使用方式和防火牆強化
Windows Server 2008 內含具有進階安全性的 Windows 防火牆,是一種預設會啟用的狀態封包檢查防火牆。 具有進階安全性的 Windows 防火牆提供下列功能:
篩選所有進入或離開電腦的 IP 第 4 版 (IPv4) 和 IP 第 6 版 (IPv6) 流量。 依預設,所有傳入流量都會遭到封鎖,除非該流量是用來回應電腦的上一個傳出要求 (要求的流量),或者該流量是特別由針對允許該流量所建立的規則所允許。 依預設,除了服務強化規則會防止標準服務以未預期的方式進行通訊之外,所有連出流量都是允許的。 您可以根據通訊埠號碼、IPv4 或 IPv6 位址、應用程式的路徑和名稱、電腦上執行的服務名稱或其他準則選擇允許流量。
使用 IPsec 通訊協定保護進入或離開電腦的網路流量可以驗證網路流量的完整性、驗證傳送及接收電腦或使用者的身分識別,以及選擇性地對流量加密以提供機密性。
Exchange 2010 設計是與啟用了進階安全性的 Windows Server 防火牆搭配執行。 Exchange 安裝程式會建立必要的防火牆規則,允許 Exchange 服務和處理程式進行通訊。 安裝程式只會為安裝在指定伺服器角色上的服務和處理程序建立所需的規則。 如需網路通訊埠使用方式,以及為每個 Exchange 2010 伺服器角色建立的防火牆規則,請參閱 Exchange 網路通訊埠參考。
在 Windows Server 2008 和 Windows Server 2008 R2 上,具有進階安全性的 Windows 防火牆可讓您為開啟的通訊埠指定處理程序或服務。 這樣會比較安全,因為它會限制規則中指定之處理程序或服務使用通訊埠的情形。 Exchange 2010 安裝程式會建立包含指定處理程序名稱的防火牆規則。 某些情況下,也會為了相容性而建立不限處理程序的其他規則。 如果您的部署支援,便可以停用或移除不限處理程序的規則,並保持 Exchange 2010 安裝程式所建立及限定處理程序的對應規則。 不限處理程序的規則在規則名稱中以 (GFW) 一字來區別。 建議您先在環境中對這些規則執行充分的測試,再停用不限處理程序的規則。
下表列出 Exchange 安裝程式所建立的 Windows 防火牆規則,包括每個伺服器角色上已開啟的通訊埠。
Windows 防火牆規則
| 規則名稱 | 伺服器角色 | 通訊埠 |
|---|---|---|
MSExchangeRPCEPMap (GFW) (TCP-In) |
所有角色 |
RPC-EPMap |
MSExchangeRPC (GFW) (TCP-In) |
用戶端存取、集線傳輸、信箱、整合通訊 |
動態 RPC |
MSExchange - IMAP4 (GFW) (TCP-In) |
用戶端存取 |
143, 993 (TCP) |
MSExchange - POP3 (GFW) (TCP-In) |
用戶端存取 |
110, 995 (TCP) |
MSExchange - OWA (GFW) (TCP-In) |
用戶端存取 |
5075、5076、5077 (TCP) |
MSExchangeMailboxReplication (GFW) (TCP-In) |
用戶端存取 |
808 (TCP) |
MSExchangeIS (GFW) (TCP-In) |
信箱 |
6001、6002、6003、6004 (TCP) |
MSExchangeTransportWorker (GFW) (TCP-In) |
集線傳輸 |
25, 587 (TCP) |
SESWorker (GFW) (TCP-In) |
整合通訊 |
任何 |
UMService (GFW) (TCP-In) |
整合通訊 |
5060、5061 (TCP) |
UMWorkerProcess (GFW) (TCP-In) |
整合通訊 |
5065, 5066, 5067, 5068 |
.gif "重要事項") 重要事項: |
|---|
| 修改 Exchange 2010 服務使用的預設通訊埠時,必須同時修改對應之具有進階安全性的 Windows 防火牆的防火牆規則,以允許在您決定要使用的非預設通訊埠上進行通訊。Exchange 2010 不會在您變更服務所使用的預設通訊埠時變更防火牆規則。 |
節流參數和用戶端節流原則
Exchange 2010 包含 Transport、Client Access Server 和 Mailbox server role 中的節流參數,以控制與每個通訊協定相關之連線的不同參數。Exchange 2010 也包含用戶端節流原則,以控制 Client Access Server 上的負載。 這些節流參數和原則可協助您控制負載和保護 Exchange 2010 伺服器不受以不同通訊協定為目標的拒絕服務攻擊。
傳輸伺服器上的節流參數
在 Exchange 2010 傳輸伺服器上,會於伺服器和接收及傳送連接器上實作郵件節流參數,以控制郵件處理速率、SMTP 連線速率,以及 SMTP 工作階段逾時值。 總之,這些節流參數可保護傳輸伺服器在接受和傳遞大量郵件時不致塞爆,保護傳輸伺服器不會受到惡意 SMTP 用戶端和拒絕服務攻擊。
您可以使用 Set-TransportServer 指令程式在 Exchange 2010 傳輸伺服器上設定下列節流原則。
傳輸伺服器節流參數
| 參數 | 描述 |
|---|---|
MaxConcurrentMailboxDeliveries |
MaxConcurrentMailboxDeliveries 參數指定集線傳輸伺服器同時開啟以將郵件傳遞至信箱的傳遞執行緒數目上限。 集線傳輸伺服器上的儲存區驅動程式負責將郵件傳遞到信箱伺服器,以及從該處傳遞出去。 此限制適用於 Exchange 組織中任何信箱的郵件傳遞。 預設 傳遞 20 次 |
MaxConcurrentMailboxSubmissions |
MaxConcurrentMailboxSubmissions 參數指定集線傳輸伺服器同時開啟以接受來自信箱之郵件的傳遞執行緒數目上限。Hub Transport Server 上的儲存區驅動程式負責將郵件傳遞到 Mailbox Server,以及從該處傳遞出去。 此限制適用於從 Exchange 組織中任何信箱接受新郵件。 預設 提交 20 次 |
MaxConnectionRatePerMinute |
MaxConnectionRatePerMinute 參數指定可對集線傳輸伺服器或邊際傳輸伺服器開啟的新輸入連線速率上限。 這些連線會開啟至伺服器上存在的任何接收連接器。 預設 每分鐘 1,200 個連線。 |
MaxOutboundConnections |
MaxOutboundConnections 參數指定集線傳輸伺服器或邊際傳輸伺服器可以同時開啟的同時輸出連線數目上限。 使用伺服器上存在的傳送連接器便會發生輸出連線。 MaxOutboundConnections 參數所指定的值適用於傳輸伺服器上存在的所有傳送連接器。 預設 1,000 個連線。 如果輸入無限制的值,則不會限制輸出連線數目。 這個值也可以使用 EMC 進行設定。 |
MaxPerDomainOutboundConnections |
MaxPerDomainOutboundConnections 參數指定面對網際網路的集線傳輸伺服器或邊際傳輸伺服器可以同時開啟至單一遠端網域的連線數目上限。 使用伺服器上存在的傳送連接器便會發生遠端網域的輸出連線。 預設 每個網域 20 個連線 如果輸入無限制的值,則不會限制每個網域的輸出連線數目。 這個值也可以使用 EMC 進行設定。 |
PickupDirectoryMaxMessagesPerMinute |
MaxPerDomainOutboundConnections 參數指定 [收取] 目錄與 [重新顯示] 目錄的郵件處理率。 每個目錄可使用 PickupDirectoryMaxMessagesPerMinute 參數所指定的速率,進而獨立處理郵件檔案。預設 依預設,收取目錄每分鐘可處理 100 則郵件,與此同時,重新顯示目錄每分鐘亦可處理 100 則郵件。 每 5 秒鐘會檢查一次收取目錄和重新顯示目錄是否有新郵件檔案,也就是每分鐘 12 次。 這項 5 秒的輪詢間隔是無法設定的。 也就是說,您為 PickupDirectoryMaxMessagesPerMinute 參數所指定的值除以 12 (PickupDirectoryMaxMessagesPerMinute/12) ,即為每次輪詢間隔期間所能處理的郵件數上限。 根據預設,在每個 5 秒的輪詢間隔期間,最多可處理 8 則郵件。 |
傳送連接器上的節流參數
傳送連接器上可以使用下列節流參數。 使用 Send-Connector 指令程式設定這些參數。
傳送連接器節流參數
| 參數 | 描述 |
|---|---|
ConnectionInactivityTimeOut |
ConnectionInactivityTimeOut 參數指定在關閉連線之前,與目的郵件伺服器的開啟 SMTP 連線可以持續閒置的時間上限。 預設 10 分鐘。 |
SmtpMaxMessagesPerConnection |
SmtpMaxMessagesPerConnection 參數會指定此傳送連接器伺服器每次連線可傳送的最大郵件數目。 預設 20 則郵件 |
接收連接器上的節流參數
您可以在 Exchange 2010 傳輸伺服器的接收連接器上設定下列節流參數以控制連線參數,如閒置逾時、連線數目上限,以及連線期間允許的 SMTP 通訊協定錯誤數目。 使用 Set-ReceiveConnector 指令程式設定這些參數。
接收連接器節流參數
| 參數 | 描述 |
|---|---|
ConnectionInactivityTimeOut |
ConnectionInactivityTimeOut 參數指定在關閉連線之前,與來源郵件伺服器的開啟 SMTP 連線可以持續閒置的時間上限。 集線傳輸伺服器預設 5 分鐘。 邊際傳輸伺服器預設 1 分鐘。 |
ConnectionTimeOut |
ConnectionTimeOut 參數指定與來源郵件伺服器的 SMTP 連線可以持續開啟的時間上限 (即使來源郵件伺服器正在傳輸資料)。 集線傳輸伺服器預設 10 分鐘 邊際傳輸伺服器預設 5 分鐘。 ConnectionTimeout 參數所指定的值必須大於 ConnectionInactivityTimeout 參數所指定的值。 |
MaxInboundConnection |
MaxInboundConnection 參數指定此接收連接器同時間允許的輸入 SMTP 連線數目上限。 預設 5,000 |
MaxInboundConnectionPercentagePerSource |
MaxInboundConnectionPercentagePerSource 參數可指定接收連接器同時允許來自單一來源郵件伺服器的 SMTP 連線數目上限。 此值是以接收連接器上可用的其餘連線百分比來表示。 MaxInboundConnection 參數定義了接收連接器所允許的連線數目上限。預設 2% |
MaxInboundConnectionPerSource |
MaxInboundConnectionPerSource 參數可指定接收連接器同時允許來自單一來源郵件伺服器的 SMTP 連線數目上限。 預設 100 個連線 |
MaxProtocolErrors |
MaxProtocolErrors 參數指定接收連接器在關閉與來源郵件伺服器的連線之前,所允許的 SMTP 通訊協定錯誤數目上限。 預設 5 個錯誤 |
POP3 服務的節流參數
Client Access Server 上的 MicrosoftExchange POP3 服務可使用下列節流參數。 使用 Set-POPSettings 指令程式設定這些參數。 如需詳細資料,請參閱設定 POP3 的連線限制。
POP3 服務節流參數
| 參數 | 描述 |
|---|---|
MaxCommandSize |
MaxCommandSize 參數會指定單一命令的大小上限。 可能值為 40 至 1024 個位元組。 預設 40 個位元組。 |
MaxConnectonFromSingleIP |
MaxConnectionFromSingleIP 參數會指定所指定之伺服器接受來自單一 IP 位址的連線數。 可能值為 1 至 25,000。 預設 2,000 個連線 |
MaxConnections |
MaxConnections 參數會指定所指定之伺服器接受的連線總數。 這包含已驗證與未驗證的連線。 可能值為 1 至 25,000。 預設 2,000 個連線。 |
MaxConnectionsPerUser |
MaxConnectionsPerUser 參數會指定 Client Access Server 接受來自特定使用者的最大連線數。可能值為 1 至 25,000。 預設 16 個連線。 |
PreAuthenticationConnectionTimeOut |
PreAuthenticatedConnectionTimeout 參數會指定在關閉未驗證的閒置連線前所等待的時間。 可能值為 10 至 3,600 秒。 預設 60 秒。 |
IMAP4 服務的節流參數
Client Access Server 上的 MicrosoftExchange IMAP4 服務可使用下列節流參數。 使用 Set-IMAPSettings 指令程式設定這些參數。 如需詳細資料,請參閱設定 IMAP4 的連線限制。
IMAP4 服務節流參數
| 參數 | 描述 |
|---|---|
AuthenticationConnectionTimeOut |
AuthenticatedConnectionTimeout 參數會指定在關閉閒置的驗證連線前所等待的時間長度。 可能值為 30 至 86400 秒。 預設 1,800 秒 |
MaxCommandSize |
MaxCommandSize 參數會指定單一命令的大小上限。 預設大小為 40 個位元組。可能值從 40 至 1024 個位元組。 預設 40 個位元組。 |
MaxConnectionFromSingleIP |
MaxConnectionFromSingleIP 參數會指定所指定之伺服器接受來自單一 IP 位址的連線數。 可能值為 1 至 25,000。 預設 2,000 個連線 |
MaxConnections |
MaxConnections 參數會指定所指定之伺服器接受的連線總數。這包含已驗證與未驗證的連線。可能值為 1 至 25,000。 預設 2,000 個連線 |
MaxConnectionsPerUser |
MaxConnectionsPerUser 參數會指定 Client Access Server 接受來自特定使用者的最大連線數。可能值為 1 至 25,000。 預設 16 個連線。 |
PreAuthenticatedConnectionTimeOut |
PreAuthenticatedConnectionTimeout 參數會指定在關閉未驗證的閒置連線前所等待的時間。 可能值為 10 至 3600 秒。 預設 60 秒 |
用戶端節流原則
在 Exchange 2010 中,您可以透過控制參數 (例如每個用戶端存取通訊協定的同時連線數,可用來執行 LDAP 作業、RPC 作業及用戶端存取作業之用戶端工作階段的時間百分比),使用用戶端節流原則來管理 Client Access Server 的效能。 預設的用戶端節流原則通常已足夠用來管理 Client Access Server 上的負載。 您可以修改預設的原則參數或建立自訂原則,以符合部署的需求。
節流原則可用於下列使用者群組和存取方法:
匿名存取
跨單位存取 (CPA)
Exchange ActiveSync (EAS)
Exchange Web 服務 (EWS)
IMAP
POP
Outlook Web App (OWA)
RPC 用戶端存取 (RCA)
下列節流設定可在這些使用者群組的用戶端節流原則 (匿名存取和 CPA) 和存取方法 (EAS、EWS、IMAP、OWA、POP 和 RCA) 中使用。
用戶端節流原則設定
| 節流設定 | 匿名存取 | CPA | EAS | EWS | IMAP | OWA | POP | RCA |
|---|---|---|---|---|---|---|---|---|
最大並行性 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
AD 的百分比時間 |
是 |
不適用 |
是 |
是 |
是 |
是 |
是 |
是 |
CAS 的百分比時間 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
信箱 RPC 的百分比時間 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
CPA 跨單位存取
EAS Exchange ActiveSync
EWS Exchange Web 服務
OWA Outlook Web App
除了這些以使用者群組和存取方法為主的節流設定之外,用戶端節流原則中還可以使用下列節流設定。
用戶端節流原則參數
| 參數 | 描述 |
|---|---|
CPUStartPercent |
CPUStartPercent 參數指定當每個程序用到多少百分比的 CPU,此原則所管理的使用者就要開始輪詢。 有效的值為 0 到 100。使用 $null 會關閉此原則根據 CPU 百分比進行的節流。 |
EASMaxDeviceDeletesPerMonth |
EASMaxDeviceDeletesPerMonth 參數指定使用者每月可刪除的 Exchange ActiveSync 合作關係數目上限。 依預設,每個使用者每個月可以刪除最多 20 個合作關係。 達到上限時,刪除合作關係將會失敗並對使用者顯示錯誤訊息。 |
EASMaxDevices |
EASMaxDevices 參數指定使用者可以同時擁有的 Exchange ActiveSync 合作關係數目上限。 依預設,每一位使用者可以使用 Exchange 帳戶建立 10 個 Exchange ActiveSync 合作關係。 使用者超過限制後,他們必須刪除其中一個現有的合作關係,才能建立任何新的合作關係。 超過限制時,會傳送說明限制的電子郵件錯誤訊息給使用者。 此外,使用者超過限制時,會在應用程式記錄中記錄事件。 |
EWSFastSearchTimeOutInSeconds |
EWSFastSearchTimeoutInSeconds 參數指定使用 Exchange Web 服務進行的搜尋在逾時之前所持續的時間。 如果搜尋所花的時間超過原則值指定的時間,則搜尋會停止並傳回錯誤。 此設定的預設值為 60 秒。 |
EWSFindCountLimit |
EWSFindCountLimit 參數指定這個使用者目前呼叫的 FindItem 或 FindFolder 程序可以在 Client Access Server 的記憶體中同時存放的結果數目上限。 如果嘗試尋找的項目或資料夾數目超過原則限制所允許的數目,則會傳回錯誤。 但是,如果呼叫是在已建立索引的頁面檢視環境內進行,則不會嚴格強制執行此限制。 特別在此案例中,搜尋結果會被截斷以納入原則限制所允許的項目和資料夾數目。 接著,您可以透過進一步的 FindItem 或 FindFolder 呼叫,繼續將結果集進行分頁。 |
EWSMaxSubscriptions |
EWSMaxSubscriptions 參數會指定使用者可在特定 Client Access Server 上同時擁有的使用中發送與提取訂閱最大數目。 如果使用者嘗試建立的訂閱數目超過所設定的最大值,則訂閱會失敗,而事件檢視器中會記錄一筆事件。 |
ExchangeMaxCmdlets |
ExchangeMaxCmdlets 參數指定在指令程式的執行變慢之前,可以在特定時間範圍內執行的指令程式數目。 此參數指定的值應小於 PowerShellMaxCmdlets parameter 指定的值。 PowerShellMaxCmdletsTimePeriod 參數指定此限制所使用的時間範圍。 我們建議您同時設定這兩個參數的值。 |
ForwardeeLimit |
ForwardeeLimit 參數指定在使用轉寄或重新導向動作時,可以在收件匣規則中設定的收件者數目上限。 此參數不會限制可以轉寄或重新導向至所設定收件者的郵件數目。 |
MessageRateLimit |
MessageRateLimit 參數指定每分鐘可以提交傳輸的郵件數目。 對於透過 Mailbox server role (Outlook Web App、Exchange ActiveSync 或 Exchange Web 服務) 提交的郵件,這會導致郵件延遲,直到使用者有配額可以使用為止。 明確地說,當使用者提交郵件的速率大於 MessageRateLimit 參數時,郵件出現在 [寄件匣] 或 [草稿] 資料夾中的時間會更長。 對於使用 SMTP 直接將郵件提交傳輸的 POP 或 IMAP 用戶端而言,如果它們的提交速率超出 MessageRateLimit 參數,則會收到傳輸錯誤。Exchange 稍後會再嘗試連線並傳送郵件。 |
PowerShellMaxCmdletQueueDepth |
PowerShellMaxCmdletQueueDepth 參數指定允許使用者執行的作業數目。 此值會直接影響 PowerShellMaxCmdlets 和 PowerShellMaxConcurrency 參數的行為。 例如,PowerShellMaxConcurrency 參數至少會耗用由 PowerShellMaxCmdletQueueDepth 參數定義的兩項作業,但是每次執行指令程式時也會耗用其他作業。 作業的數目取決於已執行的指令程式數。 我們建議 PowerShellMaxCmdletQueueDepth 參數的值至少是 PowerShellMaxConcurrency parameter 之值的三倍。 此參數不會影響 Exchange 控制台作業或 Exchange Web 服務作業。 |
PowerShellMaxCmdlets |
PowerShellMaxCmdlets 參數指定在指令程式停止執行之前,可以在特定時間範圍內執行的指令程式數目。 此參數指定的值應大於 ExchangeMaxCmdlets 參數指定的值。 PowerShellMaxCmdletsTimePeriod 參數指定此限制所使用的時間範圍。 這兩個值應同時設定。 |
PowerShellMaxCmdletsTimePeriod |
PowerShellMaxCmdletsTimePeriod 參數指定節流原則在判斷所執行的指令程式數目是否超出 PowerShellMaxCmdlets 與 ExchangeMaxCmdlets 參數所指定的限制時,所使用的時間範圍 (以秒為單位)。 |
PowerShellMaxConcurrency |
依環境的不同,PowerShellMaxConcurrency 參數指定的資訊也不同: 以遠端 PowerShell 而言,PowerShellMaxConcurrency 參數指定遠端 PowerShell 使用者可以同時開啟的遠端 PowerShell 工作階段數目上限。 以 Exchange Web 服務而言,PowerShellMaxConcurrency 參數指定使用者可以同時執行的並行指令程式數目。 此參數值不一定與使用者開啟的瀏覽器數目有關 |
RecipientRateLimit |
RecipientRateLimit 參數指定使用者在 24 小時內可以寄給的收件者數目上限。 |
如需 Exchange 2010 節流原則的詳細資訊,請參閱瞭解用戶端節流原則。
應用角色的存取控制
應用角色的存取控制 (RBAC) 是 Exchange 2010 中的新權限模型,可讓您控制 (無論大範圍或細部) 系統管理員和使用者能夠執行的工作。有了 RBAC,您不再需要修改 Active Directory 物件 (如組織單位) 的存取控制清單 (ACL) 和容器,以便對群組 (如說明服務人員) 或功能 (如收件者管理) 進行權限的細微委派。 Active Directory
如需詳細資訊,請參閱瞭解應用角色的存取控制。 如需 Exchange 2010 中包含的預設 RBAC 管理角色清單,請參閱內建管理角色。 如需預設角色群組的清單,請參閱內建角色群組。
Exchange 2010 安裝程式或您所建立的角色群組在 Active Directory 中會建立為 MicrosoftExchange 安全性群組 OU 中的萬用安全性群組。 您可以使用 New-RoleGroupMember 指令程式或 Exchange 控制台 (ECP) 新增成員至角色群組。 當您新增成員至角色群組時,使用者或群組會新增至對應的 Active Directory 安全性群組。 您可以使用受限群組原則來限制重要 RBAC 角色群組 (如探索管理) 的成員資格。 實作受限群組原則時,群組成員資格是由 Active Directory 網域控制站監視,而未包含在原則內的任何使用者皆會自動移除。
| 重要事項: |
|---|
| 如果使用受限群組限制 RBAC 角色群組的群組成員資格,則您使用 Exchange 2010 工具對角色群組所做的任何變更也必須執行到 Active Directory 中的受限群組原則。 如需詳細資訊,請參閱群組原則安全性設定。 |
Active Directory
Exchange 伺服器會在 Active Directory 網域服務 (AD DS) 的組態磁碟分割中儲存組態資料,並在網域磁碟分割上儲存收件者資料。 如需設定 Exchange 2010 組織所需權限的詳細資訊,請參閱 Exchange 2010 部署權限參考。 使用 Kerberos 驗證和加密來確保與 Active Directory 網域控制站之間通訊的安全。
Exchange 2010 在 Exchange 內部提供了新的授權層 (稱為應用角色的存取控制 (RBAC)),而不需對需要適當權限的每個帳戶套用存取控制項目 (ACE)。 在舊版的 Microsoft Exchange 中,Exchange 安裝程式仰賴 Active Directory 內的 ACE,Exchange 系統管理員才得以管理網域分割內的物件。Exchange 系統管理員可透過 RBAC 在特定範圍內執行某些作業。 Exchange 伺服器會透過 ExchangeWindows 權限和 Exchange 受信任子系統安全性群組,使用 Active Directory 中授與的權限來代表系統管理員或使用者執行已獲授權的動作。 如需 RBAC 的相關資訊,請參閱瞭解應用角色的存取控制。
在 Exchange 2010 中,/PrepapareDomain 不會將 ExchangeWindows 權限萬用安全性群組的任何 ACE 套用至 Active Directory 中的AdminSDHolder 容器。 如果 /PrepareDomain 偵測到授與 ExchangeWindows 權限萬用安全性群組的 ACE,則會將這些 ACE 移除。 這具有下列意涵:
ExchangeWindows 權限萬用安全性群組的成員不能修改受保護安全性群組 (如 Enterprise Admins 和 Domain Admins) 的成員資格。 這具有下列意涵。
ExchangeWindows 權限萬用安全性群組的成員不能強制受到 AdminSDHolder 保護的帳戶重設密碼。
ExchangeWindows 權限萬用安全性群組的成員不能修改任何受 AdminSDHolder 保護的群組或帳戶的權限。
建議的最佳作法是不要為受到 AdminSDHolder 保護的帳戶啟用信箱功能,並為 Active Directory 系統管理員維護獨立的帳戶: 一個帳戶用於 Active Directory 管理,一個帳戶用於包括電子郵件在內的一般日常用途。 如需詳細資料,請參閱下列主題:
Exchange 伺服器帳戶
Exchange 2010 安裝程式會在稱為 MicrosoftExchange 安全性群組的根網域內建立新組織單位 (OU)。 下表顯示新的萬用安全性群組。
Microsoft Exchange 安全性群組
| 安全性群組 | 描述 |
|---|---|
Exchange All Hosted Organizations |
此群組內含所有 Exchange Hosted Organization Mailboxes 群組。 用於對所有託管的信箱套用密碼設定物件。 您不應該刪除此群組。 |
Exchange Server |
此群組內含所有 Exchange Server。 您不應該刪除此群組。 強烈建議不要變更此群組的任何成員資格。 |
Exchange Trusted Subsystem |
此群組內含 Exchange Server,Exchange 會經由管理服務代表使用者執行 Exchange 指令程式 。 其成員會具有讀取和修改所有 Exchange 組態,以及使用者帳戶和群組的權限。 您不應該刪除此群組。 |
ExchangeWindows 權限 |
此群組內含經由管理服務代表使用者執行 Exchange 指令程式的 Exchange 伺服器。 其成員會具有讀取和修改所有 Windows 帳戶和群組的權限。 您不應該刪除此群組。 強烈建議不要變更此群組的任何成員資格,並建議監視群組成員資格。 |
ExchangeLegacyInterop |
此群組用來與相同樹系中的 Exchange 2003 伺服器進行交互操作。 您不應該刪除此群組。 |
除了這些安全性群組之外,安裝程式還會建立下列對應至相同名稱之 RBAC 角色群組的安全性群組。
對應至 RBAC 角色群組的安全性群組
| 安全性群組 | RBAC 角色群組 |
|---|---|
委派安裝 |
|
探索管理 |
|
服務台 |
|
檢疫管理 |
|
組織管理 |
|
公用資料夾管理 |
|
收件者管理 |
|
記錄管理 |
|
伺服器管理 |
|
UM 管理 |
|
僅限檢視組織管理 |
此外,當您建立新角色群組時,Exchange 2010 會建立與角色群組名稱相同的安全性群組。如需詳細資料,請參閱下列主題:
當您使用 Add-RoleGroupMember 或 Remove-RoleGroupMember 指令程式或使用 ECP 中的 [應用角色的存取控制 (RBAC) 使用者編輯器] 從角色群組新增或移除使用者時,就會從這些安全性群組新增或移除使用者。
檔案系統
Exchange 2010 安裝程式會建立具有 Exchange 2010 運作所需最低權限的目錄。 不建議對安裝程式所建立目錄之預設存取控制清單 (ACL) 進行其他權限強化的動作。
服務
Exchange 2010 安裝程式預設不會停用任何 Windows 服務。 下表列出每個伺服器角色上預設會啟用的服務。 預設只會啟用特定 Exchange 2010 伺服器角色作業所需的服務。
Exchange 安裝程式安裝的服務
| 服務名稱 | 服務簡短名稱 | 安全性範圍 | 描述和依存性 | 預設啟動類型 | 伺服器角色 | 必要 (R) 或選用 (O) |
|---|---|---|---|---|---|---|
Microsoft ExchangeActive Directory 拓撲 |
MSExchangeADTopology |
本機系統 |
提供 Exchange 服務的 Active Directory 拓撲資訊。 如果停止此服務,則大部份 Exchange 服務將無法啟動。 此服務沒有依存性。 |
自動 |
信箱、集線傳輸、用戶端存取、整合通訊 |
R |
Microsoft Exchange ADAM |
ADAM_MSExchange |
網路服務 |
將組態資料和收件者資料儲存在邊際傳輸伺服器上。 此服務代表 Active Directory 輕量型目錄服務 (AD LDS) 的具名執行個體,其是在邊際傳輸伺服器安裝期間由安裝程式自動建立的。 這項服務依存於 COM+ Event System 服務。 |
自動 |
邊際傳輸 |
R |
Microsoft Exchange 通訊錄 |
MSExchangeAB |
本機系統 |
管理用戶端通訊錄連線。 此服務仰賴 Microsoft ExchangeActive Directory 拓撲服務。 |
自動 |
用戶端存取 |
R |
Microsoft Exchange 反垃圾郵件更新 |
MSExchangeAntispamUpdate |
本機系統 |
提供 MicrosoftForefront Protection 2010 for Exchange Server 反垃圾郵件更新服務。 在集線傳輸伺服器上,此服務依存於 Microsoft ExchangeActive Directory 拓撲服務。 在邊際傳輸伺服器上,此服務依存於 Microsoft Exchange ADAM 服務。 |
自動 |
集線傳輸、邊際傳輸 |
O |
Microsoft Exchange 認證服務 |
MSExchangeEdgeCredential |
本機系統 |
監視 AD LDS 中的認證變更,並在邊際傳輸伺服器上安裝變更。 此服務依存於 Microsoft Exchange ADAM 服務。 |
自動 |
邊際傳輸 |
R |
Microsoft Exchange EdgeSync |
MSExchangeEdgeSync |
本機系統 |
透過安全的 LDAP 通道連接到訂閱之邊際傳輸伺服器上的 AD LDS 執行個體,以同步處理集線傳輸伺服器及邊際傳輸伺服器之間的資料。 此服務仰賴 Microsoft ExchangeActive Directory 拓撲服務。 如果沒有設定 Edge 訂閱,可以停用此服務。 |
自動 |
集線傳輸 |
O |
Microsoft Exchange 檔案發佈 |
MSExchangeFDS |
本機系統 |
發佈離線通訊錄 (OAB) 及自訂的整合通訊提示。 此服務依存於 Microsoft ExchangeActive Directory 拓撲和工作站服務。 |
自動 |
用戶端存取、整合通訊 |
R |
Microsoft Exchange 表單型驗證 |
MSExchangeFBA |
本機系統 |
為 Outlook Web App 和 Exchange 控制台提供表單型驗證。 如果停止此服務,Outlook Web App 和 Exchange 控制台就不會驗證使用者。 此服務沒有依存性。 |
自動 |
用戶端存取 |
R |
Microsoft Exchange IMAP4 |
MSExchangeIMAP4 |
網路服務 |
為用戶端提供 IMAP4 服務。 如果停止此服務,用戶端將無法使用 IMAP4 通訊協定連接到此電腦。 此服務仰賴 Microsoft ExchangeActive Directory 拓撲服務。 |
手動 |
用戶端存取 |
O |
Microsoft Exchange 資訊儲存庫 |
MSExchangeIS |
本機系統 |
管理 Exchange 資訊儲存庫。 這包括信箱資料庫及公用資料夾資料庫。 若停止此服務,則此電腦上的信箱資料庫和公用資料夾資料庫將無法使用。 如果停用此服務,則明確依賴此服務的任何服務將無法啟動。 此服務依存於 RPC、伺服器、Windows 事件記錄檔和工作站服務。 |
自動 |
信箱 |
R |
Microsoft Exchange 郵件提交服務 |
MSExchangeMailSubmission |
本機系統 |
將信箱伺服器的郵件提交到 Exchange 2010 集線傳輸伺服器。 此服務仰賴 Microsoft ExchangeActive Directory 拓撲服務。 |
自動 |
信箱 |
R |
Microsoft Exchange 信箱助理員 |
MSExchangeMailboxAssistants |
本機系統 |
對 Exchange 儲存區中的信箱執行背景處理程序。 此服務仰賴 Microsoft ExchangeActive Directory 拓撲服務。 |
自動 |
信箱 |
R |
Microsoft Exchange 信箱複寫服務 |
MSExchangeMailboxReplication |
本機系統 |
處理信箱移動及移動要求。 此服務依存於 Microsoft ExchangeActive Directory 拓撲服務和 Net.Tcp 連接埠共用服務。 |
自動 |
用戶端存取 |
O |
Microsoft Exchange 監視 |
MSExchangeMonitoring |
本機系統 |
允許應用程式呼叫 Exchange 診斷指令程式。 此服務沒有依存性。 |
手動 |
All |
O |
Microsoft Exchange POP3 |
MSExchangePOP3 |
網路服務 |
為用戶端提供 POP3 服務。 如果停止此服務,用戶端將無法使用 POP3 通訊協定來連接至此電腦。 此服務仰賴 Microsoft ExchangeActive Directory 拓撲服務。 |
手動 |
用戶端存取 |
O |
Microsoft Exchange 受保護的服務主機 |
MSExchangeProtectedServiceHost |
本機系統 |
提供必須由其他服務保護的數項 Exchange 服務的主機。 此服務仰賴 Microsoft ExchangeActive Directory 拓撲服務。 |
自動 |
集線傳輸、用戶端存取 |
R |
Microsoft Exchange 複寫服務 |
MSExchangeRepl |
本機系統 |
為資料庫可用性群組 (DAG) 中信箱伺服器上的信箱資料庫提供複寫功能。 此服務仰賴 Microsoft ExchangeActive Directory 拓撲服務。 |
自動 |
信箱 |
O |
Microsoft Exchange RPC 用戶端存取 |
MSExchangeRPC |
網路服務 |
管理 Exchange 的用戶端 RPC 連線。 此服務仰賴 Microsoft ExchangeActive Directory 拓撲服務。 |
自動 |
信箱、用戶端存取 |
O (信箱)、R (用戶端存取) |
Microsoft Exchange Search Indexer |
MSExchangeSearch |
本機系統 |
建立信箱內容的磁碟機索引,以改善內容搜尋效能。 此服務依存於 Microsoft ExchangeActive Directory 拓撲和 Microsoft 搜尋 (Exchange 伺服器) 服務。 |
自動 |
信箱 |
O |
Windows Server 備份的 Microsoft Exchange 伺服器擴充功能 |
WSBExchange |
本機系統 |
使 Windows Server Backup 的使用者能夠備份及還原 Microsoft Exchange 的應用程式資料。 此服務沒有依存性。 |
手動 |
信箱 |
O |
Microsoft Exchange Service Host |
MSExchangeServiceHost |
本機系統 |
為數個 Exchange 服務提供主機。 在內部伺服器角色上,此服務依存於 Microsoft ExchangeActive Directory 拓撲服務。 在邊際傳輸伺服器上,此服務依存於 Microsoft Exchange ADAM 服務。 |
自動 |
All |
R |
Microsoft Exchange 語音引擎 |
MSSpeechService |
網路服務 |
提供整合通訊的語音處理服務。 此服務依存於 Windows Management Instrumentation (WMI) 服務。 |
自動 |
整合通訊 |
R |
Microsoft Exchange 系統服務員 |
MSExchangeSA |
本機系統 |
將目錄查閱轉接至舊版 Outlook 用戶端的通用類別目錄伺服器、產生電子郵件地址和 OAB、更新舊版用戶端的空閒/忙碌資訊,並維護伺服器的權限和群組成員資格。如果停用此服務,則明確依賴此服務的任何服務將無法啟動。 此服務依存於 RPC、伺服器、Windows 事件記錄檔和工作站服務。 |
自動 |
信箱 |
R |
Microsoft Exchange 節流 |
MSExchangeThrottling |
網路服務 |
限制使用者作業的速率。 此服務仰賴 Microsoft ExchangeActive Directory 拓撲服務。 |
自動 |
信箱 |
R |
Microsoft Exchange 傳輸 |
MSExchangeTransport |
網路服務 |
提供 SMTP 伺服器和傳輸堆疊。 在集線傳輸伺服器上,此服務依存於 Microsoft ExchangeActive Directory 拓撲服務。 在邊際傳輸伺服器上,此服務依存於 Microsoft Exchange ADAM 服務。 |
自動 |
集線傳輸、邊際傳輸 |
R |
Microsoft Exchange 傳輸記錄搜尋 |
MSExchangeTransportLogSearch |
本機系統 |
提供 Microsoft Exchange 傳輸記錄檔的遠端搜尋功能。 在集線傳輸伺服器上,此服務依存於 Microsoft ExchangeActive Directory 拓撲服務。 在邊際傳輸伺服器上,此服務依存於 Microsoft Exchange ADAM 服務。 |
自動 |
集線傳輸、信箱、邊際傳輸 |
O |
Microsoft Exchange 整合通訊 |
MSExchangeUM |
本機系統 |
啟用 Microsoft Exchange 整合通訊功能。 這可讓語音及傳真郵件儲存在 Exchange 中,並給與使用者透過電話存取電子郵件、語音信箱、行事曆、連絡人或自動語音應答的權限。 如果停止此服務,整合通訊就無法使用。 此服務依存於 Microsoft ExchangeActive Directory 拓撲及 Microsoft Exchange 語音引擎服務。 |
自動 |
整合通訊 |
R |
Microsoft Search (Exchange Server) |
msftesql-Exchange |
本機系統 |
這是 Microsoft Search 的 Microsoft Exchange 自訂版本。 此服務依存於 RPC 服務。 |
手動 |
集線傳輸、信箱 |
O |
憑證
Exchange 2010 安裝程式會建立自我簽署憑證,確保透過不同通訊協定 (如 HTTP、SMTP、POP3 和 IMAP4) 進行通訊的安全性。 安裝程式建立的自我簽署憑證具有五年的有效期。 這可確保自我簽署憑證不需在進行 Exchange 2010 部署的重要部分時更新,而郵件服務也不會由於自我簽署憑證過期而受到影響。
對於外部用戶端存取機制和通訊協定 (如 Outlook Web App、POP3、IMAP4、Outlook Anywhere 和自動探索),建議您執行下列動作:
使用存取這些服務的用戶端所信任之商業憑證授權單位 (CA) 簽署的憑證。
使用 [新增 Exchange 憑證] 精靈或 New-ExchangeCertificate 指令程式建立商業 CA 的憑證簽署要求。 使用這些工具產生的憑證要求可確保符合所有 Exchange 憑證需求。
考慮您想允許外部用戶端存取的每個通訊協定或服務的憑證需求。
在 Client Access Server 上,憑證透過使用安全通訊端層來保護 HTTP 流量 (Outlook Anywhere、Outlook Web App、自動探索、Exchange ActiveSync 和 Exchange Web 服務),以及使用 SSL 或傳輸層安全性 (TLS) 來保護 POP3 和 IMAP4 流量。 如需詳細資料,請參閱管理 Client Access Server 的 SSL。
在傳輸伺服器上,憑證透過使用 TLS 來保護 SMTP 流量。 如需詳細資料,請參閱瞭解 TLS 憑證。
在 Unified Messaging Server 上,憑證是用來保護 VoIP 流量。 如需詳細資料,請參閱了解整合通訊 VoIP 安全性。
對於同盟,憑證用來對與 Microsoft 同盟閘道 (MFG) 和同盟協力組織交換的 SAML Token 進行加密。 如需詳細資料,請參閱瞭解同盟。
監視憑證有效日期並及時從 CA 更新憑證,以避免服務中斷。
儲存匯出的憑證與關聯的私密金鑰時,請對儲存的資料夾/檔案使用適當的存取控制,以保護匯出的檔案。 根據組織的安全性需求,考慮對儲存憑證檔與私密金鑰的資料夾檔案存取啟用稽核。
NTLM 考量
NTLM 通訊協定的安全性明顯低於 Kerberos 通訊協定。 在 Exchange 2010 中,當 SecureLogin 指定為 LoginType 時,POP3 和 IMAP4 通訊協定不支援 NTLM 驗證。 如需詳細資訊,請參閱設定 POP3 與 IMAP4 的驗證。使用 Windows 整合式驗證的 Exchange 2010 服務可以使用 NTLM 或 Kerberos 通訊協定。 Kerberos 用於 Client Access Server 與 Exchange 2010 信箱伺服器的通訊,以及 Client Access Server 之間的通訊,從而執行 Outlook Web App、Exchange ActiveSync 和 Exchange Web 服務。 如需使用 NTLM 進行驗證之服務的詳細資訊,請參閱 Exchange 網路通訊埠參考。
雙因素驗證
雙因素驗證機制除了使用者的登入認證 (使用者名稱和密碼) 之外還使用另一種驗證器,例如隨機產生的 Token 或智慧卡連同 PIN 的數位憑證。 許多組織會部署雙因素驗證,以允許安全的存取組織網路。
Exchange 2010 未包含雙因素驗證的原生支援。Exchange 2010使用 Internet Information Sever (IIS) 7 進行透過 HTTP 的用戶端存取 (自動探索、Outlook Web App、Outlook Anywhere、Exchange ActiveSync 和 Exchange Web 服務)。 合作夥伴和協力廠商提供了許多整合 IIS 的雙因素驗證產品,這些產品可以搭配 Exchange 用戶端存取服務 (如 Outlook Web App) 使用。 為 Exchange 服務部署雙因素驗證產品之前,建議您對這些產品進行適當的測試,確保這些產品符合組織的安全性需求並提供所需的功能。
同盟
Exchange 2010 引進新的同盟功能,可讓同盟的 Exchange 組織之間進行安全的協同作業。Exchange 2010 組織可以使用 Microsoft 同盟閘道建立同盟信任,然後再與其他同盟組織建立組織關係,以共用可用性資訊和行事曆。 這些組織也可以使用共用原則,讓使用者與外部同盟組織的使用者共用他們的可用性資訊、行事曆和連絡人。 如需同盟信任與同盟共用的詳細資訊,請參閱瞭解同盟和了解同盟委派。
使用 MFG 建立同盟信任後,除非建立組織關係,否則無法在兩個同盟組織之間進行共用。 不過,依預設,使用者和外部同盟組織的使用者之間的共用是使用指派給使用者的預設共用原則啟用。 該原則只允許對所有外部同盟組織的使用者共用行事曆共用空閒/忙碌資訊。 如果不想要允許使用者與所有外部同盟組織的使用者共用行事曆和空閒/忙碌資訊,您必須停用預設共用原則,或將原則中指定的網域名稱變更為只包含想要允許與其共用資訊的網域。 您必須在使用 MFG 建立同盟信任之前進行此項變更。 如需詳細資訊,請參閱 停用共用原則 及 設定共用原則內容。
若要停用組織的所有同盟功能 (包括同盟委派),可使用 MFG 移除組織的同盟信任。 如需詳細資訊,請參閱移除同盟信任。
Secure/Multipurpose Internet Mail Extensions (S/MIME)
安全多用途網際網路郵件延伸 (S/MIME) 是一種公開金鑰加密和簽署 MIME 資料的標準,提供訊息資料的驗證、訊息完整性、不可否認性,以及資料私密性。 使用者可以使用 S/MIME 對郵件進行簽署或加密 (或兩者)。 如需 S/MIME 的相關資訊,請參閱瞭解 S/MIME。
S/MIME 是一種用戶端技術,不需與電子郵件伺服器進行任何交互操作。 從郵件傳輸的觀點來看,使用 S/MIME 簽署或加密的郵件,其傳輸方式與純文字 (未加密) 郵件的傳輸方式沒有兩樣。 郵件的實際呈現是在用戶端對憑證和郵件進行驗證檢查後完成。 Outlook Web App 使用 ActiveX 控制項來提供 S/MIME 支援。 儘管 Outlook Web App 支援最常見的瀏覽器 (如 Microsoft Internet Explorer、Mozilla FireFox 和 Safari),但 ActiveX 控制項是一項 Internet Explorer 功能。使用其他瀏覽器的 Outlook Web App 使用者無法存取 S/MIME 功能,可能必須使用其他支援 S/MIME 的電子郵件用戶端。 如需 Outlook Web App 中 S/MIME 支援的詳細資訊,請參閱 Outlook Web App 與 S/MIME。
如需 Outlook 中 S/MIME 支援的詳細資訊,請參閱 Outlook 的憑證及密碼編譯電子郵件訊息傳送概觀。
雖然 S/MIME 為組織提供了一些安全性優點,當您在評估技術時,應考慮下列各項:
使用 S/MIME 加密的郵件對組織而言是不透明的。 郵件安全性軟體 (如防毒和反垃圾郵件軟體) 無法檢查郵件內容,包括郵件內文和任何附件。
由於郵件內容和附件已加密,組織的郵件原則 (包括傳輸規則) 皆無法套用至使用 S/MIME 加密的郵件。
修改使用 S/MIME 簽署的郵件,使其符合組織的郵件原則 (例如,對無效的郵件套用免責聲明或個人化簽章)。
加密的郵件內容無法進行任何內容違規的檢查,使您的組織無法保護機密性資訊。 這包括從組織傳出的任何個人識別資訊 (PII)。
使用 S/MIME 加密的郵件無法利用 Exchange 搜尋進行索引,因此無法經由探索來搜尋。
為符合起因於訴訟的探索需求,您的組織可能需要產生所有加密郵件的未加密郵件副本。
Exchange 2010 提供資訊版權管理 (IRM) 功能,可讓您的組織對機密的郵件內容套用持續性的保護,將其限制為只有指定的收件者可以存取 IRM 保護的郵件。 您的組織也可以實作在郵件傳遞給收件者後如何使用此類內容的控制項。 例如,您可以讓郵件無法在組織內部或外部列印、回覆或轉寄。 此外,您的組織還可以對 IRM 保護的內容解密,以便由防毒或反垃圾郵件軟體及其他傳輸代理程式進行掃描、套用使用傳輸規則的郵件原則,以及啟用 IRM 保護郵件的封存和探索。 您也可以在 Outlook Web App 支援的所有網頁瀏覽器和 Windows Mobile 裝置中使用 IRM 功能。 如需 IRM 的詳細資訊,請參閱瞭解資訊版權管理。
伺服器角色考量
本節列出 Exchange 2010 伺服器角色的安全性相關考量。
信箱伺服器考量
Exchange 2010 中已對 Exchange 儲存區和 MAPI 用戶端 (如 Outlook) 的連線能力進行架構性的變更。 MAPI 用戶端連線至 Client Access Server 時,隔離信箱伺服器的用戶端流量。 信箱伺服器只會與使用 RPCSec 的 Client Access Server 通訊,以及與組織內的 Active Directory 網域服務 (AD DS) 伺服器通訊。 信箱伺服器不需要具有網際網路連線能力。
儲存裝置
儲存裝置是信箱伺服器的重要元件。 您必須規劃信箱伺服器儲存子系統來確保效能令人滿意,以及具有足夠的儲存空間供部署使用。 如需規劃信箱伺服器儲存裝置的詳細資訊,請參閱信箱伺服器儲存設計。
部署信箱伺服器後,應該監視下列各項:
儲存子系統的可用性。
包含信箱資料庫和交易記錄之磁碟區具有足夠可用磁碟空間的可用性。 信箱或公用資料夾資料庫會在儲存資料庫或交易記錄的磁碟區的可用磁碟空間不足時卸載。
您可以使用 Microsoft 同盟閘道的 Systems Center Operations Manager 監視儲存裝置的可用性和磁碟可用空間。如需詳細資訊,請參閱 Systems Center Operations Manager 2007 (英文)。
規劃和監視儲存裝置時,若打算使用下列功能,則必須考量其儲存需求:
日誌 當您使用日誌保存長期封存的郵件時,根據您使用的是標準 (每個信箱資料庫) 還是高階日誌 (日誌規則),在信箱資料庫中傳送或接收自所有收件者的郵件,或日誌規則中指定的收件者會透過日誌報告傳送給日誌信箱或指定的收件者。 結果可能會導致大量日誌報告傳送給日誌信箱。 規劃信箱伺服器的儲存裝置時,必須考量日誌信箱的大小。 您可以為日誌信箱設定足夠的信箱配額,以控制日誌信箱的大小。 如需日誌和信箱配額的詳細資訊,請參閱下列主題:
訴訟暫止 當信箱為訴訟暫止的狀態時,使用者使用 Outlook 和 Outlook Web App 中的 [復原刪除的郵件] 功能刪除的項目,以及自動處理程序 (如 MRM) 刪除的郵件會保留到訴訟暫止移除為止。 在 Exchange 2010 中,可復原的項目警告配額和可復原的項目配額會設定為 20 GB 和 30 GB。 如需詳細資料,請參閱下列主題:
高可用性
信箱伺服器的高可用性對於確保郵件服務可用性非常重要。 Exchange 2010 內含資料庫可用性群組 (DAG),可提供信箱伺服器的高可用性。 DAG 可在您的 Exchange 部署發生儲存子系統、伺服器、網路連線能力失敗或整個資料中心中斷的情形時提供可用性。 如需規劃和實作高可用性 Exchange 2010 部署的詳細資訊,請參閱高可用性及站台恢復。
依預設,在 Exchange 2010 中,不同 Active Directory 站台中 DAG 成員之間的複寫 (記錄傳送) 流量是經過加密的。 若要對相同 Active Directory 站台中伺服器之間的複寫流量進行加密,您可以將 DAG 的 NetworkEncryption 內容設定為 [已啟用]。 使用 Set-DatabaseAvailabilityGroup 指令程式為 DAG 修改此內容。
在單一 TCP 連接埠上進行複寫時,預設會使用 TCP 連接埠 64327。您可以修改複寫使用的連接埠。 如需詳細資料,請參閱設定資料庫可用性群組內容。
高可用性的參數
| 參數 | 描述 |
|---|---|
NetworkEncryption |
NetworkEncryption 參數會指定是否要啟用網路加密。 有效值包括:
預設 |
ReplicationPort |
ReplicationPort 參數會指定用於複寫活動 (記錄傳送和植入) 的傳輸控制通訊協定 (TCP) 通訊埠。 預設 如果未指定這個參數,預設的複寫通訊埠會是 TCP 64327。 |
信箱權限和存取
依預設,Exchange 2010 不允許系統管理員存取信箱。 如果組織使用需要存取信箱的應用程式或服務,您必須為此類應用程式或服務使用的帳戶指派適當的信箱權限。 建議您不要將此類應用程式或服務設定為使用系統管理員認證。
儘管所有信箱都有可能內含對組織有價值的機密性資訊,從安全性的角度來看,應特別注意下列信箱,必須控制及監視存取這些信箱的權限,以符合組織的安全性需求。
探索信箱 探索信箱是由 Exchange 2010 多信箱搜尋功能使用。 此信箱可讓身為探索管理角色群組成員的探索管理員搜尋 Exchange 2010 組織中所有信箱的郵件。 探索搜尋傳回的郵件會複製到指定的探索信箱。 Exchange 2010 安裝程式會建立預設的探索搜尋信箱。 如需詳細資訊,請參閱瞭解多信箱搜尋。
日誌信箱 當您設定信箱資料庫的日誌或建立指定收件者收發日誌訊息的日誌規則時,會將日誌報告會傳送至指定的日誌信箱。 如需詳細資料,請參閱下列主題:
除了保護這些信箱之外,請注意,系統管理員可以使用傳輸規則檢查郵件內容,也可以傳送郵件的副本給其他收件者,即使是密件副本收件者。 管理傳輸規則所需的權限列於郵件原則及符合性權限主題的傳輸規則項目中。 建議您使用適當的控制,監視和控制傳輸規則的建立和修改,同時還需要定期稽核所有規則的傳輸規則動作。
Client Access Server 考量
在 Exchange 2010 中,下列用戶端會連線至 Client Access Server 以存取信箱。
使用 MAPI 的 Outlook 用戶端
使用 Outlook Anywhere 的 Outlook 用戶端
使用 Outlook Web App 的網頁瀏覽器,
使用 Exchange ActiveSync 的行動裝置
POP3 及 IMAP4 用戶端
使用 Exchange Web 服務 (EWS) 的應用程式
依預設,將使用加密的資料路徑來確保這些用戶端存取方式的安全。 此外,依預設,使用 MAPI 連接至 Client Access Server 的 Outlook 用戶端會使用 RPC 加密。 Outlook Web App、Outlook Anywhere 和 Exchange ActiveSync 存取是使用安全通訊端層 (SSL) 提供安全性。
對於外部用戶端存取,您必須取得和安裝由用戶端信任之憑證授權單位 (CA) 所簽署的憑證。 如需詳細資訊,請參閱管理 Client Access Server 的 SSL。
依預設,Exchange 2010 Client Access Server 上會停用 POP3 和 IMAP4 服務。 如果啟用它們,建議您使用傳輸層安全性 (TLS) 或安全通訊端層 (SSL),透過這些通訊協定的使用提供安全通訊。 如需詳細資料,請參閱下列主題:
建議您在發行外部存取的用戶端存取伺服器時,使用適當的防火牆和存取控制。 MicrosoftForefront Threat Management Gateway (TMG) 2010 內含發行精靈,可輕鬆且安全地發行外部存取的 Exchange 2010 Client Access Server。 如需詳細資訊,請參閱 Forefront Threat Management Gateway (TMG) 2010。
| 重要事項: |
|---|
| 不支援在周邊網路上尋找 Client Access Server。 |
在 Client Access Server 上,Internet Information Server (IIS) 用來提供存取服務的 HTTP 通訊協定,例如 Outlook Web App、Exchange ActiveSync、Outlook Anywhere、自動探索、Exchange 控制台 (ECP)、Exchange Web 服務和離線通訊錄 (OAB)。 遠端 PowerShell 和所有 RPS 要求也會使用 IIS,包括 Exchange 管理主控台 (EMC) 都會記錄在 IIS 記錄中。 IIS 記錄可能會增加,以致於消耗大量磁碟空間。 IIS (Windows Server 的元件) 未包含根據記錄檔所在目錄大小清除舊記錄的機制。 最佳作法是將 IIS 記錄移至非系統磁碟區,使記錄檔的增長不會因為耗盡系統磁碟區的磁碟空間而使服務中斷。 您應監視記錄檔的增長,並實作可視需求手動封存或刪除記錄檔的機制。如需詳細資訊,請參閱在 IIS 7 中設定記錄。
傳輸伺服器考量
Exchange 2010 提供兩種針對不同用途所設計的傳輸伺服器角色。
邊際傳輸 Edge Transport server role 是一種未加入網域的傳輸伺服器,通常位於周邊網路中,用於在 Exchange 組織和外部 SMTP 主機之間傳輸郵件。 雖然是針對周邊網路所設計,您也可以將邊際傳輸伺服器放置在內部網路上,並將伺服器當做成員伺服器加入 Active Directory 網域。
集線傳輸 Hub Transport server role 可在組織內部傳輸郵件,包括 Exchange 伺服器之間的郵件、來自 SMTP 用戶端 (如使用 POP3 和 IMAP4) 以及應用程式伺服器和裝置的郵件。
依預設,Exchange 2010 中會使用 TLS 來為 SMTP 通訊提供安全性。
集線傳輸伺服器之間的 SMTP 通訊Exchange 組織中的集線傳輸伺服器會使用 TLS 保護組織內部 SMTP 通訊的安全。 建議您在集線傳輸伺服器中保持 TLS 的啟用。 在 Exchange 2010 中,使用非 Exchange 裝置或設備執行 TLS 加密的組織可以將 TLS 從集線傳輸伺服器卸載到此類設備 。 如需詳細資訊,請參閱停用 Active Directory 站台之間的 TLS 以支援 WAN 最佳化。
集線傳輸伺服器和邊際傳輸伺服器之間的 SMTP 通訊 集線傳輸伺服器和邊際傳輸伺服器之間的所有流量都會進行驗證和加密。 驗證和加密的基礎機制為相互 TLS。 Exchange 2010 不使用 X.509 驗證來驗證憑證,改為使用直接信任來驗證憑證。 直接信任表示 Active Directory 或 Active Directory 輕量型目錄服務 (AD LDS) 中所顯示的憑證會驗證該憑證。Active Directory 可視為是一種受信任的儲存機制。 使用直接信任時,憑證是自我簽署或由憑證授權單位 (CA) 簽署都無所謂。當您讓 Active Directory 站台訂閱邊際傳輸伺服器時,Edge 訂閱會在 Active Directory 中發行邊際傳輸伺服器的憑證 。 集線傳輸伺服器會將發行的憑證視為有效。 Microsoft EdgeSync 服務會更新具有集線傳輸伺服器憑證之邊際傳輸伺服器上的 AD LDS,邊際傳輸伺服器會將這些憑證視為有效。
邊際傳輸伺服器和外部主機之間的 SMTP 通訊 在 Exchange 2010 中,邊際傳輸伺服器和匿名的外部主機之間的 SMTP 通訊預設會使用機會性 TLS 來提供安全性。 您不需要使用受信任 CA 發行的憑證,也不需要進行其他設定步驟。 接收連接器為輸入 SMTP 連線進行 TLS 交涉。 傳送連接器也會嘗試為所有輸出 SMTP 連線進行 TLS 交涉。 機會性 TLS 不會執行憑證驗證,允許使用自我簽署憑證。 如需詳細資料,請參閱Exchange 2010 中的 TLS 功能及相關術語。
| 附註: |
|---|
| 依預設,集線傳輸伺服器無法與外部 SMTP 主機通訊,因為集線傳輸伺服器不存在允許匿名主機進行通訊的接收連接器。 您可以將集線傳輸伺服器設定為可與匿名主機通訊。 如需詳細資料,請參閱設定網際網路郵件流程直接通過集線傳輸伺服器。 我們不建議此拓撲,因為它會將 Exchange 2010 伺服器及所有安裝在此伺服器上的角色暴露於網際網路中,提高安全性風險。 建議您改以實作周邊網路型的 SMTP 閘道,例如邊際傳輸伺服器。 |
集線或邊際傳輸伺服器和智慧主機之間的 SMTP 通訊 在 Exchange 2010 中,您可以將傳送連接器設定為將遠端網域的郵件 (包括網際網路郵件) 路由傳送至通常位於周邊網路內的 SMTP 閘道。 雖然可以建立一個不使用任何驗證的傳送連接器將郵件路由傳送至智慧主機,還是建議您為此類連接器使用適當的驗證。 如果您使用 [基本驗證],建議使用 [透過 TLS 的基本驗證]。 如果選取了外部保護選項,則假設該驗證是使用非 Exchange 機制 (如 IPsec) 來執行。 當您要設定內含智慧主機位址的連接器時,可以使用智慧主機的 IP 位址或其 fqdn。 比起使用 FQDN 的方便性,建議使用智慧主機的 IP 位址,因為如此可以保護 DNS 不受破壞。
使用網域安全性與夥伴進行 SMTP 通訊 在 Exchange 2010 中,您可以使用網域安全性來保護與協力網域的郵件通訊路徑。 網域安全性會使用相互 TLS 提供以工作階段為基礎的加密和驗證。 對於相互 TLS 驗證,來源和目的主機會執行 X.509 憑證驗證,以確認連線。 為與協力網域通訊的傳輸伺服器設定網域安全性時,需要使用由受信任協力廠商或內部憑證授權單位所簽署的憑證。 如果使用的是內部 CA,必須發行憑證撤銷清單 (CRL),而此清單可由協力主機存取。 如需詳細資料,請參閱下列主題:
Exchange 2010 使用預設的 SMTP 連接埠 (TCP 連接埠 25) 進行 SMTP 通訊。 Exchange 安裝程式會在具有進階安全性的 Windows 防火牆中建立所需的防火牆規則,以允許經由預設連接埠通訊。 如果為連接器指定了不同的連接埠,Exchange 不會修改防火牆規則或自動建立新的規則,以允許透過非預設連接埠通訊。 您必須手動修改防火牆組態,以允許透過非預設連接埠通訊。 當您為非預設連接埠設定接收連接器時,SMTP 用戶端提交郵件的目標連接器必須也設定為使用非預設連接埠。
在 Exchange 2010 中,您可以將 Hub Transport server role 放置在 Exchange 2010 信箱伺服器上 。 這包括具有資料庫可用性群組 (DAG) 成員身分的信箱伺服器。 建議您不要將 Hub Transport server role 放置在信箱伺服器上,特別是在未部署邊際傳輸伺服器的拓撲中,以便將信箱伺服器與網際網路隔離。 您可以將 Hub Transport server role 放置在 Client Access Server 上。 在相同伺服器上放置伺服器角色時,必須遵循每個伺服器角色的大小調整指南。
為集線傳輸或邊際傳輸伺服器的傳送連接器指定智慧主機時,建議您使用智慧主機的 IP 位址,而非完整網域名稱 (FQDN),以保護 DNS 破壞和詐騙的情形。 這麼做也可以使傳輸基礎結構受到任何 DNS 中斷影響的情形降至最低。 周邊網路使用的 DNS 伺服器必須僅用於輸出解析。 周邊 DNS 伺服器可能包含集線傳輸伺服器的記錄。 您也可以使用邊際傳輸伺服器上的主機檔案,避免在位於周邊網路內的 DNS 伺服器上建立集線傳輸伺服器 的記錄。
除了本節討論的步驟之外,您應該考慮在連接器上使用足夠的郵件大小限制,以及在傳輸伺服器上使用郵件節流設定。 如需詳細資料,請參閱下列主題:
整合通訊考量
規劃部署 Unified Messaging (UM) server role 時,必須考慮到 UM 會使用不同的通訊通道與 IP 閘道或 IP PBX 通訊。
依預設,當您建立 UM 撥號對應表時,對應表會以不安全的模式通訊。 而與 UM 撥號對應表關聯的 Unified Messaging Server 從 IP 閘道、IP PBX 和其他 Exchange 2010 電腦傳送和接收資料時,不會使用加密。 使用不安全的模式時,即時傳輸通訊協定 (RTP) 媒體通道和 SIP 訊號資訊都不會加密。
您可以設定 Unified Messaging Server 使用相互 TLS,將傳送至和接收自其他裝置與伺服器的 SIP 和 RTP 流量加密。 當您將 Unified Messaging Server 新增至 UM 撥號對應表並設定撥號對應表使用 SIP 安全的模式時,只有 SIP 訊號流量會加密,RTP 媒體通道還是會使用 TCP。 TCP 不會加密。 不過,若是新增 Unified Messaging Server 至 UM 撥號對應表,並將撥號對應表設定為使用「安全」模式,則會對 SIP 訊號流量和 RTP 媒體通道進行加密。 使用安全即時傳輸通訊協定 (SRTP) 的安全信號媒體,也會使用相互 TLS 將 VoIP 資料加密。
如果使用的 IP 閘道或 IP PBX 支援 IPsec,您也可以使用 IPsec 為 UM 伺服器和 IP 閘道或 IP PBX 之間的通訊提供安全性。
如需詳細資訊,請參閱了解整合通訊 VoIP 安全性。
UM 也會提交如未接來電通知語音郵件訊息等訊息至集線傳輸伺服器。 依預設,此通訊會在使用 TLS 加密的 SMTP 上發生。
您可以設定不需 PIN 碼存取的 UM 信箱原則。 這麼做可讓來電者不需輸入 PIN 碼,根據來電的 CallerID 就可以存取語音信箱。 CallerID 的詐騙並不重要。 建議您不要對語音信箱啟用不需 PIN 碼的存取。 同時建議您檢閱預設 PIN 碼設定並依組織的安全性需求設定它們。 您可以使用 Set-UMMailboxPolicy 指令程式為 UM 信箱原則設定下列設定。
控制使用者存取語音信箱 PIN 碼的參數
| 參數 | 描述 |
|---|---|
AllowCommonPatterns |
AllowCommonPatterns 參數指定是否允許明顯的 PIN 碼。 明顯 PIN 的例子包括電話號碼的一部分、連續數字或重複數字。 如果設為 $false,會拒絕連續和重複數字,以及信箱分機號碼的尾碼。 如果設為 $true,則只會拒絕信箱分機號碼的尾碼。 |
AllowPinlessVoiceMailAccess |
AllowPinlessVoiceMailAccess 參數指定與 UM 信箱原則關聯的使用者是否必須使用 PIN 來存取其語音信箱。 存取其電子郵件及行事曆仍然需要 PIN。 預設 停用 ( |
LogonFailusresBeforePINReset |
LogonFailuresBeforePINReset 參數指定自動重設信箱 PIN 碼前的連續失敗登入嘗試次數。 若要停用此功能,請將此參數設為 [無限制]。 如果這個參數不是設定為 [無限制],則必須將其設定為小於 MaxLogonAttempts 參數的值。 範圍為 0 到 999。 預設 失敗 5 次。 |
MaxLogonAttempts |
MaxLogonAttempts 參數指定 UM 信箱遭到鎖定前,使用者可以嘗試登入失敗的連續次數。 範圍為 1 到 999。 預設 嘗試 15 次。 |
MinPINLength |
MinPINLength 參數指定啟用 UM 功能之使用者的 PIN 碼所需的最小位數。 範圍為 4 到 24。 預設 6 位數 |
PINHistoryCount |
PINHistoryCount 參數指定將會記住且在重設 PIN 碼時不允許的先前 PIN 碼數目。 此數目包括 PIN 碼的第一次設定。 範圍為 1 到 20。 預設 5 碼 PIN 碼 |
PINLifetime |
PINLifetime 參數指定要求新密碼前的天數。 範圍為 1 到 999。如果指定 [無限制],則使用者的 PIN 碼不會過期。 預設 60 天 |
在 Exchange 2010 中,可將語音郵件訊息標示為受保護。 語音郵件訊息會受到資訊版權管理 (IRM) 的保護。 您可以在 UM 信箱原則中設定下列參數,設定語音信箱保護設定。 如需詳細資料,請參閱下列主題:
受保護的語音信箱參數
| 參數 | 描述 |
|---|---|
ProtectAuthenticatedVoicemail |
ProtectAuthenticatedVoiceMail 參數指定為與 UM 信箱原則關聯之啟用 UM 功能的使用者接聽 Outlook 語音存取呼叫的 Unified Messaging Server,是否會建立保護的語音信箱訊息。 如果值設為 [私人],則只會保護標示為私人的郵件。 如果值設為 [全部],則會保護所有語音信箱訊息。 預設 無 (不對語音郵件訊息套用保護) |
ProtectUnauthenticatedVoiceMail |
ProtectUnauthenticatedVoiceMail 參數指定為與 UM 信箱原則關聯之啟用 UM 功能的使用者接聽來電的 Unified Messaging Server,是否會建立保護的語音信箱訊息。 當訊息從 UM 自動語音應答傳送至與 UM 信箱原則關聯之啟用 UM 功能的使用者時,也同樣適用。 如果值設為 [私人],則只會保護標示為私人的郵件。 如果值設為 [全部],則會保護所有語音信箱訊息。 預設 無 (不對語音郵件訊息套用保護) |
RequireProtectedPlayOnPhone |
RequireProtectedPlayOnPhone 參數指定與 UM 信箱原則關聯的使用者是否只能使用在電話上播放保護的語音信箱訊息,或者使用者可以使用多媒體軟體播放保護的訊息。 預設 |
| 重要事項: |
|---|
| 若要讓 UM 伺服器繼續接聽來電,則務必讓它們具有 Active Directory 的存取權。 建議您監視 Active Directory 的可用性 |
附錄 1: 其他安全性相關的文件
本節包含其他安全性相關的 Exchange 文件連結。
反垃圾郵件及防毒功能
憑證
用戶端驗證和安全性
Outlook Web App
Outlook Anywhere
POP3 與 IMAP
權限
保護郵件流程
郵件原則及符合性
同盟
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。