Exchange 2007 安全性手冊

  • 發行項

 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間: 2007-09-17

以往,對於每一版 Microsoft Exchange Server,Exchange 小組會發行獨立的安全性強化手冊,在手冊中提供權限和安全性資訊。這種作法可以在 Exchange 安裝程式執行之後鎖定服務和目錄。不過,在安裝有伺服器角色的 Microsoft Exchange Server 2007 中,Microsoft Exchange 只會啟用所安裝的伺服器角色所需的服務。Microsoft Exchange 不再採取先安裝接著強化安全性的作法。已設計成「預設的安全性」。

因此,不同於在舊版 Exchange Server 中,IT 系統管理員必須執行許多程序,才能將執行 Exchange Server 的伺服器鎖定,Exchange 2007 並不需要鎖定或強化安全性。

本手冊討論範圍

本手冊適用於負責 Exchange 2007 部署安全性的 IT 系統管理員。目的是協助 IT 系統管理員了解和管理有安裝 Exchange 的整體安全性環境。本手冊包含下列資訊:

  • Exchange 2007 安全性開發生命週期   本節簡述 Exchange 2007 的開發過程。
  • 最佳作法   本節描述為 Exchange 2007 安裝和維護一個安全環境的最佳作法。
  • 保護 Exchange 資料路徑   本節描述 Exchange 2007 所使用的所有資料路徑和網路通訊路徑的加密和驗證規格。
  • 針對 Exchange 伺服器角色使用資訊安全設定精靈保護 Windows   本節指示如何使用 Windows 資訊安全設定精靈 (SCW) 來設定 Exchange 2007。
  • 附錄 1:透過 Exchange 2007 SCW 登錄檔啟用的服務及通訊埠執行檔   本附錄列出 Exchange 2007 SCW 登錄檔所啟用的服務和通訊埠執行檔。
  • 附錄 2:其他安全性相關的 Exchange 文件   本附錄提供其他安全性相關的 Exchange 文件的指標。

Exchange 2007 安全性開發生命週期

早在 2002 年,Microsoft 就已提出高可信度電腦運算計畫。自提出高可信度電腦運算之後,Microsoft 與 Exchange Server 團隊的開發流程即以開發預設為安全的軟體為重點。如需相關資訊,請參閱高可信度電腦運算 (英文)。

在 Exchange 2007 中,高可信度電腦運算已運用在下列四個核心領域:

  • 安全的設計   Exchange 2007 的設計與開發遵循高可信度電腦運算安全性開發生命週期。建立更安全郵件系統的第一步是設計威脅模型,並在設計每一項功能時同步測試。程式碼撰寫和慣例已內建許多安全性相關的改進。在程式碼移轉至最終產品之前,建置階段工具會偵測緩衝區溢位和其他潛在的安全性威脅。當然,設計時不可能預防到所有未知的安全性威脅。沒有任何系統可以保證絕對的安全性。不過,由於整個設計過程採取安全的設計原則,Exchange 2007 比舊版更安全。

  • 預設的安全性   Exchange 2007 的一項目標是開發一套預設即加密大部分網路通訊的系統。除伺服器訊息區 (SMB) 叢集通訊和某些整合通訊 (UM) 通訊之外,此目標已達成。也因為採用自行簽署憑證、Kerberos 通訊協定、安全通訊端層 (SSL) 及其他業界標準加密技術,網路上的所有 Exchange 2007 資料幾乎都受到保護。此外,以角色為基礎的安裝可以在安裝 Exchange 2007 時,只針對特定和適當的伺服器角色來安裝服務和這些服務相關的權限。在舊版 Exchange Server 中,必須安裝所有功能的所有服務。

    note附註:
    若要加密 SMB 和 UM 通訊,必須部署網際網路通訊協定安全性 (IPsec)。在本手冊的未來版本中,可能加入如何加密 SMB 和 UM 通訊的相關資訊。

  • 反垃圾郵件和防毒功能   Exchange 2007 包含一套在周邊網路上執行的反垃圾郵件代理程式。Microsoft 解決方案中已納入 Microsoft Forefront Security for Exchange Server,進一步改進防毒功能。

  • 安全的部署   在 Exchange 2007 開發時,發行前版本已部署在 Microsoft IT 生產環境中。根據該部署產生的資料,已更新 Microsoft Exchange Best Practice Analyzer 來掃描實際的資訊安全組態,部署前和部署後的最佳作法也已收錄在 Exchange 2007 說明中。
    以往,必須等到核心產品文件完成之後,才會開始編製和交付權限管理的說明。不過,我們知道權限管理並不是額外附加的程序。應該內建在 Exchange 2007 部署的整個規劃與部署階段。因此,我們已改良權限文件的編排並整合到核心文件中,讓系統管理員在規劃和部署系統管理模型時,有前後連貫的文章脈絡可以參考。

  • 通訊   現在,Exchange 2007 已問市,Exchange 團隊開始致力於隨時更新軟體,並提供最新的資訊給您。只要利用 Microsoft Update 來隨時更新您的系統,就可以確保組織中已安裝最新的安全性更新。Exchange 2007 也包含反垃圾郵件更新。此外,您可以訂閱 Microsoft 技術安全性通知 (英文),取得最新的 Exchange 2007 安全性議題。

本手冊討論範圍

最佳作法

我們來看一些基本的最佳作法,幫助您建立和維護更安全的環境。通常,只要隨時更新軟體和病毒碼檔案,並且定期執行分析工具,就能有效地讓 Exchange 2007 環境達到最佳的安全性。

本節說明在 Exchange 2007 環境中達到安全並保持安全的一些最佳作法。

達到安全

Microsoft 提供下列工具來協助建立安全性環境。在安裝 Exchange 2007 之前,請執行下列工具:

  • Microsoft Update
  • Exchange Best Practices Analyzer
  • Microsoft Baseline Security Analyzer
  • 網際網路資訊服務 (IIS) 鎖定工具與 URLScan,僅適用於從 Windows 2000 Server 升級之後執行 Windows Server 2003 的環境。
  • Exchange 的資訊安全設定精靈 (SCW) 範本

Microsoft Update

Microsoft Update 是一項新的服務,提供與 Windows Update 相同的下載,加上其他 Microsoft 程式最新的更新。可讓您的電腦更安全並達到最佳的效率。

Microsoft Update 的一項重要功能是 Windows 自動更新。此功能可自動安裝對電腦安全性和可靠性很重要的高優先性更新。如果缺少這些安全性更新,您的電腦很容易遭受網路詐欺和惡意軟體 (或惡意程式碼) 的攻擊。

接收 Microsoft Update 最可靠的方法是利用 Windows 自動更新,自動讓更新傳送到您的電腦上。您可以註冊 Microsoft Update 來啟用自動更新。

接著,Windows 會分析電腦上已安裝的 Microsoft 軟體,決定目前和過去需要的任何高優先性更新,然後自動下載並安裝這些更新。此後,每當連上網際網路時,Windows 就會自動重複執行此更新程序,尋找任何新的高優先性更新。

note附註:
如果您已在使用自動更新,Microsoft Update 會繼續依您已設定的方式執行。

若要啟用 Microsoft Update,請參閱 Microsoft Update (英文)。

Microsoft Update 的預設模式會要求每一台 Exchange 電腦必須連上網際網路,才能接收自動更新。如果您執行的伺服器未連上網際網路,您可以安裝 Windows Server Update Services (WSUS),設法將更新散發給組織中的電腦。接著,您可以在內部 Exchange Server 電腦上設定 Microsoft Update,連接至內部 WSUS 伺服器來取得更新。如需相關資訊,請參閱 Microsoft Windows Server Update Services 3.0 (英文)。

WSUS 並非唯一可用的 Microsoft Update 管理解決方案。如需最符合需求的 Microsoft Update 管理解決方案的相關資訊,請參閱 MBSA、MU、WSUS、Essentials 2007 或 SMS 2003? (英文)。

反垃圾郵件更新

Exchange 2007 也使用 Microsoft Update 基礎結構讓反垃圾郵件篩選器保持最新。依預設,採取手動更新的系統管理員必須造訪 Microsoft Update 來下載並安裝內容篩選器更新。內容篩選器更新資料每兩週更新並提供下載。

Microsoft Update 的手動更新不包含 Microsoft IP 信譽服務或垃圾郵件簽章資料。只有透過 Forefront Security for Exchange Server 反垃圾郵件自動更新,才能取得 Microsoft IP 信譽服務和垃圾郵件簽章資料。

note附註:
Forefront 反垃圾郵件自動更新是一項高階功能,需要每個使用者信箱都有 Exchange 企業用戶端存取使用權 (CAL),或需要 Forefront Security for Exchange Server 授權。

如需如何啟用 Forefront 反垃圾郵件自動更新的相關資訊,請參閱反垃圾郵件更新

Microsoft Exchange Best Practices Analyzer

Exchange Best Practices Analyzer 是最有效的工具之一,可定期執行來確保 Exchange 環境的安全性。Exchange Best Practices Analyzer 會自動檢查 Microsoft Exchange 部署,判斷組態的設定是否符合 Microsoft 最佳作法。您可以在執行 Microsoft .NET Framework 1.1 的用戶端電腦上安裝 Exchange Best Practices Analyzer。Exchange Best Practices Analyzer 會透過適當的網路存取,檢查所有 Active Directory 目錄服務和 Exchange 伺服器。

如需相關資訊,包括最佳作法,請參閱本手冊稍後的<執行 Exchange Best Practices Analyzer>一節和 Microsoft Exchange Best Practices Analyzer v2.8 (英文)。

Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) 是專為 IT 專業人員設計的工具,可協助小中企業決定其安全性狀態是否符合 Microsoft 安全性建議。請利用 MBSA 來偵測電腦系統上常見的安全性錯誤設定和遺漏的安全性更新,以改進安全性管理程序。

您可以從 Microsoft Baseline Security Analyzer (英文) 下載 MBSA。

IIS 鎖定工具與 URLScan

依預設,IIS 6.0 版和 IIS 7.0 版 (分別隨著 Windows Server 和 Windows Server 2008 安裝) 的安全性相關組態設定,類似 IIS 鎖定工具所作的設定。因此,在執行 IIS 6.0 版或 IIS 7.0 版的 Web 伺服器上,就不需要執行 IIS 鎖定工具。不過,如果是從舊版 IIS 升級到 IIS 6.0 版或 IIS 7.0 版,建議您執行 IIS 鎖定工具來增強 Web 伺服器的安全性。

建議您不要對 IIS 6.0 版或 IIS 7.0 版執行 URLScan,因為錯誤設定的風險遠高於 URLScan 提供的優點。

如需相關資訊,請參閱 How To:使用 IISLockdown.exe (英文)。

Exchange 2007 的資訊安全設定精靈範本

資訊安全設定精靈 (SCW) 是 Windows Server 2003 Service Pack 1 所提供的工具。請使用 SCW 來停用 Exchange 2007 伺服器角色不需要的 Windows 功能,將伺服器受攻擊的層面降到最低。SCW 可自動化用以減少伺服器受攻擊面的安全性最佳作法。SCW 使用角色型象徵來請求伺服器上之應用程式所需的服務。此工具可降低 Windows 環境遭受安全性漏洞攻擊的容易性。

如需如何建立 Exchange 2007 的 SCW 範本的相關資訊,請參閱本手冊稍後的<針對 Exchange 伺服器角色使用資訊安全設定精靈保護 Windows>一節。

保持安全

本節提供讓 Exchange 2007 環境保持安全的最佳作法建議。

執行 Exchange Best Practices Analyzer

如上一節所述,Exchange Best Practices Analyzer 是最有效的工具之一,可定期執行來確保 Exchange 環境的安全性。

對於大多數環境,建議每季至少執行一次 Exchange Best Practices Analyzer。不過,最好是在執行 Exchange Server 的所有伺服器上每個月執行一次。

此外,在下列情況下也應該執行 Exchange Best Practices Analyzer:

  • 每當您對 Exchange 伺服器進行重大的組態變更時。例如,在新增或移除連接器或對 Edge Transport Server 建立 EdgeSync 連線之後,應該執行一次。
  • 在安裝新的 Exchange 伺服器角色或移除 Exchange 伺服器角色之後立即執行。
  • 在安裝 Windows Service Pack 或 Exchange Server Service Pack 之後。
  • 在執行 Microsoft Exchange 的電腦上安裝協力廠商軟體之後。

執行防毒軟體

透過電子郵件系統傳送的病毒、蠕蟲及其他惡意內容,是許多 Microsoft Exchange 系統管理員所面臨的破壞性力量。因此,您必須為所有郵件系統開發防禦性的防毒部署。本節提供為 Exchange 2007 和 Microsoft Office Outlook 2007 部署防毒軟體的最佳作法建議。

在選取防毒軟體廠商時,您應該特別注意 Exchange 2007 中兩項重要的變更:

  • Exchange 2007 是基於 64 位元的架構。
  • 如本主題稍後將詳細說明的,Exchange 2007 包括了新的傳輸代理程式功能。

這兩項變更意味著防毒廠商必須提供 Exchange 2007 專用的軟體。針對較早版本之 Exchange Server 撰寫的防毒軟體不大可能與 Exchange 2007 正確地搭配運作。

若要採取深度防禦方法,除了在使用者桌上型電腦上安裝防毒軟體之外,建議您在簡易郵件傳送通訊協定 (SMTP) 閘道或管理信箱的 Exchange 伺服器上,也要部署專為郵件系統而設計的防毒軟體。

您可以在願意忍受的成本與願意承受的風險之間找出適當的平衡點,決定要使用的防毒軟體類型和部署軟體的位置。例如,某些組織會在 SMTP 閘道上執行郵件防毒軟體、在 Exchange 伺服器上執行檔案層級的防毒掃描,以及在使用者桌上型電腦上執行用戶端防毒軟體。這種作法可以在閘道上提供郵件相關保護、在郵件伺服器上提供一般檔案層級保護,以及提供用戶端的保護。其他組織可能在 SMTP 閘道上執行郵件防毒軟體、在 Exchange 伺服器上執行檔案層級的防毒掃描、在使用者桌上型電腦上執行用戶端防毒軟體,再搭配於 Exchange Mailbox Server 上執行 Exchange 病毒掃描應用程式發展介面 (VSAPI) 2.5 相容的防毒軟體,藉由忍受較高的成本來改進安全性。

在 Edge Transport 與 Hub Transport Server 上執行防毒軟體

郵件防毒軟體的重要性是在組織中扮演第一道防線的角色。在 Exchange 2007 中,第一道防線在 Edge Transport Server 的周邊網路上。

為了儘可能預防病毒在組織內蔓延或作為第二道防線,建議您在組織內的 Hub Transport Server 上執行以傳輸為主的防毒軟體。

在 Exchange 2007 中,代理程式會針對傳輸事件而作用,這很類似舊版 Microsoft Exchange 中的事件接收器。協力廠商的開發人員可以撰寫自訂的代理程式,利用基礎的 Exchange MIME 剖析引擎,進行強大的傳輸層級防毒掃描。

許多協力廠軟體商都會提供 Exchange 2007 專用的代理程式,這些代理程式會利用 Exchange 傳輸的 MIME 剖析引擎。如需相關資訊,請連絡您的防毒廠商。

此外,Microsoft Forefront Security for Exchange Server 也包含 Exchange 2007 的傳輸防毒代理程式。如需如何安裝和設定 Forefront Security for Exchange Server 防毒代理程式的相關資訊,請參閱使用 Microsoft Forefront Security for Exchange Server 保護您的 Microsoft Exchange 組織 (英文)。

note附註:
未經由傳輸來路由傳送的物件不受傳輸專用病毒掃描的保護,例如公用資料夾中的項目、寄件備份及行事曆項目,這些項目只在 Mailbox Server 上掃描。

在組織內其他電腦上執行防毒軟體

您可以在下列兩種電腦上執行檔案層級的病毒掃描:

  • 使用者桌上型電腦
  • 伺服器

除了檔案層級的病毒掃描之外,也建議在 Exchange Mailbox Server 上執行 Microsoft VSAPI 解決方案。

桌上型電腦病毒掃描

強烈建議您的使用者執行最新版的 Outlook。如果在桌上型電腦上執行舊版的電子郵件用戶端,由於舊版電子郵件用戶端的物件模型和附件處理行為,您將面臨很高的風險。因此,Microsoft Office Outlook 2003 和 Office Outlook 2007 依預設是 Exchange 2007 唯一接受連線的 MAPI 用戶端。如需執行舊版電子郵件用戶端的相關風險資訊,請參閱採取措施保護 Outlook (英文)。

升級到 Outlook 2003 或 Outlook 2007 之後,請確認您已經在所有桌上型電腦上安裝了檔案層級的防毒軟體產品。此外,請採取下列步驟:

  • 擬定計劃,確定在所有桌上型電腦上會自動更新病毒碼檔案。
  • 確定您擬定並維護組織中的端對端更新管理解決方案,以杜絕病毒。

伺服器病毒掃描

在組織中的所有桌上型電腦和伺服器電腦上,建議採用一般原則來執行檔案層級掃描。因此,所有 Exchange Server 電腦上都應該執行某種形式的檔案層級防毒掃描。對於每一個伺服器角色,您必須另外設定檔案層級掃描,避免掃描某些目錄、檔案類型及處理程序。例如,建議您切勿對 Exchange 儲存庫資料庫執行檔案層級的防毒掃描。如需特定的組態資訊,請參閱Exchange 2007 上的檔案層級防毒掃描

使用 VSAPI 掃描信箱資料庫

Microsoft 病毒掃描 API (VSAPI) 掃描解決方案可能是許多組織中一道重要的防線。如果符合下列任一條件,您就應該考慮執行 VSAPI 防毒解決方案:

  • 您的組織沒有部署完整而可靠的桌上型電腦防毒掃描產品。
  • 您的組織想要獲得儲存區掃描所能提供的額外保護。
  • 組織已開發自訂應用程式,以程式控制方式存取 Exchange 資料庫。
  • 您的使用者群習慣於將訊息張貼到公用資料夾。

直接在 Exchange 資訊儲存庫程序中執行使用 Exchange VSAPI 的防毒解決方案。對於將受感染內容放入 Exchange 資訊儲存庫中而迴避標準用戶端和傳輸掃描的攻擊媒介,VSAPI 解決方案可能是唯一能夠防範的解決方案。例如,對於 CDO (協同作業資料物件)、WebDAV 及 Exchange Web 服務提交至資料庫的資料,VSAPI 是唯一可掃描這種資料的解決方案。

此外,當病毒發作時,VSAPI 防毒解決方案通常可以最快移除和消滅受感染郵件儲存區的病毒。

如需如何執行 Forefront Security for Exchange Server (包含 VSAPI 掃描引擎) 的特定資訊,請參閱使用 Microsoft Forefront Security for Exchange Server 保護您的 Microsoft Exchange 組織 (英文)。

使用 Exchange Hosted Services

垃圾郵件及病毒篩選已透過 Microsoft Exchange Hosted Services 予以加強,也可作為上述服務的服務。Exchange Hosted Services 是一組四個不同的託管服務:

  • 託管篩選,可協助組織自保,避免遭到電子郵件帶來的惡意程式碼破壞
  • 託管封存,可協助組織滿足相容性的保留需求
  • 託管加密,可協助組織加密資料以保留機密性
  • 託管持續性,可協助組織在緊急情況期間及之後保留電子郵件的存取

這些服務整合服務提供者所提供的內部或 Exchange 電子郵件服務所管理之任何內部 Exchange 伺服器。如需 Exchange Hosted Services 的相關資訊,請參閱<Microsoft Exchange Hosted Services>(英文)。

其他防毒資訊

如需 MSIT 如何部署 Exchange 2007 伺服器防毒解決方案的詳細白皮書,請參閱 Microsoft Exchange Server 2007 Edge Transport 與郵件保護 (英文)。

Forefront Security for Exchange Server 為 Exchange Transport server role 提供多重掃描引擎的防毒解決方案,也為 Exchange Mailbox Server 提供 VSAPI 解決方案。如需端對端防毒解決方案的最佳作法,請參閱使用 Microsoft Forefront Security for Exchange Server 保護您的 Microsoft Exchange 組織 (英文)。

讓軟體保持在最新狀態

如稍早一節所述,執行 Microsoft Update 是一種最佳作法。除了在所有伺服器上執行 Microsoft Update 之外,另外也必須保持所有用戶端電腦達到最新狀態,並且在組織中所有電腦上維護防毒更新。

除了 Microsoft 軟體,也要確定對組織中執行的所有軟體執行最新的更新。

封鎖舊版的 Outlook 用戶端

舊版 Outlook 的漏洞可能會加速病毒的蔓延。以最佳作法而言,您應該只允許 Exchange 2007 接受來自 Outlook 2007、Outlook 2003 及 Outlook 2002 用戶端的 MAPI 連線。只要限制可連接 Exchange 的 Outlook 用戶端版本,即可明顯降低病毒風險和其他惡意程式碼攻擊。以最佳作法而言,建議您減少和律定組織中執行的軟體版本。

如需如何移除 Outlook 用戶端存取 Exchange 2007 的相關資訊,請參閱所有 Outlook 版本都允許存取伺服器 (英文)。

執行附件篩選

在 Exchange 2007 中,附件篩選可讓您在伺服器層級上套用篩選器,控制使用者可接收的附件。附件篩選在現今的環境中日漸重要,因為很多附件包含有害的病毒或不適當的內容,可能損毀重要文件或洩漏敏感資訊,因而對使用者的電腦或組織造成重大的危害。

note附註:
最佳的方法是,不要從已完成數位簽署、加密或保障權利的電子郵件中移除附件。如果您從這些郵件中移除附件,將導致數位簽署的郵件無效,並且使加密與保障權利的郵件變成無法閱讀。

Exchange 2007 中的附件篩選類型

您可以使用下列的附件篩選類型來控制進出您組織的附件:

  • 以檔案名稱或副檔名為基礎的篩選   您可以藉由指定想要篩選的實際檔案名稱或副檔名來篩選附件。實際檔案名稱篩選範例為 BadFilename.exe。副檔名篩選的範例為 *.exe。

  • 以檔案 MIME 內容類型為基礎的篩選   您也可以藉由指定想要篩選的 MIME 內容類型來篩選附件。MIME 內容類型可指出附件的類型,例如 JPEG 影像、可執行檔、Microsoft Office Excel 2003 檔案,或是其他檔案類型。內容類型是以 type/subtype 表示。例如,JPEG 影像內容類型是以 image/jpeg 表示。
    若要檢視附件篩選可以篩選之所有副檔名及內容類型的完整清單,請執行下列命令:

    Get-AttachmentFilterEntry | FL

    若要在已加入網域的電腦上執行 Get-AttachmentFilterEntry 指令程式,必須對您使用的帳戶委派 Exchange 僅檢視管理角色。
    若要在已安裝 Edge Transport server role 的電腦上執行 Get-AttachmentFilterEntry 指令程式,則必須使用屬於該電腦之本機 Administrators 群組成員的帳戶進行登入。
    如需管理 Exchange 2007 所需之權限、委派角色及權利的相關資訊,請參閱權限考量

如果附件符合以下其中一個篩選條件,您可以設定針對附件執行下列其中一個動作:

  • 封鎖整個郵件與附件   可將符合附件篩選的附件以及其整個電子郵件在進入郵件系統之前就被封鎖。如果附件與電子郵件被封鎖,寄件者就會收到傳遞狀態通知 (DSN) 訊息,顯示郵件包含無法接受的附件檔案名稱。
  • 移除附件但是允許郵件通過   可以移除符合附件篩選的附件,讓不符合篩選的電子郵件與其他附件通過。如果移除附件,就會以說明移除附件原因的文字檔取代該附件。此動作為預設值。
  • 自動刪除郵件與附件   可將符合附件篩選的附件以及其整個電子郵件在進入郵件系統之前就被封鎖。如果附件與電子郵件被封鎖,寄件者或收件者皆不會收到通知。
    Caution請注意:
    您無法擷取封鎖的電子郵件與附件,或是已移除的附件。當您設定附件篩選,請確保您已仔細檢查所有可能相符的檔案名稱,並且驗證合法的附件不會被篩選所影響。

如需相關資訊,請參閱如何設定附件篩選

使用 Forefront Security for Exchange Server 進行檔案篩選

Forefront Security for Exchange Server 提供的檔案篩選功能包含進階功能,但 Exchange Server 2007 Standard Edition 包含的預設附件篩選器代理程式中並未提供這些功能。

例如,可以掃描容器檔案 (含有其他檔案的檔案) 以找出違規檔案類型。Forefront Security for Exchange Server 篩選可以掃描下列容器檔案和處理內嵌檔案:

  • PKZip (.zip)
  • GNU Zip (.gzip)
  • 自我解壓縮 ZIP 封存
  • Zip 檔 (.zip)
  • Java 封存 (.jar)
  • TNEF (winmail.dat)
  • 結構化儲存 (.doc, .xls, .ppt 等)
  • MIME (.eml)
  • SMIME (.eml)
  • UUEncode (.uue)
  • Unix 磁帶封存 (.tar)
  • RAR 封存 (.rar)
  • MACBinary (.bin)
note附註:
即使已重新命名檔案類型,Exchange 2007 Standard Edition 所含的預設附件篩選器代理程式仍然會偵測到這些檔案類型。附件篩選也會比對副檔名與壓縮之 Zip 或 LZH 檔中的檔案,以確定壓縮的 Zip 及 LZH 檔未包含封鎖的附件。Forefront Security for Exchange Server 檔案篩選具有額外的功能,可以判斷容器檔案內封鎖的附件是否已重新命名。

您也可以根據檔案大小篩選檔案。此外,您也可以設定 Forefront Security for Exchange Server 隔離篩選的檔案,或根據檔案篩選相符來傳送電子郵件通知。

如需相關資訊,請參閱使用 Microsoft Forefront Security for Exchange Server 保護您的 Microsoft Exchange 組織 (英文)。

在組織中強制使用強式密碼

大部分使用者都是在鍵盤上輸入使用者名稱和密碼組合來登入本機電腦和遠端電腦。雖然所有熱門的作業系統都有替代的驗證技術,例如生物特徵、智慧卡及一次性密碼,但大多數組織仍然仰賴傳統的密碼,未來幾年內也是如此。因此,組織必須為電腦定義並強制實施密碼原則。其中包括強制使用強式密碼。強式密碼符合多種複雜性條件,目的是讓密碼更不容易被攻擊者破解。這些條件包括密碼長度和字元種類。只要為組織建立強式密碼原則,就能防止攻擊者冒用使用者,進而避免遺失、洩漏或破壞敏感資訊。

如需相關資訊,請參閱在整個組織中強制使用強式密碼 (英文)。

降低 Windows 使用者名稱和 SMTP 位址之間的關聯

當您建立使用者的信箱時,為該使用者產生的 SMTP 位址是 username@contoso.com,其中 username 是 Windows 使用者帳戶名稱。

最好再為使用者建立一個新的 SMTP 位址,以擾亂惡意使用者猜測 Windows 使用者名稱。

例如,以使用者 Kweku Ako-Adjei 為例,其 Windows 使用者名稱是 KwekuA。若要擾亂 Windows 使用者名稱,系統管理員可以建立 SMTP 位址 Kweku.Ako-Adjei@contoso.com

使用另一個 SMTP 位址還不算是非常健全的安全性措施。不過,的確可提高困難度,讓惡意使用者較不容易利用已知的使用者名稱來入侵您的組織。

如需如何為現有使用者新增 SMTP 位址的相關資訊,請參閱如何建立電子郵件地址原則

管理用戶端存取安全性

Client Access server role 可讓您存取 Microsoft Outlook Web Access、Microsoft Exchange ActiveSync、Outlook 無所不在、郵局通訊協定,第 3 版 (POP3) 及網際網路訊息存取通訊協定第 4 版,修訂版 1 (IMAP4)。此外,它還支援自動探索服務及可用性服務。上述通訊協定及服務皆各有獨特的安全性需求。

管理驗證

您可以為 Client Access server role 執行的最重要安全性相關工作之一,就是設定驗證方法。Client Access server role 會以預設自行簽署的數位憑證安裝。數位憑證會執行兩項工作:

  • 驗證持有者身分或其聲稱的身分。
  • 保護線上交換的資料免於失竊或遭竄改。

雖然 Exchange ActiveSync 及 Outlook Web Access 支援預設自行簽署的憑證,但此憑證卻不是最安全的驗證方法。此外,它並不受 Outlook 無所不在支援。如需更高的安全性,請考慮設定 Exchange 2007 Client Access Server 使用第三方商業憑證授權單位 (CA) 或信任的 Windows 公開金鑰基礎結構 (PKI) CA 所發行的信任憑證。您可以個別為 Exchange ActiveSync、Outlook Web Access、Outlook 無所不在、POP3 及 IMAP4 設定驗證。

如需如何設定驗證的相關資訊,請參閱下列主題:

增強 Client Access Server 與其他伺服器之間的通訊安全性

在您最佳化用戶端與 Exchange 2007 伺服器之間的通訊安全性後,還必須最佳化組織內 Exchange 2007 伺服器與其他伺服器之間的通訊安全性。依預設,Client Access Server 與其他伺服器 (如已安裝 Mailbox server role 的 Exchange 2007 伺服器、網域控制站及通用類別目錄伺服器) 之間的 HTTP、Exchange ActiveSync、POP3 及 IMAP4 通訊都會加密。

如需如何管理 Client Access Server 各種元件之安全性的相關資訊,請參閱下列主題:

本手冊討論範圍

了解網域安全性

Exchange 2007 包含一組新的功能,稱為「網域安全性」。網域安全性是指 Exchange 2007 和 Outlook 2007 中的一組功能,提供成本極低的替代方案,可取代 S/MIME 或其他郵件層級的安全性解決方案。網域安全性功能集的目的在於讓系統管理員有辦法管理安全郵件經由網際網路到達企業夥伴的路徑。在設定這些安全郵件路徑之後,使用者在 Outlook 和 Outlook Web Access 介面中,將會看到從已驗證的寄件者順利沿著安全路徑傳送的郵件顯示為 "Domain Secured"。

網域安全性會以交互驗證使用傳輸層安全性 (TLS),提供以工作階段為基礎的驗證及加密。含相互驗證的 TLS 不同於通常所實作的 TLS。實作 TLS 之後,用戶端通常會驗證伺服器的憑證,以確認連線已安全地連接預定的伺服器。這是所收到之 TLS 交涉中的一部分。在此情況下,用戶端在傳輸資料之前會先驗證伺服器。不過,伺服器不會驗證用戶端的工作階段。

利用相互 TLS 驗證,每部伺服器均可透過驗證其他伺服器所提供的憑證,來確認對此伺服器的連線。在此情況下,若郵件是在 Exchange 2007 環境中透過驗證的連線接收自外部網域,則 Outlook 2007 將會顯示 [安全的網域] 圖示。

如需如何在組織中規劃和部署網域安全性的相關資訊,請參閱白皮書:Exchange 2007 中的安全性 (英文)。

本手冊討論範圍

保護 Exchange 資料路徑

依預設,幾乎 Exchange 2007 使用的所有資料路徑都會受到保護。本節詳細說明 Exchange 2007 使用的所有資料路徑的通訊埠、驗證及加密。每個表格後面的「注意事項」段落闡述或定義非標準的驗證或加密方法。

傳輸伺服器

對於在 Hub Transport Server 與 Edge Transport Server 之間及往來其他 Exchange 2007 伺服器和服務之間的資料路徑,下表提供通訊埠、驗證及加密的相關資訊。

傳輸伺服器資料路徑

資料路徑 所需的通訊埠 預設的驗證 支援的驗證 支援加密? 預設加密?

Hub Transport Server 至 Hub Transport Server

25/TCP (安全通訊端層 [SSL])、587/TCP (SSL)

Kerberos

Kerberos

是 (TLS)

Hub Transport Server 至 Edge Transport Server

25/TCP (SSL)

直接信任

直接信任

是 (TLS)

Edge Transport Server 至 Hub Transport Server

25/TCP (SSL)

直接信任

直接信任

是 (TLS)

Edge Transport Server 至 Edge Transport Server

25/TCP (SSL)、389/TCP/UDP 及 80/TCP (憑證驗證)

匿名、憑證

匿名、憑證

是 (TLS)

Mailbox Server 至 Hub Transport Server (透過 Microsoft Exchange 郵件提交服務)

135/TCP (RPC)

NTLM。如果正在利用服務帳戶 (本機) 進行連線,則使用 Kerberos。

NTLM/Kerberos

是 (RPC 加密)

Hub Transport 至 Mailbox Server (透過 MAPI)

135/TCP (RPC)

NTLM。如果正在利用服務帳戶 (本機) 進行連線,則使用 Kerberos。

NTLM/Kerberos

是 (RPC 加密)

Microsoft Exchange EdgeSync 服務

50636/TCP (SSL)、50389/TCP (沒有 SSL)

基本

基本

是 (LDAPS)

Edge Transport Server 上的 Active Directory 應用程式模式 (ADAM) 目錄服務

50389/TCP (沒有 SSL)

NTLM/Kerberos

NTLM/Kerberos

來自 Hub Transport Server 的 Active Directory 目錄服務存取

389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)

Kerberos

Kerberos

是 (Kerberos 加密)

傳輸伺服器的注意事項

Hub Transport Server 間的所有流量都會使用含有自行簽署憑證的 TLS 進行加密,這些憑證是由 Exchange 2007 安裝程式預設安裝的。

Edge Transport Server 和 Hub Transport Server 間的所有流量均會受到驗證及加密。驗證和加密的基礎機制為相互 TLS。Exchange 2007 不使用 X.509 驗證,改為使用直接信任來驗證憑證。直接信任表示 Active Directory 或 ADAM 中所顯示的憑證會驗證該憑證。Active Directory 可視為是一種受信任的儲存機制。使用直接信任時,憑證是自行簽署或由憑證授權單位簽署都無所謂。當您向 Exchange 組織訂閱 Edge Transport Server 時,Edge 訂閱會在 Active Directory 中發佈 Edge Transport Server 憑證,供 Hub Transport Server 進行驗證。Microsoft Exchange EdgeSync 服務會使用 Hub Transport Server 憑證集來更新 ADAM,供 Edge Transport Server 進行驗證。

依預設,在不同組織的 Edge Transport Server 之間的流量會加密。Exchange 2007 安裝程式預設會建立自行簽署憑證並啟用 TLS。這可讓任何傳送系統將輸入 SMTP 工作階段加密至 Microsoft Exchange。依預設,Exchange 2007 也會對所有遠端連線嘗試 TLS。

當 Hub Transport server role 和 Mailbox server role 位於相同電腦上時,Hub Transport Server 和 Mailbox Server 之間流量的驗證方法便會不同。若郵件提交是在本機發生,即會使用 Kerberos 驗證。若郵件提交是在遠端發生,則會使用 NTLM 驗證。

Exchange 2007 也支援網域安全性。網域安全性是指 Exchange 2007 和 Outlook 2007 中的一組功能,提供低成本的替代方案,可取代 S/MIME 或其他郵件層級、透過網際網路的安全性解決方案。網域安全性功能集的目的,是提供管理者透過網際網路管理網域間安全郵件路徑的方式。在設定這些安全郵件路徑之後,使用者在 Outlook 和 Outlook Web Access 介面中,將會看到從已驗證的寄件者順利沿著安全路徑傳送的郵件顯示為 "Domain Secured"。如需相關資訊,請參閱規劃網域安全性

Hub Transport Server 和 Edge Transport Server 上可能會執行數個代理程式。一般而言,反垃圾郵件代理程式會依賴位於執行代理程式之電腦的本機資訊。因此,需要與遠端電腦通訊的機會非常少。收件者篩選則為例外狀況。此狀況需要呼叫 ADAM 或 Active Directory。最佳作法是在 Edge Transport Server 上執行收件者篩選。在本例中,ADAM 目錄位於與 Edge Transport Server 相同的電腦上,而且不需要任何遠端通訊。在 Hub Transport Server 上安裝並設定收件者篩選之後,收件者篩選即可存取 Active Directory。

Exchange 2007 中的寄件者信譽功能會使用通訊協定分析代理程式。這個代理程式也會建立不同的連線連至 Proxy 伺服器以外的地方,以判斷可疑連線的輸入郵件路徑。

其他所有反垃圾郵件功能只會使用本機電腦上所收集、儲存及存取的資料。經常會使用 Microsoft Exchange EdgeSync 服務,將資料 (例如,安全清單彙總,或用於收件者篩選的收件者資料) 發送至本機 ADAM 目錄。

日誌記錄和郵件分類會在 Hub Transport Server 上執行,並依賴 Active Directory 資料進行運作。

Mailbox Server

以 Mailbox Server role 而言,無論驗證是 NTLM 或 Kerberos,皆仰賴於執行 Exchange 商務邏輯層取用者時所使用的使用者或處理程序內容。在此情況下,取用者是使用 Exchange 商務邏輯層的任何應用程式或程序。在本節之「Mailbox Server 資料路徑」表格中,有好幾個「預設驗證」儲存格將驗證列為 "NTLM/Kerberos"。

Exchange 商務邏輯層可用於存取 Exchange 儲存區並與其通訊。Exchange 商務邏輯層也可以從 Exchange 儲存區對外部應用程式和程序進行通訊。

如果 Exchange 商務邏輯層用戶正以「本機系統」執行,則驗證方式一律是從用戶到 Exchange 儲存區的 Kerberos。因為用戶必須使用電腦帳戶「本機系統」進行驗證,而且必須有雙向的驗證信任,所以使用 Kerberos。

如果 Exchange 商務邏輯層用戶並未以「本機系統」執行,驗證方法則為 NTLM。例如,當系統管理員執行使用 Exchange 商務邏輯層的 Exchange 管理命令介面指令程式時,即會使用 NTLM。

RPC 流量一律會加密。

下表提供進出 Mailbox Server 之資料路徑的通訊埠、驗證及加密等相關資訊。

Mailbox Server 資料路徑

資料路徑 所需的通訊埠 預設的驗證 支援的驗證 支援加密? 預設加密?

記錄傳送 (本機連續複寫和叢集連續複寫)

445/隨機通訊埠 (植入)

NTLM/Kerberos

NTLM/Kerberos

是 (IPsec)

磁碟區陰影複製服務 (VSS) 備份

本機訊息區 (SMB)l

NTLM/Kerberos

NTLM/Kerberos

傳統備份/植入

隨機通訊埠

NTLM/Kerberos

NTLM/Kerberos

是 (IPsec)

叢集

135 /TCP (RPC) 請參閱本表之後的<Mailbox Server 的注意事項>。

NTLM/Kerberos

NTLM/Kerberos

是 (IPsec)

MAPI 存取

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

是 (RPC 加密)

信箱助理員

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

可用性 Web 服務 (Client Access 至 Mailbox)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

是 (RPC 加密)

Active Directory 存取

389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)

Kerberos

Kerberos

是 (Kerberos 加密)

內容索引

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

是 (RPC 加密)

管理遠端存取 (遠端登錄)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

是 (IPsec)

管理遠端存取 (SMB/檔案)

445/TCP (SMB)

NTLM/Kerberos

NTLM/Kerberos

是 (IPsec)

收件者更新服務 RPC 存取

135/TCP (RPC)

Kerberos

Kerberos

是 (RPC 加密)

Microsoft Exchange Active Directory 拓撲服務存取

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

是 (RPC 加密)

Microsoft Exchange System Attendant 服務傳統存取 (聆聽要求)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Microsoft Exchange System Attendant 服務對 Active Directory 的傳統存取

389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)

Kerberos

Kerberos

是 (Kerberos 加密)

Microsoft Exchange System Attendant 服務傳統存取 (作為 MAPI 用戶端)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

是 (RPC 加密)

存取 Active Directory 的離線通訊錄 (OAB)

135/TCP (RPC)

Kerberos

Kerberos

是 (RPC 加密)

Active Directory 的收件者更新

389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)

Kerberos

Kerberos

是 (Kerberos 加密)

Active Directory 的 DSAccess

389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)

Kerberos

Kerberos

是 (Kerberos 加密)

Outlook 存取離線通訊錄 (OAB)

80/TCP、443/TCP (SSL)

NTLM/Kerberos

NTLM/Kerberos

是 (HTTPS)

WebDav

80/TCP、443/TCP (SSL)

基本、NTLM、交涉

基本、NTLM、交涉

是 (HTTPS)

Mailbox Server 的注意事項

若是列為「交涉」的 HTTP 驗證,即會先嘗試 Kerberos,然後是 NTLM。

針對節點內的通訊,叢集節點會透過使用者資料包通訊協定 (UDP) 通訊埠 3343 進行通訊。叢集中的每個節點會定期與叢集中的每個其他節點交換循序的單點傳播 UDP 資料包。此交換的目的是判斷所有節點是否正確執行,以及監視網路連結的健康狀況。

雖然 WebDav 應用程式或用戶端可以使用 80/TCP 或 443/TCP 連接至 Mailbox Server,但在大多數的情況下,應用程式或用戶端會連接至 Client Access Server。然後 Client Access Server 會透過 80/TCP 或 443/TCP 連接至 Mailbox Server。

本節中「Mailbox Serve 資料路徑」表格上所列的叢集資料路徑會使用動態 RPC (TCP),在不同層級節點之間,針對叢集狀態及活動進行通訊。叢集服務 (ClusSvc.exe) 也會使用 UDP/3343,隨機配置高 TCP 通訊埠,以便在叢集節點間進行通訊。

Client Access Server

除非另外註明,否則一律以用戶端應用程式到 Client Access Server 的驗證和加密來描述用戶端存取技術,例如 Office Outlook Web Access、POP3 或 IMAP4。

下表提供 Client Access Server 和其他伺服器及用戶端之間資料路徑的通訊埠、驗證及加密等相關資訊。

Client Access Server 資料路徑

資料路徑 所需的通訊埠 預設的驗證 支援的驗證 支援加密? 預設加密?

自動探索服務

80/TCP、443/TCP (SSL)

基本/整合式 Windows 驗證 (交涉)

基本、摘要式、NTLM、交涉 (Kerberos)

是 (HTTPS)

可用性服務

80/TCP、443/TCP (SSL)

NTLM/Kerberos

NTLM、Kerberos

是 (HTTPS)

Outlook Web Access

80/TCP、443/TCP (SSL)

表單型驗證

基本、摘要式、表單型驗證、NTLM (僅限 v2)、Kerberos、憑證

是 (HTTPS)

是,使用自行簽署憑證

POP3

110/TCP (TLS)、995/TCP (SSL)

基本、NTLM、Kerberos

基本、NTLM、Kerberos

是 (SSL、TLS)

IMAP4

143/TCP (TLS)、993/TCP (SSL)

基本、NTLM、Kerberos

基本、NTLM、Kerberos

是 (SSL、TLS)

Outlook 無所不在 (以前稱為 RPC over HTTP)

80/TCP、443/TCP (SSL)

基本

基本或 NTLM

是 (HTTPS)

Exchange ActiveSync 應用程式

80/TCP、443/TCP (SSL)

基本

基本、憑證

是 (HTTPS)

Client Access Server 至 Unified Messaging Server

5060/TCP、5061/TCP、5062/TCP、動態通訊埠

依 IP 位址

依 IP 位址

是 (工作階段初始通訊協定 [SIP] over TLS)

Client Access Server 至正在執行舊版 Exchange Server 的 Mailbox Server

80/TCP、443/TCP (SSL)

NTLM/Kerberos

交涉 (具備後援的 Kerberos 至 NTLM 或選擇至「基本」)、POP/IMAP 純文字

是 (IPsec)

Client Access Server 至 Exchange 2007 Mailbox Server

RPC。請參閱本表之後的<Client Access Server 的注意事項>。

Kerberos

NTLM/Kerberos

是 (RPC 加密)

Client Access Server 到 Client Access Server (Exchange ActiveSync)

80/TCP、443/TCP (SSL)

Kerberos

Kerberos、憑證

是 (HTTPS)

是,使用自行簽署憑證

Client Access Server 到 Client Access Server (Outlook Web Access)

80/TCP、443/TCP (SSL)

Kerberos

Kerberos

是 (HTTPS)

WebDAV

80/TCP、443/TCP (SSL)

HTTP 基本或 Outlook Web Access 表單型驗證

基本、Outlook Web Access 表單型驗證

是 (HTTPS)

Client Access Server 的注意事項

Client Access Server 會使用數個通訊埠,與 Mailbox Server 通訊。有一些例外狀況,可藉由 RPC 服務來判斷通訊埠,而這些通訊埠不是固定的。

若是列為「交涉」的 HTTP 驗證,即會先嘗試 Kerberos,然後嘗試 NTLM。

當 Exchange 2007 Client Access Server 與執行 Exchange Server 2003 的 Mailbox Server 通訊時,最好使用 Kerberos,並停用 NTLM 驗證和基本驗證。除此之外,最佳作法還是將 Outlook Web Access 設定為使用含有信任憑證的表單型驗證。為了讓 Exchange ActiveSync 用戶端經由 Exchange 2007 Client Access Server 傳達至 Exchange 2003 後端伺服器,必須在 Exchange 2003 後端伺服器的 Microsoft-Server-ActiveSync 虛擬目錄上啟用整合式 Windows 驗證。若要在 Exchange 2003 伺服器上使用 Exchange 系統管理員來管理 Exchange 2003 虛擬目錄上的驗證,請下載並安裝 Microsoft 知識庫文章 937301 當行動裝置連接至 2007 Exchange 伺服器來存取信箱的 Exchange 2003 後端伺服器時,執行 CAS 角色的 Exchange 2007 伺服器上會記錄事件識別碼 1036 (英文) 中建議的問題修正。

如需相關資訊,請參閱管理用戶端存取安全性

Unified Messaging Server

IP 閘道僅支援憑證型驗證,此驗證會對工作階段初始通訊協定 (SIP)/TCP 連線使用相互 TLS 和 IP 型驗證。IP 閘道不支援 NTLM 或 Kerberos 驗證。因此,當您使用 IP 型驗證時,連接的 IP 位址可用來提供未加密 (TCP) 連線的驗證機制。在整合通訊中使用 IP 型驗證時,Unified Messaging Server 會驗證 IP 位址是否可以連接。IP 位址設定在 IP 閘道或 IP-PBX 上。

下表提供 Unified Messaging Server 和其他伺服器之間資料路徑的通訊埠、驗證及加密等相關資訊。

整合通訊伺服器資料路徑

資料路徑 所需的通訊埠 預設的驗證 支援的驗證 支援加密? 預設加密?

整合通訊傳真

5060/TCP、5061/TCP、5062/TCP、動態通訊埠

依 IP 位址

依 IP 位址

SIP over TLS,但是媒體並未加密

SIP 時為「是」

整合通訊電話互動 (PBX)

5060/TCP、5061/TCP、5062/TCP、動態通訊埠

依 IP 位址

依 IP 位址

SIP over TLS,但是媒體並未加密

SIP 時為「是」

整合通訊網頁服務

80/TCP、443/TCP (SSL)

整合式 Windows 驗證 (交涉)

基本、摘要式、NTLM、交涉 (Kerberos)

是 (SSL)

整合通訊至 Hub Transport

25/TCP (SSL)

Kerberos

Kerberos

是 (TLS)

Unified Messaging Server 至 Mailbox Server

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

是 (RPC 加密)

Unified Messaging Server 的注意事項

當您在 Active Directory 中建立整合通訊 (UM) IP 閘道物件時,必須定義實體 IP 閘道或 IP PBX (專用交換機) 的 IP 位址。當您在 UM IP 閘道物件上定義 IP 位址時,允許與 Unified Messaging Server 通訊的有效 IP 閘道清單中會新增該 IP 位址。建立 UM IP 閘道時,它會與 UM 撥號對應表產生關聯。將 UM IP 閘道與 UM 撥號對應表產生關聯,可讓撥號對應表關聯的 Unified Messaging Server 使用 IP 型驗證對 IP 閘道進行通訊。如果 UM IP 閘道尚未建立,或未設定為使用正確的 IP 位址,驗證會失敗,而且 Unified Messaging Server 不會接受來自該 IP 閘道之 IP 位址的連線。

在 Exchange 2007 量產發行 (RTM) 版本中,Unified Messaging Server 可以在不安全的通訊埠 5060/TCP 或安全的通訊埠 5061/TCP 上通訊,但無法同時使用兩者。在 Exchange 2007 Service Pack 1 (SP1) 中,Unified Messaging Server 會同時聆聽通訊埠 5060/TCP 與通訊埠 5061/TCP。

如需相關資訊,請參閱 了解整合通訊 VoIP 安全性了解整合通訊中的通訊協定、通訊埠及服務

本手冊討論範圍

針對 Exchange 伺服器角色使用資訊安全設定精靈保護 Windows

本節說明如何使用資訊安全設定精靈 (SCW) 來停用 Exchange 2007 伺服器角色不需要的 Windows 功能,將伺服器受攻擊的層面降到最低。

使用資訊安全設定精靈

Exchange 2007 為每個 Exchange 2007 伺服器角色提供 SCW 範本。配合 SCW 使用此範本,您可以設定 Windows 作業系統來鎖定每一個 Exchange 伺服器角色不需要的服務和通訊埠。執行 SCW 時,可為環境建立自訂安全性原則。您可以將自訂原則套用至組織中所有的 Exchange 伺服器。您可以使用 SCW 設定下列功能:

  • 伺服器角色   SCW 使用伺服器角色資訊來啟用服務及開啟本機防火牆中的通訊埠。
  • 用戶端功能   伺服器也可作為其他伺服器的用戶端。請只選取環境所需的用戶端功能。
  • 管理選項   選取環境所需的選項,例如備份及錯誤報告。
  • 服務   選取伺服器所需的服務,並設定原則未指定的服務啟動模式。選取的伺服器上不會安裝未指定的服務,安全性組態資料庫中也不會有這些服務。您設定的安全性原則可能會套用到執行了與儲存所建立的原則之伺服器不同服務的伺服器。您可以選取原則設定,判斷在套用此原則的伺服器上找到未指定的服務時要執行的動作。您可以將動作設為不變更服務的啟動模式或停用服務。
  • 網路安全性   選取要針對每個網路介面開啟的通訊埠。可根據區域網路介面或根據遠端 IP 位址與子網路來限制通訊埠的存取權。
  • 登錄設定   使用登錄設定可設定用來與其他電腦通訊的通訊協定。
  • 稽核原則   稽核原則決定會記錄哪些成功與失敗事件,以及會稽核的檔案系統物件。

使用 Exchange Server 2007 SCW 範本

安裝 Exchange 伺服器角色之後,請遵循下列步驟,使用 SCW 來設定安全性原則:

  1. 安裝 SCW。
  2. 登錄 SCW 延伸模組。
  3. 建立自訂安全性原則並將原則套用至本機伺服器。
  4. 如果組織中有多部 Exchange 伺服器執行指定的角色,您可以將自訂安全性原則套用至每一部 Exchange 伺服器。

下列各節提供前述每一個步驟的程序。

若要執行下列程序,必須對您使用的帳戶委派下列項目:

  • Exchange Server 系統管理員角色和目標伺服器的本機 Administrators 群組

若要在已安裝 Edge Transport server role 的電腦上執行下列程序,則必須使用該電腦之本機 Administrators 群組成員的帳戶進行登入。

如需管理 Exchange 2007 所需之權限、委派角色及權利的相關資訊,請參閱權限考量

安裝資訊安全設定精靈

在您要使用 SCW 來套用 SCW 安全性原則的每一部 Exchange 2007 伺服器上,您必須執行此程序。

安裝資訊安全設定精靈

  1. 在 [控制台] 中,按一下 [新增或移除程式]。

  2. 按一下 [新增/移除 Windows 元件] 來啟動 [Windows 元件精靈]。

  3. 在 [Windows 元件] 對話方塊中,選取 [資訊安全設定精靈] 核取方塊,然後按 [下一步]。

  4. 等待安裝完成,然後按一下 [完成]。

若要在執行此程序後開啟 SCW,請按一下 [開始],並依序指向 [所有程式] 及 [系統管理工具] 後,然後按一下 [資訊安全設定精靈]。

登錄 Exchange 伺服器角色 SCW 延伸模組

Exchange Server 角色延伸模組可讓您使用 SCW,根據每一個 Microsoft Exchange 伺服器角色所需的功能,建立適合的安全性原則。延伸模組是由 Exchange 2007 所提供,且必須在您可以建立自訂安全性原則之前進行登錄。

您必須在每個要套用 SCW 安全性原則的 Exchange 2007 伺服器上執行登錄程序。各種 Exchange 2007 伺服器角色都需要兩個延伸模組檔案。如果是 Mailbox、Hub Transport、Unified Messaging 和 Client Access Server roles,請登錄 Exchange2007.xml 延伸模組檔案。如果是 Edge Transport server role,則登錄 Exchange2007Edge.xml 延伸模組檔案。

note附註:
Exchange 2007 SCW 延伸模組檔案位於 %Exchange%\Scripts 目錄中。預設 Exchange 安裝目錄是 Program Files\Microsoft\Exchange Server。如果已在伺服器安裝期間選取自訂目錄位置,則此目錄位置可能會不同。
important重要事項:
如果您已經在自訂安裝目錄中安裝 Exchange 2007,則 SCW 登錄仍會運作。但是若要啟用 SCW,您就必須執行手動解決方法以辨識自訂安裝目錄。如需相關資訊,請參閱 Microsoft 知識庫文章 896742 在 Windows Server 2003 SP1 中執行資訊安全設定精靈之後,Outlook 使用者可能無法連接至他們的帳戶

將資訊安全設定精靈延伸模組登錄在執行 Mailbox、Hub Transport、Unified Messaging 或 Client Access server role 的電腦

  1. 開啟 [命令提示字元] 視窗。輸入下列命令,使用 SCW 命令列工具以本機安全性組態資料庫來登錄 Exchange 2007 延伸模組:

    scwcmd register /kbname:Ex2007KB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007.xml"

  2. 若要驗證命令已順利完成,則可以檢視位在 %windir%\security\msscw\logs 目錄中的 SCWRegistrar_log.xml 檔案。

將資訊安全設定精靈延伸模組登錄在執行 Edge Transport server role 的電腦

  1. 開啟 [命令提示字元] 視窗。輸入下列命令,使用 SCW 命令列工具以本機安全性組態資料庫來登錄 Exchange 2007 延伸模組:

    scwcmd register /kbname:Ex2007EdgeKB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\ Exchange2007Edge.xml"

  2. 若要驗證命令已順利完成,則可以檢視位在 %windir%\security\msscw\logs 目錄中的 SCWRegistrar_log.xml 檔案。

建立新的 Exchange 伺服器角色 SCW 原則

請使用此程序為特定環境建立自訂安全性原則。建立自訂原則之後,對於組織中執行相同角色的每一部 Exchange 2007 伺服器,可使用此原則來套用相同層級的安全性。

note附註:
下列程序的某些步驟沒有對資訊安全設定精靈中的所有頁面提供特定的組態詳細資料。在這些情況下,如果您不確定需要啟用的服務或功能,建議您保留預設選項。如同 Exchange 2007 說明檔的所有內容,有關如何搭配 Exchange 2007 使用 SCW 的最新資訊,都可在 Exchange Server 技術資源中心上找到。

使用資訊安全設定精靈建立自訂安全性原則

  1. 按一下 [開始],依序指向 [所有程式] 與 [系統管理工具],然後按 [資訊安全設定精靈] 以啟動工具。在歡迎使用畫面上按 [下一步]。

  2. 在 [組態動作] 頁面上,選取 [建立新的安全性原則],然後按 [下一步]。

  3. 在 [選取伺服器] 頁面上,確認 [伺服器 (使用 DNS 名稱、NetBIOS 名稱或 IP 位址):]欄位中出現的是正確的伺服器名稱。按 [下一步]。

  4. 在 [處理安全性組態資料庫] 頁面上,等待進度列完成,然後按 [下一步]。

  5. 在 [角色型服務組態] 頁面上按 [下一步]。

  6. 在 [選取伺服器角色] 頁面上,選取已在電腦上安裝的 Exchange 2007 角色,然後按 [下一步]。

  7. 在 [選取用戶端功能] 頁面上,選取 Exchange 伺服器上需要的每個用戶端功能,然後按 [下一步]。

  8. 在 [選取系統管理及其他選項] 頁面上,選取 Exchange 伺服器上需要的每個系統管理功能,然後按 [下一步]。

  9. 在 [選取其他服務] 頁面上,選取 Exchange 伺服器上需要啟用的每個服務,然後按 [下一步]。

  10. 在 [處理未指定的服務] 頁面上,選取在本機伺服器上找到目前未安裝的服務時所要執行的動作。您可以選取 [不要變更服務的啟動模式] 來選擇不執行任何動作,或者可以選取 [停用服務] 來選擇自動停用服務。按 [下一步]。

  11. 在 [確認服務變更] 頁面上,檢閱此原則將對目前的服務組態做出的變更。按 [下一步]。

  12. 在 [網路安全性] 頁面上,確認未選取 [略過此區段],然後按 [下一步]。

  13. 在 [開啟通訊埠及核准應用程式] 頁面上,如果您正在 Edge Transport Server 上執行 SCW,則必須將 LDAP 通訊的兩個通訊埠新增至 Active Directory 應用程式模式 (ADAM) 中。

    1. 按一下 [新增]。在 [新增通訊埠或應用程式] 頁面上的 [通訊埠號碼:]欄位中,輸入 50389。選取 [TCP] 核取方塊,然後按一下 [確定]。
    2. 按一下 [新增]。在 [新增通訊埠或應用程式] 頁面上的 [通訊埠號碼:]欄位中,輸入 50636。選取 [TCP] 核取方塊,然後按一下 [確定]。

  14. (僅限 Edge Transport Server) 在 [開啟通訊埠及核准應用程式] 頁面上,必須設定每個網路介面卡的通訊埠。

    1. 選取 [通訊埠 25],然後按一下 [進階]。在 [通訊埠限制] 頁面上,按一下 [本機介面限制] 索引標籤。選取 [對下列本機介面:],選取內部網路介面卡及外部網路介面卡兩個核取方塊,然後按一下 [確定]。
    2. 選取 [通訊埠 50389],然後按一下 [進階]。在 [通訊埠限制] 頁面上,按一下 [本機介面限制] 索引標籤。選取 [對下列本機介面:],只選取內部網路介面卡核取方塊,然後按一下 [確定]。
    3. 選取 [通訊埠 50636],然後按一下 [進階]。在 [通訊埠限制] 頁面上,按一下 [本機介面限制] 索引標籤。選取 [對下列本機介面:],只選取內部網路介面卡核取方塊,然後按一下 [確定]。
    note附註:
    您也可以設定每個通訊埠的遠端位址限制。

  15. 在 [開啟通訊埠及核准應用程式] 頁面上按 [下一步]。

  16. 在 [確認通訊埠組態] 頁面上,確認傳入通訊埠組態正確,然後按 [下一步]。

  17. 在 [登錄設定] 頁面上,選取 [略過此區段] 核取方塊,然後按 [下一步]。

  18. 在 [稽核原則] 頁面上,選取 [略過此區段] 核取方塊,然後按 [下一步]。

  19. 在 [網際網路資訊服務 (IIS)] 頁面上,選取 [略過此區段] 核取方塊,然後按 [下一步]。

  20. 在 [儲存安全性原則] 頁面上按 [下一步]。

  21. 在 [安全性原則檔案名稱] 頁面上,輸入安全性原則的檔案名稱及選擇性的描述。按 [下一步]。如果套用原則後必須重新啟動伺服器,會出現對話方塊。按一下 [確定] 關閉對話方塊。

  22. 在 [套用安全性原則] 頁面上,選取 [稍後套用] 或 [立即套用],然後按 [下一步]。

  23. 在 [完成資訊安全設定精靈] 頁面上,按一下 [完成]。

如何將現有的 SCW 原則套用至 Exchange 伺服器角色

建立原則之後,您可以將原則套用至組織中扮演相同角色的多台電腦。

使用資訊安全設定精靈套用現有原則

  1. 按一下 [開始],依序指向 [所有程式] 與 [系統管理工具],然後按 [資訊安全設定精靈] 以啟動工具。在歡迎使用畫面上按 [下一步]。

  2. 在 [組態動作] 頁面上,選取 [套用現有安全性原則]。按一下 [瀏覽],選取原則所用的 XML 檔案,然後按 [開啟]。按 [下一步]。

  3. 在 [選取伺服器] 頁面上,確認 [伺服器 (使用 DNS 名稱、NetBIOS 名稱或 IP 位址):] 欄位中出現的是正確的伺服器名稱。按 [下一步]。

  4. 在 [套用安全性原則] 頁面上,若要檢視原則詳細資料,請按一下 [檢視安全性原則],然後按 [下一步]。

  5. 在 [套用安全性原則] 頁面上,等待進度列顯示 [套用完成],然後按 [下一步]。

  6. 在 [完成資訊安全設定精靈] 頁面上,按一下 [完成]。

本手冊討論範圍

附錄 1:透過 Exchange 2007 SCW 登錄檔啟用的服務及通訊埠執行檔

資訊安全設定精靈 (SCW) 使用 XML 登錄檔,協助您設定 Windows 作業系統與其他應用程式一起執行。SCW 使用的登錄檔可定義在操作特定應用程式時需要的安全性組態。安全性組態最少會定義特定應用程式需要的服務及通訊埠。

本主題說明以預設 Exchange 2007 登錄檔執行 SCW 時,對每一個 Exchange 2007 伺服器角色啟用的服務及通訊埠。

登錄檔

Exchange 2007 包含 SCW 的兩個登錄檔。一般 Exchange 2007 登錄檔稱為 Exchange2007.xml。定義的是所有 Microsoft Exchange 伺服器角色的安全性組態,但不含 Edge Transport server role。Edge Transport server role 的登錄檔稱為 Exchange2007Edge.xml。定義的是 Edge Transport Server 的安全性組態。

安裝 Exchange 2007 時,會將登錄檔安裝在 %Programfiles%\Microsoft\Exchange Server\Scripts 目錄中。

啟用的服務會將服務啟動值設為 [自動] 或 [手動]。

啟用的通訊埠則指定 Windows 防火牆信任的執行檔 (.exe),以開啟特定應用程式的通訊埠。

SCW 使用的 Exchange 2007 登錄檔會根據其預設位置來指定通訊埠執行檔。在大部分情況下,預設位置是 %Programfiles%\Microsoft\Exchange Server\bin。如果已將 Exchange 安裝到不同位置,則必須編輯 Exchange 2007 登錄檔之 <Port> 區段的 <Path> 值,使其指出正確的安裝位置。

Mailbox server role

下列服務是透過 Exchange 2007 登錄檔 (Exchange2007.xml) 針對 Mailbox server role 所啟用。

Microsoft 搜尋 (Exchange Server) 服務及 Microsoft Exchange 監視是設為手動啟動。會將其他所有服務自動設為啟動。

服務簡稱 服務名稱

MSExchangeIS

Microsoft Exchange Information Store

MSExchangeADTopology

Microsoft Exchange Active Directory Topology

MSExchangeRepl

Microsoft Exchange Replication Service

MSExchangeMailboxAssistants

Microsoft Exchange Mailbox Assistants

MSExchangeSearch

Microsoft Exchange Search Indexer

MSExchangeServiceHost

Microsoft Exchange Service Host

MSExchangeMonitoring

Microsoft Exchange Monitoring

MSExchangeSA

Microsoft Exchange System Attendant

MSExchangeMailSubmission

Microsoft Exchange Mail Submission Service

msftesql-Exchange

Microsoft Search (Exchange Server)

下列是啟用的通訊埠。

通訊埠名稱 關聯的可執行檔

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSExchangeISPorts

Store.exe

MSExchangeReplPorts

Microsoft.Exchange.Cluster.ReplayService.exe

MSExchangeMailboxAssistantsPorts

MSExchangeMailboxAssistants.exe

MSExchangeSearchPorts

Microsoft.Exchange.Search.ExSearch.exe

MSExchangeServiceHostPorts

Microsoft.Exchange.ServiceHost.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

MSExchangeSAPorts

Mad.exe

MSExchangeMailSubmissionPorts

MSExchangeMailSubmission.exe

msftesql-ExchangePorts

Msftesql.exe

MSExchangeTransportLogSearchPorts

MSExchangeTransportLogSearch.exe

叢集信箱伺服器角色

已在 Mailbox server role 上啟用,並在本節前面的<Mailbox server role>一節說明的服務及通訊埠會在叢集信箱伺服器角色上啟用。

此外,會將 Microsoft 叢集服務設為自動啟動。

服務簡稱 服務名稱

ClusSvc

Microsoft Cluster Service

也會啟用下列通訊埠。

note附註:
叢集特定執行檔的預設路徑是 %windir%\Cluster。Powershell.exe 的預設路徑是 %windir%\system32\windowspowershell\v1.0。
通訊埠名稱 關聯的可執行檔

ExSetupPorts

ExSetup.exe

clussvcPorts

Clussvc.exe

CluAdminPorts

CluAdmin.exe

resrcmonPorts

Resrcmon.exe

msftefdPorts

Msftefd.exe

powershellPorts

Powershell.exe

Hub Transport server role

下列服務是透過 Exchange 2007 登錄檔 (Exchange2007.xml) 針對 Hub Transport server role 所啟用。

Microsoft Exchange 監視是設為手動設定。會將其他所有服務自動設為啟動。

服務簡稱 服務名稱

MSExchangeADTopology

Microsoft Exchange Active Directory 拓撲服務

MSExchangeTransport

Microsoft Exchange Transport service

MSExchangeAntispamUpdate

Microsoft Exchange Anti-spam Update service

MSExchangeEdgeSync

Microsoft Exchange EdgeSync service

MSExchangeTransportLogSearch

Microsoft Exchange Transport Log Search service

MSExchangeMonitoring

Microsoft Exchange Monitoring

下列是啟用的通訊埠。

通訊埠名稱 關聯的可執行檔

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSExchangeTransportPorts

MSExchangeTransport.exe

EdgeTransportPorts

EdgeTransport.exe

MSExchangeAntispamUpdatePorts

Microsoft.Exchange.AntispamUpdateSvc.exe

MSExchangeEdgeSyncPorts

Microsoft.Exchange.EdgeSyncSvc.exe

MSExchangeTransportLogSearchPorts

MSExchangeTransportLogSearch.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

Edge Transport server role

下列服務是透過登錄檔 (Exchange2007Edge.xml) 針對 Edge Transport server role 所啟用。

Microsoft Exchange 監視及 Microsoft Exchange Transport Log Search 服務是設為手動啟動。會將其他所有服務自動設為啟動。

服務簡稱 服務名稱

MSExchangeTransport

Microsoft Exchange Transport service

MSExchangeAntispamUpdate

Microsoft Exchange Anti-spam Update service

ADAM_MSExchange

Microsoft Exchange ADAM

EdgeCredentialSvc

Microsoft Exchange Credential Service

MSExchangeTransportLogSearch

Microsoft Exchange Transport Log Search 服務

MSExchangeMonitoring

Microsoft Exchange Monitoring

下列是啟用的通訊埠。

note附註:
Dsadmin.exe 的預設路徑是 %windir%\ADAM。
通訊埠名稱 關聯的可執行檔

MSExchangeTransportPorts

MSExchangeTransport.exe

EdgeTransportPorts

EdgeTransport.exe

MSExchangeAntispamUpdatePorts

Microsoft.Exchange.AntispamUpdateSvc.exe

ADAM_MSExchangePorts

Dsamain.exe

EdgeCredentialSvcPorts

EdgeCredentialSvc.exe

MSExchangeTransportLogSearchPorts

MSExchangeTransportLogSearch.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

Client Access server role

下列服務是透過 Exchange 2007 登錄檔 (Exchange2007.xml) 針對 Client Access server role 所啟用。

Microsoft Exchange 監視、Microsoft Exchange POP3 服務及 Microsoft Exchange IMAP4 服務是設為手動啟動。會將其他所有服務自動設為啟動。

服務簡稱 服務名稱

MSExchangeADTopology

Microsoft Exchange Active Directory Topology service

MSExchangePOP3

Microsoft Exchange POP3 service

MSExchangeIMAP4

Microsoft Exchange IMAP4 service

MSExchangeFDS

Microsoft Exchange File Distribution service

MSExchangeServiceHost

Microsoft Exchange Service Host

MSExchangeMonitoring

Microsoft Exchange Monitoring

下列是啟用的通訊埠。

note附註:
Pop3Service.exe 及 Imap4Service.exe 檔案的預設路徑是 %Programfiles%\Microsoft\Exchange Server\ClientAccess\PopImap。
通訊埠名稱 關聯的可執行檔

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSExchangePOP3Ports

Microsoft.Exchange.Pop3Service.exe

MSExchangeIMAP4Ports

Microsoft.Exchange.Imap4Service.exe

MSExchangeFDSPorts

MSExchangeFDS.exe

MSExchangeServiceHostPorts

Microsoft.Exchange.ServiceHost.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

Unified Messaging server role

下列服務是透過 Exchange 2007 登錄檔 (Exchange2007.xml) 針對 Unified Messaging server role 所啟用。

Microsoft Exchange 監視是設為手動設定。會將其他所有服務自動設為啟動。

服務名稱 好記名稱

MSExchangeADTopology

Microsoft Exchange Active Directory 拓撲服務

MSSpeechService

Microsoft Exchange 語音引擎

MSExchangeUM

Microsoft Exchange 整合通訊

MSExchangeFDS

Microsoft Exchange 檔案發佈服務

MSExchangeMonitoring

Microsoft Exchange 監視

下列是啟用的通訊埠。

note附註:
SpeechService.exe 檔案的預設路徑是 %Programfiles%\Microsoft\Exchange Server\UnifiedMessaging。
通訊埠名稱 關聯的可執行檔

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSSPorts

SpeechService.exe

MSExchangeUMPorts

umservice.exe

UMWorkerProcessPorts

UMWorkerProcess.exe

MSExchangeFDSPorts

MSExchangeFDS.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

本手冊討論範圍

附錄 2:其他安全性相關的 Exchange 文件

本節包含其他安全性相關的 Exchange 文件連結。如需安全性相關內容的最新清單,請參閱安全性與保護

反垃圾郵件及防毒功能

用戶端驗證和存取安全性

Microsoft Office Outlook Web Access

Outlook 無所不在

POP3 及 IMAP4

權限

保護郵件流程

本手冊討論範圍

若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.