逐步指南:使用 Microsoft Exchange Server 2003 SP2 部署 Windows Mobile 裝置

步驟 3 - 保障行動裝置與 Exchange 伺服器間的通訊

發佈日期: 2006 年 12 月 22 日

若要保障 Windows Mobile 裝置與 Exchange 前端伺服器間的通訊,請遵循下列步驟:

  • 部署 SSL 以加密訊息流量。

  • 在預設網站上啟用 SSL。

  • 為 Exchange ActiveSync 虛擬目錄設定基本驗證。

Cc182245.note(zh-tw,TechNet.10).gif 附註:

如果您打算使用憑證驗證而非基本組態,請參閱 <附錄 A:部署 Exchange ActiveSync 憑證型驗證概觀>。

Cc182245.note(zh-tw,TechNet.10).gif 附註:

若您使用 RSA SecurID,就必須更新 RSA Authentication Agent。

  • 透過限制可能的攻擊面來保護 IIS

請參閱本文中的 <部署行動訊息解決方案的最佳作法>,以取得有關驗證和憑證的詳細資訊。

部署 SSL 以加密訊息流量

若要保護傳入和傳出的電子郵件,請部署 SSL 以加密訊息流量。您可以在 Exchange 伺服器上設定 SSL 安全性功能,以便檢查內容的完整性、驗證使用者身分,以及加密網路傳輸。

為 Exchange ActiveSync 設定 SSL 所需執行的步驟如下:

  1. 取得並安裝伺服器憑證

  2. 驗證安裝

  3. 備份伺服器憑證

  4. 為 Exchange ActiveSync 虛擬目錄啟用 SSL

Cc182245.note(zh-tw,TechNet.10).gif 附註:

若要執行下列程序,您必須是本機電腦上 Administrators 群組的成員,或者您必須擁有適當的授權。根據安全性最佳作法,請使用不屬於 Administrators 群組的帳戶登入電腦,然後使用 Run as 命令,以系統管理員的身份執行 IIS 管理員。從命令提示輸入下列命令:

runas /user:administrative_accountname "mmc%systemroot%\system32\inetsrv\iis.msc"

取得並安裝伺服器憑證

取得伺服器憑證之後,您將安裝伺服器憑證、驗證伺服器憑證的安裝,並備份憑證。使用「網頁伺服器憑證精靈」取得並安裝伺服器憑證時,此程序可視為建立和指派伺服器憑證。

從憑證授權單位 (CA) 取得伺服器憑證
  1. 使用系統管理員帳戶登入 Exchange 伺服器。

  2. 依序按一下 [開始]、[所有程式]、[系統管理工具],然後按一下 [網際網路資訊服務 (IIS) 管理員]。

  3. 按兩下伺服器名稱以檢視網站。以滑鼠右鍵按一下 [預設的網站],然後按一下 [內容]。

  4. 按一下以選取 [目錄安全設定] 索引標籤。下圖顯示 IIS 管理員視窗和 [目錄安全性] 索引標籤。在 [安全通訊] 底下按一下 [伺服器憑證]。

    Cc182245.bug29230-fig02-sm(zh-tw,TechNet.10).jpg

    網站內容
  5. 在 [歡迎使用網頁伺服器憑證精靈] 對話方塊中,依序按一下 [下一步]、[建立新憑證],然後按一下 [下一步]。

  6. 按一下 [準備要求,但於稍後傳送],然後按一下 [下一步]。

  7. 在 [名稱及安全設定] 對話方塊中,輸入伺服器憑證的名稱 (例如,輸入 <Exchange_Server_Name>),按一下 [位元長度 1024 (Bit length of 1024)],然後按一下 [下一步]。下圖顯示 [名稱及安全性設定] 對話方塊。

    Cc182245.bug29230-fig03-sm(zh-tw,TechNet.10).gif

    IIS 憑證精靈

    Cc182245.note(zh-tw,TechNet.10).gif 附註:

    請確保未選取 [請選取密碼編譯服務提供者]。

  8. 在 [公司資訊] 對話方塊中的 [組織] 文字方塊內鍵入名稱 (例如,輸入 <Company_Name>),並在 [組織單位] 文字方塊中鍵入名稱 (例如,輸入 <IT Department>),然後按一下 [下一步]。

  9. 在 [您網站的一般名稱] 對話方塊中,針對 [一般名稱] 鍵入伺服器或叢集的完整格式網域名稱 (例如,輸入 <webmail.mycompany.com>),然後按一下 [下一步]。這是您的用戶端行動裝置要存取的網域名稱。

  10. 在 [地理資訊] 對話方塊中,依序按一下 [國家/地區] (例如,US)、[省/州] (例如,<>) 和 [城市/位置] (例如,<城市>),然後按一下 [下一步]。

  11. 在 [憑證要求檔案名稱] 對話方塊中,保留 C:\NewKeyRq.txt 的預設值 (其中,C:是指安裝作業系統的位置),然後按一下 [下一步]。

  12. 在 [要求的檔案摘要] 對話方塊中檢視資訊,然後按一下 [下一步]。下圖顯示 [要求的檔案摘要] 的範例。

    Cc182245.bug29230-fig04-sm(zh-tw,TechNet.10).gif

    要求的檔案摘要
  13. 憑證要求完成時,您應該會收到成功的訊息。按一下 [完成]。

接下來,您必須從有效的 CA 要求伺服器憑證。若要這麼做,您必須根據所選擇的 CA,使用正確設定的網頁瀏覽器存取網際網路或內部網路。

此處所述的步驟是用於存取網站以取得您的 CA。在生產環境中,您可能是透過網際網路從信任的 CA 要求伺服器憑證。

提交憑證要求
  1. 啟動 Microsoft Internet Explorer。輸入 Microsoft CA 網站的 [統一資源定位器 (URL)]:http://<server_name>/certsrv/。[Microsoft CA 網站] 網頁出現時,按一下 [要求憑證],然後按一下 [進階憑證要求]。

  2. 在 [進階憑證要求] 頁面上,按一下 [用 Base-64 編碼的 PKCS#10 檔案來提交憑證要求,或用 Base-64 編碼的 PKCS #7 檔案提交更新要求]。

  3. 在本機伺服器上,瀏覽至您先前儲存 C:\ NewKeyRq.txt 檔案的位置。

  4. 按兩下 C:\ NewKeyRq.txt 檔案即可在記事本中開啟它。選取並複製整個檔案內容。

  5. 在 CA 網站上,瀏覽至 [提交憑證要求] 網頁。如果畫面提示您選取憑證類型,請選擇 [網頁伺服器]。下圖顯示 [提交憑證要求] 網頁的範例。

    Cc182245.bug29230-fig05-sm(zh-tw,TechNet.10).gif

    憑證要求
  6. 在 [已儲存的要求] 方塊內按一下,將檔案內容貼到方塊中,然後選擇 [提交]。[已儲存的要求] 對話方塊中的內容應該類似下面範例所示:

    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIIDXzCCAsgCAQAwgYMxLDAqBgNVBAMTI2toYWxpZHM0LnJlZG1vbmQuY29ycC5taWNyb3NvZnQuY29tMR
    EwDwYDVQQLEwhNb2JpbGl0eTEMMAoGA1UEChMDTVRQMRAwDgYDVQQHEwdSZWRtb25kMRMwEQYDVQQIEwpX
    YXNoaW5ndG9uMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAs0sV2UZ1WAX2ou
    +F5S34+6M3A32tJ5qp+c7zliu4SMkcgebhnt2IMMeF5ZMD2IqfhWu49nu1vLtGHK5wWgHYTC3rTFabLZJ1
    bNtXKB/BWWOsmSDYg/A7+oCZB4rHJmpc0Yh4OjbQKkr64KM67r8jGEPYGMAzf2DnUg3xUt9pbBECAwEAAa
    CCAZkwGgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMHsGCisGAQQBgjcCAQ4xbTBrMA4GA1UdDwEB/wQE
    AwIE8DBEBgkqhkiG9w0BCQ8ENzA1MA4GCCqGSIb3DQMCAgIAgDAOBggqhkiG9w0DBAICAIAwBwYFKw4DAg
    cwCgYIKoZIhvcNAwcwEwYDVR0lBAwwCgYIKwYBBQUHAwEwgf0GCisGAQQBgjcNAgIxge4wgesCAQEeWgBN
    AGkAYwByAG8AcwBvAGYAdAAgAFIAUwBBACAAUwBDAGgAYQBuAG4AZQBsACAAQwByAHkAcAB0AG8AZwByAG
    EAcABoAGkAYwAgAFAAcgBvAHYAaQBkAGUAcgOBiQCO5g/Nk+lsuAJZideg15faBLqe4jiiytYeVBApxLrt
    UlyWEQuWdPeEFv0GWvsjQGwn+WC5m9kVNmcLVsx41QtGDXtuETFOD6dSi/M9wmEy8bsbcNHXs+sntX56Ac
    CxBXh1ALaE4YaE6e/zwmE/0/Cmyje3a2olE5rlk1FFIlKTDwAAAAAAAAAAMA0GCSqGSIb3DQEBBQUAA4GB
    AAr7zjg2ykZoFUYt1+EgK106jRsLxJcoqj0oEg575eAlUgbN1e2i/L2RWju7cgo9W7uwwpBIaEqd6LJ6s1
    BRpZz0yeJTDzGIXByG5O6kouk+0H+WHCj2yI30zik8aSyCQ3rQbNvHoURDmWqv9Rp1BDC1SNQLEzDgZjKP
    rsGZAVLb
    
    -----END NEW CERTIFICATE REQUEST-----
  7. 在 [已發出的憑證] 頁面上,按一下 [DER 編碼],然後按一下 [下載憑證]。

  8. 在 [檔案下載] 對話方塊中,按一下 [將這個檔案存到磁碟],然後按一下 [確定]。保留將此檔案儲存到桌面的預設設定,按一下 [儲存]。

  9. 關閉 Internet Explorer。

此時您的桌面上會有一個伺服器憑證,您可以將它匯入 Exchange 伺服器憑證存放區中。

接著,您必須安裝此憑證。

安裝憑證
  1. 啟動 [網際網路資訊服務 (IIS) 管理員],並展開 <DomainName>

  2. 以滑鼠右鍵按一下 [預設的網站],然後按一下 [內容]。在 [內容] 對話方塊中,選取 [目錄安全設定] 索引標籤。在 [安全通訊] 底下按一下 [伺服器憑證]。

  3. 在 [憑證精靈] 對話方塊中,按一下 [下一步]。

  4. 選取 [處理擱置要求及安裝憑證]。按一下 [下一步]。

  5. 瀏覽至或輸入包含伺服器憑證 certnew.txt 之檔案 (位於桌面上) 的位置和檔案名稱,然後按一下 [下一步]。

  6. 選取要使用的 SSL 連接埠。建議您使用預設的 SSL 連接埠,也就是 [連接埠 443]。

  7. 在 [憑證摘要資訊] 對話方塊中,按一下 [下一步],然後按一下 [完成]。

驗證安裝

若要驗證安裝,您可以檢視伺服器憑證。

檢視伺服器憑證
  1. 在 [預設的網站內容] 對話方塊中,按一下 [目錄安全設定]。在 [安全通訊] 底下,選取 [檢視憑證]。下圖顯示 [憑證] 對話方塊。

    Cc182245.bug29230-fig06-sm(zh-tw,TechNet.10).jpg

    憑證資訊
  2. [憑證] 對話方塊底端顯示的訊息指出,如果適用的話,會安裝私密金鑰。按一下 [確定] 以關閉 [憑證] 對話方塊。

    Cc182245.note(zh-tw,TechNet.10).gif 附註:

    如果憑證並未顯示裝置具有與憑證對應的私密金鑰,透過無線的方式同步處理可能不會成功。

為了讓驗證順利運作,您必須將 CA 新增到信任的根 CA 清單中。

將 CA 新增到信任的根 CA 清單
  1. 啟動 Internet Explorer,並輸入憑證授權單位的 URL。例如,如果您是從之前設定的 CA 接收伺服器憑證,請輸入 http://<server_name>/certsrv

  2. 按一下 [下載 CA 憑證、憑證鏈結或 CRL],然後在下一頁按一下 [下載 CA 憑證]。在 [檔案下載] 對話方塊中,按一下 [將這個檔案存到磁碟],然後按一下 [確定]。

  3. 輸入伺服器憑證 [名稱] (例如,<certnewca.cer>),然後將檔案儲存到桌面。

  4. 瀏覽至桌面。以滑鼠右鍵按一下在步驟 3 所建立的檔案,然後按一下 [安裝憑證]。在 [憑證匯入精靈] 對話方塊中,按一下 [下一步]。

  5. 按一下 [將所有憑證放入以下的存放區],然後按一下 [瀏覽]。選取 [信任的根憑證授權] 資料夾,然後按一下 [確定]。下圖顯示 [選擇憑證存放區] 對話方塊。

    您可以使用 [中繼憑證授權] 來取代 [信任的根憑證授權]。

    Cc182245.bug29230-fig07-sm(zh-tw,TechNet.10).gif

    選擇憑證存放區
  6. 按一下 [下一步]。此時會出現對話方塊,說明已經將憑證新增到信任的憑證存放區;在此對話方塊中按一下 [是]。按一下 [完成],此時會顯示 [匯入成功] 的訊息。

備份伺服器憑證

您可以使用「網頁伺服器憑證精靈」來備份伺服器憑證。由於 IIS 與 Windows 緊密結合,因此您可以使用憑證管理員 (在 Microsoft Management Console (MMC) 中稱為 [憑證]) 來匯出和備份伺服器憑證。

如果您的 MMC 並未安裝憑證管理員,那麼您必須將憑證管理員新增到 MMC。

將憑證管理員新增到 MMC
  1. 從 [開始] 功能表按一下 [執行]。

  2. 在 [開啟] 方塊中輸入 mmc,然後按一下 [確定]。

  3. 按一下 [檔案] 功能表上的 [新增/移除嵌入式管理單元]。

  4. 在 [新增/移除嵌入式管理單元] 對話方塊中,按一下 [新增]。

  5. 下圖顯示 [新增/移除嵌入式管理單元] 和 [新增獨立嵌入式管理單元] 對話方塊。在 [可用的獨立嵌入式管理單元] 清單中,按一下 [憑證],然後按一下 [新增]。

    Cc182245.bug29230-fig08-sm(zh-tw,TechNet.10).gif

    新增獨立嵌入式管理單元
  6. 按一下 [電腦帳戶],然後按一下 [下一步]。

  7. 按一下 [本機電腦] (正在執行此主控台的電腦) 選項,然後按一下 [完成]。

  8. 按一下 [關閉],然後按一下 [確定]。

安裝憑證管理員之後,就可以備份您的伺服器憑證。

備份伺服器憑證
  1. 找到正確的憑證存放區。此存放區通常是 [憑證管理員中的本機電腦存放區]。

Cc182245.note(zh-tw,TechNet.10).gif 附註:

安裝「憑證管理員」之後,它會指向正確的 [本機電腦] 憑證存放區。

  1. 在 [個人] 存放區中,按一下要備份的伺服器憑證。

  2. 在 [動作] 功能表上,指向 [所有工作],然後按一下 [匯出]。

  3. 在 [憑證管理員匯出精靈] 中,按一下 [是,匯出私密金鑰]。

  4. 採用精靈預設設定,並在提示出現時輸入伺服器憑證備份檔案的密碼。

Cc182245.note(zh-tw,TechNet.10).gif 附註:

請勿選取 [如果匯出成功的話就刪除私密金鑰],因為這樣會停用您目前的伺服器憑證。

  1. 完成精靈以匯出伺服器憑證的備份複本。

設定網路以發出伺服器憑證之後,您必須強制 Exchange 前端伺服器使用 SSL 通訊,以便保護 Exchange 前端伺服器及其服務。下節會說明如何在您的預設網站啟用 SSL。

在預設網站上啟用 SSL

當您取得 SSL 憑證並用於預設網站上的 Exchange 前端伺服器或裝載 \Exchange、\Exchweb、\Microsoft-Server-ActiveSync、\OMA、\Public 及 \RPC 虛擬目錄的網站之後,您可以將預設網站啟用為需要使用 SSL。

Cc182245.note(zh-tw,TechNet.10).gif 附註:

根據預設,任何 Exchange Server 2003 SP2 安裝作業都會安裝 \Exchange、\Exchweb、\Microsoft-Server-ActiveSync、\OMA 及 \Public 虛擬目錄。當您將 Exchange Server 2003 SP2 設為支援 RPC over HTTP 時,便會手動安裝 RPC over HTTP 通訊的 \RPC 虛擬目錄。

如需如何將 Exchange Server 2003 設為使用 RPC over HTTP 的相關資訊,請參閱 <Exchange Server 2003 RPC over HTTP 部署案例>(英文)。

在預設網站上要求使用 SSL 連線

  1. 在 [網際網路資訊服務 (IIS) 管理員] 中,選取 [預設的網站] 或裝載 Exchange Server 2003 伺服器的網站,然後按一下 [內容]。

  2. 在 [目錄安全設定] 索引標籤的 [安全通訊] 方塊中,按一下 [編輯]。

  3. 下圖顯示 [安全通訊] 對話方塊。按一下 [必須有安全通道 (SSL)] 核取方塊。按一下 [確定]。

    Cc182245.bug29230-fig09-sm(zh-tw,TechNet.10).jpg

    安全通訊
  4. 視您的安裝內容而定,可能會出現 [繼承覆寫] 對話方塊。選取要繼承新設定的虛擬目錄 (例如,Microsoft-Server-ActiveSync),然後按一下 [確定]。

  5. 在 [目錄安全設定] 索引標籤上,按一下 [確定]。

完成此程序之後,位於預設網站上的 Exchange 前端伺服器中的所有虛擬目錄都會設為使用 SSL。

設定基本驗證

只要將伺服器憑證繫結到網站之後,Exchange ActiveSync 網站就可支援 SSL 連線。但是,使用者仍然可以選擇使用非安全性連線連接到 Exchange ActiveSync 網站。您可以要求所有用戶端 Windows Mobile 裝置必須先成功交涉 SSL 連結,然後才連線到 Exchange ActiveSync 網站目錄。

另外也建議您針對 ISA Server 提供給外部使用者存取的 HTTP 目錄,強制使用基本驗證。如此一來,您就可以利用從防火牆轉送基本驗證憑證到 Exchange ActiveSync 網站的這項 ISA Server 功能。

要求對 Exchange ActiveSync 網站目錄使用 SSL 連線

這樣可防止任何未驗證的通訊連到 Exchange ActiveSync 網站,同時大幅提升安全性等級。

Cc182245.note(zh-tw,TechNet.10).gif 附註:

如果您打算使用憑證驗證而非基本設定,您必須遵循設定 Exchange ActiveSync 的 SSL 連線的指示來部署 SSL,這些指示位於 <附錄 A:部署 Exchange ActiveSync 憑證型驗證>。

您可以對 [IIS MMC] 主控台左邊窗格中的 /Exchange、/Exchweb、/OMA 及 /Public 目錄重複執行這些步驟。在您提供給遠端使用者存取的五個網站目錄中要求使用 SSL 連線即可完成這個動作:

/Exchange

要求 Exchange ActiveSync 網站目錄使用 SSL 連線
  1. 按一下 [開始],指向 [系統管理工具],然後按一下 [網際網路資訊服務 (IIS) 管理員]。在 [網際網路資訊服務 (IIS) 管理員] 中,展開您的伺服器名稱,然後在主控台的左邊窗格中展開 [預設的網站] 節點。

  2. 以滑鼠右鍵按一下 [Microsoft-Server-ActiveSync] 目錄以便反白顯示此目錄,然後按一下 [內容]。

  3. 按一下 [目錄安全設定]。在 [驗證和存取控制] 框架中,按一下 [編輯]。

  4. 下圖顯示 [驗證方法] 對話方塊。按一下以清除 [基本驗證] (密碼以純文字傳送) 核取方塊以外的所有核取方塊。勾選 [基本驗證] 核取方塊。

    Cc182245.bug29230-fig10-sm(zh-tw,TechNet.10).jpg

    驗證方法

Cc182245.note(zh-tw,TechNet.10).gif 附註:

在後端 (信箱) 伺服器上,您必須啟用 [整合式 Windows 驗證],Exchange ActiveSync 才能運作。請只在前端 Exchange 伺服器上停用此選項。

  1. 在警告憑證應受 SSL 保護的對話方塊中按一下 [是]。在 [預設網域] 文字方塊中,輸入您的網域名稱。

  2. 按一下 [確定]。

  3. 在 [Exchange 內容] 對話方塊中,按一下 [套用],然後按一下 [確定]。

  4. 在您選取的目錄上要求基本驗證之後,關閉 [網際網路資訊服務 (IIS) 管理員] 主控台。

確認並未在 Exchange 前端伺服器上選取表單型驗證

如果不使用 ISA Server 來發行 Exchange Web 用戶端存取,您可以在 Exchange 前端伺服器上設定表單型驗證。但是如果使用 ISA Server 來發行 Exchange Web 用戶端存取,則只應該在 ISA Server 電腦上設定表單型驗證。

請執行下列程序來確認並未在 Exchange 前端伺服器上選取表單型驗證。

確認並未在 Exchange 前端伺服器上選取表單型驗證
  1. 啟動 Exchange 系統管理員。

  2. 若已啟用系統管理群組,展開 [系統管理群組]。

  3. 展開 [伺服器],然後展開您的前端伺服器。

  4. 依序展開 [通訊協定]、[HTTP],以滑鼠右鍵按一下 Exchange 虛擬伺服器,然後按一下 [內容]。

  5. 按一下 [設定] 索引標籤,並清除 [啟用表單型驗證] 核取方塊。

  6. 按一下 [確定]。

  7. 如果您收到一則說明必須重新啟動網際網路資訊服務 (IIS) 的訊息,按一下 [確定]。若要重新啟動 IIS,請在命令提示輸入下列命令:iisreset。

Cc182245.note(zh-tw,TechNet.10).gif 附註:

針對在您的環境中用於 Outlook Web Access 的每部 Exchange 前端伺服器執行此程序。

設定或更新 RSA SecurID Agent (選擇性)

如果您已經選擇部署 RSA SecurID 做為額外的安全性層,此時就應該將您的 Exchange 伺服器設為 RSA ACE/Server 資料庫內部的 Agent Host。

Cc182245.note(zh-tw,TechNet.10).gif 附註:

IIS 6.0 與 RSA/ACE Agent 之間已經有時間限制。為了提高與 IIS 6.0 的相容性,請務必更新 RSA/ACE Agent。如需詳細資訊,請參閱 RSA Security 網站 (英文)。

透過限制可能的攻擊面來保護 IIS

在網際網路上公開伺服器之前,建議您除非必要,否則關閉所有功能與服務,藉此保護 IIS。

  • 在 Windows Server 2003 中,預設已經停用 IIS 功能,以確保您的伺服器會套用最安全的預設設定。

  • 在 Microsoft Windows Server 2000 中,您可以下載並執行「IIS 鎖定精靈」和 UrlScan 工具來保護 IIS。

Windows Server 2003 SP2 和 IIS 6.0

Microsoft Windows Server 2003 提供許多內建功能來保護 IIS 6.0 伺服器的安全性。為了阻擋惡意使用者和攻擊者,Windows Server 2003 系列產品的預設設定並不包括 IIS。IIS 在安裝時被設為高度安全性,即「鎖定」模式,只允許靜態內容。利用 Web 服務延伸模組功能,您可以進一步根據組織的個別需求來啟用或停用 IIS 功能。

如需詳細資訊,請參閱《IIS 部署指南》中的<減少網頁伺服器的攻擊面>(IIS 6.0) (英文),網址是:http://go.microsoft.com/fwlink/?LinkId=67608

使用 UrlScan

UrlScan 2.5 版是一項安全性工具,可限制網際網路資訊服務 (IIS) 接受的 HTTP 要求類型。透過封鎖特定 HTTP 要求,UrlScan 安全性工具有助於防止可能有害的要求進入伺服器。UrlScan 2.5 現在會以獨立安裝的形式安裝在執行 Microsoft IIS 4.0 以及更新版本的伺服器上。

UrlScan 2.5 不包含在 IIS 6.0 中,因為 IIS 6.0 的內建功能可以提供與 UrlScan 2.5 的大部分功能相同或更好的安全性功能。除了 IIS 6.0 提供的功能之外,UrlScan 提供動詞命令控制 (verb control) 等一些額外功能。此外,如果您已對 IIS 與其他 Microsoft 伺服器將 UrlScan 安全性工具統合至伺服器管理實務,您可能會想利用 UrlScan 2.5 的附加功能與特性。

若要下載 UrlScan 安全性工具,請造訪 UrlScan 安全性工具網站 (英文)。

如需有關 UrlScan 以及 UrlScan 所提供不包含在 IIS 6.0 中的其他功能的詳細資訊,請參閱 UrlScan Security Tool 網站 上的 <判斷如何與 IIS 6.0 搭配使用 UrlScan 2.5> (英文)。

UrlScan 必須正確設定才能與 Exchange Server 2003 SP2 一起使用,如需如何設定 UrlScan 以便與 Exchange Server 2003 SP2 一起使用的完整資訊,請參閱<在 Exchange Server 2003 SP2 環境中使用 UrlScan 工具的微調處理和已知問題>。

Windows Server 2000

若您是使用 Windows Server 2000,您應該下載「IIS 鎖定精靈」,以協助您停用環境中不必要的 IIS 功能和服務。為了提供防範攻擊者的多層保護,「IIS 鎖定精靈」也包含舊版的 UrlScan 安全性工具,此舊版工具與前文所述的 UrlScan 2.5 功能的運作方式幾乎一樣。

「IIS 鎖定精靈」包含 Exchange 的設定範本,可關閉不想要的功能與服務。若要使用此設定範本,請執行「IIS 鎖定精靈」,選取 Exchange 範本,然後變更或接受預設的設定選項。鎖定工具中也提供其他範本。

如需如何安裝和使用「IIS 鎖定精靈」的詳細資訊,請參閱 <如何安裝並使用 IIS 鎖定精靈>。

若要下載 IIS Lockdown Tool (2.1 版),請造訪 Windows 2000 網站上的「IIS Lockdown Tool (2.1 版)」(英文)。

Cc182245.note(zh-tw,TechNet.10).gif 附註:

為了盡可能提高 Exchange 伺服器的安全性,請記得在套用「IIS 鎖定精靈」的前後都要套用所有必要的更新程式。這些更新程式能夠保護伺服器並防止已知的安全性漏洞。

顯示: