第 2 章 – 維護 Exchange 環境的安全之1

  • 本頁索引

般 Exchange 安全性考量

許多公司以 Microsoft Exchange 的功能為基礎,建立重要的業務程序。因此,在任何一段時間內,若沒有 Exchange 所提供的各項服務 (例如:電子郵件、行事曆、連絡人資訊、共同作業應用程式等等),將造成極大不便。

但繼續執行 Exchange 2000 作業的風險之一是:可能遭受公司內部或外部的惡意攻擊。尤其是使用 Exchange 的風險更大,因為其存取的範圍太廣泛了。幾乎在公司裡的每一個人都能夠存取 Exchange,甚至一些 Exchange 還會開放地供外界透過網際網路使用。

在本章中,將會仔細探討使用者所能採取的步驟,以便降低對 Exchange 2000 環境惡意攻擊的風險。
 

請注意:當變更 Exchange 2000 的環境時,一定要徹底詳實地記錄下所作的每一項變更。如需有關在 Exchange 中執行變更和設定管理的詳細資訊,請參閱《Microsoft Exchange 2000 Server Operations》。如需進一步的詳細資訊,請參閱本章結尾的〈其他資訊〉一節。

一般 Exchange 安全性考量

考慮如何提升 Exchange 的安全性時,一定要牢記:Exchange 其實是由好幾個處理序所組合而成的,而且這些處理序在本端或遠端電腦上皆可彼此互相通訊。確切地說,Exchange 伺服器需要與其他 Exchange 伺服器、網域控制站和各種不同的用戶端進行通訊交流。IIS 是 Exchange 功能所不可或缺的一部份,Exchange 伺服器甚至可以透過檔案系統來存取。由於這一系列複雜的關係,當您企圖鎖定 Exchange 伺服器時,就必須考量到其他各種的元件。其中包括:

  • 服務安全性
  • 檔案安全性
  • IIS 安全性
  • 登錄項目
  • 基礎 Windows 2000 安全性
  • 網域控制站/全域資料目錄安全性
  • Active Directory 安全性
  • Exchange 資料庫安全性
  • Exchange 傳輸機制

Exchange 服務依存性

本指南的目標在協助您在不影響 Exchange 的核心功能的狀況下,盡可能地維護 Exchange 2000 環境的安全。主要範圍之一就是檢視 Exchange 服務。Exchange 是在 Windows 2000 上執行,而且必須執行某些 Windows 2000 服務才能安裝,或讓其繼續正常運作。有些 Exchange 服務彼此之間也有相互依存的關係。 下列圖表顯示了依據預設時,在 Exchange 伺服器上執行的服務以及這些服務彼此之間的依存性。


  圖 2.1 Exchange 伺服器服務依存性

圖 2.1 Exchange 伺服器服務依存性


在本指南中提供了許多服務的設定,在一般情況下,這些設定會按預設自動啟動。您可以停用一些服務,但可能會導致伺服器上缺乏某些功能。因此,請您判斷損失了這些功能對您的環境來說是否恰當。

安裝 Exchange

安裝 Exchange Exchange 2000 是一種修改應用程式的結構描述。也就是說,當執行安裝程式 / forestprep 時,同時也會修改結構描述。因此,當安裝了各個 Exchange 2000 伺服器之後,就會修改設定容器來包含適當的 Exchange 2000 物件。在實際作業上,真正的意義是:執行安裝程式 / forestprep 的帳戶必須擁有結構描述管理權限,而同時用來安裝 Exchange 的任何帳戶則必須具備「Exchange 全權管理員」(Exchange Full Administrator) 權限。
 

請注意:如需有關 Exchange 2000 權限的詳細資訊,請參閱《Microsoft Exchange 2000 Internals》:〈Permissions Guide〉。如需進一步的詳細資訊,請參閱本章結尾的〈其他資訊〉一節。

在權限管理上各方面都應該顧及的就是:確保管理員只擁有執行工作時必須具備的權限而已。尤其是高層級權限更需要特別的嚴密防衛。您應該考慮在預設時讓 Schema Admins 群組保留為空白,然後再明確地將使用者新增至群組中來執行安裝程式 / forestprep。讓 Schema Admins 群組保留為空白是不錯的通用手法,因為可以確保在任何應用程式擅自修改結構描述之前,您總是會先收到警告。

結構描述管理員在執行安裝程式 / forestprep 的程序中,可以藉機指定一個 Exchange 2000 管理員帳戶。此帳戶被授予掌控整個 Exchange 組織的 Exchange 全權管理員權限,因此能夠執行後續的 Exchange 安裝作業。在進行安裝時降低安全風險的方法之一是:建立特定的通用安全群組,授予安裝 Exchange 的權限。然後再將該群組定義為 Exchange 全權管理員。因此,您就可以透過控制群組的成員,來嚴密地控制安裝 Exchange 的人員。

Exchange 2000 補強管理

若要盡可能隨時維護 Exchange 安全,就必須確定一直保有最新版修補程式。其中包括兩項要素 — 確定作業系統是最新版本,以及確定 Exchange 是最新版本。如果作業系統有安全性漏洞時,Exchange 2000 也一樣會有安全性漏洞,因此必須慎重處理 Exchange 伺服器上作業系統的安全性。

目前就有好幾種公用程式可以讓您保有最新版本的 Windows 2000 Service Packs、Hotfix 和修補程式。為了因應這項問題,Microsoft 也提供兩種公用程式 – Hfnetchk 與 Microsoft Baseline Security Analyzer。

自從 Windows 2000 Service Pack 2 發表之後,也已出現了好幾種安全性更新程式,幸好其中許多程式都已集合在一起並組成了 Windows 2000 的安全彙總套件。如需進一步的詳細資訊,請參閱本章結尾的〈其他資訊〉一節。同時,您也必須確保 IIS 和 Internet Explorer 的安全性漏洞保護也都是最新版。

Exchange 2000 的安全性漏洞比起 Windows 2000 的安全性漏洞而言是少之又少,本節內容中所提及的工具也很少發現報告該類安全性漏洞。請設法確定接到通知,以取得 Microsoft 所發表的任何新修補程式,來提升環境安全。如果您訂閱了 Microsoft 安全性公告,就會自動接到這些通知。

請注意:如需有關 Microsoft 安全性公告的進一步詳細資訊,請參閱本章結尾的〈其他資訊〉一節。


請注意:如需有關在 Windows 2000 環境中進行補強管理的進一步詳細資訊,請參閱《Microsoft Windows 2000 Server 安全性作業》。


請注意:如需有關 Exchange 2000 的建議設定和更新程式之詳細資訊,請參閱本章結尾的〈其他資訊〉一節。

維護用戶端環境安全

Exchange 2000 是一種用戶端伺服器應用程式。因此在考量 Exchange 環境的整體安全性時,也務必要檢查所要使用之用戶端的安全性。 Exchange 支援大批各種不同的用戶端。在風險管理策略之中,也應該包含檢查絕對必要的用戶端,而且僅限於這些必要的用戶端。請確定所使用的是最新版且經過修補的用戶端軟體,並定期查看是否有用戶端安全性更新,因為用戶端安全性更新跟伺服器是同樣重要的。 維護用戶端安全的重要利器就是使用者。如果能夠教導使用者來謹慎小心地使用用戶端時,就可以降低遭受攻擊的風險。例如,使用者應該認識了解電子郵件病毒、病毒惡作劇、連鎖信函和不請自來的郵件。

請注意:如需有關在用戶端與伺服器之間維持安全通訊的詳細資訊,請參閱第 4 章〈 維護 Exchange 通訊安全〉

保護安全抵制地址詐欺

攻擊電子郵件系統最常見的手法之一就是篡改電子郵件訊息中的 [寄件者:] 欄位。SMTP (Simple Mail Transfer Protocol) 不會進行檢查作業來驗證使用者的身份,但是卻可以在 Exchange 中執行某些動作,來將郵件詐欺的情形減到最少。

地址詐欺所暗藏最嚴重的問題之一,就是利用內部使用者的電子郵件地址從外部進行攻擊。其運用手法不止一種,經常是以一種達成特殊社會目標的社交工程手法來說服另一個使用者洩露機密資訊,然後反過來利用這項資訊作進一步攻擊。

依據預設,Exchange 2000 會將通訊錄中的電子郵件地址解析成為全域通訊名單中所用的名稱。這項作業使得系統難以分辨郵件是否確實由組織外部發送而來的。不過,可以藉由變更預設行為,讓來自組織外部的郵件保留為不解析狀態。然後,如果能教導使用者尋找未解析的電子郵件地址,就能協助您對付這種地址詐欺行為。

請注意:如需有關確保來自 Exchange 組織以外的郵件保留為未解析狀態之詳細資訊,請參閱知識庫文件 Q288635〈XIMS:ResolveP2 Functionality in Exchange 2000 Server〉。

如果直接從網際網路上的其他網域接到郵件,可以藉由設定 SMTP 虛擬伺服器,對收到的電子郵件執行反向網域名稱系統 (DNS) 尋查。這項作業可以驗明寄件者的寄件者郵件伺服器網際網路協定地址 (IP) (及其完整網域名稱) 確實與郵件中的網域名稱相符。

但反向尋查確實會額外加重 Exchange 伺服器的負擔。同時 Exchange 伺服器也必須能夠連絡寄件網域的反向尋查區。

請注意:如需有關使用反向 DNS 尋查的詳細資訊,請參閱知識庫文件 Q319356〈HOW TO:Prevent Unsolicited Commercial E-Mail in Exchange 2000 Server〉。

防毒措施

環境安全最重大的威脅之一是透過電子郵件傳輸的病毒。電子郵件病毒可能會攻擊電腦系統本身,也可能會攻擊電子郵件環境,所用手法是大量向系統傳送訊息直到超載為止。因此,您必須確保在您的環境中,配備有適當的防毒保護。

應該考慮施行病毒保護之處,包括了:防火牆、在 SMTP 閘道上或閘道外、在各個 Exchange 伺服器上及各個用戶端上。

請注意:如需有關 Exchange 伺服器上防毒軟體的詳細資訊,請參閱知識庫文件 Q245822〈XGEN:Recommendations for Troubleshooting an Exchange Computer with Antivirus Software Installed〉。

在用戶端層級上,Outlook 2002 會封鎖許多附件,以防止附件被檢視而引發可能造成環境損壞的潛在危險。但是,請務必牢記:如果同時也允許使用 Outlook Web Access (OWA) 時,OWA 用戶端將不會封鎖這些附件。

請注意:如需有關保護病毒攻擊以及發生狀況時的處理方式之詳細資訊,請參閱《Microsoft Exchange 2000 Server Operations》。

保護抵制不請自來的郵件 (垃圾郵件)

不請自來的郵件對許多公司而言,都可能成為相當重大的問題。影響所及是要付出昂貴的代價,包括從因處理郵件而損失的使用者時間,到因攜帶運送及儲存不必要的郵件而浪費頻寬和儲存空間。

不請自來的郵件是很難防衛抵制的攻擊。但是,依然可以藉由採取多種措施來減少收到不請自來的郵件數量。

教育使用者

網路上的使用者是抵制不請自來郵件的重要防衛。這種郵件通常都是在網路上利用要達到特殊社會目標而執行的社交工程手法來進行,因此務必要教育使用者如何加以避免這樣的情況。例如,使用者可能會接到不請自來的郵件包含了否認聲明,該聲明會表明若不要列入郵寄名單中,就必須回覆郵件,而且郵件主旨欄中包括了移除 (REMOVE) 字樣。這種郵件的目的經常只不過是為了確認電子郵件是否有效,以便再次加以利用。此外,使用者必須了解:不論任何情況下,都不要理會不請自來的郵件。而且,使用者必須要知道 ─ 不要將不請自來的郵件轉寄給其他同事。

Outlook 2002 中的不請自來的郵件功能

Outlook 2002 具備一些內建的功能,可以協助您保護使用者以避免收到不請自來的郵件。Outlook 可以搜尋電子郵件中的某些字詞,自動將含這些字詞的郵件從 [收件匣] 移到您所指定的任何資料夾中,包括 Outlook 建立的垃圾郵件資料夾,或是 [刪除的郵件] 資料夾。

Outlook 會將用來篩選不請自來郵件的用語清單儲存在 filters.txt 資料夾中,此檔案包含了一份不請自來郵件的寄送者清單。也包含其他字詞,若該字詞出現在郵件中時,郵件本身會被視為不請自來郵件而加以處理。 當第一次開始使用這些功能時,應該要確定您的使用者已經檢查過從收件匣移除的郵件,確定並未在無意中移除有效的郵件。

請注意:如需有關在 Outlook 2002 中避免收到不請自來郵件的詳細資訊,請參閱 Microsoft Office Assistance Center 中的文件〈Manage Junk and Adult Content Mail in Outlook 2002〉。進一步詳細資訊,請參閱本章結尾的〈其他資訊〉一節。

Exchange 2000 的不請自來郵件功能 內建於 Exchange 2000 的功能可以協助您避免收到不請自來的郵件。尤其是可以防止傳送沒有指明寄件者的郵件,或是來自特定網域的郵件。而且可以在所有 Exchange 伺服器上執行篩選,也可以決定由特定 SMTP 虛擬伺服器來執行篩選。

請注意:如需有關使用 Exchange 2000 Server 篩選不請自來郵件的詳細資訊,請參閱知識庫文件 Q276321〈XADM, How to Filter Junk Mail in Exchange 2000〉。


請注意:還可以使用郵件過濾器,以更進一步防範不請自來的郵件。第 4 章〈維護 Exchange 通訊安全〉會更詳細探討這項功能。

保護抵制拒絕服務攻擊

一般來說,拒絕服務攻擊是很難加以防衛的。但是 Exchange 仍然有幾項設定可以協助您進行防衛。在 SMTP 虛擬伺服器上設定郵件限制參數,可以讓您指定每封郵件的最大收件者數目、最大郵件大小、每次連線最大郵件數量等等。這些限制可以確保打算透過郵件傳輸拒絕服務攻擊是難以進行的。


請注意:如需有關設定郵件限制的進一步詳細資訊,請參閱知識庫文件 Q319356〈HOW TO:Prevent Unsolicited Commercial E-Mail in Exchange 2000 Server〉。

另一種拒絕服務攻擊的方式,可能是利用傳送大量郵件給特定伺服器,以致於伺服器耗盡磁碟空間而造成的。因此,可以設定信箱和公用資料夾上的儲存限制,將這種現象的發生機率減到最低。

請注意:如需有關設定儲存限制的進一步詳細資訊,請參閱知識庫文件 Q319583〈HOW TO:Configure Storage Limits on Mailboxes in Exchange 2000〉。

顯示: