Exchange 安全指南.docx
《Exchange 安全指南.docx》由会员分享,可在线阅读,更多相关《Exchange 安全指南.docx(64页珍藏版)》请在冰豆网上搜索。
Exchange安全指南
Exchange2010安全指南
适用于:
ExchangeServer2010SP3,ExchangeServer2010SP2
上一次修改主题:
2012-03-08
本指南为负责保证Microsoft ExchangeServer2010部署安全性的IT管理员而编写,专用于帮助IT管理员了解和管理Exchange所安装在的整体安全环境。
过去,Exchange团队针对每个版本的MicrosoftExchange都发布了单独的安全性强化指南,用以提供有关权限和安全性的信息。
此方法对于在运行Exchange2010安装程序后锁定服务和目录很有意义。
但是,从Microsoft ExchangeServer2007起,Exchange安装程序仅启用所安装服务器角色需要的服务,而不再先安装MicrosoftExchange,然后再对其进行安全性强化。
这种设计旨在帮助您提高默认情况下的安全性。
因此,Exchange2010不需要进行任何锁定或强化,这与早期版本的MicrosoftExchange不同,在早期版本中,IT管理员必须执行多个过程来锁定运行MicrosoftExchange的服务器。
适用范围
Exchange2010遵循“Microsoft安全开发生命周期(SDL)”原则而开发。
针对每项功能和组件都进行了安全性审核。
经过慎重选择的默认设置可以确保部署更具安全性。
本指南旨在向管理员介绍与安全性相关的功能以及可能影响安全性考量因素的功能。
本指南链接到Exchange2010文档中与安全性相关的主题。
这些主题列在“附录1:
其他与安全性相关的文档”中。
本指南将不介绍任何与强化WindowsServer操作系统相关的操作步骤。
目录
新增功能
Exchange2010安全开发生命周期
GettingSecure—BestPractices
StayingSecure—BestPractices
网络端口的使用及防火墙的强化
限制参数和客户端限制策略
基于角色的访问控制
ActiveDirectory
Exchange服务器帐户
文件系统
服务
证书
NTLM注意事项
双重身份验证
联合
Secure/MultipurposeInternetMailExtensions(S/MIME)
服务器角色注意事项
附录1:
其他与安全性相关的文档
新增功能
Exchange2010包括以下新增的安全性功能:
∙基于角色的访问控制 Exchange2010包含一个新的基于角色的访问控制模型,通过该模型,贵组织可以精细地管理分配给不同利益干系人(例如收件人管理员、服务器管理员、记录和发现管理员以及组织管理员)的权限。
∙限制策略 Exchange2010针对邮箱、客户端访问和传输服务器引入了限制机制,以保护贵组织免受拒绝服务攻击的侵害并减轻此类攻击的影响。
∙联合委派 Exchange2010引入了新的联合委派功能,您可以通过这些功能允许用户安全地与外部组织的用户进行协作。
通过联合委派,用户可以与外部联合组织的用户共享其日历和联系人信息。
该功能还使跨林协作成为可能,并且无需设置并管理ActiveDirectory信任关系。
∙信息权限管理 Exchange2010引入了新的信息保护和控制功能,使您既可以在多个层次保护敏感的邮件内容,同时又保证组织能够对受保护的内容进行解密、搜索以及应用邮件策略。
∙无安全配置向导 在Exchange2010中,安装程序会进行必要的配置更改,以便仅安装并启用特定Exchange服务器角色所需要的服务,同时将通信限定于每种服务器角色上运行的服务和进程所需要的端口。
这样,就无需再使用“安全配置向导”(SCW)等工具来配置这些设置。
Exchange2010安全开发生命周期
在2002年初,Microsoft引入了可信任计算计划。
自引入可信任计算后,Microsoft和MicrosoftExchange团队的开发流程始终致力于开发能帮助您获得更高安全性的软件。
有关详细信息,请参阅可信任计算。
在Exchange2010中,可信任计算是在以下四个核心领域中实现的:
∙设计安全 设计和开发Exchange2010时要遵照 可信任计算安全开发生命周期。
创建更加安全的邮件系统的第一步是设计威胁模型并在设计时测试每个功能。
多个与安全相关的改进功能内置在编码过程和实践中。
生成时间工具将检测缓冲区溢出和其他潜在的安全性威胁。
没有任何系统会保证完全的安全。
但是,通过将安全设计原则包含到整个设计流程中,Exchange2010比早期的版本更加安全。
∙默认安全性 Exchange2010的一个目标是开发一个在默认情况下对大多数网络通信都进行加密的系统。
除“服务器消息块”(SMB)通信和一些“统一消息”(UM)通信外,这一目标已经实现。
通过使用自签名证书、Kerberos协议、安全套接字层(SSL)和其他行业标准加密技术,几乎所有Exchange2010数据都在网络上得到保护。
此外,基于角色的安装使得可以在安装Exchange2010时使用某个特定的、合适的服务器角色仅安装服务及与这些服务相关的权限。
在早期版本的MicrosoftExchange中,必须为所有功能安装所有服务。
∙反垃圾邮件和防病毒功能 Exchange2010包含一套反垃圾邮件代理,这些代理运行于外围网络中的边缘传输服务器角色上,同时也可以安装在内部网络中的集线器传输服务器角色上。
新增Microsoft ForefrontProtection2010forExchangeServer作为Microsoft解决方案使防病毒功能得到进一步改进。
∙部署安全 在开发Exchange2010时,在Microsoft IT生产环境中已部署了该预发行版本。
基于来自该部署的数据,Microsoft Exchange服务器最佳实践分析工具已更新为扫描实际的安全配置,预先部署和后期部署的最佳实践均已记录在Exchange2010 帮助中。
过去,要在核心文档完成后才会记录并交付权限管理。
但是,我们知道权限管理并不是一个附加过程。
它应当纳入Exchange2010部署的总体规划与部署中。
因此,我们简化了权限文档流程,将其整合到核心文档中,以便在管理员规划和部署管理模型时为其提供无缝的上下文环境。
Exchange2010具有基于角色的新权限模型,使您能够为管理员和用户授予精细化的权限,使他们能够以所需的最小权限执行任务。
∙通信 现在Exchange2010已经发行,Exchange团队致力于及时更新软件并通知给您。
通过使用Microsoft Update使您的系统保持最新状态,可以确保在您的组织中安装最新的安全更新。
Exchange2010还包含反垃圾邮件更新。
此外,通过订阅Microsoft技术安全通知,也可以跟踪Exchange2010中的最新安全问题。
实现安全性—最佳实践
有些基本的最佳实践可以帮助您创建和维护更加安全的环境。
通常,定期运行分析工具并及时更新软件和防病毒特征是优化Exchange2010环境以保证安全性的最有效方法。
设置与安装建议
以下最佳实践将帮助您创建更加安全的Exchange2010环境:
∙委派安装 对于组织内安装的第一台Exchange2010服务器,用来运行安装程序的帐户必须是“EnterpriseAdministrators”组的成员。
所用帐户将添加到由Exchange2010安装程序创建的“组织管理”角色组中。
通过委派安装,可以允许不属于“组织管理”角色组的管理员安装后续的服务器。
有关更多详细信息,请参阅设置Exchange2010Server和委派安装。
∙文件系统权限 Exchange2010安装程序将针对Exchange二进制文件和数据所在的文件系统分配所需的最低权限。
不得对文件系统上根文件夹和ProgramFiles文件夹的“访问控制列表”(ACL)进行任何更改。
∙安装路径 我们建议您将Exchange2010二进制文件安装在非系统磁盘(非操作系统安装卷)上。
Exchange数据库和事务日志可能会迅速增长,因此必须放置在大小适合于所需容量和性能的非系统卷上。
许多由不同Exchange组件生成的其他日志(例如传输日志)也与Exchange二进制文件存储在相同的安装路径中,并且可能会显著增长,具体取决于所用配置和消息环境。
在Exchange2010中,许多日志文件的最大大小和日志文件夹可占用的最大存储空间都是可以配置的,默认情况下设置为250MB。
为防止可能因磁盘空间不足而发生系统中断,我们建议您针对每种服务器角色评估日志记录要求,并根据需要配置日志记录选项和日志文件存储位置。
∙阻止旧版Outlook客户端 您可以根据需要配置Outlook客户端阻止功能,以阻止旧版的Outlook客户端。
某些Exchange2010功能(例如“Outlook保护规则”和“个人存档”)不支持旧版的Outlook客户端。
有关Outlook客户端阻止功能的详细信息,请参阅为邮件记录管理配置Outlook客户端阻止。
∙取消SMTP地址与用户名的联系 默认情况下,Exchange基于邮箱用户的用户名生成电子邮件地址和别名。
许多组织会创建额外的电子邮件地址策略来取消用户电子邮件地址与用户名的联系,从而提高安全性。
例如,如果用户BenSmith的用户名为bsmith,域为,则由默认电子邮件地址策略产生的主电子邮件地址为bsmith@。
您可以创建其他电子邮件地址策略,使生成的电子邮件地址不使用用户的别名或用户名。
例如,创建一个使用模板%g.%s@domain以Firstname.Lastname@domain格式生成电子邮件地址的电子邮件地址策略。
对于用户BenSmith,该策略将生成地址Ben.Smith@。
或者,您也可以在创建或启用邮箱时指定与用户名不同的别名,从而取消电子邮件地址与用户名的联系。
注意:
如果用户的主SMTP地址与帐户上的UPN不匹配,用户将无法使用其电子邮件地址来登录Microsoft Office OutlookWebApp,必须提供DOMAIN\username格式的用户名。
使用Microsoft Outlook时,如果在Outlook连接Autodiscover服务时系统提示输入凭据,用户必须提供DOMAIN\username格式的用户名。
MicrosoftUpdate
MicrosoftUpdate是一项服务,它所提供的下载与Microsoft WindowsUpdate提供的下载相同,此外,它还提供其他Microsoft程序的最新更新。
它可以帮助您提高服务器的安全性,确保服务器具有最佳的性能。
MicrosoftUpdate的一个关键功能是Windows自动更新。
此功能会自动安装对于您的计算机的安全和可靠性很关键的高优先级更新。
如果没有这些安全更新,计算机更易于遭受来自网络黑客和恶意软件的攻击。
接收MicrosoftUpdate的最可靠的方法是通过使用Windows自动更新让更新自动传送到您的计算机。
可以在注册MicrosoftUpdate时打开“自动更新”。
Windows接着会分析计算机上安装的Microsoft软件是否存在它所需要的任何当前和过去的高优先级更新,然后会自动下载并安装这些更新。
此后,当您连接到Internet时,Windows会重复此更新过程,以获取任何新的高优先级更新。
若要启用MicrosoftUpdate,请参阅MicrosoftUpdate。
MicrosoftUpdate的默认模式要求每个Exchange服务器都连接到Internet以接收自动更新。
如果您运行的服务器未连接到Internet,则可以安装WindowsServer更新服务(WSUS)来管理向组织中的计算机分发更新的操作。
然后可以配置内部MicrosoftExchange计算机上的MicrosoftUpdate来联系内部WSUS服务器以获取更新。
有关详细信息,请参阅 MicrosoftWindowsServerUpdateServices3.0。
WSUS并不是唯一可用的MicrosoftUpdate管理解决方案。
有关Microsoft安全发行、过程、通信和工具的详细信息,请参阅Microsoft安全更新指南。
Exchange2010不再需要执行的任务
不必再安装或运行以下工具:
∙对于IIS7,不需要使用URLScan安全工具。
在早期版本的MicrosoftExchange中,通常需要安装URLScan等IIS工具来保证IIS安装的安全性。
Exchange2010需要使用WindowsServer2008,该软件中包含IIS7。
起初由UrlScan提供的许多安全功能现在都可以从IIS7请求筛选功能中获得。
∙您不再需要安装Exchange最佳实践分析工具。
在早期版本的MicrosoftExchange中,通常需要在安装软件前安装并运行Exchange最佳实践分析工具,并且此后也需要定期运行该工具。
而Exchange2010安装程序中包含Exchange最佳实践分析工具组件,安装期间将会运行这些组件。
在安装软件前,将不需要运行Exchange最佳实践分析工具。
∙不再需要使用“安全配置向导”(SCW)或者SCW的Exchange模板。
Exchange2010安装程序仅安装特定Exchange服务器角色所需要的服务,并将创建高级安全Windows防火墙规则,以便仅开放该服务器角色的服务和进程所需要的端口。
完成此项操作不再需要运行“安全配置向导”(SCW)。
与ExchangeServer2007不同,Exchange2010不附带SCW模板。
保持安全性—最佳实践
以下的最佳实践建议将帮助您保持Exchange2010环境的安全性。
及时更新软件
如上一部分中所述,运行MicrosoftUpdate是一种最佳做法。
除了在所有服务器上运行MicrosoftUpdate之外,及时更新所有客户端计算机并保证在组织中所有计算机上及时更新防病毒软件也非常重要。
除了Microsoft软件外,还应确保为组织中运行的所有软件运行最新的更新。
反垃圾邮件更新
Exchange2010还使用MicrosoftUpdate基础结构来使反垃圾邮件筛选器保持最新状态。
默认情况下,使用手动更新时,管理员必须访问MicrosoftUpdate来下载和安装内容筛选器更新。
内容筛选器更新数据每两周更新一次,用户可进行下载。
从MicrosoftUpdate进行的手动更新包括MicrosoftIP信誉服务或垃圾邮件签名数据。
MicrosoftIP信誉服务和垃圾邮件签名数据只能通过ForefrontSecurityforExchangeServer反垃圾邮件自动更新来获得。
有关如何启用Forefront反垃圾邮件自动更新的详细信息,请参阅了解反垃圾邮件更新。
运行防病毒软件
电子邮件系统传递的病毒、蠕虫和其他恶意内容是大多数MicrosoftExchange管理员要面对的一种具有破坏性的实体。
因此,必须对所有邮件系统进行防御性防病毒部署。
本部分提供有关部署Exchange2010防病毒软件的最佳实践建议。
选择防病毒软件供应商时,应额外注意Exchange2010中的两点重要变化:
∙自ExchangeServer2007起,MicrosoftExchange基于64位体系结构构建。
∙Exchange2010具有传输代理功能。
这两点变化意味着,防病毒软件供应商必须提供专用于Exchange2010的软件。
针对早期版本的Exchange而编写的防病毒软件在Exchange2010中可能无法正常工作。
要使用深度防御方法,我们建议您在SMTP网关或邮箱的宿主Exchange服务器处部署专门为邮件系统设计的防病毒软件,此外还要在用户桌面上部署防病毒软件。
您可以在愿意承受的成本与风险之间找到适当的平衡点,以决定要使用哪些类型的防病毒软件以及在哪些位置部署该软件。
例如,某些组织在SMTP网关处运行防病毒邮件软件,在Exchange服务器上运行文件级防病毒扫描,并在用户桌面上运行防病毒客户端软件。
这种方式将在客户端专门针对邮件提供保护。
其他组织可能选择在STMP网关处运行防病毒邮件软件,在Exchange服务器上运行文件级防病毒扫描,在用户桌面上运行防病毒客户端软件,以及在Exchange邮箱服务器上运行与Exchange 病毒扫描应用程序编程接口(VSAPI) 2.5兼容的防病毒软件,这样需要承受更高的成本,但也因此提高了安全性。
在边缘传输服务器和集线器传输服务器上运行防病毒软件
基于传输的防病毒软件作为传输代理而实现,或者包括传输代理。
传输代理负责处理传输事件,与MicrosoftExchange早期版本中的事件接收器相似。
有关更多详细信息,请参阅了解传输代理。
注意:
未通过传输路由的邮件不受专门针对传输进行的病毒扫描的保护,例如公用文件夹中的项目、已发送邮件和日历项目,这些都只能在邮箱服务器上进行扫描。
第三方开发人员可以编写自定义的传输代理程序,以利用基础的MIME分析引擎进行可靠的传输级防病毒扫描。
有关Exchange防病毒和反垃圾邮件合作伙伴的列表,请参阅独立软件供应商。
此外,ForefrontProtectionforExchangeServer是与Exchange2010紧密集成的防病毒软件包,用于为Exchange环境提供额外的防病毒保护。
有关详细信息,请参阅适用于ExchangeServer的MicrosoftForefrontProtection2010。
邮件防病毒软件的最重要位置是组织中的第一道防线。
这是外部邮件进入您的邮件环境所必经的SMTP网关。
在Exchange2010中,第一道防线是边缘传输服务器。
如果在Exchange前使用非ExchangeSMTP服务器或网关接收入站电子邮件,应在非ExchangeSMTP主机上实施足够的反垃圾邮件和防病毒功能。
在Exchange2010中,所有邮件都要经过集线器传输服务器路由。
这其中包括从Exchange组织外部发送或接收的邮件、在Exchange组织内部发送的邮件,以及发件人邮箱与收件人邮箱位于同一邮箱服务器的邮件。
为了更好地在组织内部防御病毒爆发并部署第二道防线,我们还建议您在集线器传输服务器上运行基于传输的防病毒软件。
在邮箱服务器上运行防病毒软件
除了在传输服务器上执行病毒扫描外,运行在邮箱服务器上的Microsoft Exchange病毒扫描API(VSAPI)扫描解决方案也是许多组织中的重要安全屏障。
如果符合以下任一条件,则应考虑运行VSAPI防病毒解决方案:
∙贵组织尚未部署完善而可靠的桌面防病毒扫描产品。
∙贵组织希望可以通过扫描邮箱数据库来提供额外的保护。
∙您的组织已开发对Exchange数据库进行编程访问的自定义应用程序。
∙您的用户社区会经常将邮件发布到公用文件夹中。
使用ExchangeVSAPI的防病毒解决方案直接在Exchange信息存储进程内运行。
VSAPI解决方案很可能是可以防御在绕过标准客户端和传输扫描的同时将受感染的内容放到Exchange 信息存储中的攻击工具的仅有解决方案。
例如,VSAPI是用于扫描通过CDO(协作数据对象)、WebDAV和ExchangeWeb服务(EWS)提交到数据库的数据的唯一解决方案。
此外,当病毒爆发时,通过VSAPI解决方案通常可以最快地从受感染的邮件数据库中删除和消除病毒。
Exchange服务器和文件系统防病毒软件
如果通过部署文件系统防病毒软件来保护Exchange服务器,应考虑以下事项:
∙必须从文件系统防病毒扫描程序排除Exchange邮箱和公用文件夹数据库所在的Exchange服务器目录。
有关详细信息,请参阅Exchange2010上的文件级防病毒扫描。
∙文件系统防病毒扫描程序仅保护文件。
要保护电子邮件,还应考虑实施支持Exchange的防病毒或邮件安全产品(例如包括Microsoft Forefront在内的产品)或者合适的合作伙伴或第三方产品。
有关反垃圾邮件和防病毒保护的详细信息,请参阅了解反垃圾邮件和防病毒功能。
有关详细信息,请参阅ForefrontProtection2010forExchangeServer:
Overview。
∙必须及时更新防病毒和反垃圾邮件签名,才能有效地实施保护。
∙应定期审核防病毒和反垃圾邮件软件或服务所提供的报告,以确保保护功能已经启用并且正在按需工作,并迅速发现意外事件,采取任何必要的措施。
使用Exchange托管服务
Microsoft Exchange托管服务改进了垃圾邮件和病毒筛选功能,也可以将垃圾邮件和病毒筛选作为其中的一项服务提供。
Exchange托管服务是包含四个不同托管服务的服务组:
∙托管筛选,帮助组织防御以电子邮件为载体的恶意软件
∙托管存档,帮助组织满足合规性及文档保留的要求
∙托管加密,帮助组织加密数据以保护机密数据
∙托管连续性,帮助组织在断电期间以及之后继续访问电子邮件
这些服务与在内部管理的所有内部部署Exchange服务器相集成。
有关详细信息,请参阅ForefrontOnlineProtectionforExchange。
使用附件筛选
在Exchange2010中,可以通过附件筛选功能在边缘传输服务器上应用筛选器,以控制用户接收的附件。
在当今的环境中,许多附件类型都包含有害的病毒或不适宜的资料,这些内容可能会通过破坏重要文档或公开敏感信息而使用户计算机或组织遭受重大损失,因此,附件筛选变得日益重要。
可以使用下列类型的附件筛选来控制通过边缘传输服务器传入或传出组织的附件:
基于文件名或文件扩展名筛选可以通过指定要筛选的准确文件名或文件扩展名来筛选附件。
BadFilename.exe是准确文件名筛选器的示例。
*.exe是文件扩展名筛选器的示例。
基于文
升级会员 