安全生产我的邮箱成为如此安全.docx

1、安全生产我的邮箱成为如此安全21用户和联系人的管理 收件人对象的概念：用户账号和联系人是Exchange中经常使用的收件人对象，用户账号能够登录网络并且可以访问网络资源（例如公司员工）。 而联系人代表了再组织中想要与之联系的人员信息（例如经常联系的客户) 启用邮箱的收件人可以发送、接受和存储邮件。 启用邮件的收件人只能通过通讯薄接受邮件。 具体来说就是收件人对象包括用户、联系人和组，用户可以分为启用邮箱和启用邮件，启用邮箱是AD（域）用户 且有Exchange邮箱存储 启用邮件也是AD用户，但是没有Exchange邮箱存储。联系人不是AD用户且无Exchange邮箱存储。组包括通用分发组、通用

2、安全组和动态通讯组。 2.2邮箱管理 配置个人邮箱的存储配额：在“收件人配置”中点击“邮箱”节点，选择要设置的邮箱用户，点击“属性”，在邮箱用户属性 对话框中选“邮箱设置”，单击“存储配额”点击“属性”进行相关配置 配置所有用户的邮箱存储：展开“服务器配置”，单击“邮箱”。在操作框中单击“属性”，选择“限制” 2.3通讯组和地址列表管理通讯组类型说明通用分发组用于向用户集合发送电子邮件，无法用于分配权限通用安全组用于向用户集合发送电子邮件，可用于分配权限（NTFS）动态通讯组发送邮件时使用筛选器和条件来产生其成员的组地址列表：地址列表可以用来帮组管理员有效地组织和管理Exchange收件人。通

3、过地址列表把收件人按部门、商业单位、地理位置、类型等标准进行分类，用户可以方面的找到想联系的收件人。3.配置邮箱服务器 3.1了解存储组和数据库 First Storage Group：包含默认的邮箱数据库 Second Storage Group：包含默认的公用文件夹数据库 Exchange存储组是Exchange数据库机其相关联的系统文件和事务日志文件的逻辑容器。 数据库包括系统文件、事务日志文件和数据库文件。移动用户邮箱：即将用户邮箱从一台服务器迁移到另外一台服务器上。原因可能有如下： 升级：将现有的Exchange2003或2000组织升级到Exchange2007 负载平衡：为现有的

4、Exchange服务器之间平衡负载，可以移动邮 问题排查：如果需要调查邮箱的问题，可以将该邮箱移动到其他服务器上。 管理公用文件夹：创建公用文件夹数据库（一个服务器上只能创建一个公用文件夹数据库，可以创建多个邮箱数据库） 公用文件夹的项目类型包括日历项目、联系人项目、InfoPath表单项目、日记项目、邮件和公告项目、便笺项目及任务项目。 配置公用文件夹权限 权限类型 权限说明所有者拥有此文件夹的所有权限. 可以新建、读取、修改和删除此文件夹中的所有项目，可以建立子文件夹和更改文件夹的权限。 发行编辑可以新建、读取、修改和删除此文件夹中的所有项目，也可以建立子文件夹。 编辑可以新建、读取、修改

5、和删除此文件夹中的所有项目。 发行作者发送可以新建和读取此文件夹的项目, 也可以修改和删除用户自己建立的项目, 还可以建立子文件夹。 作者可以新建和读取此文件夹的项目，也可以修改和删除用户自己建立的项目。 非编辑作者 可以新建和读取此文件夹的项目。 校对人 有只读权限. 投稿人 可以新建项目，但不能浏览此文件夹的内容。 无 在此文件夹中没有权限。 4 管理邮件传输 4.1邮件传输个路由概念 邮件系统的主要功能是邮件传递，而邮件路由和传输则完成了邮件在内部和外部的传递。邮件路由是指邮件在组织中的服务器之间以及和组织外的其他服务器之间的传递途径。邮件传输决定了邮件的处理和传递方式。 SMTP连接器

6、1. SMTP发送连接器 要想发送任何SMTP电子邮件，一个SMTP发送连接器是必须的。但不局限于单一，也可以多个服务器使用同一个发送连接器发送邮件。发送连接器在传递邮件时，可以使用两种方式：1） 使用DNS进行外部名称解析2） 将邮件转发到负责邮件传递和名称解析的智能主机。2. SMTP接受连接器要想接受任何SMTP电子邮件，一个接受器也是必须的。与发送连接器不同的是它只局限在单台服务器，也就是相当于一个“接受侦听器”，侦听特定的IP地址和端口的连接。通常还需要为接收器配置身份认证机制，如是否允许匿名连接。 4.2通过中心传输服务器收发Internet邮件（不同域之间可以正常收发邮件） 主要

7、是在DNS服务器上创建MX记录 在两个DNS服务器上正确配置转发器 在配置接受连接器上允许匿名用户具有权限 可以验证收发了。4.3配置邮件策略：防止不正当内容进入或离开组织、筛选机密组织信息、对特定个人发送或接受的邮件进行跟踪或存档、对通过组织的邮件进行免责声明等等 1）配置传输规则 禁止接受外部用户的邮件 禁止发送邮件给外部用户2）配置日记规则 通过日记可以记录组织中所有的电子邮件通信。展开“组织配置”中，单击“集线器传输”节点，单击“日记”选项。单击“新建日记规则”即可完成5.保障邮件安全 5.1配置边缘传输服务器满足以下要求： 推荐部署在外围网络（DMZ）中，以提高Exchange组织的

8、安全性 最好安装在独立的服务器上（不推荐将该服务器加入到AD域中） 配置边缘传输服务器的FQDN名，主机必须拥有主DNS后缀才能安装角色 在组织内部和外部的防火墙上SMTP/25 Secure/50636(若要进行EdgeSync同步，必须打开此端口)注意：Microsoft Exchange EdgeSync服务时运行在中心传输服务器上的数据同步服务，该服务用来协助边缘传输服务器拷贝反垃圾邮件配置或域安全信息5.1.2配置边缘同步 首先在边缘服务器上打开命令行程序，运行“New-EdgeSubscription”来到处边缘订阅文件，存储在一个目录下生成一个文件其次拷贝边缘订阅文件到中心传输服

9、务器上，展开“组织配置”单击“集线器传输”节点。选择“边缘订阅”单击“新建边缘订阅”将边缘订阅文件导入到中心传输服务器注意：要想同步还要时间一直，最起码是在五分钟误差之内完成后在中心传输服务器上运行”Start EdgeSynchronization”完成同步后，在中心传输服务器上运行“Test-EdgeSynchronization”命令之后会在两台服务器上自动生成两个发送连接器 同时中心服务器的接受域配置信息也会自动复制到边缘传输服务器上如下所示：5.2配置防垃圾邮件功能 具体包括：连接筛选、发件人筛选、收件人筛选、内容筛选 5.2.1 配置IP阻止列表 在边缘服务器上单击“边缘传输”，点

10、击“反垃圾邮件”选项，然后选择“IP阻止列表”，添加阻止地址即可 配置IP阻止列表提供程序（实际环境中，不需要自己设计，利用中国反垃圾邮件联盟的地址即可实现）5.2.2使用发件人筛选阻止垃圾邮件 同上，单击“发件人筛选” 点击“属性”单击“阻止发件人”点击“添加”即可（可以阻止一个人，一个域或者域中所有的子域）5.2.3使用收件人筛选阻止垃圾邮件同样，单击“阻止的收件人”添加即可。5.2.4使用内容筛选阻止垃圾邮件 内容筛选器代理为每封邮件分配垃圾邮件可信度（SCL）分级。SCL分级是0到9之间的一个数字。一般设为等于或高于7的邮件删除，为6.拒绝。为5隔离。5.3配置防病毒功能 5.3.1安

11、装Forenfront Security for Exchange Server 在Exchange2007上安装 步骤略 5.4配置邮件客户端安全 5.4.1配置邮件客户端限制垃圾邮件主要是OL2007的限制垃圾邮件机制，这个比较简单。主要包括安全列表和垃圾邮件选项5.4.2 通过加密和签名实现邮件通信安全 1.安装证书服务器 首先在域控制器上安装器证书服务（“企业CA”），安装后在IIS下面可以查看到“Certsrv” 表明证书服务已正确安装。2.在客户机上申请证书（该客户机必须加入域中，申请时要用自己的用户名和密码） 在IE输入“http：/localhost/certsrv 即可安装成

12、功 3.在客户机上应用证书在OL2007上点击“工具”属性，可以看到“信任中心”。单击后进入“信任中心”，点击“电子邮件安全性”弹出“更改安全设置”对话框， 如果要是用OWA客户端验证的话，那么IE必须进行升级到7.0的版本（07邮件服务器是在windows03上面搭建的。服务器要是搭建在08上面的那么久不需要了。这里涉及到一个兼容问题。）6 维护邮件系统 6.1Exchange备份和恢复 6.1.1使用NTbackup工具备份Exchange邮箱数据 邮件管理员在管理邮件系统时，必须经常对邮件系统进行备份，这样，在邮件被误删时才能尽快找回邮件，使用Windows系统自带的NTbackup备份

13、工具，就可以对邮件系统实施备份。 首先备份内容方面有以下：Exchange数据库：对于Exchange服务器来说，最重要的数据是邮箱数据库和公用文件夹数据库，可以一次备份单个数据库，也可以一次备份所有数据库。事务日志：事务日志的备份可以确保服务器能恢复到某一时刻，还可以从磁盘中删除已经处理过的事务日志。系统状态：备份系统状态数据可以保证服务器以原来的名称重新加入到Exchange组织中。 其次执行备份，（1） 单击“开始”“所有程序”“附件”“系统工具”“备份”，打开“备份工具”窗口，（也可以在运行中输入“ntbackup”） （2） 单击“备份”选项卡，在列出的驱动器、文件夹和文件列表中，选

14、择要备份的内容，现在要备份Exchange邮件存储及公共文件夹，选择“Microsoft Information Store”、“Second Storage Group”和“First Storage Group”复选框，在窗口中指定文件保存路径及备份文件名。如果服务器连接了磁带机（数据存储设备）等外部存储设备，还可以在“备份目的地”下拉列表中选择备份的设备。 （3） 单击“开始备份”按钮，出现“备份作业信息”对话框，在该对话框中指定对备份操作的描述、媒体标签等信息。 （4） 单击“计划”按钮，可以为备份操作设定运行的时间。单击“高级”按钮，可以指定备份完成后是否验证数据，如下图所示： （5

15、） 在“备份作业信息”对话框中，单击“开始备份”按钮，系统开始进行备份的操作，完成备份操作之后，出现“备份进度”对话框，如图所示：单击“报告“按钮可查看有关备份过程的详细信息，最后单击“完成”，完成备份操作。 下面是任务计划：（1） 添加“计划作业”（2） 出现“备份向导” 选择要备份的内容“备份选定的文件、驱动器及网络数据” （3） 选择要备份的项目“Microsoft Exchange Server”“EXCHANGE”“Microsoft Information Storage”“First Storage Group”选中“mailbox Database” 点击下一步 （4） 选择要

16、备份的位置和名称 （5） 选择备份的类型 （6） 在如何备份选项中是否选择“备份后验证” （7） 一路默认即可 （8） 选择备份时间 点击“以后”按钮 输入作业名 点击“设定备份计划” 按公司实际要求合理全面的制定出任务计划即可 即可完成任务计划的制定6.1.2恢复已删除邮箱和项目 邮箱恢复特性 使用Exchange管理控制台禁用或删除邮箱后，邮箱将不再与活动目录用户关联，并标记为删除。但断开的邮箱仍保留在Exchange数据库中 默认情况下，断开的邮箱将保留30天。在保留期内，将邮箱连接到新建的或现有的活动目录用户帐户，就可以恢复邮箱 执行恢复已删除邮箱的操作 （邮箱客户必须登录进行正常收发

17、信才能在已断开连接的邮箱中找到） 6.1.3恢复Exchange存储组合数据库 （1）打开Exchange管理控制台，展开“服务器配置”单击“邮箱”，右击“First Storage Group”中的“Mailbox Database” 选择“卸除数据库” 在确认对话框中单击“是” 利用原有备份恢复邮箱数据库 删除邮件数据库文件“D:Program Files MicrosoftExchange ServerMailboxFirst Storage GroupMailbox Database.edb 还原数据库存储 还原之后装入时可能会出现装入失败，必须进行刷新才可，x:Program Fil

18、esMicrosoftExchange ServerMailboxFirst Storage Group.bineseutil /p “Mailbox Database.edb” （/mh 为查看状态）6.1.4 通过恢复存储组恢复用户邮件 恢复存储组概述 一个特殊的管理存储组，使用它来装入邮箱数据库，从已装入的数据库提取数据，然后复制到现有邮箱中的文件夹或与现有邮箱合并 通过恢复存储组有选择的还原用户的邮箱 执行恢复存储组恢复用户邮件 建立恢复存储组 还原和装入数据库 合并邮箱数据 6.2 监视Exchange服务器 监视Exchange服务器状态 邮件跟踪 （启用或禁止邮件跟踪、搜索邮件跟

19、踪日志） 查看邮件队列（邮件队列的类型、管理邮件队列） Exchange管理工具 在Exchange工具箱中内置的管理工具 帮助管理员监视邮件服务器，排除邮件服务器的问题 管理工具分类 性能工具 邮件流工具 灾难恢复工具7Windows网络安全防护 7.1网路安全的概述 为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露 网络安全主要涉及3个方面： 软件和数据安全、系统正常运行、网路中的硬件安全 7.2网路安全的特性 机密性 完整性 可用性 可控性 可审查性 7.3网路安全的威胁 非授权访问 信息泄露或丢失 破坏数据完整性 拒绝服

20、务攻击 利用网络传播计算机病毒7.4常见的网路攻击方式 端口扫描 通过端口扫描可以知道被扫描计算机开放了哪些服务和端口，以便发现其弱点 扫描方法 手动扫描 使用端口扫描软件扫描 端口扫描软件SuperScanPortScannerX-Scan 安全漏洞攻击硬件、软件、协议在具体实现和安全策略上存在的缺陷 安全漏洞的存在可以使攻击者在未授权的情况下访问或破坏系统 口令入侵 口令入侵是指非法获取某些合法用户的口令后，登录目标主机实施攻击的行为非法获取口令的方式：通过网络监听获取口令通过暴力破解获取口令利用管理失误获取口令 木马程序 木马程序概述：它可以直接侵入用户的电脑并对其进行破坏木马程序的组成

21、 服务器端 客户端 木马程序举例： BO2000 冰河 灰鸽子 Dos攻击（Denial of Service,拒绝服务攻击）攻击者从伪造的、并不存在的IP地址发出连接请求 攻击者占用所有可用的会话，阻止正常用户连接攻击者给接收方灌输大量错误或特殊结构的数据包 Does攻击名称说 明SYN 溢出需要为TCP连接分配内存，从而使其他功能不能分配足够的内存。三次握手，进行了两次(SYN)(SYN/ACK)，不进行第三次握手（ACK）,连接队列处于等待状态，大量的这样的等待，占满全部队列空间，系统挂起。60S系统自动RST,但系统已经崩溃Ping of DeathIP应用的分段使大包不得不重装配，从

22、而导致系统崩溃。偏移量+段长度65535，系统崩溃，重新启动，内核转储等泪滴攻击分段攻击。利用了重装配错误，通过将各个分段重叠来使目标系统崩溃或挂起。Smurf网络上广播通信量泛滥，从而导致网络堵塞。攻击者向广播地址发送大量欺骗性的ICMP ECHO请求，这些包被放大，并发送到被欺骗的地址，大量的计算机向一台计算机回应ECHO包，目标系统将会崩溃。DDoS从网络中很多不同的地方同时对目标计算机发动的DOS攻击7.5网络安全防护 物理安全防护 直接的物理破坏所造成的损失远大于通过网络远程攻击提高物理安全需关注的问题：服务器和安全设备是否放置在上锁的机房内？网络设备是否被保护和监控？是否有无关人员单独在敏感区域工作？ 主机安全防护修补系统漏洞 开发商在操作系统设计时没有考虑周全而导致的安全缺陷 定期使用漏洞扫描软件扫描系统，并启用Windows自动更新 更改系统有安全隐患的默认配置 删除系统的默认共享 加强账户管理 账号重命名 设置密码策略 设置账户锁定策略 加强权限管理 日志管理 应用程序和服务的安全 防止有害程序 病毒 代码炸弹 特洛伊木马加强服务安全：停止不必要的服务使用防火墙软件加强系统安全：S3个人安全防火墙的使用