首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件服务器

技术前沿 | Qmail | IMail | MDaemon | Exchange | Domino | 其它 | Foxmail | James | Kerio | JavaMail | WinMail | Sendmail | Postfix | Winwebmail | Merak | CMailServer | 邮件与开发 | 金笛 |
首页 > 邮件服务器 > Exchange Server > Exchange Server 2003中的安全设置更改和更新 > 正文

Exchange Server 2003中的安全设置更改和更新

出处:微软 作者:微软 时间:2004-10-26 16:52:00
来源:微软
地址:http://support.microsoft.com/default.aspx?scid=kb;zh-cn;824111

概要
本文讨论了 Microsoft Exchange Server 2003 中引入的一些安全设置更改。Exchange 2003 包括了许多与安全有关的更新和更改,目的是为了使它比以前的 Microsoft Exchange Server 版本更安全。
更多信息

组织级设置
• 禁用了 Microsoft Outlook Mobile Access 浏览功能
启用或禁用该 Microsoft 浏览功能的设置是在 Exchange 2003 目录林准备操作(当运行 setup /forestprep 命令时)过程中在整个 Exchange Server 组织中设置的。默认情况下,在安装 ForestPrep 部分期间,Outlook Mobile Access 浏览功能处于禁用状态。但是,如果以前启用了 Outlook Mobile Access 浏览功能,Exchange 2003 的 forestprep/reinstall 命令可使其保持启用状态。

这意味着,在您运行 setup /forestprep 从 Microsoft Exchange 2000 Server 升级时,不会启用 Outlook Mobile Access 浏览功能。但是,如果已经启用了该浏览功能,在您运行 setup /forestprep 从 Exchange 2003 的旧版本或 beta 版进行升级时,该功能会保持启用状态。

确定是否已启用 Outlook Mobile Access 浏览功能:1. 启动“Exchange 系统管理器”。
2. 在您的组织下,展开“全局设置”,右键单击“移动服务”,然后单击“属性”。
3. 在“Outlook Mobile Access”下,如果“启用 Outlook Mobile Access”复选框处于选中状态,说明已启用 Outlook Mobile Access 浏览功能。如果此复选框处于未选中状态,说明未启用 Outlook Mobile Access 浏览功能。
注意:默认情况下,在安装过程中不禁用“Exchange ActiveSync”和“始终使用最新通知”设置。

• 整个 Exchange 组织中最大邮件大小限制设置为 10 兆字节
在组织中安装第一台 Exchange 2003 计算机时,如果以前没有配置“发送邮件大小”和“接收邮件大小”选项的值,这两个选项都会被设置为最大 10,240 千字节(10 兆字节)。这意味着,在从 Microsoft Exchange 2000 Server 升级到 Exchange 2003 或在重新安装 Exchange 2003 时,如果尚未配置另一设置,全局邮件大小限制就会被设置为 10 兆字节。如果已经配置了邮件大小限制,则会保留该值。查看邮件大小限制:1. 启动“Exchange 系统管理器”。
2. 在您的组织下,展开“全局设置”,右键单击“邮件传递”,然后单击“属性”。
3. 单击“默认”选项卡。
有关在配置邮件大小限制时可能遇到的问题的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中的相应文章:
298572 XADM:An E-Mail Message That Is Larger Than the Outgoing or the Incoming Message Size Limit Is Not Delivered
如果您将邮件大小限制配置得过大,则可能会遇到很大的电子邮件导致 Exchange 2003 暂时停止响应的问题。例如,如果发送一封 81 兆字节的电子邮件,则 Exchange 2003 可能会暂时停止响应。
• 删除了“任何人”和“匿名登录”安全组的创建顶级公用文件夹的权限
Exchange 2003 目录林准备操作(在运行 setup /forestprep 命令时)会从 Exchange 组织容器中删除“任何人”和“匿名登录”组的“创建顶级公用文件夹”的“允许”权限。其他访问控制项 (ACE) 没有变化。有关在组织中安装 Exchange 2000 Server 时可能出现的问题的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中的相应文章:
822576 "Allow Create Top Level Public Folder" Access Control Entry for the Exchange Organization Container Unexpectedly Includes the Everyone and the Anonymous Logon Groups  

服务器级设置
• 在创建新的 Exchange 虚拟服务器时不自动创建 POP3、IMAP4 和 NNTP 群集资源

在旧版本的 Microsoft Exchange 中,当创建 Exchange 虚拟服务器时,会同时创建“邮局协议 3”(POP3)、“Internet 邮件访问协议 4”(IMAP4) 和“网络新闻传输协议”(NNTP) 群集资源。由于在默认 Exchange 2003 安装中不启用这些服务,因此这些服务不会自动创建。要创建这些资源,您必须手动启用它们,然后在群集节点上启动相应的服务。然后,您可以通过使用“群集管理器”实用工具来创建资源。

注意 升级现有的 Exchange 虚拟服务器不会更改这些群集资源。

• 在 Exchange 2003 计算机上拒绝“Domain Users”安全组成员的“允许在本地登录”权限

默认情况下,在安装 Exchange 2003 时,拒绝“Domain Users”组的成员对该计算机的“允许在本地登录”权限。默认情况下,“Domain Users”组的成员不能在本地登录到域控制器。但是,此限制的范围会扩大,从而包括安装了 Exchange 2003 的成员服务器。此更改适用于 Exchange 2003 的新安装、升级和重新安装。“Backup Operators”组、“Administrators”组和那些权限高于其他组的其他安全组的成员仍然可以在本地进行登录。此更改是通过在 Exchange 2003 安装过程中从“允许在本地登录”策略中删除本地(内置)“Users”安全组完成的。查看此策略:1. 单击“开始”,单击“运行”,在“打开”框中键入 gpedit.msc,然后单击“确定”。
2. 在“计算机配置”下,依次展开“Windows 设置”、“安全设置”、“本地策略”,然后单击“用户权限分配”。
3. 在右窗格中,双击“允许在本地登录”。
4. 查看在“允许在本地登录”框中显示的用户和组。
 
• 在安装 Exchange Server 2003 时会从 Program Files 文件夹复制访问控制项

在安装 Exchange 2003 作为独立服务器或在群集节点上安装 Exchange 2003 时,系统会从父级 Program Files 文件夹复制对 Exchange 安装文件夹(默认情况下,它们位于 C:\Program Files\Exchsrvr 文件夹中)的操作权限。如果将 Exchange 2003 安装到 Program Files 文件夹以外的位置,这些权限会被从 Program Files 文件夹复制到 Exchange 安装文件夹。因此,如果将“允许在本地登录”权限授予非管理员组的用户(例如“Domain Users”安全组的成员),这些用户就可以访问 Exchsrvr 安装文件夹中的敏感信息。例如,他们也许能够查看 Mailroot\vsi 1\BadMail、PickUp 或 Queue 文件夹中的敏感信息。

注意 在安装 Microsoft Mobile Information Server (MIS) 时也存在此问题。服务器上允许在本地登录并且已通过身份验证的用户可以查看 PickUp 文件夹中的信息。

• 全局事件对象具有空的自由访问控制列表

安全描述符是使用空的自由访问控制列表创建的;一个安全属性类被配置为指向所创建的安全描述符。然后,将使用这些安全属性创建事件。由于使用了空的自由访问控制列表,因此如果将“允许在本地登录”权限授予非管理员组的用户(例如“Domain Users”安全组的成员),则恶意用户有可能更改对象的自由访问控制列表并干涉对它的使用。
 
• 服务器上的 POP3、IMAP4 和 NNTP 服务被禁用

默认情况下,在新安装的 Exchange 2003 中,Exchange POP3 服务、IMAP4 服务和“网络新闻传输协议”(NNTP) 服务被设置为“禁用”。在升级到 Exchange 2003 或重新安装 Exchange 2003 时,将保留这些服务的原有状态。  

存储组级设置

• 每个公用文件夹存储的最大公用文件夹项目大小限制设置为 10 兆字节

在安装 Exchange 2003 时,“项目大小最大值 (KB)”选项设置为 10,240 千字节(10 兆字节)。如果您升级到 Exchange 2003 或重新安装 Exchange 2003,则仅当没有为此选项分配其他值时,才将其设置为 10,240。如果在升级到或重新安装 Exchange 2003 之前配置了此选项,则不更改以前的值。此设置还会影响通过使用“Exchange 系统管理器”新建的 MAPI 和应用程序公用文件夹存储区。“项目大小最大值 (KB)”存储在 Microsoft Active Directory 目录服务中每个公用文件夹存储对象的“messageSizeLimit”属性中。  

协议级设置
• POP3 和 IMAP4 Exchange 虚拟服务器的基本身份验证被启用


默认情况下,在新安装中会为 POP3 和 IMAP4 Exchange 虚拟服务器实例启用基本身份验证 (Basic_Auth)。但是,在升级到 Exchange 2003 时,会遇到以下问题:• 在 Exchange 后端服务器上,Exchange POP3 和 IMAP4 虚拟服务器实例中的可用身份验证方法不发生变化。

• 在 Exchange 前端服务器上,Exchange POP3 和 IMAP4 虚拟服务器实例中的身份验证方法配置如下:• 匿名身份验证 (Anon_Auth):禁用
• 基本身份验证 (Basic_Auth):启用
• 集成 Windows 身份验证 (NT_Auth):禁用

 
这种配置适用于默认的 Exchange 虚拟服务器实例以及使用“Exchange 系统管理器”实用工具创建的虚拟服务器实例。但是,升级到 Exchange 2003 之前创建的 Exchange 虚拟服务器实例或在重新安装 Exchange 2003 之前创建的虚拟服务器实例不会被修改。如前所述,Exchange 前端服务器是一个例外。

• Exchange NNTP 虚拟服务器的基本身份验证被启用

默认情况下,在新安装中为 Exchange NNTP 虚拟服务器实例启用基本身份验证 (Basic_Auth)。默认 Exchange NNTP 虚拟服务器的身份验证方法如下:• 匿名身份验证 (Anon_Auth):禁用
• 基本身份验证 (Basic_Auth):启用
• 集成 Windows 身份验证 (NT_Auth):启用
当升级到 Exchange 2003 或重新安装 Exchange 2003 时,将始终修改默认的 NNTP 虚拟服务器实例。在升级到或重新安装 Exchange 2003 的过程中不修改创建的其他 Exchange NNTP 虚拟服务器实例。此外,如果删除 Exchange 2003,则将禁用集成的 Windows 身份验证 (NT_Auth)。之所以如此是因为“网络新闻传输协议”(NNTP) 是一个 Windows 组件,而不是 Exchange 2003 的一部分。
,
相关文章 热门文章
  • Outlook 2003与Exchange 2010结合使用中可能出现的问题及建议的解决方法
  • Lync Server 2010部署攻略之域管理员启用
  • Lync Server 2010部署攻略之服务器部署篇
  • Lync Server 2010部署攻略之标准版部署体验
  • Lync Server 2010部署攻略之规划准备篇
  • 在配置完 Exchange Server 2010 CAS Array后需要做的两件事
  • 如何通过Exchange2010 OWA更改过期密码
  • windows NT 4.0 Domain升级到windows server 2008 R2需要注意的几个问题
  • Windows server 2008 R2上安装exchange 2010注意的问题
  • 关于Exchange数据库文件过大的正确处理方法
  • Exchange 2007 HUB服务器默认证书过期解决办法
  • Exchange 2010 SP1个人邮件归档配置
  • Exchange 2000 Server 常见问题(四)
  • Exchange 2000 Server 常见问题(一)
  • Exchange 2000 Server 常见问题(三)
  • Exchange 2000 Server 常见问题(五)
  • Exchange 2000 Server 常见问题(二)
  • 部署Exchange Server 2003问题集(1)
  • Telnet到端口25以测试SMTP通信
  • 限制Exchange用户从Internet收发邮件
  • Exchange Server管理与设定(一)
  • 使用Exchange 2000 Server 构建多域名邮件系统
  • 虚拟内存碎片的检测和EXCHANGE的内存优化
  • Exchange Server 公用程序(一)
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号