本模块内容 | |
目标 | |
适用范围 | |
如何使用本模块 | |
简介 | |
一般 Exchange 安全考虑因素 | |
使用权限和管理组控制 Exchange 2000 的访问权 | |
小结 |
执行本模块介绍的各个步骤可以最大程度地降低 Microsoft® Exchange 2000 环境遭受攻击的风险。这些攻击可能来自组织内部,也可能来自组织外部。Exchange 2000 尤其易受攻击,因为它的可访问范围很广(从内部和外部都可以访问它)。Exchange 是复杂的应用程序,带有许多相互依赖的组件。要成功保证 Exchange 安全,需要了解组件间的关系,并根据这些关系设计环境的安全措施。本模块讨论了 Exchange 2000 环境的一般风险。
阅读本模块后,您将能够:
• | 安全地禁用特定 Exchange 服务,以增强安全性。 | ||||||
• | 确定安装 Exchange 所需的最低权限。 | ||||||
• | 通过最新的 Exchange 2000 修补程序保持最新状态。 | ||||||
• | 防范简单邮件传输协议 (SMTP) 欺骗。 | ||||||
• | 开发防病毒措施。 | ||||||
• | 防范未经请求的电子邮件(垃圾邮件),这些邮件使用了 Microsoft Outlook® 2002 和 Exchange 2000 的内置功能。 | ||||||
• | 防范“拒绝服务”攻击。 | ||||||
• | 通过下列方法,使用权限和管理组控制 Exchange 2000 的访问权:
|
本模块适用于下列产品和技术:
• | Microsoft Exchange Server 2000 |
• | Microsoft Outlook® 2002 消息和协作客户端 |
• | Microsoft Windows® 2000 操作系统 Active Directory® 目录服务 |
本模块的编撰意图在于补充“Security Operations for Microsoft Windows 2000 Server”(Microsoft Press, ISBN: 0-7356-1823-2)(英文)。强烈建议您在阅读本模块之前,完整阅读此指南。本模块的内容与“Security Operations for Microsoft Windows 2000”(英文)中的内容直接相关,这将在本文中适当地方注明。另外,建议您阅读“Microsoft Exchange 2000 Server Operations”(Microsoft Press, ISBN: 07356-1831-3)(英文),它为您提供了有关 Exchange 2000 一般操作的更多信息。
本模块旨在帮助您在不影响 Exchange 的核心功能的情况下尽可能地确保 Exchange 2000 环境的安全。本模块主要关注在运行 Exchange 2000 的服务器上创建和维护一个安全环境所需的操作。您应当将本指南用作 Exchange 的整体安全策略的一部分,而不是用作涵盖创建和维护安全环境的所有方面的完整参考。
许多组织围绕 Microsoft Exchange 的功能构建了许多关键业务流程。对于它们而言,如果没有 Exchange 提供的各种服务(电子邮件、日历、联系信息、协作应用程序等等),则很难高效工作。
来自组织内部或外部的恶意攻击都会危害 Exchange 2000 的连续操作。由于 Exchange 的可访问范围很广,Exchange 中的这种危险迅速增长。很有可能您的组织中几乎每个人都有 Exchange 的访问权,您甚至可能使它可以通过 Internet 访问。
通过执行本模块介绍的各种步骤,可以最大程度地降低恶意攻击对 Exchange 2000 环境的威胁。
注意:当您对 Exchange 2000 环境进行更改时,对其中的每一项更改做出完整说明是非常必要的。有关 Exchange 中的更改和配置管理的更多信息,请参阅“Microsoft Exchange 2000 Server Operations”(英文)。更多详细信息,请参阅本模块末尾的“更多信息”部分。
当考虑如何增强 Exchange 的安全时,最重要的是记住 Exchange 实际上是在本地和远程计算机上进行相互通信的一组进程。特别是,Exchange 服务器需要与其他 Exchange 服务器、域控制器和许多不同客户端进行通信。Microsoft Internet 信息服务 (IIS) 是 Exchange 功能的组成部分,甚至可以通过文件系统来访问 Exchange 服务器。这一系列复杂关系表明,当尝试锁定 Exchange 服务器时,还应考虑许多不同的因素。包括:
• | 服务安全 |
• | 文件安全 |
• | IIS 安全 |
• | 注册表项 |
• | 基本 Windows 2000 安全 |
• | 域控制器/全局编录安全 |
• | Active Directory 安全 |
• | Exchange 数据库安全 |
• | Exchange 传输机制 |
本模块的目标是帮助您在不影响 Exchange 的核心功能的情况下尽可能多地确保 Exchange 2000 环境的安全。需要关注的一个关键方面是 Exchange 服务。Exchange 在 Windows 2000 上运行,需要运行某些 Windows 2000 服务来安装产品或让它继续正常工作。某些 Exchange 服务还依赖其他 Exchange 服务。
图 1 显示了默认情况下运行于 Exchange 服务器的各种服务以及相互间的依赖性。
图 1
Exchange 服务器服务的依赖性
在本模块中,推荐了许多这些服务的设置,一般而言,这些服务被配置为默认启动。您能够禁用其中的某些服务,但这会导致服务器功能的一定程度的丧失。您需要决定功能的这一丧失是否适合您的环境。
Exchange 2000 是架构修改应用程序。这意味着,当运行 setup /forestprep 时,将修改架构容器。随后,当安装每个 Exchange 2000 服务器时,配置容器将进行修改,以包括适当的 Exchange 2000 对象。实际上,这意味着运行 setup /forestprep 的帐户需要“架构管理”权限,而用来安装 Exchange 的任何帐户则需要“Exchange 管理员(完全控制)”权限。
注意:有关 Exchange 2000 权限的更多信息,请参阅“Microsoft Exchange 2000 Internals: Permissions Guide”(英文)。更多详细信息,请参阅本模块末尾的“更多信息”部分。
为了进行全面权限管理,您应该确保管理员只有进行工作所需的权限。高级权限尤其应该受到严密保护。您应该考虑让 Schema Admins 组在默认情况下为空,然后向此组明确添加用户,以运行 setup /forestprep。让 Schema Admins 组为空是很好的常规操作,因为它确保您在任何应用程序对架构进行修改之前始终能够得到警报。
作为 setup /forestprep 的一部分,架构管理员有机会指定 Exchange 2000 管理员帐户。此帐户是对整个 Exchange 组织具有“Exchange 管理员(完全控制)”权限,因此可以执行后续 Exchange 安装。在安装过程中最大程度地降低安全风险的一个方法是:创建特定的通用安全组,此组具有安装 Exchange 的权限。然后,您可以将此组定义为 Exchange 管理员(完全控制)。这使您可以通过控制组成员来严密控制 Exchange 的安装者。
为了让 Exchange 随时间尽可能保持安全,需要确保通过最新修补程序保持最新状态。这包含两方面因素:确保操作系统最新和确保 Exchange 最新。如果操作系统易受攻击,则 Exchange 2000 也易受攻击,所以您应该认真看待 Exchange 服务器上操作系统的安全性。
有许多实用工具可以使您保持 Windows 2000 Service Pack、热修补程序和修补程序最新。Microsoft 提供了两个实用工具来帮助您完成此工作:Hfnetchk 和 Microsoft Baseline Security Analyzer。
在 Windows 2000 Service Pack 2 之后,涌现出许多安全更新。幸运地是,其中的许多更新组合成了 Security Rollup Package for Windows 2000。有关详细信息,请参阅本模块结尾的“更多信息”部分。您还需要确保 IIS 漏洞和 Microsoft Internet Explorer 漏洞完全最新。
Exchange 2000 漏洞比 Windows 2000 漏洞少很多,本节中提到的工具当前没有报告 Exchange 2000 漏洞。您应该确保 Microsoft 能够在发布任何新修补程序时通知您。如果订阅 Microsoft 安全布告,您将会自动收到这些通知。
注意:有关接收 Microsoft 安全布告的详细信息,请参阅本模块末尾的“更多信息”部分。
注意:有关 Windows 2000 环境中的修补程序管理的详细信息,请参阅“Security Operations Guide for Microsoft Windows 2000 Server”(英文)。
注意:有关 Exchange 2000 的推荐配置和更新的详细信息,请参阅本模块末尾的“更多信息”部分。
Exchange 2000 是客户端/服务器应用程序。因此,当考虑 Exchange 环境的总体安全时,对将要使用的客户端进行检查是非常重要的。
Exchange 支持大量不同的客户端。作为风险管理策略的一部分,您应该检查确实需要哪些客户端,并限制自己只使用这些客户端。确保使用最新的和经过修补的客户端软件版本,定期检查客户端安全更新,因为这些客户端与服务器同样重要。
保持客户端安全的重要武器是用户。如果教育用户如何以负责的态度使用客户端,则会降低面临攻击的危险。例如,应该教育用户有关电子邮件病毒、病毒恶作剧、链式邮件和未经请求的邮件的知识。
注意:有关确保客户端与服务器之间的通信安全的信息,请参阅模块确保 Exchange 通信的安全。
攻击电子邮件系统的最常用方法之一是操纵电子邮件中的“发件人”字段。SMTP 并不验证用户的身份,但您可以在 Exchange 中执行某些操作,从而尝试最大程度地减少邮件欺骗。
地址欺骗的最阴险方面之一是外部攻击者使用内部用户的电子邮件地址。可以通过许多方法(通常以社会工程的形式)使用内部用户的电子邮件地址,以便劝说另一用户放弃机密信息,从而引发进一步的攻击。
默认情况下,Exchange 2000 将其通讯簿中的电子邮件地址解析为全局地址列表中使用的名称。由于这一点,所以很难讲邮件是否实际从组织外发出。您可以更改默认行为,以便来自组织外部的邮件始终保持未解析状态。然后,如果要求用户对未解析的电子邮件地址进行查看,将有助您防范这种形式的地址欺骗。
注意:有关确保来自 Exchange 组织外部的邮件保持未解析的详细信息,请参阅知识库文章 Q288635“XIMS: ResolveP2 Functionality in Exchange 2000 Server”(英文)。
如果直接从 Internet 上的其他域接收邮件,可以配置 SMTP 虚拟服务器,以便对传入的电子邮件进行反向域名系统 (DNS) 查找。这可以验证发件人的发件人邮件服务器 Internet 协议 (IP) 地址(以及完全限定的域名)是否与邮件中列出的域名相对应。
反向查找的确给 Exchange 服务器添加了额外负载。它还需要 Exchange 服务器能够与发件域的反向查找区域联系。
注意:有关使用反向 DNS 搜索的更多信息,请参阅知识库文章 Q319356“HOW TO: Prevent Unsolicited Commercial E-Mail in Exchange 2000 Server”(英文)。
对您的环境的更严重威胁之一是通过电子邮件传输的病毒。电子邮件病毒可以通过在系统内充斥大量邮件,直至超负荷点,从而攻击计算机系统本身或电子邮件环境。您需要确保对环境中的病毒做出适当的防范。
您应该考虑在防火墙、在 SMTP 网关处或之外、在每个 Exchange 服务器以及每个客户端上对病毒进行防范。
注意:有关 Exchange 服务器上的防病毒软件的详细信息,请参阅知识库文章 Q245822“XGEN: Recommendations for Troubleshooting an Exchange Computer with Antivirus Software Installed”(英文)。
在客户端级别,Outlook 2002 阻止了许多附件,防止它们被查看和由此产生的对环境的潜在破坏。但是,您应该记住,如果还允许使用 Outlook Web Access (OWA),则 OWA 客户端将不会阻止这些附件。
注意:有关防范病毒攻击以及发生攻击事件时采取的措施的更多信息,请参阅“Microsoft Exchange 2000 Server Operations”(英文)。
未经请求的邮件可能是许多组织面对的主要问题。它在许多方面造成了昂贵代价,用户花费大量时间处理邮件,传送和存储不需要的邮件也浪费了带宽和存储空间。
未经请求的邮件可能是很难防范的攻击。但是,您可以采取许多措施减少收到的未经请求的邮件数量。
您的网络上的用户构成了对未经请求的邮件的关键屏障。此类邮件通常是网络上的社会工程的结果,所以,教育您的用户如何防范此类邮件是非常重要的。例如,您的用户可能收到包含放弃声明的未经请求的邮件,此邮件指出,如果您想要从邮件列表中删除此邮件,则应该做出响应(使用主题行中的 REMOVE 一词)。通常,这只是验证电子邮件地址是否有效以便可以再次使用此地址的方法。应该教育用户不要在任何情况下响应未经请求的电子邮件。还应该教育他们不要将未经请求的邮件转发给同事。
Outlook 2002 有一些内置功能,可以帮助您的用户防范未经请求的邮件。Outlook 可以搜索电子邮件中的特定短语,然后自动将包含这些短语的邮件从“收件箱”移动到您指定的任何文件夹,包括 Outlook 创建的垃圾电子邮件文件夹或您的“已删除邮件”文件夹。
Outlook 将用来筛选未经请求的电子邮件的术语列表存储在称为 filters.txt 的文件夹中。此文件包含未经请求的邮件的列表。它还包含导致邮件被视为未经请求的邮件的短语(如果邮件中有的话)。
首次开始使用这些功能时,应该让您的用户检查已从收件箱中删除的邮件,以确保不会意外删除有效邮件。
注意:有关在 Outlook 2002 中防范未经请求的邮件的详细信息,请参阅 Microsoft Office Assistance Center 中的“Manage Junk and Adult Content Mail in Outlook 2002”(英文)。有关详细信息,请参阅“更多信息”部分。
Exchange 2000 的内置功能可以帮助您防范未经请求的邮件。特别是,如果没有指定的发件人,或者如果邮件来自特定域,您可以阻止邮件传递。可以跨所有 Exchange 服务器执行筛选,也可以确定特定的 SMTP 虚拟服务器来执行筛选。
注意:有关使用 Exchange 2000 Server 筛选未经请求的邮件的详细信息,请参阅知识库文章 Q276321“XADM, How to Filter Junk Mail in Exchange 2000”(英文)。
注意:可以使用邮件筛选器进一步防范未经请求的电子邮件。模块确保 Exchange 通信的安全中描述了此操作。
“拒绝服务”攻击通常很难防范。但是,在 Exchange 中有许多设置可以帮助您完成此操作。通过 SMTP 虚拟服务器上配置的邮件限制参数,您可以指定每个邮件的最大收件人数量、最大邮件大小、每个连接的最大邮件数量等等。这些限制将有助于确保使用邮件传输的“拒绝服务”攻击很难完成。
注意:有关设置邮件限制的更多信息,请参阅知识库文章 Q319356“HOW TO: Prevent Unsolicited Commercial E-Mail in Exchange 2000 Server”(英文)。
“拒绝服务”攻击的另一形式是向特定服务器发送大量邮件,直到占满它的磁盘空间。通过对邮箱和公用文件夹设置存储限制,可以最大程度地减少发生此攻击的机会。
注意:有关设置存储限制的更多信息,请参阅知识库文章 Q319583“HOW TO: Configure Storage Limits on Mailboxes in Exchange 2000”(英文)。
对于您的环境中的任何应用程序,当您为 Exchange 定义权限时,应该查看 Exchange 管理员在此环境中的角色,然后只给予他们所需的权限。为了简化此过程,Exchange 2000 使用管理组。管理组是 Exchange 2000 对象的集合,这些对象收集在一起的目的是管理和委派权限。管理组可以包含策略、路由组、公用文件夹层次结构、服务器、会议对象以及聊天网络。例如,如果您的组织有两组管理员,分别管理两组运行 Exchange 2000 的服务器,则可以创建包含这两组服务器的两个管理组。根据您的组织使用的管理模型,可以开发符合需要的管理计划。
向管理组(及 Exchange 组织)分配权限的最简单方法是使用“Exchange 管理委派向导”。要使用此向导,需要作为拥有 Exchange 组织完全控制权限的用户进行登录。要启动“Exchange 管理委派向导”,应该右键单击“Exchange 系统管理器”中的组织或管理组,然后单击“委派控制”。
提供了三个管理角色:
表 1:Exchange 2000 中的管理角色
角色 | 说明 |
Exchange 管理员(仅查看) | 向列表授予权限,读取此容器下的所有对象的属性。除非管理员需要修改对象属性,否则始终分配此角色。 |
Exchange 管理员 | 授予除获取所有权的能力之外的所有权限,更改权限,或者打开用户邮箱。如果管理员需要添加对象或修改对象属性,但是不需要委派对象的权限,则分配此角色。 |
Exchange 管理员(完全控制) | 向此容器下的所有对象授予更改权限等全部权限(打开用户邮箱或模拟用户邮箱的权限除外)。只向需要为对象委派权限的管理员分配此角色,或者只向需要将新服务器添加到管理组的那些管理员分配此角色。 |
在某些情况下,您会发现,使用“Exchange 管理委派向导”不能在分配安全性方面提供足够的粒度。可以修改 Exchange 中单独对象上的“安全”选项卡。但是,默认情况下,只在下列对象上显示“安全”选项卡:
• | 地址列表 |
• | 全局地址列表 |
• | 数据库(邮箱存储区和公用文件夹存储区) |
• | 顶层公用文件夹层次结构 |
一般而言,不需要在其他 Exchange 对象上修改安全选项,但是可以在所有 Exchange 对象上显示“安全”选项卡。
注意:当更改 Exchange 对象的权限时一定要小心。如果错误分配拒绝权限,将会导致无法在“Exchange 系统管理器”中查看 Exchange 对象。
• | 在所有 Exchange 对象上显示“安全”选项卡
|
此更改将立即生效,您不需要重新启动“Exchange 系统管理器”。
注意:当修改 HKEY_CURRENT_USER 中的项时,更改只影响您正在使用的计算机上的已登录用户。
一般而言,对于管理,有两个核心模型:集中式和分布式。您使用的模型类型取决于您的组织的特定需要。
最简单的模型是集中模型。使用此模型的公司向一个人员、部门或组委派管理 Exchange 服务器的权限。要实现此模型,则需创建一个包含所有 Exchange 2000 对象的管理组,并分配 Exchange 2000 组织对象的所有权限。
在分布式模型中,创建了多个管理组,以便代表组织的逻辑分组。这些组可以是组织的地理、政治划分或任何其他逻辑划分。例如,在同一位置,一个组织可以有三个大的自治业务单位。每个业务单位有其自己的 IT 部门,负责维护自己的 IT 员工、预算和责任。使用分布式管理模型,他们可以管理自己的 Exchange 管理任务。
很有可能大多数实现不是纯粹的集中或分布式,而是倾向于一个模型或另一个模型。一个有用的模型是允许在管理组级别进行某些配置选择,比较重要的配置放在中央。例如,您可能要允许每个管理组的管理员能够确定维护的时间段,但是需要确保在整个组织中强制邮件跟踪和邮箱存储限制。
支持混合管理模型需要许多步骤。包括:
• | 为集中控制下的项目创建一个或多个 Management 管理组。 |
• | 创建 Exchange 系统策略以便集中控制单独的设置。 |
• | 分配适当的权限,以便确保本地管理员不能更改某些设置。 |
通常,管理组用来管理服务器。但是,如上所述,管理组只是您出于管理目的而放在一起的对象的集合。这可以帮助您维护对 Exchange 组织的严密管理控制。例如,您可能确定希望 Exchange 服务器的例程配置处于区域管理员的控制之下。但是,您想要路由决策和公用文件夹层次结构处于集中控制之下。为了达到此目标,需要创建 Management 管理组,然后将路由组和公用文件夹移动到此管理组。然后,如果适当控制 Management 管理组的权限,则可以阻止本地管理员更改 Exchange 的这些元素。
可以使用 Exchange 2000 创建策略,以便控制邮箱存储区、公用文件夹存储区和服务器。可以向 Exchange 中的任何或所有对应对象应用策略。如果应用了适当的安全设置,则可以使用策略来集中控制配置的某些方面,同时在本地更改其他属性。可使用此方法配置的设置包括邮件跟踪和邮箱限制。
您应该考虑将系统策略与 Management 管理组一同使用。在此组中添加策略后,如果本地管理员没有 Management 管理组的权限,他们将无法更改策略设置。
表 2 显示了简单环境中的设置,此环境中有两个进行服务器控制的管理组。在此例中,每个 London 和 New York 管理组的管理员拥有服务器的有限控制权,能够进行日复一日的例程更改。但是,服务器应用了他们不能更改的策略,他们也没有公用文件夹层次结构或服务器间路由的任何管理控制权。
表 2:Exchange 2000 混合管理模型的示例
名称 | 包含 | 已应用的策略 | 权限 |
管理 | 公用文件夹容器 | 无 | Exchange 管理 – 允许完全控制 |
London | 服务器 | 服务器策略 | Exchange 管理 – 允许完全控制 |
New York | 服务器 | 服务器策略 | Exchange 管理 – 允许完全控制 |
在 Exchange 2000 中,从 Active Directory 用户和计算机设置来控制启用了邮箱的用户、启用了邮件的用户以及启用了邮件的联系人。这使您可以在组织单位级别委派用户的管理权限,与 Exchange 的其余部分分开,并获得最大的控制粒度。
注意:要修改某一用户的 Exchange 设置,管理员还必须在 Exchange 组织中至少有“Exchange 管理员(仅查看)”管理员设置。
有许多因素可以增强 Exchange 2000 环境的安全。首先,需要确保基本 Windows 环境尽可能安全(有关详细信息,请参阅“Security Operations Guide for Microsoft Windows 2000 Server”(英文))。其次,需要采取措施增强 Exchange 2000 的安全。本模块和后续模块将帮助您完成这些措施。
要获得“Microsoft Exchange 2000 Server Operations Guide”: http://www.microsoft.com/technet/prodtechnol/exchange/exchange2000/maintain/operate/opsguide/default.asp(英文)
接收定期 Microsoft 安全布告:
http://www.microsoft.com/technet/security/bulletin/notify.asp(英文)
有关 Security Rollup Package for Windows 2000 Server 的详细信息:
http://www.microsoft.com/technet/security/news/w2ksrp1.asp(英文)
有关“Security Operations for Microsoft Windows 2000 Server”的信息:
http://www.microsoft.com/technet/security/prodtech/windows/windows2000/staysecure/DEFAULT.asp(英文)
有关 Exchange 2000 的推荐配置和更新的详细信息:
http://www.microsoft.com/Exchange/techinfo/deployment/2000/BestConfig.asp(英文)
有关确保来自 Exchange 组织外部的邮件保持未解析的详细信息:
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q288635(英文)
有关使用反向 DNS 搜索的详细信息:
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q319356(英文)
有关使用 Outlook 2002 阻止未经请求的邮件的详细信息:
http://office.microsoft.com/assistance/2002/articles/OlManageJunkAndAdultMail.aspx(英文)
有关 Exchange 服务器上的防病毒软件的详细信息:
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q245822(英文)
有关使用 Exchange 2000 Server 筛选未经请求的邮件的详细信息:
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q276321(英文)
有关设置存储限制的详细信息:
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q319583(英文)
,自由广告区 |
分类导航 |
邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |