Это четвертая часть статьи о безопасности. В ней мы, в основном, остановимся на клиентской части вашего окружения.
Если вы хотите ознакомиться с остальными частями этой статьи, то, пожалуйста, прочитайте:
- Усиление защиты среды сервера Exchange 2003 Environment (Часть 1)
- Усиление защиты среды сервера Exchange 2003 Environment (Часть 2)
- Усиление защиты среды сервера Exchange 2003 Environment (Часть 3)
Защита клиентов
Серверы – это еще не все. Поскольку Exchange 2003 – это распределенное приложение типа «клиент/сервер», важно в стратегии защиты учитывать и клиентов. Особенно следует учесть следующее:
- Ограничьте набор клиентов только тем, что необходимо. При определении стратегии управления рисками узнайте, какие клиенты необходимы и ограничьте функциональность Exchange-сервера только ими. Например, для использования клиентов POP3 или IMAP4 вначале вы должны включить данные службы на сервере Exchange 2003. Также можно ограничить, какие версии Outlook могут соединяться с вашими серверами.
- Убедитесь, что ваш план установки обновлений выходит за пределы операционных систем на компьютерах пользователей. Используйте актуальные и исправленные версии программного обеспечения клиентов и регулярно проверяйте их обновления.
- Пользователи тоже играют важную роль в безопасности клиентов. Следует дать пользователям знания о почтовых вирусах, ложных вирусах, «письмах счастья» и спаме, а затем разработать процедуры, которым должны следовать пользователи в случае обнаружения подобных электронных сообщений.
- Всегда обновляйте антивирусную защиту клиентов.
- Используйте новые функции безопасности Outlook 2003/OWA 2003 (блокирование вложений, фильтрация нежелательной почты, отключение отправки оповещений).
Управление обновлениями
Управление обновление поможет вам повысить эффективность работы, избавиться от уязвимостей защиты и достичь стабильности рабочего окружения.
Из своего опыта могу сказать, что управление обновлениями является проблемой для некоторых администраторов. Каждый раз, когда необходимо установить заплатку на продуктивный сервер, они боятся сделать что-то, что может остановить работу системы (большинство обновлений Microsoft требует перезагрузки) или, в худшем случае, повредить сам сервер.
Я понимаю их, поскольку действительно не все обновления систем безопасности проходят тесты качества, которым должно соответствовать программное обеспечение. Но управление обновлениями не должно становиться проблемой; есть меры, помогающие сократить риск. Например, можно всегда тестировать обновление в тестовом окружении до применения его на продуктивном сервере.
При обновлении Exchange-сервера важно помнить уровень текущего и последнего обновления, однако следует принимать во внимание и операционную систему. Если она уязвима, уязвим и Exchange-сервер.
Microsoft предлагает средства, призванные помочь вам получать самые последние обновления: службы обновления серверов Windows (Windows Server Update Services - WSUS), служба Microsoft Update, служба автоматических обновлений (Automatic Updates) (я не думаю, что стоит ее использовать на серверах), сервер управления (Systems Management Server - SMS) и анализатор основной защиты Microsoft (Microsoft Baseline Security Analyzer - MBSA). Эти средства могут принести много пользы, особенно на стороне клиента, помогая применять на рабочих станциях последние версии заплаток, антивирусных обновлений или даже определений нежелательной почты.
Вам решать, в чем будет состоять стратегия управления обновлениями, но иметь ее определенно нужно. Не стоит говорить о том, что управление обновлениями крайне важно для безопасности. Большинство из заражений вирусами можно было бы избежать, если бы необходимое обновление было бы установлено несколькими месяцами ранее.
Несколько ресурсов Microsoft посвящено данному вопросу. Можете начать с Руководства по управлению обновлениями.
Обучение пользователей
Обучайте, сообщайте, приказывайте. Одной из важных процедур при защите сети является обучение пользователей. Пользователи должны знать политику компании по использованию сети и сетевых ресурсов, включая электронную почту.
Например, одним из эффективных способов борьбы со спамом является обучение пользователей тому, что нужно делать с нежелательной почтой. На самом деле люди являются, возможно, самой важной защитой от спама. Спаммеры часто используют против пользователей тактику социотехники, например, сообщения с ложным содержимым, подделка отправителей (так называемый «фишинг») и т.п.
Другим важным полем битвы, где образование пользователей играет совсем не последнюю роль, является антивирусная стратегия. Если они знают о вирусах, если они могут распознать потенциально опасное вложение, если они знают, какие сообщения нельзя открывать, тогда они смогут остановить распространение вирусов.
Это именно ваша ответственность – информировать пользователей. Не стесняйтесь, используйте все средства: семинары, почтовые рассылки, записки на аппаратах для кофе, в конце концов, просто скажите словами то, что вы хотите сказать (остерегайтесь, однако, стать спаммером).
Защита сообщений
Хотя компания Microsoft выпустила документы по данному вопросу (Руководство по защите сообщений Exchange-сервера), я попытаюсь предоставить вам основную информацию, а затем вы можете прочесть и все руководство полностью.
Как вы, вероятно, знаете, протокол SMTP не был разработан защищенным. Поэтому, для усиления протокола SMTP функциями безопасности появился стандарт защищенных многоцелевых расширений электронной почты (Secure/Multipurpose Internet Mail Extension - S/MIME). S/MIME предоставляет две службы защиты: цифровую подпись и шифрование сообщений. Обе службы являются ядром безопасности сообщений S/MIME, они дают возможность использования аутентификации, подтверждения подлинности и целостности данных и гарантируют конфиденциальность.
Хотя сервер Exchange 2003 поддерживает много клиентских программ, не все из них поддерживают S/MIME. Сервер Exchange 2003 предоставляет полную поддержку не только клиентам MAPI, но и протоколам электронной почты Интернет POP3 и IMAP4, если клиент поддерживает S/MIME версии 2 или 3.
В полнофункциональной системе обмена сообщениями на базе сервера Exchange 2003 существует три звена, которые и составляют полную цепь системы:
- Сервер Exchange 2003
- Клиент электронной почты
- Инфраструктура открытого ключа (PKI)
Сервер Exchange 2003 отвечает за доставку и хранение сообщений S/MIME. Клиент электронной почты и PKI предоставляют функции цифровых подписей и шифрования. Используйте все три компонента, не ограничивайтесь настройкой Exchange-сервера на поддержку S/MIME (кстати, по умолчанию Exchange-сервер настроен на поддержку S/MIME).
В стратегии защиты, помимо всего прочего, нужно определить настройки клиента на работу с исходящими сообщениями. Возможные варианты:
- Шифровать содержимое и вложения исходящих сообщений.
- Добавлять в сообщения цифровую подпись.
- При отправке пописанных сообщений отсылать их открытым текстом.
- Запрашивать подтверждение безопасности для всех подписанных S/MIME сообщений.
Помните, что S/MIME снижает производительность как клиентов, так и серверов, поэтому используйте его осторожно.
Средство Exchange Best Practices Analyzer (ExBPA)
Последний мой совет связан с самым лучшим из выпущенных средств для Exchange-сервера: Exchange Best Practices Analyzer (ExBPA).
Хотя средство ExBPA не разработано специально для безопасности, с его помощью можно проверить некоторые неверно настроенные объекты безопасности, например, открытые ретрансляторы, большое количество администраторов или бреши в аутентификации.
Вот список того, что может проверить ExBPA:
- Последние изменения
- Установки пределов размера сообщений
- Пороговые величины для нежелательной почты
- Последние обновления
- Настройки DNS, Kerberos
- Порты TCP/IP, протоколы, запрет использования функции Out Of Office (Отсутствует) для списков рассылки, настройки журнала Exchange
- Установленные антивирусы, последние описания вирусов, Symantec, McAfee, Sybari
- Заплатки (Windows и Exchange)
Воспользуйтесь, и вы не пожалеете.
Заключение
После прочтения статьи я надеюсь, что вы немедленно приступите к исправлению недостатков в системе безопасности окружения Exchange-сервера. Таким образом, вы поможете сделать наш мир лучше (хм..., похоже на речь какой-нибудь мисс Вселенная), в том смысле, что людям с дурными намерениями станет гораздо тяжелее осуществлять эти свои намерения.
Если вы хотите ознакомиться с остальными частями этой статьи, то, пожалуйста, прочитайте:
- Усиление защиты среды сервера Exchange 2003 Environment (Часть 1)
- Усиление защиты среды сервера Exchange 2003 Environment (Часть 2)
- Усиление защиты среды сервера Exchange 2003 Environment (Часть 3)
