В этой статье я покажу, как укрепить сетевое окружение Exchange Server 2007 с помощью SP1 (Beta), установленного на Windows Server 2008 (также Beta). Мы поговорим о шагах, необходимых для укрепления базовой операционной системы путем установки минимального количества служб и сервисов сервера. Во второй статье речь пойдет об установке и работе с безопасным приложением установки Exchange Server 2007, а в третьей статье я объясню, как защитить клиентский доступ в OWA, POP3/MAP4 и как бороться с вирусами и спамом.
Прежде чем мы начнем, пожалуйста обратите внимание на то, что эта статья основана на бета-версии Windows Server 2008 и Exchange Server 2007 SP1, и некоторые функции могут быть изменены или убраны из конечной версии продукта.
Я также не буду затрагивать темы, которые Ру Сильва обсуждал в своей серии статей "Укрепление Exchange Server 2003". Эта серия статей будет сфокусирована на новых характеристиках и темах, связанных с Exchange Server 2007 и Windows Server 2008. Если вы располагаете дополнительной информацией о защите сетевого окружения, обучаете пользователей и т.д., я бы порекомендовал вам прочесть серию статей Exchange 2003.
Разрешения Exchange Server 2007
В Exchange 2003 были доступны следующие службы безопасности через помощника Delegation Wizard в Exchange System Manager:
- Полный администратор (Exchange Full Administrator)
- Администратор (Exchange Administrator)
- Только просмотровый администратор (Exchange View Only Administrator)
Такая модель была относительно статична и не обеспечивала доступа. Эта модель разрешений часто представляла проблему для больших сетей, в которых было абсолютно необходимо распределять различную административную работу между различными пользователями и группами без отрицательных последствий для безопасности Windows Server 200x и Exchange Server 2007. Exchange Server 2007 идет с абсолютно другой моделью разрешений. В ней есть новые службы администрирования, сходные с интегрированными группами безопасности Windows Server, и вы можете использовать консоль управления Exchange Management Console (EMC) и оболочку Exchange Management Shell (EMS), чтобы просматривать, добавлять и удалять членов любой административной службы.
Сейчас существуют различные области разрешений Exchange:
- Глобальные данные (Global Data)
- Данные получателя (Recipient Data)
- Данные сервера (Server Data)
Глобальные данные (Global data)
Глобальные данные не ассоциируются с каким-либо определенным сервером Exchange Server, и хранятся в контейнере конфигурации активной директории, которая копируется в больших масштабах, поэтому только доверенные пользователи должны иметь доступ к этим данным.
Данные получателя (Recipient Data)
Данные получателя – это адресаты Exchange в разделе домена активной директории. Данные получателя включают в себя пользователей электронной почты, контакты, группы распределения, почтовые ящики и т.д.
Данные сервера (Server Data)
Данные сервера – это определенные данные сервера Exchange в разделе домена активной директории специальных объектов Exchange Server. Примеры этих данных включают соединения получения (соединения отправки очень многочисленны), виртуальные директории и т.д.
Администраторы Exchange Server 2007
- Организационные администраторы (Exchange Organization Administrators)
- Администраторы адресатов (Exchange Recipient Administrators)
- Просмотровые администраторы (Exchange View-Only Administrators)
Рисунок 1: Администраторы Exchange Server 2007В качестве последнего обзора я использовал таблицу различных служб разрешения Exchange Server с вебсайта Microsoft TechNet, которая должна помочь вам лучше понять, как использовать различные разрешения Exchange.
| Службы администрирования | Члены | Члены | Разрешения Exchange |
|---|---|---|---|
| Организационные администраторы Exchange | Администратор или учетная запись, которая использовалась при первой установке сервера Exchange 2007 | Администраторы адресатов Exchange
Администраторы локальной группы |
Полный контроль над контейнером Microsoft Exchange в активной директории Active Directory |
| Администраторы адресатов Exchange | Администраторы организации Exchange | Просмотровые администраторы Exchange | Полный контроль над свойствами объектов активной директории пользователя |
| Администраторы сервера Exchange | Администраторы организации Exchange | Просмотровые администраторы Exchange
Администраторы локальной группы |
Полный контроль над Exchange |
| Просмотровые администраторы Exchange | Администраторы адресатов Exchange
Администраторы сервера Exchange ( |
Администраторы адресатов Exchange Администраторы сервера Exchange | Доступ «только чтение» к контейнеру Microsoft Exchange в активной директории. Доступ «только чтение» ко всем доменам Windows, имеющим адресатов Exchange. |
| Сервер Exchange | Каждая учетная запись компьютера Exchange 2007 | Просмотровые администраторы Exchange | Специальные |
Набор свойств (Property Sets) в Exchange Server 2007
Вы можете использовать набор свойств в Exchange Server 2007 для определения групп, который открывает доступ контроля к определенным свойствам объектов. Набор свойств использует единый вход контроля доступа (Access Control Entry (ACE)) вместо ACE для каждого индивидуального свойства.
Exchange Server 2007 создает два новых набора свойств исключительно для себя и не использует существующий набор свойств активной директории. Во время расширения схемы активной директории (During Active Directory Schema) Exchange Server 2007 выполняет следующие действия:
- Расширяет схему активной директории новыми классами и атрибутами.
- Создает набор свойств для Exchange Server 2007, Exchange Information и Exchange Personal Information.
- Добавляет соответствующие атрибуты в набор свойств Exchange Information и Exchange Personal Information.
Службы (роли) сервера Exchange
Exchange Server 2007 представляет новую концепцию служб. Можно установить пять различных служб (ролей) Exchange Server 2007. Эти службы перечислены ниже:
- Почтовая служба сервера (Mailbox)
- Служба сервера-сетевого концентратора (Hub Transport)
- Служба клиентского доступа сервера (Client Access)
- Унифицированная служба сообщений сервера (Unified Messaging)
- Служба передачи Edge Transport
Каждая служба выполняет определенную функцию и предприятия могут сочетать несколько служб на одной или разных машинах. Все службы могут сочетаться, но есть одно исключение: Служба Edge Transport Server не может быть установлена с другими службами Exchange на одной машине. Это действует и для службы узла активного и пассивного кластера Exchange (Active and Passive Exchange Cluster), но функция кластера Exchange не попадает в категорию ролей сервера Exchange.
Exchange Server 2003 официально никогда не имел установок по службам, однако можно было настроить один или более серверов как Front End Server (например, служба Exchange Server 2007 CAS). Сервер, хранящий почтовые ящики и общие папки в сценарии Front End Server, называется Exchange Back End Server. В Exchange Server 2003 также можно было настраивать сервер Exchange Server в качестве маршрутизатора почты. Такой сервер не имеет баз данных почтовых ящиков и общих папок, а лишь отвечает за маршрутизацию электронной почты.
Рисунок 2: Рисунок 2: Службы Exchange Server 2007(Source: Microsoft Technet)Брандмауэр
Брандмауэр Windows Server 2008 с усовершенствованным построением сетей, по умолчанию, включен для всех входящих и исходящих соединений. Брандмауэр можно настроить вручную на расширение портов и программ, которым открыт доступ к связи с другими хостами. Помощник настройки конфигурации безопасности, который использовался в Windows Server 2003 SP1 для создания конфигурации безопасности, основанной использовании ролей-служб, которая в свою очередь была ответственна за создание исключений брандмауэра в соответствии с настроенными ролями, более не используется в Windows Server 2008. Windows Server 2008 использует новый инструмент под названием Server Manager и соответствующий ему инструмент ServerManagerCMD.
Пожалуйста обратите внимание:Не сравнивайте Server Manager в Windows Server 2008 с Server Manager в Windows NT4. Это абсолютно разные программы.
Server Manager в Windows Server 2008 используется, чтобы обеспечивать безопасность, основанную на ролях, для установленных в Windows служб и функций, но я думаю, что Server Manager будет использоваться в будущем для обеспечения безопасности установленных приложений, таких как Microsoft SQL Server 200x и т.д. В текущих версиях Windows Server 2008 Beta и Beta Exchange Server 2007 SP1, настройки Exchange открывают нужные порты и программы в зависимости от служб (ролей) Exchange, которые вы установили.
Рисунок 3: Брандмауэр Windows Server 2008Установленные сервисы Exchange Server 2007
В зависимости от ролей Exchange, выбранных при установке, только необходимые службы будут установлены, чтобы обеспечить дополнительную безопасность.
Рисунок 4: Службы Exchange Server 2007 на Windows Server 2008Заключение
В этой части серии статей мы обсудили некоторые методы того, как упрочить защиту базовой операционной системы Windows Server 2008, и того, как влияют на всю безопасность некоторые компоненты Exchange Server 2007, основанные на установке ролей. Мы также обсудили новые модели разрешений Exchange Server и поговорили об установленных сервисах Exchange Server 2007. Вторая часть это статьи затронет защиту сервера Exchange Server 2007, а в третьей будет рассказано о том, как защитить клиентский доступ к Exchange Server 2007, а также о некоторых необходимых изменения конфигурации в Exchange Server 2007.
Дополнительные источники
- Exchange Server 2007 – Security and protection
- Securing Exchange Server 2007 Client Access
- Hardening an Exchange Server 2003 Environment (Part 1)
- Hardening an Exchange Server 2003 Environment (Part 2)
- Hardening an Exchange Server 2003 Environment (Part 3)
- Hardening an Exchange Server 2003 Environment (Part 4)
- Introduction to Exchange 2007 Server Roles
