На главную страницу
 
  Главная 
  Новости 
  Статьи  RSS
  Программное обеспечение 
  Форум 
  Опросы 
  Полезные ссылки 
MSExchange.ru ISADocs.ru WinSecurity.ru NetDocs.ru

Exchange 5.5
Exchange 2000
Exchange 2003
Exchange 2007
Общее
Exchange 2010

Поиск по сайту


Авторизация

Запомнить меня на этом компьютере
  Забыли свой пароль?
  Регистрация

Подписка

Изменение параметров

Статистика

Hits 2084328
9772
Hosts 1617535
2228
Visitors 166603
2710

10

Главная / Статьи / Exchange 2007 / Укрепление защиты Exchange Server 2007 - часть 2: безопасен по умолчанию


Укрепление защиты Exchange Server 2007 - часть 2: безопасен по умолчанию

Версия для печати Версия для печати

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.

Если вы пропустили первую статью из этой серии, пожалуйста прочитайте: Укрепление Exchange Server 2007 – часть 1: вводные шаги.

Итак, начнем

Прежде чем приступить, пожалуйста, обратите внимание на то, что эта статья основана на Beta версии Windows Server 2008 и Exchange Server 2007 SP1, и вполне возможно, что некоторые характеристики могут быть изменены или удалены из финальной версии этой продукции.

Во-первых, я не намерен затрагивать темы, которые Ру Сильва брал в своей серии статей об укреплении защиты Exchange Server 2003. Данная серия статей будет содержать информацию, касающуюся исключительно Exchange Server 2007 и Windows Server 2008. Если вам нужна дополнительная информация о защите сетевого окружения, обучении пользователей и т.д., я рекомендую вам также прочитать статьи Ру.

Компьютеризация, заслуживающая доверия

Представители Microsoft заявили, что Exchange Server 2007 'создан безопасным'. Exchange 2007 был разработан и создан в соответствии с жизненным циклом разработки безопасности компьютеризации, заслуживающей доверия (Trustworthy Computing Security Development Lifecycle (TWC)), который впервые был представлен в октябре 2002 года. Microsoft многое изменила в этой системе, а различные усовершенствования связанные с безопасностью, были интегрированы в Exchange Server 2007. Представители Microsoft утверждают, что Exchange Server 2007 более безопасен, чем все предыдущие версии Exchange.

Безопасен по умолчанию

Microsoft попыталась защитить Exchange Server 2007 с помощью существующих технологий безопасности. Одной из задач было обеспечение того, чтобы практически каждый важный бит трафика был зашифрован по умолчанию. Компания выполнила эту задачу за исключением кластеров коммуникаций протокола Server Message Block (SMB) и Unified Messaging (UM). Exchange Server 2007 – первая система для работы с сообщениями от Microsoft, использующая сертификаты self-signed. Вдобавок, Exchange Server 2007 использует технологию Kerberos для специальных соединений, Secure Sockets Layer (SSL) и других приемов шифрования.

Сертификаты

Exchange 2007 использует сертификаты X.509 для создания безопасных Transport Layer Security (TLS) и Secure Sockets Layer (SSL) каналов передачи для соединения с такими протоколами, как HTTPS, SMTP, IMAP4 и POP3.

Обратите внимание:доступ POP3 и SMTP дезактивирован по умолчанию, как и в предыдущих версиях Exchange Server.

Exchange Server 2007 использует сертификаты для нескольких компонентов.

SMTP

Сертификаты используются для шифровки и аутентификации Безопасности Домена (Domain Security) (новая характеристика для Exchange Server 2007) между различными организациями Exchange. Сертификаты используются для соединений между серверами Hub Transport и Edge Transport. Любое SMTP соединение между серверами Hub Transport зашифровано.

EdgeSync синхронизация

Exchange Server 2007 использует сертификаты self-signed для шифрования LDAP соединений между сервером Edge Transport при ссылке ADAM и внутренним сервером активной директории, через который служба Microsoft Exchange EdgeSync соединяется с активной директорией для копирования информации активной директории в сообщение об автоматическом установлении соединения (ADAM) на сервере Edge Transport.

POP3 и IMAP4

Exchange Server 2007 использует сертификаты для аутентификации и шифровки каждой сессии между клиентами Post Office Protocol version 3 (POP3) и Internet Message Access Protocol version 4 (IMAP4) и сервером Exchange Server 2007.

Unified Messaging

Сертификаты используются для зашифровки SMTP сессий в серверах Hub Transport и в канале Unified Messaging (UM) IP.

AutoDiscover

Сертификаты используются для зашифровки соединений HTTP между клиентом и сервером с клиентским доступом (Client Access Server (CAS)).

Приложения клиентского доступа (Client Access)

Exchange Server 2007 использует сертификаты для зашифровки соединений между серверами клиентского доступа CAS и такими клиентами, как Outlook 2007 (Outlook Anywhere, также известный как RPC через HTTPS), Microsoft Outlook Web Access (OWA), и Exchange ActiveSync.

В целях безопасности, Microsoft рекомендует использовать сертификаты, созданные вашими внутренними органами сертификации или независимыми сертификационными органами, если у вас есть много клиентов, получающих доступ к Exchange Server 2007 с компьютеров, не входящих в группу домена.

Коннекторы сообщений (Messaging connectors)

Exchange Server 2007 использует несколько коннекторов для распределения трафика от служб источника к месту назначения. Exchange Server 2007 использует два разных типа коннекторов. Коннекторы для входящего трафика, которые можно настроить на каждом сервере Exchange Server 2007, и один или более коннекторов для исходящего почтового трафика, сфокусированных на Exchange по всей организации.

Exchange Server 2007 поддерживает множество различных механизмов аутентификации для защиты передачи сообщений, для защиты аутентификации или и того, и другого.

Можно использовать:

  • Протокол защиты безопасности транспортного уровня (Transport Layer Security (TLS)).
  • Защиту домена (Domain Security (Mutual Auth.- протокол TLS с двусторонней авторизацией)).
  • Основную аутентификацию после запуска TLS (Basic Authentication).
  • Аутентификацию Exchange Server.
  • Интегрированную аутентификацию Windows.
Рисунок 1: Аутентификация коннектора Рисунок 1: Аутентификация коннектора

Вы можете прочитать больше о защите SMTP потока сообщений между различными организациями Exchange Server 2007 в предыдущей статье, опубликованной на MSExchange.org. Ссылки даны ниже.

Сервер Microsoft Edge Transport

Функция Microsoft Edge Transport Server – это функция, которая должна быть установлена исключительно на машинах с Windows Server 2003 или Windows Server 2008. Серверы Edge Transport – это релейные почтовые серверы, которые обладают интегрированными функциями Anti Spam и дополнительными функциями антивируса Microsoft Forefront Edge Security или продукции других производителей. Microsoft Edge Transport Server установлен в рабочую группу Windows и не является частью домена. Edge Transport Server использует AD/AM (Active Directory Application Mode) для синхронизации важных данных активной директории с сервером Edge Transport Server. Процесс синхронизации называется Edge sync.

Серверы Edge Transport Server обладают следующими характеристиками:

  • Фильтрация контента (Content Filtering)
  • Допуск IP и поставщик блок-листа (IP Allow and Block List Provider)
  • Фильтрация отправителя (Sender Filtering)
  • Репутация отправителя (Sender Reputation)
  • SMTP Tarpiting

и прочие.

Рисунок 2: служба Anti Spam сервера Edge Server Рисунок 2: служба Anti Spam сервера Edge Server

Microsoft Forefront

Microsoft Forefront – это решение Anti Virus и Anti Spam от Microsoft, доступное для таких продуктов Microsoft, как Exchange Server 2007, Microsoft Sharepoint Portal Server, Microsoft Windows клиенты и т.п. Одно решение для Microsoft Exchange - это Microsoft Forefront Edge Security. Вы можете использовать Forefront Edge Security на серверах Microsoft Edge Transport и Hub Transport, но рекомендуется использовать Forefront Edge Server Security в DMZ на серверах Microsoft Edge Transport. Более подробную информацию о Microsoft Forefront вы найдете здесь..

Функции Microsoft Forefront Security

  • Обеспечивает уровневую защиту с помощью Multiple Scan Engine Management для обеспечения безопасности почтовых систем.
  • Обеспечивает расширенные возможности сканирования для большей эффективности и гибкости, включая:
  • Сканирование в память ("In-memory"), снижающее воздействие на сервер Exchange для оптимальной защиты и эффективности.
  • Сканирование различных баз данных и объектов хранения информации в реальном времени, запланированное или по требованию.
  • Полная защита Outlook Web Access.
  • Сканирование SMTP и Exchange Information Store для более надежной защиты и производительности.
  • Сканирование сообщений агентов пересылки MTA для всех сообщений, направляемых через Коннекторы Exchange MTA Connectors (X.400, MS Mail, CC Mail, и т.д.).
  • Включает одобренное Microsoft сканирование на вирусы встроенных программных интерфейсов приложений для Exchange 2000 и 2003.
  • Минимизирует риск получения спама worm-generated spam и защищает информационную базу (Information Store) посредством Forefront Worm Purge.
  • Определяет все сообщения с нежелаемыми вложениями посредством гибких правил фильтрации файлов.
  • Отправляет зараженные вложения в карантин с помощью Forefront Quarantine Manager.
  • Автоматически выгружает последние подписи вирусов.
  • Дает сигнал администратору о наличии вирусов и сканирует события посредством e-mail, протоколов событий, и SMTP пейджеров.
  • Включает различные настраиваемые отказы для исходящих сообщений, основанные на критериях имени отправителя, адресата и домена, устанавливаемые администраторами.
Рисунок 3: Microsoft Forefront Security Рисунок 3: Microsoft Forefront Security

Помощник настройки безопасности (Security Configuration Wizard (Windows Server 2003 SP1))

Exchange 2007 обеспечивает шаблон SCW для каждой роли сервера Exchange 2007. Используя этот шаблон SCW, вы можете настраивать конфигурацию Windows Server 2003 для закрытия сервисов и портов, которые не нужны для работы каждой роли сервера Exchange. Когда вы используете Security Configuration Wizard, вы создаете шаблонный XML файл, который можно использовать для защиты этого или другого сервера Exchange.

Рисунок 4: Помощник настройки конфигурации безопасности Рисунок 4: Помощник настройки конфигурации безопасности

Так как SCW был впервые представлен на Windows Server 2003 SP1 ' (прежде чем Exchange Server 2007 стал RTM), вам нужно активировать SCW, чтобы настроить Exchange Server 2007. Exchange Server 2007 идет с двумя SCW файлами конфигурации (config files), которые нужно установить на сервере, на котором вы хотите запустить SCW.

Для серверов Hub Transport

scwcmd register /kbname:Ex2007KB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007.xml

Для серверов Edge Transport

scwcmd register /kbname:Ex2007EdgeKB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\ Exchange2007Edge.xm

Заключение

В этой части мы обсудили то, насколько безопасен Exchange Server 2007 и его субкомпоненты, и то, насколько Edge Transport Servers, Anti Spam и Antivirus технологии могут улучшить безопасность. В третьей статье вам будет показано, как защищать клиентский доступ к Exchange Server 2007, а также рассказано о некоторых необходимых изменениях в конфигурации Exchange Server 2007.

Пожалуйста, обратите внимание на то, что данная статья не концентрируется на всех новых улучшениях и функциях безопасности Exchange Server 2007.

Ссылки

  • Exchange Server 2007 ' Безопасность и защита
  • Защита клиентского доступа на Exchange Server 2007 Client Access
  • Укрепление защиты сетевого окружения Exchange Server 2003 (Часть 1)
  • Укрепление защиты сетевого окружения Exchange Server 2003 (Часть 2)
  • Укрепление защиты сетевого окружения Exchange Server 2003 (Часть 3)
  • Укрепление защиты сетевого окружения Exchange Server 2003 (Часть 4)
  • Введение в роли Exchange 2007 Server
  • Microsoft Forefront
  • Роль Edge Transport Server: Обзор
  • Microsoft Trustworthy Computing
  • Securing SMTP Message Flow between different Exchange Server 2007 organizations

Если вы пропустили первую статью из этой серии, пожалуйста прочитайте: Укрепление Exchange Server 2007 – часть 1: вводные шаги.





Рейтинг:  
5.0 (голосов 1)  
 1   2   3   4   5    

Автор: Марк Гроут(Mark Grote)
Марк Грот (Marc Grote) является MCSA/MCSE Messaging & Security и Microsoft Certified Trainer (инструктором, сертифицированным Microsoft). Он работает в качестве внештатного IT инструктора и консультанта на севере Германии. Он специализируется в ISA, SMS, Exchange, Безопасности на Windows 2000 и Windows Server 2003 при разработках, миграциях и реализациях и Citrix Metaframe / Cisco реализациях. Его заслуги были замечены и ему присвоено звание Microsoft MVP для ISA Server. Вы можете посетить его домашнюю страницу www.it-training-grote.de
Эта статья переведена и опубликована с разрешения www.msexchange.org

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.





Работает на «Битрикс: Управление сайтом»
Работает на «Битрикс:
 Управление сайтом»
© MSExchange.ru, 2005-2010