headermask image

Notice: Undefined variable: t in /var/www/user97185/data/www/system-administrators.info/yandex-ad.php on line 15

Notice: Undefined variable: r in /var/www/user97185/data/www/system-administrators.info/yandex-ad.php on line 15
Рекомендую: Фриланс-биржа | Кэшбэк-сервис | Интернет-бухгалтерия

Укрепление защиты Exchange Server 2007, часть 2

Представители Microsoft заявили, что Exchange Server 2007 ‘создан безопасным’. Exchange 2007 был разработан и создан в соответствии с жизненным циклом разработки безопасности компьютеризации, заслуживающей доверия (Trustworthy Computing Security Development Lifecycle (TWC)), который впервые был представлен в октябре 2002 года. Microsoft многое изменила в этой системе, а различные усовершенствования связанные с безопасностью, были интегрированы в Exchange Server 2007. Представители Microsoft утверждают, что Exchange Server 2007 более безопасен, чем все предыдущие версии Exchange.

Безопасен по умолчанию

Microsoft попыталась защитить Exchange Server 2007 с помощью существующих технологий безопасности. Одной из задач было обеспечение того, чтобы практически каждый важный бит трафика был зашифрован по умолчанию. Компания выполнила эту задачу за исключением кластеров коммуникаций протокола Server Message Block (SMB) и Unified Messaging (UM). Exchange Server 2007 – первая система для работы с сообщениями от Microsoft, использующая сертификаты self-signed. Вдобавок, Exchange Server 2007 использует технологию Kerberos для специальных соединений, Secure Sockets Layer (SSL) и других приемов шифрования.

Сертификаты

Exchange 2007 использует сертификаты X.509 для создания безопасных Transport Layer Security (TLS) и Secure Sockets Layer (SSL) каналов передачи для соединения с такими протоколами, как HTTPS, SMTP, IMAP4 и POP3.

Обратите внимание:доступ POP3 и SMTP дезактивирован по умолчанию, как и в предыдущих версиях Exchange Server.

Exchange Server 2007 использует сертификаты для нескольких компонентов.

SMTP

Сертификаты используются для шифровки и аутентификации Безопасности Домена (Domain Security) (новая характеристика для Exchange Server 2007) между различными организациями Exchange. Сертификаты используются для соединений между серверами Hub Transport и Edge Transport. Любое SMTP соединение между серверами Hub Transport зашифровано.

EdgeSync синхронизация

Exchange Server 2007 использует сертификаты self-signed для шифрования LDAP соединений между сервером Edge Transport при ссылке ADAM и внутренним сервером активной директории, через который служба Microsoft Exchange EdgeSync соединяется с активной директорией для копирования информации активной директории в сообщение об автоматическом установлении соединения (ADAM) на сервере Edge Transport.

POP3 и IMAP4

Exchange Server 2007 использует сертификаты для аутентификации и шифровки каждой сессии между клиентами Post Office Protocol version 3 (POP3) и Internet Message Access Protocol version 4 (IMAP4) и сервером Exchange Server 2007.

Unified Messaging

Сертификаты используются для зашифровки SMTP сессий в серверах Hub Transport и в канале Unified Messaging (UM) IP.

AutoDiscover

Сертификаты используются для зашифровки соединений HTTP между клиентом и сервером с клиентским доступом (Client Access Server (CAS)).

Приложения клиентского доступа (Client Access)

Exchange Server 2007 использует сертификаты для зашифровки соединений между серверами клиентского доступа CAS и такими клиентами, как Outlook 2007 (Outlook Anywhere, также известный как RPC через HTTPS), Microsoft Outlook Web Access (OWA), и Exchange ActiveSync.

В целях безопасности, Microsoft рекомендует использовать сертификаты, созданные вашими внутренними органами сертификации или независимыми сертификационными органами, если у вас есть много клиентов, получающих доступ к Exchange Server 2007 с компьютеров, не входящих в группу домена.

Коннекторы сообщений (Messaging connectors)

Exchange Server 2007 использует несколько коннекторов для распределения трафика от служб источника к месту назначения. Exchange Server 2007 использует два разных типа коннекторов. Коннекторы для входящего трафика, которые можно настроить на каждом сервере Exchange Server 2007, и один или более коннекторов для исходящего почтового трафика, сфокусированных на Exchange по всей организации.

Exchange Server 2007 поддерживает множество различных механизмов аутентификации для защиты передачи сообщений, для защиты аутентификации или и того, и другого.

Можно использовать:

  • Протокол защиты безопасности транспортного уровня (Transport Layer Security (TLS)).
  • Защиту домена (Domain Security (Mutual Auth.- протокол TLS с двусторонней авторизацией)).
  • Основную аутентификацию после запуска TLS (Basic Authentication).
  • Аутентификацию Exchange Server.
  • Интегрированную аутентификацию Windows.

Аутентификация коннектора

Рисунок 1: Аутентификация коннектора

Вы можете прочитать больше о защите SMTP потока сообщений между различными организациями Exchange Server 2007 в предыдущей статье, опубликованной на MSExchange.org. Ссылки даны ниже.

Сервер Microsoft Edge Transport

Функция Microsoft Edge Transport Server – это функция, которая должна быть установлена исключительно на машинах с Windows Server 2003 или Windows Server 2008. Серверы Edge Transport – это релейные почтовые серверы, которые обладают интегрированными функциями Anti Spam и дополнительными функциями антивируса Microsoft Forefront Edge Security или продукции других производителей. Microsoft Edge Transport Server установлен в рабочую группу Windows и не является частью домена. Edge Transport Server использует AD/AM (Active Directory Application Mode) для синхронизации важных данных активной директории с сервером Edge Transport Server. Процесс синхронизации называется Edge sync.

Серверы Edge Transport Server обладают следующими характеристиками:

  • Фильтрация контента (Content Filtering)
  • Допуск IP и поставщик блок-листа (IP Allow and Block List Provider)
  • Фильтрация отправителя (Sender Filtering)
  • Репутация отправителя (Sender Reputation)
  • SMTP Tarpiting

и прочие.

exch21.jpg
Рисунок 2: служба Anti Spam сервера Edge Server

Microsoft Forefront

Microsoft Forefront – это решение Anti Virus и Anti Spam от Microsoft, доступное для таких продуктов Microsoft, как Exchange Server 2007, Microsoft Sharepoint Portal Server, Microsoft Windows клиенты и т.п. Одно решение для Microsoft Exchange – это Microsoft Forefront Edge Security. Вы можете использовать Forefront Edge Security на серверах Microsoft Edge Transport и Hub Transport, но рекомендуется использовать Forefront Edge Server Security в DMZ на серверах Microsoft Edge Transport.

Функции Microsoft Forefront Security

  • Обеспечивает уровневую защиту с помощью Multiple Scan Engine Management для обеспечения безопасности почтовых систем.
  • Обеспечивает расширенные возможности сканирования для большей эффективности и гибкости, включая:
  • Сканирование в память (“In-memory”), снижающее воздействие на сервер Exchange для оптимальной защиты и эффективности.
  • Сканирование различных баз данных и объектов хранения информации в реальном времени, запланированное или по требованию.
  • Полная защита Outlook Web Access.
  • Сканирование SMTP и Exchange Information Store для более надежной защиты и производительности.
  • Сканирование сообщений агентов пересылки MTA для всех сообщений, направляемых через Коннекторы Exchange MTA Connectors (X.400, MS Mail, CC Mail, и т.д.).
  • Включает одобренное Microsoft сканирование на вирусы встроенных программных интерфейсов приложений для Exchange 2000 и 2003.
  • Минимизирует риск получения спама worm-generated spam и защищает информационную базу (Information Store) посредством Forefront Worm Purge.
  • Определяет все сообщения с нежелаемыми вложениями посредством гибких правил фильтрации файлов.
  • Отправляет зараженные вложения в карантин с помощью Forefront Quarantine Manager.
  • Автоматически выгружает последние подписи вирусов.
  • Дает сигнал администратору о наличии вирусов и сканирует события посредством e-mail, протоколов событий, и SMTP пейджеров.
  • Включает различные настраиваемые отказы для исходящих сообщений, основанные на критериях имени отправителя, адресата и домена, устанавливаемые администраторами.

forefront.jpg
Рисунок 3: Microsoft Forefront Security 

Помощник настройки безопасности (Security Configuration Wizard (Windows Server 2003 SP1))

Exchange 2007 обеспечивает шаблон SCW для каждой роли сервера Exchange 2007. Используя этот шаблон SCW, вы можете настраивать конфигурацию Windows Server 2003 для закрытия сервисов и портов, которые не нужны для работы каждой роли сервера Exchange. Когда вы используете Security Configuration Wizard, вы создаете шаблонный XML файл, который можно использовать для защиты этого или другого сервера Exchange.

Так как SCW был впервые представлен на Windows Server 2003 SP1 ‘ (прежде чем Exchange Server 2007 стал RTM), вам нужно активировать SCW, чтобы настроить Exchange Server 2007. Exchange Server 2007 идет с двумя SCW файлами конфигурации (config files), которые нужно установить на сервере, на котором вы хотите запустить SCW.

Для серверов Hub Transport

scwcmd register /kbname:Ex2007KB /kbfile:”%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007.xml

Для серверов Edge Transport

scwcmd register /kbname:Ex2007EdgeKB /kbfile:”%programfiles%\Microsoft\Exchange Server\scripts\ Exchange2007Edge.xm

Заключение

В этой части мы обсудили то, насколько безопасен Exchange Server 2007 и его субкомпоненты, и то, насколько Edge Transport Servers, Anti Spam и Antivirus технологии могут улучшить безопасность. В третьей статье вам будет показано, как защищать клиентский доступ к Exchange Server 2007, а также рассказано о некоторых необходимых изменениях в конфигурации Exchange Server 2007.

Пожалуйста, обратите внимание на то, что данная статья не концентрируется на всех новых улучшениях и функциях безопасности Exchange Server 2007.

Автор: Марк Гроут(Mark Grote)

Источник: www.msexchange.ru

Похожие посты
  • Демонстрация Exchange Server 2007
  • Бэкап Exchange 2010 и Exchange 2007 SP2 с помощью Windows Server Backup
  • Настраиваем 2003 Server на обмен маршрутами RIP с роутерами Cisco. Часть 1
  • Ошибка “An IIS directory entry couldn’t be created. The error message is Access is denied ” после установки Exchange 2010
  • Как узнать размер базы Exchange с помощью PowerShell
  • Настраиваем Windows Server 2003 на обмен маршрутами RIP с роутерами Cisco. Часть 2
  • Укрепление Exchange Server 2007, часть 1.
  • Новые возможности Exchange 2007 SP2 – VSS плагин, часть 2 – восстановление
  • Новые возможности Exchange 2007 SP2 – VSS плагин, часть 1 – резервное копирование
  • Делегирование прав на установку Exchange Server 2010