Представители Microsoft заявили, что Exchange Server 2007 ‘создан безопасным’. Exchange 2007 был разработан и создан в соответствии с жизненным циклом разработки безопасности компьютеризации, заслуживающей доверия (Trustworthy Computing Security Development Lifecycle (TWC)), который впервые был представлен в октябре 2002 года. Microsoft многое изменила в этой системе, а различные усовершенствования связанные с безопасностью, были интегрированы в Exchange Server 2007. Представители Microsoft утверждают, что Exchange Server 2007 более безопасен, чем все предыдущие версии Exchange.
Безопасен по умолчанию
Microsoft попыталась защитить Exchange Server 2007 с помощью существующих технологий безопасности. Одной из задач было обеспечение того, чтобы практически каждый важный бит трафика был зашифрован по умолчанию. Компания выполнила эту задачу за исключением кластеров коммуникаций протокола Server Message Block (SMB) и Unified Messaging (UM). Exchange Server 2007 – первая система для работы с сообщениями от Microsoft, использующая сертификаты self-signed. Вдобавок, Exchange Server 2007 использует технологию Kerberos для специальных соединений, Secure Sockets Layer (SSL) и других приемов шифрования.
Сертификаты
Exchange 2007 использует сертификаты X.509 для создания безопасных Transport Layer Security (TLS) и Secure Sockets Layer (SSL) каналов передачи для соединения с такими протоколами, как HTTPS, SMTP, IMAP4 и POP3.
Обратите внимание:доступ POP3 и SMTP дезактивирован по умолчанию, как и в предыдущих версиях Exchange Server.
Exchange Server 2007 использует сертификаты для нескольких компонентов.
SMTP
Сертификаты используются для шифровки и аутентификации Безопасности Домена (Domain Security) (новая характеристика для Exchange Server 2007) между различными организациями Exchange. Сертификаты используются для соединений между серверами Hub Transport и Edge Transport. Любое SMTP соединение между серверами Hub Transport зашифровано.
EdgeSync синхронизация
Exchange Server 2007 использует сертификаты self-signed для шифрования LDAP соединений между сервером Edge Transport при ссылке ADAM и внутренним сервером активной директории, через который служба Microsoft Exchange EdgeSync соединяется с активной директорией для копирования информации активной директории в сообщение об автоматическом установлении соединения (ADAM) на сервере Edge Transport.
POP3 и IMAP4
Exchange Server 2007 использует сертификаты для аутентификации и шифровки каждой сессии между клиентами Post Office Protocol version 3 (POP3) и Internet Message Access Protocol version 4 (IMAP4) и сервером Exchange Server 2007.
Unified Messaging
Сертификаты используются для зашифровки SMTP сессий в серверах Hub Transport и в канале Unified Messaging (UM) IP.
AutoDiscover
Сертификаты используются для зашифровки соединений HTTP между клиентом и сервером с клиентским доступом (Client Access Server (CAS)).
Приложения клиентского доступа (Client Access)
Exchange Server 2007 использует сертификаты для зашифровки соединений между серверами клиентского доступа CAS и такими клиентами, как Outlook 2007 (Outlook Anywhere, также известный как RPC через HTTPS), Microsoft Outlook Web Access (OWA), и Exchange ActiveSync.
В целях безопасности, Microsoft рекомендует использовать сертификаты, созданные вашими внутренними органами сертификации или независимыми сертификационными органами, если у вас есть много клиентов, получающих доступ к Exchange Server 2007 с компьютеров, не входящих в группу домена.
Коннекторы сообщений (Messaging connectors)
Exchange Server 2007 использует несколько коннекторов для распределения трафика от служб источника к месту назначения. Exchange Server 2007 использует два разных типа коннекторов. Коннекторы для входящего трафика, которые можно настроить на каждом сервере Exchange Server 2007, и один или более коннекторов для исходящего почтового трафика, сфокусированных на Exchange по всей организации.
Exchange Server 2007 поддерживает множество различных механизмов аутентификации для защиты передачи сообщений, для защиты аутентификации или и того, и другого.
Можно использовать:
- Протокол защиты безопасности транспортного уровня (Transport Layer Security (TLS)).
- Защиту домена (Domain Security (Mutual Auth.- протокол TLS с двусторонней авторизацией)).
- Основную аутентификацию после запуска TLS (Basic Authentication).
- Аутентификацию Exchange Server.
- Интегрированную аутентификацию Windows.
Рисунок 1: Аутентификация коннектора
Вы можете прочитать больше о защите SMTP потока сообщений между различными организациями Exchange Server 2007 в предыдущей статье, опубликованной на MSExchange.org. Ссылки даны ниже.
Сервер Microsoft Edge Transport
Функция Microsoft Edge Transport Server – это функция, которая должна быть установлена исключительно на машинах с Windows Server 2003 или Windows Server 2008. Серверы Edge Transport – это релейные почтовые серверы, которые обладают интегрированными функциями Anti Spam и дополнительными функциями антивируса Microsoft Forefront Edge Security или продукции других производителей. Microsoft Edge Transport Server установлен в рабочую группу Windows и не является частью домена. Edge Transport Server использует AD/AM (Active Directory Application Mode) для синхронизации важных данных активной директории с сервером Edge Transport Server. Процесс синхронизации называется Edge sync.
Серверы Edge Transport Server обладают следующими характеристиками:
- Фильтрация контента (Content Filtering)
- Допуск IP и поставщик блок-листа (IP Allow and Block List Provider)
- Фильтрация отправителя (Sender Filtering)
- Репутация отправителя (Sender Reputation)
- SMTP Tarpiting
и прочие.
Рисунок 2: служба Anti Spam сервера Edge Server
Microsoft Forefront
Microsoft Forefront – это решение Anti Virus и Anti Spam от Microsoft, доступное для таких продуктов Microsoft, как Exchange Server 2007, Microsoft Sharepoint Portal Server, Microsoft Windows клиенты и т.п. Одно решение для Microsoft Exchange – это Microsoft Forefront Edge Security. Вы можете использовать Forefront Edge Security на серверах Microsoft Edge Transport и Hub Transport, но рекомендуется использовать Forefront Edge Server Security в DMZ на серверах Microsoft Edge Transport.
Функции Microsoft Forefront Security
- Обеспечивает уровневую защиту с помощью Multiple Scan Engine Management для обеспечения безопасности почтовых систем.
- Обеспечивает расширенные возможности сканирования для большей эффективности и гибкости, включая:
- Сканирование в память (“In-memory”), снижающее воздействие на сервер Exchange для оптимальной защиты и эффективности.
- Сканирование различных баз данных и объектов хранения информации в реальном времени, запланированное или по требованию.
- Полная защита Outlook Web Access.
- Сканирование SMTP и Exchange Information Store для более надежной защиты и производительности.
- Сканирование сообщений агентов пересылки MTA для всех сообщений, направляемых через Коннекторы Exchange MTA Connectors (X.400, MS Mail, CC Mail, и т.д.).
- Включает одобренное Microsoft сканирование на вирусы встроенных программных интерфейсов приложений для Exchange 2000 и 2003.
- Минимизирует риск получения спама worm-generated spam и защищает информационную базу (Information Store) посредством Forefront Worm Purge.
- Определяет все сообщения с нежелаемыми вложениями посредством гибких правил фильтрации файлов.
- Отправляет зараженные вложения в карантин с помощью Forefront Quarantine Manager.
- Автоматически выгружает последние подписи вирусов.
- Дает сигнал администратору о наличии вирусов и сканирует события посредством e-mail, протоколов событий, и SMTP пейджеров.
- Включает различные настраиваемые отказы для исходящих сообщений, основанные на критериях имени отправителя, адресата и домена, устанавливаемые администраторами.
Рисунок 3: Microsoft Forefront Security
Помощник настройки безопасности (Security Configuration Wizard (Windows Server 2003 SP1))
Exchange 2007 обеспечивает шаблон SCW для каждой роли сервера Exchange 2007. Используя этот шаблон SCW, вы можете настраивать конфигурацию Windows Server 2003 для закрытия сервисов и портов, которые не нужны для работы каждой роли сервера Exchange. Когда вы используете Security Configuration Wizard, вы создаете шаблонный XML файл, который можно использовать для защиты этого или другого сервера Exchange.
Так как SCW был впервые представлен на Windows Server 2003 SP1 ‘ (прежде чем Exchange Server 2007 стал RTM), вам нужно активировать SCW, чтобы настроить Exchange Server 2007. Exchange Server 2007 идет с двумя SCW файлами конфигурации (config files), которые нужно установить на сервере, на котором вы хотите запустить SCW.
Для серверов Hub Transport
scwcmd register /kbname:Ex2007KB /kbfile:”%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007.xml
Для серверов Edge Transport
scwcmd register /kbname:Ex2007EdgeKB /kbfile:”%programfiles%\Microsoft\Exchange Server\scripts\ Exchange2007Edge.xm
Заключение
В этой части мы обсудили то, насколько безопасен Exchange Server 2007 и его субкомпоненты, и то, насколько Edge Transport Servers, Anti Spam и Antivirus технологии могут улучшить безопасность. В третьей статье вам будет показано, как защищать клиентский доступ к Exchange Server 2007, а также рассказано о некоторых необходимых изменениях в конфигурации Exchange Server 2007.
Пожалуйста, обратите внимание на то, что данная статья не концентрируется на всех новых улучшениях и функциях безопасности Exchange Server 2007.
Автор: Марк Гроут(Mark Grote)
Источник: www.msexchange.ru