Усиление защиты среды сервера Exchange 2003 Environment (Часть 2)

Мастер настройки безопасности в Windows 2003 SP1

При усилении безопасности сервера системы обмена сообщениями, логично, что в начале следует усилить безопасность самой операционной системы. По счастью, в пакет обновлений Windows Server 2003 Service Pack 1 внесено новое средство: мастер настройки безопасности (Security Configuration Wizard – SCW).

Если вы хотите ознакомиться с остальными частями этой статьи, то, пожалуйста, прочитайте:

• Усиление защиты среды сервера Exchange 2003 Environment (Часть 1)
• Усиление защиты среды сервера Exchange 2003 Environment (Часть 3)

Данное средство не устанавливается автоматически при установке SP1, для установки следует воспользоваться апплетом Панели управления Add/Remove Windows Components (Добавить/удалить компоненты Windows).

Рисунок 1: Добавить/удалить компоненты Windows

SCW – это средство для уменьшения площади атаки, которое использует роли (например, «Exchange-сервер «, «Web-сервер «, «Контроллер домена » и т.д.) для определения необходимой функциональности отдельных типов серверов и для отключения функций, не требуемых серверу с указанной ролью. SCW выполняет следующее:

• Отключение ненужных служб
• Блокирование неиспользуемых портов
• Выставление ограничений для открытых портов
• Запрещение ненужных web-расширений (при использовании IIS)
• Снижение незащищенности протоколов (SMB, LanMan, LDAP)
• Определение политик аудита

  

  Рисунок 2: Роль «Внутренний Exchange-сервер»

SCW создает настраиваемые политики безопасности, которые хранятся в виде XML-файлов. Эти политики применяются к настройкам служб, защите сети, отдельным значениям ключей реестра, политикам аудита и, в случае использования, к службам IIS. Можно применять данную политику к любому из серверов.

Если хотите узнать об этом средстве больше, зайдите на сайт Мастера настройки безопасности в Windows 2003 SP1.

При использовании данного средства могут возникнуть некоторые проблемы. Одна из ошибок появляется при импортировании политики, созданной в «папке установки Exchange-сервера по умолчанию», в «папку установки не по умолчанию», и наоборот. Вот статьи Базы знаний, описывающие другие незначительные проблемы:

• Невозможно администрировать Exchange-сервер после использования Мастера настроек безопасности для изменения политики безопасности Exchange-сервера на компьютере под управлением Windows Server 2003 SP1
• После запуска Мастера настройки безопасности на Windows Server 2003 SP1 пользователи Outlook не могут соединиться со своими учетными записями
• Предупреждения при установке Exchange 2003 Service Pack 1 на Windows Server 2003 Service Pack 1

Руководство по шаблонам безопасности в Exchange-сервере

Выше я писал о незначительных проблемах с SCW. В одной из ссылок, предоставленных мной, (KB 896742), Microsoft заявляет: “Для повышения безопасности сервера Exchange 2003 рекомендуется выполнить действия, описанные в руководстве Microsoft Exchange Server 2003 Security Hardening Guide. Рекомендации этого руководства следует выполнять, вместо использования мастера настройки безопасности.” На самом деле, Руководство по повышению безопасности сервера Exchange 2003 – прекрасный информационный ресурс. В нем расположена вся необходимая для повышения безопасности сервера Exchange 2003 информация. Должен заметить, что я не совсем согласен с позицией Microsoft, т.е. я бы ничего не писал о мастере настройки безопасности, поскольку это неплохое средство. SCW работает с серверами Exchange, я проверял это, и его легче использовать, чем шаблоны безопасности Exchange-сервера, так что его использование остается на ваше усмотрение.

Следуя руководству, вы получаете набор шаблонов групповой политики безопасности, которые вы можете применить на уровне организационной единицы. В эти шаблоны входит множество настроек безопасности, таких как аудит, параметры безопасности, настройки реестра, разрешения файлов и настройки служб. Всего есть 12 различных шаблонов, каждый из которых представляет отдельную роль сервера Exchange.

В Таблице 1 приведены все шаблоны безопасности и соответствующие им роли серверов.

Таблица 1: роли сервера Exchange 2003 и соответствующие шаблоны безопасности

Руководство по защите сервера Exchange 2003 следует изучить наряду с Руководством по защите сервера Windows Server 2003, поскольку некоторые из шаблонов являются общими.

На Рисунке 3 показана рекомендуемая структура организационной единицы для применения ролей серверов, включая соответствия политик и шаблонов безопасности с каждой организационной единицей.

Рисунок 3: Структура организационной единицы с дополнительными организационными единицами сервера Exchange 2003

Если вы не используете некоторые из ролей (что верно для большинства организаций), вы можете комбинировать роли в единственной организационной единицу, поскольку политики безопасности аддитивны.

И последнее. Хотел бы еще раз напомнить о важности тестирования этих политик до внедрения их в рабочее окружение.

Установка пакета обновлений Exchange Server 2003 SP2

Пакет обновлений Exchange Server 2003 Service Pack 2 (SP2) – это накопительные обновления, призванные улучшить работу сервера Exchange 2003 с помощью новых функций безопасности, таких как:

• Улучшенная защита от спама
• • Обновленный встроенный настраиваемый фильтр сообщений (Exchange Intelligent Message Filter).
  • Новая поддержка протокола аутентификации по ID отправителя.
• Улучшенный контроль безопасности устройств:
• • Настройки политик. Блокирование устройства паролем.
  • Локальная очистка. Определите, сколь должно пройти неверный попыток регистрации до того, как данные будут подвержены риску.
  • Удаленная чистка. Потерянные, украденные или неверно установленные устройства не имеют смысла для работы. Решайте, когда необходимо удаленно по сети переключать устройства.
• Новая поддержка аутентификации с помощью сертификатов для уменьшения необходимости хранения корпоративных учетных данных на устройствах.
• Добавлена поддержка безопасных многоцелевых расширений электронной почты (Secure/Multipurpose Internet Mail Extensions — S/MIME) для подписывания и шифрования сообщений на и с мобильных устройств.

Это очевидная мера безопасности, но по своему опыту я знаю, что люди часто сопротивляются установке последних пакетов обновлений безопасности, особенно в тех организациях, где используется предыдущий пакет обновлений.

ISA-сервер

Если вы думаете о публикации служб Exchange в Интернете, ISA-сервер – это ваш первый помощник в этом деле. ISA-сервер и сервер Microsoft Exchange 2003 разработаны для совместной работы в сети для повышения безопасности системы обмена сообщениями

В окружении Exchange-сервера ISA-сервер контролирует трафик внутренней сети и исходящие соединения из системы обмена сообщениями. Весь входящий трафик к серверам Exchange, например, к приложениям Microsoft Office Outlook Web Access, RPC поверх HTTP от клиентов Microsoft Office Outlook 2003, Outlook Mobile Access, POP3 и IMAP4, обрабатываются ISA-сервером.

Рисунок4: Сеть с ISA-сервером

Помимо всех функций безопасности, которые ISA-сервер добавляет в вашу сеть, главное преимущество состоит в том, что внешние серверы Exchange могут больше не располагаться в DMZ (более того, Microsoft не рекомендует такое расположение), а ресурсы Exchange-серверов защищены от атак.

Защита от отказа от обслуживания (Denial of Service — DoS)

Атака Отказа от обслуживания (Denial-of-Service — DoS) характеризуется попытками хакеров прекратить использование ресурсов легальными пользователями. Примерами служит попытка переполнения сети, из-за которой сетевой трафик легальных пользователей нарушает работу служб определенной системы.

Хотя от DoS-атак обычно трудно защититься, в сервере Exchange 2003 есть настройки, которые помогают противостоять подобным атакам. Большинство из этих настроек доступны через консоль управления Exchange System Manager, если быть более точным, через свойства виртуального SMTP-сервера.

Вот настройки SMTP, которые помогают бороться с DoS-атаками:

• Максимальное количество получателей сообщения – Exchange-сервер возвращает отправителю сообщения, превысившего максимальное количество получателей, отчет о недоставке (Non-delivery report — NDR).
• Максимальный размер сообщения– Наибольший размер сообщения, которое может пропустить виртуальный сервер.
• Максимальное количество сообщений на соединение – При достижении указанного числа сообщений система разрывает соединение.
• Максимальный размер сессии– Наибольший размер полной транзакции за одну SMTP-сессию.

  

  Рисунок 5: Параметры ограничений сообщений виртуального SMTP-сервера

Замечание:
Поскольку при репликации происходит передача больших сообщений, не следует настраивать внутренний (без выхода во внешнюю сеть) виртуальный SMTP-сервер на запрещение сообщений, размер которых превышает 10 МБ.

Должен заметить, что я никогда не менял настройки по умолчанию для виртуального SMTP-сервера. Большинство больших компаний не используют Exchange-сервер в качестве шлюза по причине безопасности. Я не буду спорить с таким выбором, так что если вы используете Exchange-сервер, имеющий выход в Интернет, и хотите настроить на нем защиту от DoS-атак, вы знаете, как это делать.

Еще одна важная установка, касающаяся ограничений размеров для хранения: установите предел для почтовых ящиков и общих папок. Это поможет вам избежать другой распространенной DoS-атаки, которая заключается в отправке большого количества почтовых сообщений на определенный сервер до того момента, пока на нем не закончится свободное дисковое пространство.

Поскольку Exchange 2003 использует некоторые компоненты IIS, на компьютере под управлением Windows Server 2003 группы приложений (Application Pools) также могут уменьшить DoS-атаки.

Резюме

Мы завершили вторую часть статьи. В третьей части мы расскажем о том, что Microsoft называет «гигиеной сообщений».

Источник  http://www.msexchange.org

• Пользовательские политики
• Маршрутизация Windows 2008
• Управление папками в Windows vista
• Как выключить службу рабочая станция?
• Политика безопасности контроллера домена

Tags: Exchange, imap, ldap, redirect