Wednesday, August 23rd, 2017

Укрепление защиты Exchange Server 2007 — часть 2: безопасен по умолчанию

Published on Январь 21, 2009 by   ·   Комментариев нет

Итак, начнем

Прежде чем приступить, пожалуйста, обратите внимание на то, что эта статья основана на Beta версии Windows Server 2008 и Exchange Server 2007 SP1, и вполне возможно, что некоторые характеристики могут быть изменены или удалены из финальной версии этой продукции.

Данная серия статей будет содержать информацию, касающуюся исключительно Exchange Server 2007 и Windows Server 2008. Если вам нужна дополнительная информация о защите сетевого окружения, обучении пользователей и т.д., я рекомендую вам также прочитать статьи Ру.

Компьютеризация, заслуживающая доверия

Представители Microsoft заявили, что Exchange Server 2007 ‘создан безопасным’. Exchange 2007 был разработан и создан в соответствии с жизненным циклом разработки безопасности компьютеризации, заслуживающей доверия (Trustworthy Computing Security Development Lifecycle (TWC)), который впервые был представлен в октябре 2002 года. Microsoft многое изменила в этой системе, а различные усовершенствования связанные с безопасностью, были интегрированы в Exchange Server 2007. Представители Microsoft утверждают, что Exchange Server 2007 более безопасен, чем все предыдущие версии Exchange.

Безопасен по умолчанию

Microsoft попыталась защитить Exchange Server 2007 с помощью существующих технологий безопасности. Одной из задач было обеспечение того, чтобы практически каждый важный бит трафика был зашифрован по умолчанию. Компания выполнила эту задачу за исключением кластеров коммуникаций протокола Server Message Block (SMB) и Unified Messaging (UM). Exchange Server 2007 – первая система для работы с сообщениями от Microsoft, использующая сертификаты self-signed. Вдобавок, Exchange Server 2007 использует технологию Kerberos для специальных соединений, Secure Sockets Layer (SSL) и других приемов шифрования.

Сертификаты

Exchange 2007 использует сертификаты X.509 для создания безопасных Transport Layer Security (TLS) и Secure Sockets Layer (SSL) каналов передачи для соединения с такими протоколами, как HTTPS, SMTP, IMAP4 и POP3.

Обратите внимание:доступ POP3 и SMTP дезактивирован по умолчанию, как и в предыдущих версиях Exchange Server.

Exchange Server 2007 использует сертификаты для нескольких компонентов.

SMTP

Сертификаты используются для шифровки и аутентификации Безопасности Домена (Domain Security) (новая характеристика для Exchange Server 2007) между различными организациями Exchange. Сертификаты используются для соединений между серверами Hub Transport и Edge Transport. Любое SMTP соединение между серверами Hub Transport зашифровано.

EdgeSync синхронизация

Exchange Server 2007 использует сертификаты self-signed для шифрования LDAP соединений между сервером Edge Transport при ссылке ADAM и внутренним сервером активной директории, через который служба Microsoft Exchange EdgeSync соединяется с активной директорией для копирования информации активной директории в сообщение об автоматическом установлении соединения (ADAM) на сервере Edge Transport.

POP3 и IMAP4

Exchange Server 2007 использует сертификаты для аутентификации и шифровки каждой сессии между клиентами Post Office Protocol version 3 (POP3) и Internet Message Access Protocol version 4 (IMAP4) и сервером Exchange Server 2007.

Unified Messaging

Сертификаты используются для зашифровки SMTP сессий в серверах Hub Transport и в канале Unified Messaging (UM) IP.

AutoDiscover

Сертификаты используются для зашифровки соединений HTTP между клиентом и сервером с клиентским доступом (Client Access Server (CAS)).

Приложения клиентского доступа (Client Access)

Exchange Server 2007 использует сертификаты для зашифровки соединений между серверами клиентского доступа CAS и такими клиентами, как Outlook 2007 (Outlook Anywhere, также известный как RPC через HTTPS), Microsoft Outlook Web Access (OWA), и Exchange ActiveSync.

В целях безопасности, Microsoft рекомендует использовать сертификаты, созданные вашими внутренними органами сертификации или независимыми сертификационными органами, если у вас есть много клиентов, получающих доступ к Exchange Server 2007 с компьютеров, не входящих в группу домена.

Коннекторы сообщений (Messaging connectors)

Exchange Server 2007 использует несколько коннекторов для распределения трафика от служб источника к месту назначения. Exchange Server 2007 использует два разных типа коннекторов. Коннекторы для входящего трафика, которые можно настроить на каждом сервере Exchange Server 2007, и один или более коннекторов для исходящего почтового трафика, сфокусированных на Exchange по всей организации.

Exchange Server 2007 поддерживает множество различных механизмов аутентификации для защиты передачи сообщений, для защиты аутентификации или и того, и другого.

Можно использовать:

  • Протокол защиты безопасности транспортного уровня (Transport Layer Security (TLS)).
  • Защиту домена (Domain Security (Mutual Auth.- протокол TLS с двусторонней авторизацией)).
  • Основную аутентификацию после запуска TLS (Basic Authentication).
  • Аутентификацию Exchange Server.
  • Интегрированную аутентификацию Windows.

    Exchange 2007 аутентификация коннекторов

    Рисунок 1: Аутентификация коннектора

Вы можете прочитать больше о защите SMTP потока сообщений между различными организациями Exchange Server 2007 в предыдущей статье, опубликованной на MSExchange.org. Ссылки даны ниже.

Сервер Microsoft Edge Transport

Функция Microsoft Edge Transport Server – это функция, которая должна быть установлена исключительно на машинах с Windows Server 2003 или Windows Server 2008. Серверы Edge Transport – это релейные почтовые серверы, которые обладают интегрированными функциями Anti Spam и дополнительными функциями антивируса Microsoft Forefront Edge Security или продукции других производителей. Microsoft Edge Transport Server установлен в рабочую группу Windows и не является частью домена. Edge Transport Server использует AD/AM (Active Directory Application Mode) для синхронизации важных данных активной директории с сервером Edge Transport Server. Процесс синхронизации называется Edge sync.

Серверы Edge Transport Server обладают следующими характеристиками:

  • Фильтрация контента (Content Filtering)
  • Допуск IP и поставщик блок-листа (IP Allow and Block List Provider)
  • Фильтрация отправителя (Sender Filtering)
  • Репутация отправителя (Sender Reputation)
  • SMTP Tarpiting

и прочие.

Двусторонняя аутентификация tls для owa

Рисунок 2: служба Anti Spam сервера Edge Server

Microsoft Forefront

Microsoft Forefront – это решение Anti Virus и Anti Spam от Microsoft, доступное для таких продуктов Microsoft, как Exchange Server 2007, Microsoft Sharepoint Portal Server, Microsoft Windows клиенты и т.п. Одно решение для Microsoft Exchange — это Microsoft Forefront Edge Security. Вы можете использовать Forefront Edge Security на серверах Microsoft Edge Transport и Hub Transport, но рекомендуется использовать Forefront Edge Server Security в DMZ на серверах Microsoft Edge Transport. Б

Функции Microsoft Forefront Security

  • Обеспечивает уровневую защиту с помощью Multiple Scan Engine Management для обеспечения безопасности почтовых систем.
  • Обеспечивает расширенные возможности сканирования для большей эффективности и гибкости, включая:
  • Сканирование в память («In-memory»), снижающее воздействие на сервер Exchange для оптимальной защиты и эффективности.
  • Сканирование различных баз данных и объектов хранения информации в реальном времени, запланированное или по требованию.
  • Полная защита Outlook Web Access.
  • Сканирование SMTP и Exchange Information Store для более надежной защиты и производительности.
  • Сканирование сообщений агентов пересылки MTA для всех сообщений, направляемых через Коннекторы Exchange MTA Connectors (X.400, MS Mail, CC Mail, и т.д.).
  • Включает одобренное Microsoft сканирование на вирусы встроенных программных интерфейсов приложений для Exchange 2000 и 2003.
  • Минимизирует риск получения спама worm-generated spam и защищает информационную базу (Information Store) посредством Forefront Worm Purge.
  • Определяет все сообщения с нежелаемыми вложениями посредством гибких правил фильтрации файлов.
  • Отправляет зараженные вложения в карантин с помощью Forefront Quarantine Manager.
  • Автоматически выгружает последние подписи вирусов.
  • Дает сигнал администратору о наличии вирусов и сканирует события посредством e-mail, протоколов событий, и SMTP пейджеров.
  • Включает различные настраиваемые отказы для исходящих сообщений, основанные на критериях имени отправителя, адресата и домена, устанавливаемые администраторами.

    Безопасностьс exchange server 2007

    Рисунок 3: Microsoft Forefront Security

Помощник настройки безопасности (Security Configuration Wizard (Windows Server 2003 SP1))

Exchange 2007 обеспечивает шаблон SCW для каждой роли сервера Exchange 2007. Используя этот шаблон SCW, вы можете настраивать конфигурацию Windows Server 2003 для закрытия сервисов и портов, которые не нужны для работы каждой роли сервера Exchange. Когда вы используете Security Configuration Wizard, вы создаете шаблонный XML файл, который можно использовать для защиты этого или другого сервера Exchange.

Аутентификация exchange 2007

Рисунок 4: Помощник настройки конфигурации безопасности

Так как SCW был впервые представлен на Windows Server 2003 SP1 ‘ (прежде чем Exchange Server 2007 стал RTM), вам нужно активировать SCW, чтобы настроить Exchange Server 2007. Exchange Server 2007 идет с двумя SCW файлами конфигурации (config files), которые нужно установить на сервере, на котором вы хотите запустить SCW.

Для серверов Hub Transport

scwcmd register /kbname:Ex2007KB /kbfile:»%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007.xml

Для серверов Edge Transport

scwcmd register /kbname:Ex2007EdgeKB /kbfile:»%programfiles%\Microsoft\Exchange Server\scripts\ Exchange2007Edge.xm

Заключение

В этой части мы обсудили то, насколько безопасен Exchange Server 2007 и его субкомпоненты, и то, насколько Edge Transport Servers, Anti Spam и Antivirus технологии могут улучшить безопасность. В третьей статье вам будет показано, как защищать клиентский доступ к Exchange Server 2007, а также рассказано о некоторых необходимых изменениях в конфигурации Exchange Server 2007.

Пожалуйста, обратите внимание на то, что данная статья не концентрируется на всех новых улучшениях и функциях безопасности Exchange Server 2007.

Источник  http://www.msexchange.org


Смотрите также:

Tags: , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]