exch2k3强化指南文档格式.docx
- 文档编号:22299390
- 上传时间:2023-02-03
- 格式:DOCX
- 页数:63
- 大小:845.61KB
exch2k3强化指南文档格式.docx
《exch2k3强化指南文档格式.docx》由会员分享,可在线阅读,更多相关《exch2k3强化指南文档格式.docx(63页珍藏版)》请在冰豆网上搜索。
2004MicrosoftCorporation.著作權所有,並保留一切權利。
Microsoft,ActiveDirectory,ActiveSync,MicrosoftPress,MSDN,Outlook,Windows和WindowsServer均為MicrosoftCorporation在美國和(或)其他國家的註冊商標或商標。
此處所提的真實公司和產品名稱,可能係其專屬公司的商標。
致謝
專案編輯:
BrendonBennett
撰稿者:
JohnSpeare,ChristopherBudd(CISSP),JaninedeNysschen,JoeyMasterson
技術檢閱者:
AndrewMoss;
AlexanderMacLeod;
JasonUrban;
EricRosenberg;
GiuseppeDiSilvestre
美工設計者:
KristieSmith,PaulCarew
製作者:
JoeOrzech,SeanPohtilla
目錄
目錄i
簡介1
本指南的範圍1
開始之前1
確保您電子郵件環境安全2
確保用戶端安全2
Exchange
2003補充程式管理2
防毒措施3
阻絕來路不明的商業電子郵件(Spam)4
阻絕拒絕服務攻擊6
阻絕網址假冒7
強化Exchange
2003伺服器9
強化Windows基礎結構10
強化後端伺服器11
強化前端伺服器16
部署Exchange群組原則安全性範本25
附錄A︰利用權限及系統管理角色來控制存取33
附錄B︰從Exchange
2000升級35
郵件限制35
服務35
OutlookMobileAccess35
M:
磁碟機36
虛擬伺服器驗證36
拒絕網域使用者的本機存取36
最頂層公用資料夾的設立36
存取控制的設定36
附錄C:
2003使用的連接埠37
附錄D:
資料來源39
2003書籍39
技術文件39
網站39
ResourceKits40
MicrosoftKnowledgeBase文章40
協助工具41
簡介
本指南提供有關強化Microsoft®
ExchangeExchange
2003的重要資訊。
除了建議您如何設定以外,本指南也指導您如何對抗垃圾郵件、病毒、及其他危害Exchange
2003傳訊系統的外部威脅。
大部分的伺服器管理員都能因為閱讀本指南而獲得好處,在設計上,本指南針對Exchange傳訊的信箱與架構設計師兩層級,提供最大好處。
本指南為《WindowsServer
2003SecurityGuide(英文)》(系列之一。
具體而言,本指南有許多步驟與《WindowsServer2003SecurityGuide(英文)》中介紹的安全性建議有直接的關聯性。
因此,在您執行本指南中的程序以前,建議您先閱讀《WindowsServer2003SecurityGuide(英文)》。
本指南的範圍
本指南主要重點,是那些有助建立維持Exchange
2003安全環境的必要作業。
您可以把本指南作為Exchange
2003整體安全策略的一部分,而不要作為建立維持與安全環境的完全參考指南。
具體而言,本指南針對下列問題提供詳細解說:
哪些指南有助於籌備Exchange
2003的安全環境?
有效的補充程式管理程序有哪些?
可以部署哪些防毒措施?
如何防護來路不明的電子郵件(垃圾郵件)、拒絕服務攻擊及網址假冒?
有哪些建議步驟可以用來強化MicrosoftWindowsServer™
2003基礎結構?
有哪些建議步驟可以強化後端與前端的伺服器?
如何組織MicrosoftActiveDirectory®
目錄服務結構,來支援Exchange群組原則安全性範本的部署?
開始之前
在考慮本指南中的設定建議及安全性策略之前,您可以先熟悉下列資源:
MicrosoftOperationsFramework(MOF)
MOF收集了作業指南中提供的最佳實作、原則及模型。
如需特定資訊,請參閱MOF網站(
策略技術保護計畫(STPP)
STPP的目標在於整合首重安全性的Microsoft產品、服務和支援。
如需特定資訊,請參閱STPP網站(
Microsoft安全性與隱私權
網站是所有關於Microsoft安全性與隱私權資訊的技術交換中心。
如需特定資訊,請參閱MicrosoftSecurityandPrivacy網站(
2003的安全性資源
此網站列出有助於確保環境安全的Exchange指定資源。
如需特定資訊,請參閱SecurityResourcesforExchangeServer
2003網站(
確保您電子郵件環境安全
對絕大部分的組織而言,電子郵件是非常重要的服務。
因此,有必要提供客戶穩定可靠的電子郵件伺服器。
病毒、蠕蟲及拒絕服務等形式的惡意攻擊,為Exchange
2003日常作業上的風險區域。
同樣的,來路不明的電子郵件(垃圾郵件)已變得精密且具攻擊性,對電子郵件作業來說足以視作威脅。
為對抗這些入侵,本節提供下列資訊:
確保用戶端安全的秘訣
2003補充程式管理程序
防毒措施
阻絕垃圾郵件,包括MicrosoftOfficeOutlook®
2003與Exchange
2003在這部分的新功能
阻絕拒絕服務攻擊(denial-of-serviceattacks)
阻絕竊取位址(addressspoofing)
確保用戶端安全
由於Exchange
2003是分散式的用戶端/伺服器應用程式,您在規劃電子郵件安全架構時,有必要把戶端也列入考慮。
具體而言,應考慮以下的項目:
作為風險管理策略的一部分,您應檢驗哪些用戶端服務是必要的,然後限制這些用戶的Exchange功能。
例如,在安裝期間不對任何Exchange
2003的用戶端服務進行設定。
要在您的組織內執行POP3或IMAP4用戶端,您得先啟用Exchange
2003內的這些服務。
確認您的補充程式管理計劃延伸至用戶端桌上型電腦的作業系統。
請使用最新版本或修補後版本的用戶端軟體,定期檢查用戶端安全性更新。
在確保用戶端的安全上,使用者也很重要。
因此,您應教育有關電子郵件病毒、惡作劇病毒、連鎖信及垃圾郵件的知識給您的使用者,接著建立一些一旦碰到這些郵件時,使用者可以遵循的程序。
2003補充程式管理
盡可能確保Exchange安全,保持最新的補充程式是必要的。
具體而言,您應該要確認Exchange
2003和作業系統兩者都已更新到最新狀態。
若是作業系統有隙可乘,Exchange也會有所風險。
Microsoft提供兩個公用程式幫助您保持MicrosoftWindows®
servicepacks、hotfixes、補充程式處於最新狀態。
MicrosoftNetworkSecurityHotfixChecker(Hfnetchk)和MicrosoftBaselineSecurityAnalyzer(MBSA)。
Hfnetchk是項工具,可以列出有哪些補充程式已套用於電腦上,MBSA能識別常見的安全性設定錯誤。
Hfnetchk是透過MBSA的命令列界面使用。
您可以下載這兩者,從MicrosoftBaselineSecurityAnalyzer網站(
此外,確認您有被通知到任何適用於您組織的新補充程式。
若要自動接收這些通知,訂閱MicrosoftSecurityBulletins(英文)於
如需更多關於WindowsServer
2003補充程式管理程序資訊,請參閱《WindowsServer2003SecurityGuide(英文)》(
透過電子郵件傳訊傳遞的病毒,是威脅組織的主要大敵。
電子郵件病毒可以攻擊單一電腦系統或整個電子郵件環境。
因此,您得確認已採取防護,阻絕病毒進入Exchange
2003環境中。
對抗病毒最有效的機制是安裝防毒軟體,並保持防毒的簽署檔案在最新狀態。
記住,您應考慮在防火牆、SimpleMailTransferProtocol(SMTP)閘道、每一台Exchange伺服器及每一台用戶端電腦上,阻絕病毒。
在訊息傳遞鍊安裝防毒軟體的原因,是為了替每個訊息,提供盡可能的防禦能力。
例如,SMTP內的病毒掃描引擎使用的多用途網際網路郵件延伸標準(MIME)剖析器,不同於Exchang伺服器、Outlook、OutlookExpress內安裝使用的剖析器。
從MIME剖析的觀點,這表示在每個目的端進行病毒掃描(使用原始MIME剖析),能增加發現病毒的可能性。
此外,您可考慮在您的企業內,執行不同廠商的病毒掃描軟體。
病毒作者傳遞病毒的常見方法是將病毒放在附件中。
病毒傳遞最明顯的案例是將可執行程式(.exe)附件於電子郵件上傳送。
在某些案例中,病毒可嵌入巨集中傳遞,這對使用者來說像是個友善文件(例如Word或Excel檔案)。
若要阻絕這類病毒,Outlook和OutlookWebAccess提供的封鎖附件功能如下:
Outlook封鎖附件功能
Outlook
2002和以上的版本,提供附件封鎖功能,此功能(預設啟用)可封鎖一些明顯的檔案,例如.exe,.bat和.vbs檔案。
先前版本的Outlook需要OutlookE-mailSecurityUpdate,可從MicrosoftOfficeOnline網站(Outlook封鎖附件功能的資訊,請參閱Office
2003ResourceKit(英文)(
OutlookWebAccess封鎖附件功能
在Exchange
2000ServicePack
2
(SP2)中,OutlookWebAccess引進由檔案格式和MIME類型來封鎖附件的能力。
2000的OutlookWebAccess和MicrosoftOffice®
OutlookWebAccess
2003中,封鎖附件功能預設為啟用。
隨著這項預設的設定,使用者能傳送任何附件類型,而不會收取到危險檔案類型,例如.exe,.bat和.vbs檔案。
注意
在預設設定中,Outlook
2003和OutlookWebAccess
2003兩者封鎖相同的附件類型。
在OutlookWebAccess中,封鎖附件功能有兩種層級可供您設定。
這些層級對應於不同風險層級,視檔案類型和MIME類型而定。
OutlookWebAccess不允許下載任何格式的Level
1檔案或MIME類型(由屬性而定,分別是Level1FileTypes和Level1MIMETypes)。
Level
2檔案和MIME類型較不嚴重;
使用者不被允許在InternetExplorer上開啟它們,不過可以按滑鼠右鍵另存至磁碟,然後再開啟。
若您想要檢視或更改OutlookWebAccess中封鎖的檔案類型或MIME類型,執行下列程序。
警告
不正確編輯登錄檔會導致嚴重問題,可能會需要重新安裝作業系統。
不正確編輯登錄檔所產生的問題可能會無法解決。
在編輯登錄檔之前,請先備份所有重要的資料。
在OutlookWebAccess中檢視或更改封鎖檔案類型或MIME類型
開啟登錄編輯程式(regedit)。
瀏覽至下列的登錄機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA
Level1FileTypes值顯示封鎖的附件;
Level1MIMETypes顯示封鎖的MIME類型。
阻絕來路不明的商業電子郵件(Spam)
對許多組織來說,來路不明的商業電子郵件(垃圾郵件)是個大問題。
垃圾郵件在許多方面耗費不少代價,使用者須花費寶貴時間整理及刪除垃圾郵件,且浪費企業網路的頻寬和儲存空間。
要減少垃圾郵件,您得從許多方面下手。
因此,本節將助您保護您的Exchange
2003環境,阻絕垃圾郵件:
討論關於教育使用者垃圾郵件知識的方法。
介紹您Outlook
2003中,垃圾郵件的防護功能。
說明垃圾郵件信任等級(SCL)基礎結構。
顯示如何限制Exchange
2003通訊群組清單。
說明適用於Exchange
2003的不同類型篩選。
教育使用者垃圾郵件
對抗垃圾郵件的第一步是教育您的使用者如何處理垃圾郵件。
實際上,您的使用者可能是對抗垃圾郵件最重要的防線。
垃圾郵件通常是針對使用者運用社交工程術,因此有必要教育您的使用者如何避免。
例如,您的使用者也許會收到封垃圾郵件寫著類似以下的聲明:
如果您想從郵寄清單中移除,您可以在回信中的主旨列填上「移除」。
儘管這種作法是一些商譽優良公司的正當工具,但通常這也是驗證電子郵件是否有效的工具,一旦有效則表示電子郵件地址可以再次使用(這個地址很有可能會賣給其他垃圾郵件寄件者)。
如需更多關於使用者如何對抗垃圾郵件的資訊,請參閱MicrosoftSecurityandPrivacyBasics網站(
2003的垃圾郵件防護功能
2003兩者都提供有阻絕垃圾郵件的功能。
這些功能包括:
使用者維護的封鎖清單和安全清單
2003和OutlookWebAccess使用的封鎖清單和安全清單,儲存在使用者的信箱。
由於這兩個用戶端程式使用相同的清單,使用者不需維護兩個版本。
外部內容封鎖
2003讓垃圾電子郵件的寄件者更難於使用信標(beacons),來擷取電子郵件位址。
傳入訊息包含任何可做為信標的內容時,無論此訊息是否確實包含信標,都會提示Outlook和OutlookWebAccess顯示警告訊息。
如果使用者知道此訊息是正當的,他們可以按一下警告訊息以下載此內容。
如果使用者不確定這個訊息是什麼,他們可以刪除這封信,而不會觸發警告垃圾郵件寄件者的信標。
如需更多關於Outlook
2003外部內容封鎖的資訊,請參閱《What'
sNewinExchangeServer
2003(英文)》(書中的<ClientFeatures(英文)>。
改良的垃圾郵件管理
2003中,使用者可以建立規則,搜尋電子郵件訊息中的特定詞組,並自動將[收件匣]中內含有這些詞組的郵件移動到特定資料夾中(例如[垃圾電子郵件]或[刪除的郵件])。
更進一步,使用者可以選擇持續刪除可疑的垃圾電子郵件,而非移動至特定資料夾。
垃圾郵件篩選器
2003內含垃圾電子郵件篩選器,可以針對常見的垃圾郵件屬性進行搜尋。
(這些屬性會與Office更新程式進行連結更新)針對每一個可疑屬性,Outlook增加一次計數,郵件得到的計數越多,越有可能是垃圾郵件。
指定您想要的垃圾電子郵件防護層級,使用[垃圾電子郵件選項]對話方塊(在Outlook
2003中,在[行動]功能表中指向[垃圾電子郵件],接著按一下[垃圾電子郵件選項])。
您的使用者第一次使用這些垃圾電子郵件功能時,或是他們在任何時間修改選項時,他們應當定期檢查那些自[收件匣]移出的訊息,以確認有用的訊息未被移動。
2003垃圾電子郵件功能的更新,會列於MicrosoftOfficeOnline網站中的「Office更新」(
垃圾郵件信心等級架構
2003和Outlook
2003一同提供端對端解決方案以對抗垃圾郵件。
具體而言,此架構包含Exchange
2003的原有功能,允許軟體廠商能夠沿著訊息路徑,插上垃圾郵件偵測篩選器。
垃圾郵件篩選器能評估訊息,並決定此訊息是垃圾郵件的可能性有多少。
指派數字介於0到9之間,這個數字就是垃圾郵件信心等級(SCL)。
基本上,SCL是個指派給指定訊息的標準數值,以訊息的特質為基準(例如內容、訊息標題等),代表訊息是垃圾郵件的可能性。
等級0表示此訊息高度不可能是垃圾郵件,而等級9則表示此訊息很有可能是垃圾郵件。
SCL等級會被儲存以作為訊息的屬性。
系統管理員設定Exchange以SCL等級處理訊息時,要以適合於環境的方法設定。
例如,閘道伺服器可丟棄所有SCL等級7或以上的垃圾郵件,小於等級7的訊息再傳送給Exchange信箱伺服器。
接著,信箱系統管理員可以決定將等級5或以上的訊息直接傳送到使用者的垃圾電子郵件資料夾,而所有等級4或以下的電子郵件再傳送到[收件匣]。
最後,使用者可以在信箱設定中,設定視垃圾電子郵件資料夾中所有的訊息為垃圾郵件,並刪除這些郵件。
另一個方法是讓Exchange系統管理員設定信箱的收件原則為,減低垃圾電子郵件資料夾中訊息的保留期限(以日期長短或大小)。
SCL基礎結構考量到使用者的安全、封鎖及收取清單,和考量到Exchange篩選清單一樣。
如需更多關於SCL的資訊,請參閱MSDN®
的SpamFilter網站(
即將發行的ExchangeIntelligentMessageFilter也會是對抗垃圾郵件的重要元件。
ExchangeIntelligentMessageFilter是個與SCL-相容的篩選器,可提供進階伺服器訊息篩選,是為進一步對抗垃圾郵件匯集而設計。
如需特定資訊,請參閱ExchangeIntelligentMessageFilter網站(
受限制的通訊群組清單
另一個有效制止垃圾郵件的方法,是在您的Exchange組織中,使用受限制的通訊群組清單。
受限制的通訊群組清單,僅允許已授權的使用者寄出訊息。
這功能十分重要,因為如果垃圾郵件使用者知道通訊群組清單的別名時,他們就可以由一封電子郵件訊息連繫到許多員工。
限制通訊群組清單,對於內容為許多巢狀通訊群組清單的大型清單尤其有效。
留意有許多的垃圾郵件寄件者會使用目錄攻擊(使用軟體攻擊,開啟與目標郵件伺服器的連線,接著快速的送出數百萬個隨機的電子郵件地址)作為連繫收件者的機制。
通訊群組清單通常由一個別名做為代表,通常是字典中的常用字。
設定通訊群組清單為受限制的
1.在[ActiveDirectory使用者及電腦]中開啟通訊群組清單的內容頁面。
按一下[ExchangeGeneral]索引標籤,然後選取[僅限來自已驗證的使用者]核取方塊。
2003篩選
2003內含一組功能,允許系統管理員建立寄件者、收件者和連線篩選清單,試圖在組織周邊封鎖垃圾郵件
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- exch2k3 强化 指南