Дата последнего изменения раздела:
2005-11-18
Чтобы определить версию Microsoft Windows®, под управлением которой работает сервер Exchange, анализатор сервера Exchange считывает следующую запись реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\CurrentVersion
Если значение CurrentVersion равно 5.0, сервер Exchange работает под управлением Microsoft Windows 2000 Server. Если значение CurrentVersion равно 5.2, сервер Exchange работает под управлением Microsoft Windows Server™ 2003.
Кроме того, чтобы определить путь к каталогу «Program Files» Windows, анализатор сервера Exchange считывает следующую запись реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\ProgramFilesDir
Затем анализатор сервера Exchange проверяет каталог «Program Files» Windows, чтобы определить, содержится ли в каталоге «Program Files» Windows папка «\Exchsrvr» для сервера Exchange.
В последнюю очередь анализатор сервера Exchange Server запрашивает WMI-класс Win32_OperatingSystem, чтобы определить значение ключа ServicePackMajorVersion. Значение ключа ServicePackMajorVersion указывает, какой пакет обновления Windows установлен на компьютере.
Анализатор сервера Exchange выводит на экран предупреждение, если выполняются следующие условия:
- Анализатор сервера Exchange определяет, что сервер Exchange
работает под управлением Windows Server 2003 с пакетом
обновления 1 (SP1).
- Анализатор сервера Exchange определяет, что приложение Exchange
Server 2003 не установлено в папку по умолчанию, «\Program
Files\Exchsrvr».
Данное предупреждение указывает, что приложение Exchange Server 2003 не установлено на сервере в папке по умолчанию в каталоге «Program Files» и что мастер настройки безопасности установлен на сервере Exchange. Мастер настройки безопасности — это средство, содержащееся в качестве дополнительного компонента в пакете обновления 1 (SP1) для Windows Server 2003. Если на сервере Exchange установлен мастер настройки безопасности, требуется вручную настроить раздел «Безопасность сети».
 Примечание. |
|---|
| Чтобы установить мастер настройки безопасности, необходимо сначала установить пакет обновления 1 (SP1) для Windows Server 2003. После установки пакета обновления 1 (SP1) откройте в панели управления компонент «Установка и удаление программ», чтобы установить мастер настройки безопасности. |
Мастер настройки безопасности помогает уменьшить зону Windows-серверов, уязвимую к атакам, посредством запроса у пользователя ответов на ряд вопросов, которые позволяют определить функциональные требования, предъявляемые к серверу. В частности, мастер настройки безопасности помогает выполнить следующие задачи:
- Он автоматически отключает ненужные службы.
- Он автоматически блокирует неиспользуемые порты.
- Он помогает применить дополнительные ограничения по адресам или
по безопасности для портов, которые остаются открытыми.
- Он предотвращает ненужные веб-расширения IIS (Internet
Information Services), если это возможно.
- Он уменьшает подверженность внешним воздействиям протоколов SMB
(server message block), LanMan и LDAP (Lightweight Directory Access
Protocol).
- Он определяет политику аудита с высоким отношением сигнала к
шуму.
Мастер настройки безопасности управляет действиями пользователя в процессе создания, изменения, применения и отката политики безопасности, которая основывается на выбранных ролях сервера. Политики безопасности, создаваемые с помощью мастера настройки безопасности, являются XML-файлами, которые при их применении настраивают службы, безопасность сети, определенные параметры реестра и политику аудита. Если это применимо, службы IIS также могут настраиваться.
Помимо выполнения других функций мастер настройки безопасности реализует функцию сетевой безопасности, с помощью которой настраиваются и добавляются исключения в сетевой экран Windows. Сетевой экран Windows — это новая версия переменного фильтра пакетов в пакете обновления 1 (SP1) для Windows Server 2003. Сетевой экран впервые был введен в пакете обновления 2 (SP2) для Windows XP. В пакете обновления 2 (SP) для Windows XP он назывался брандмауэром подключения к Интернету.
Существует известная проблема, возникающая в случае, когда функция сетевой безопасности в мастере настройки безопасности выполняется на сервере Exchange, который не установлен в папку по умолчанию. В этой конфигурации применение результирующей политики может сделать сервер Exchange недоступным для клиентов. Если функция сетевой безопасности используется на сервере Exchange, который не установлен в папке по умолчанию, мастер настройки безопасности может настроить сетевой экран Windows на блокирование доступа к порту TCP/IP процессов сервера Exchange, таких как системный помощник (Mad.exe), банк данных Microsoft Exchange (Store.exe) и агент передачи сообщений (Emsmta.exe). В этой конфигурации мастер настройки безопасности отображает рядом с каждым процессом отметку Не найден!. Если мастер настройки безопасности выполняется до тех пор, пока не завершится с процессом, рядом с которым имеется отметка Не найден!, мастер настройки безопасности применяет политику безопасности к сетевому экрану Windows, который блокирует сетевой доступ для этого процесса.
Если блокированные процессы содержат один или более процессов сервера Echange, сервер Exchange может стать недоступен для клиентов и других серверов. Если это условие выполняется, следует выполнить одну из следующих процедур, чтобы устранить проблему.
Чтобы устранить проблему-
Для устранения проблемы выполните одну из следующих процедур:
- Используйте в мастере настройки безопасности функцию отката,
чтобы вернуться к предыдущему состоянию после применения политики
безопасности. Дополнительные сведения о том, как это сделать, см. в
файле справки мастера настройки безопасности, который входит в
пакет обновления 1 (SP1) для Windows Server 2003.
Дополнительные сведения о пакете обновления 1 (SP1) для Windows
Server 2003 и мастере настройки безопасности см. на веб-узле
Windows Server 2003 TechCenter (http://go.microsoft.com/fwlink/?LinkId=45315).
- В мастере настройки безопасности вручную заполните поле пути к
приложению, чтобы указать местоположение исполняемых файлов
процессов сервера Exchange. Чтобы сделать это, выберите процесс,
рядом с которым имеется отметка Не найден!, и щелкните
«Изменить». Рекомендуется запустить мастер настройки безопасности
на сервере Exchange, чтобы убедиться в правильности пути к каждому
исполняемому файлу процесса сервера Exchange. После успешной
проверки путей ко всем исполняемым файлам процессов можно применить
политику безопасности в мастере настройки безопасности, кроме того,
чтобы сервер Exchange функционировал, для него должен иметься
сетевой доступ.
- Используйте в мастере настройки безопасности функцию отката,
чтобы вернуться к предыдущему состоянию после применения политики
безопасности. Дополнительные сведения о том, как это сделать, см. в
файле справки мастера настройки безопасности, который входит в
пакет обновления 1 (SP1) для Windows Server 2003.
Дополнительные сведения о пакете обновления 1 (SP1) для Windows
Server 2003 и мастере настройки безопасности см. на веб-узле
Windows Server 2003 TechCenter (http://go.microsoft.com/fwlink/?LinkId=45315).
Дополнительные сведения о пакете обновления 1 (SP1) для Windows Server 2003 и о мастере настройки безопасности см. на веб-узле Windows Server 2003 TechCenter (http://go.microsoft.com/fwlink/?LinkId=45315).