Применимо к: Exchange Server 2010
Последнее изменение раздела: 2011-04-24
Данное руководство предназначено для ИТ-администраторов, ответственных за обеспечение безопасности развертывания Microsoft Exchange Server 2010, и помогает им получить общее представление о среде безопасности, в которой установлен сервер Exchange, а также управлять ею.
Раньше для каждой версии Microsoft Exchange группа разработчиков Exchange публиковала отдельные руководства по усилению безопасности со сведениями о разрешениях и безопасности. Такой подход применялся для блокировки служб и каталогов после завершения работы программы установки Exchange 2010. Тем не менее, начиная с версии Microsoft Exchange Server 2007 программа установки Exchange активирует только те службы, которые требуются для устанавливаемой роли сервера. Установка Microsoft Exchange с последующим усилением безопасности больше не выполняется. По умолчанию сервер обеспечивает повышенную безопасность.
Поэтому в отличие от предыдущих версий Microsoft Exchange, в которых ИТ-администраторам приходилось выполнять различные процедуры по блокировке серверов Microsoft Exchange, система Exchange 2010 не требует блокировки или усиления безопасности.
Область
Сервер Exchange 2010 создавался с применением принципов полного цикла разработки системы безопасности Microsoft (Security Development Lifecycle (SDL)). Была выполнена проверка безопасности каждой функции и компонента. Тщательно подобранные параметры, устанавливаемые по умолчанию, обеспечивают более безопасное развертывание. Масштабы рассмотрения данного руководства ориентированы на информирование администраторов о возможностях, относящихся к обеспечению безопасности и способных повлиять на вопросы, возникающие в этой области. Данное руководство связано с разделами документации по Exchange 2010, относящимися к обеспечению безопасности. Указанные разделы перечислены в приложении 1: дополнительная документация по безопасности. В этом руководстве не рассматриваются действия, направленные на усиление защиты операционной системы Windows Server.
Содержание
Полный цикл разработки системы безопасности Exchange 2010
Рекомендации по обеспечению безопасности
Рекомендации по поддержанию безопасности
Использование сетевых портов и усиление защиты брандмауэром
Параметры регулирования и политики регулирования клиентов
Управление доступом на основе ролей
Служба каталогов Active Directory
Учетные записи сервера Exchange Server
Вопросы, связанные с использованием протокола NTLM
Двухфакторная проверка подлинности
Secure/Multipurpose Internet Mail Extensions (S/MIME)
Новые возможности
В состав Exchange 2010 входят следующие новые функции безопасности.
- Управление доступом на основе
ролей Система Exchange 2010 содержит новую
модель управления доступом на основе ролей, позволяющую организации
на более детальном уровне управлять разрешениями, назначенными
различным заинтересованным лицам, таким как администраторы
получателей и серверов, менеджеры по управлению записями,
диспетчеры обнаружения и администраторы организаций.
- Политики регулирования В системе
Exchange 2010 представлены механизмы регулирования на серверах
почтовых ящиков, клиентского доступа и транспортных серверах для
защиты организации от атак типа «отказ в обслуживании» и сокращения
их влияния.
- Федеративное делегирование В системе
Exchange 2010 представлены новые функции федеративного
делегирования, позволяющие разрешать пользователям безопасно
взаимодействовать с пользователями других организаций. С помощью
федеративного делегирования пользователи могут обмениваться данными
календаря и контактными данными с пользователями других
федеративных организаций. Также становится возможной совместная
работа между лесами без необходимости настройки и управления
отношениями доверия в службе Служба каталогов Active Directory.
- Управление правами на доступ к данным В
состав Exchange 2010 входят новые функции контроля и защиты данных,
помогающие защитить содержимое конфиденциальных сообщений на
нескольких уровнях с сохранением возможности организации выполнять
поиск и расшифровку защищенного содержимого, а также применять к
таким данным политики обмена сообщениями.
- Отсутствие мастера настройки
безопасности На сервере Exchange 2010
программа установки вносит изменения в конфигурацию, необходимые
для установки и активации только тех служб, которые требуются для
определенной роли сервера Exchange, а также для разрешения связи
только через порты, необходимые для работы служб и процессов,
запущенных для каждой роли сервера. Это позволяет устранить
необходимость использования таких средств, как мастер настройки
безопасности, для настройки указанных параметров.
Полный цикл разработки системы безопасности Exchange 2010
В начале 2002 года корпорация Microsoft представила программу создания защищенных информационных систем. С момента создания этой программы процесс разработки в корпорации Microsoft и в группе разработчиков Microsoft Exchange ориентирован на разработку программного обеспечения, помогающего повысить уровень безопасности. Дополнительные сведения см. в статье Создание защищенных информационных систем (на английском языке).
В версии Exchange 2010 концепция создания защищенных информационных систем реализована в следующих основных областях.
- Спроектирован как безопасный Сервер
Exchange 2010 спроектирован и разработан в соответствии с полным циклом разработки системы безопасности защищенных
информационных систем. Первым шагом в создании более безопасной
системы обмена сообщениями была разработка моделей угроз и проверка
каждой функции по мере проектирования. Различные улучшения,
связанные с обеспечением безопасности, были включены в
технологический процесс разработки исходного кода. Средства,
добавленные во время создания системы, обнаруживают переполнение
буфера и другие потенциальные угрозы безопасности. Ни одна система
не может гарантировать полную безопасность. Однако благодаря
соблюдению принципов безопасного проектирования на всем протяжении
разработки система Exchange 2010 стала более безопасной по
сравнению с предыдущими версиями.
- Безопасный по умолчанию Одной из целей
Exchange 2010 была разработка системы, в которой большая часть
сетевого обмена данными шифруется по умолчанию. За исключением
связей по протоколу SMB и некоторых процессов обмена данными единой
системы обмена сообщениями, эта цель была достигнута. Практически
все данные Exchange 2010 защищены во время передачи по сети с
помощью самозаверяющих сертификатов, протоколов Kerberos и SSL, а
также других общепринятых отраслевых методов шифрования. Кроме
того, установка на основе ролей позволяет установить систему
Exchange 2010 таким образом, чтобы для каждой определенной роли
сервера устанавливались только необходимые службы и связанные с
ними разрешения. В предыдущих версиях Microsoft Exchange необходимо
было устанавливать все службы для полной функциональности.
- Функции защиты от вирусов и нежелательной
почты В состав Exchange 2010 входит набор
агентов защиты от нежелательной почты, которые запускаются в сети
периметра для роли пограничного транспортного сервера. Их также
можно установить для роли транспортного сервера-концентратора,
расположенного во внутренней сети. Защита от вирусов значительно
улучшена за счет добавления службы Microsoft Forefront
Protection 2010 для Exchange Server в качестве решения
Microsoft.
- Безопасное развертывание По мере
разработки Exchange 2010 предварительная версия была развернута в
рабочей ИТ-среде корпорации Microsoft. На основе данных этого
развертывания анализатор соответствия рекомендациям для
Microsoft Exchange Server обновлен с целью анализа
существующих конфигураций безопасности, а рекомендации по
процедурам, выполняемым до и после развертывания, включены в
справку Exchange 2010.
Раньше документация по управлению разрешениями создавалась и поставлялась после завершения разработки основной документации. Однако известно, что управление разрешениями не является дополнительным процессом. Оно должно являться частью общего процесса планирования и развертывания Exchange 2010. По этой причине документация по разрешениям была упрощена и интегрирована в основную документацию, чтобы обеспечить беспрепятственный поиск по контексту администраторами, планирующими и развертывающими собственные модели администрирования. В состав Exchange 2010 входит новая модель разрешений на основе ролей, которая позволяет на более детальном уровне предоставлять администраторам и пользователям разрешения, минимально необходимые им для выполнения поставленных задач.
- Связь Теперь, когда версия Exchange
2010 выпущена, группа разработчиков Exchange ориентирована на
поддержание актуальности ПО и своевременное информирование
пользователей. Поддерживая актуальность системы с помощью Центра
обновления Microsoft, вы можете быть уверены, что в вашей
организации устанавливаются последние обновления безопасности.
Версия Exchange 2010 также включает в себя обновления средств
защиты от нежелательной почты. Кроме того, можно подписаться на
уведомления Майкрософт по технической
безопасности и быть в курсе последних новостей о безопасности
Exchange 2010.
Рекомендации по обеспечению безопасности
Некоторые основные рекомендации помогут создать и поддерживать более безопасную среду. Как правило, наиболее эффективными способами оптимизации среды Exchange 2010 с точки зрения безопасности являются регулярный запуск анализаторов и обновление ПО и файлов сигнатур в антивирусных программах.
Рекомендации по установке и настройке
Приведенные ниже рекомендации помогут создать более безопасную среду Exchange 2010.
- Делегированная установка При установке
первого сервера Exchange 2010 в организации для запуска программы
установки необходимо использовать учетную запись, которая входит в
группу администраторов предприятия. Используемая учетная запись
добавляется в группу ролей «Управление организацией» (Organization
Management), созданную программой установки Exchange 2010.
Делегированную установку можно использовать, чтобы разрешить
администраторам, которые не входят в группу ролей «Управление
организацией», настраивать последующие серверы. Дополнительные
сведения см. в разделе Подготовка сервера
Exchange Server 2010 и делегирование установки.
- Разрешения файловой системы Программа
установки Exchange 2010 назначает минимальные требуемые разрешения
в файловой системе, в которой хранятся двоичные файлы и данные
Exchange. В списки управления доступом (ACL), расположенные в
корневых папках и папке Program Files файловой системы, запрещается
вносить какие-либо изменения.
- Пути установки Двоичные файлы Exchange
2010 рекомендуется устанавливать на несистемном диске (томе, на
котором не установлена операционная система). Размеры баз данных и
журналов транзакций Exchange могут расти быстрыми темпами, поэтому
их необходимо размещать на несистемных томах, поддерживающих
изменение размера для дополнительной емкости и производительности.
Многие прочие журналы, создаваемые другими компонентами Exchange,
например журналы транспорта, также сохраняются по пути установки
двоичных файлов Exchange и могут значительно увеличиться в размере,
что зависит от конфигурации и параметров среды обмена сообщениями.
В системе Exchange 2010 максимальный размер многих файлов журналов,
а также максимальное пространство для хранения, занимаемое папкой с
файлами журналов, можно настраивать. Указанное значение по
умолчанию составляет 250 мегабайтов. Чтобы предотвратить возможные
сбои системы вследствие недостаточного места на диске,
рекомендуется оценить требования к ведению журналов для каждой роли
сервера и настроить параметры ведения журналов и места хранения их
файлов в соответствии с существующими потребностями
организации.
- Блокировка прежних версий клиентов
Outlook В зависимости от существующих
потребностей организации можно настроить блокировку прежних версий
клиентов Outlook. Некоторые компоненты Exchange 2010, например
правила защиты Outlook и личные архивы, не поддерживают прежние
версии клиентов Outlook. Дополнительные сведения о блокировке
клиентских приложений Outlook см. в разделе Настройка блокирования
клиентов Outlook для управления записями сообщений.
- Разделение имен пользователей и
SMTP-адресов По умолчанию система Exchange
создает псевдонимы и адреса электронной почты на основе имен
пользователей почтовых ящиков. Многие организации создают
дополнительную политику адресов электронной почты, чтобы разделить
имена пользователей и их адреса электронной почты в целях повышения
безопасности. Например, если имя пользователя Ben Smith — bsmith, а
домен — contoso.com, основным адресом электронной почты, созданным
с помощью политики адресов электронной почты по умолчанию, будет
bsmith@contoso.com. Для создания адресов электронной почты, в
которых не используется псевдоним или имя пользователя, можно
создать дополнительную политику адресов электронной почты.
Например, при создании политики адресов электронной почты для
использования шаблона
%g.%s@domain
итоговые адреса электронной почты будут иметь формат Имя.Фамилия@домен. Для пользователя Ben Smith политика создаст адрес Ben.Smith@contoso.com. Можно также отделить адреса электронной почты от имен пользователей. Для этого при создании или активации почтового ящика необходимо указать псевдоним, отличающийся от имени пользователя.
Примечание. Если основной SMTP-адрес пользователя не соответствует имени участника-пользователя в учетной записи, пользователь не может входить в приложение Microsoft Office Outlook Web App с помощью своего адреса электронной почты, но должен указать для входа имя пользователя в формате ДОМЕН\имя_пользователя. При работе в приложении Microsoft Outlook пользователю необходимо указать свое имя в формате ДОМЕН\имя_пользователя, если при подключении Outlook к службе автообнаружения отображается запрос на ввод учетных данных.
Центр обновления Майкрософт
Центр обновления Microsoft — это служба, которая обеспечивает загрузку тех же обновлений, что и Центр обновления Microsoft Windows, а также последних обновлений для других продуктов Microsoft. Она помогает поддерживать сервер максимально защищенным и работающим наилучшим образом.
Ключевой возможностью Центра обновления Microsoft является автоматическое обновление Windows. Этот компонент позволяет автоматически устанавливать критические обновления, необходимые для обеспечения безопасности и надежности вашего компьютера. Без этих обновлений безопасности компьютер значительно менее защищен от атак взломщиков и вредоносных программ.
Наиболее надежным способом использования возможностей Центра обновления Microsoft является автоматическая загрузка обновлений на компьютер с помощью компонента автоматического обновления Windows. Включить автоматическое обновление можно при подписке на использование Центра обновления Microsoft.
При этом система Windows проанализирует установленное на компьютере программное обеспечение Microsoft для определения необходимости установки текущих и пропущенных наиболее важных обновлений, а затем автоматически загрузит и установит их. После этого при подключении к Интернету система Windows повторяет процедуру обновления для поиска новых важных обновлений.
Сведения о включении Центра обновления Microsoft см. в разделе Центр обновления Майкрософт.
Режим работы Центра обновления Microsoft по умолчанию требует, чтобы для получения автоматических обновлений каждый сервер Exchange был подключен к Интернету. Если серверы не подключены к Интернету, можно установить службы Windows Server Update Services (WSUS) для управления распространением обновлений в организации. Затем можно настроить Центр обновления Microsoft на внутренних компьютерах Microsoft Exchange на получение обновлений с внутреннего сервера WSUS. Дополнительные сведения см. в статье Microsoft Windows Server Update Services 3.0 (на английском языке).
Службы WSUS не являются единственным доступным решением по управлению Центром обновления Microsoft. Дополнительные сведения о выпусках, процессах, вариантах связи и средствах Microsoft, созданных для обеспечения безопасности, см. в руководстве Майкрософт по обновлениям для системы безопасности.
Задачи, которые больше не требуется выполнять в системе Exchange 2010
Больше не требуется устанавливать или запускать следующие средства.
- Средство обеспечения безопасности URLScan не является
обязательным для служб IIS 7. В более ранних версиях Microsoft
Exchange распространенной практикой являлась установка средств IIS,
таких как URLScan, для обеспечения безопасности установки IIS. Для
работы Exchange 2010 требуется ОС Windows Server 2008, в состав
которой входят службы IIS 7. Многие функции безопасности, которые
изначально были доступны в UrlScan, теперь присутствуют в
компонентах фильтрации запросов IIS 7.
- Больше не требуется устанавливать анализатор соответствия
рекомендациям для Exchange. Перед установкой более ранних версий
Microsoft Exchange и обычно после нее распространенной практикой
являлись установка и запуск анализатора соответствия рекомендациям
для Exchange. Программа установки Exchange 2010 содержит компоненты
анализатора соответствия рекомендациям для Exchange, запускаемые во
время установки. Перед установкой не требуется запускать анализатор
соответствия рекомендациям для Exchange.
- Теперь необязательно использовать мастер настройки безопасности
или шаблоны Exchange для него. Программа установки Exchange 2010
устанавливает только службы, необходимые для заданной роли сервера
Exchange, и создает правила брандмауэра Windows в режиме повышенной
безопасности для открытия только тех портов, которые требуются для
работы служб и процессов, связанных с указанной ролью сервера. Для
этого больше не требуется использовать мастер настройки
безопасности (SCW). В отличие от Exchange Server 2007 версия
Exchange 2010 не входит в комплект поставки шаблонов SCW.
Рекомендации по поддержанию безопасности
Приведенные ниже рекомендации помогут сохранить среду Exchange 2010 безопасной.
Обновление программного обеспечения
Как упоминалось ранее, рекомендуется использовать Центр обновления Microsoft. Помимо использования Центра обновления Microsoft на всех серверах очень важной задачей является поддержание актуальности программного обеспечения на всех клиентских компьютерах и обновление антивирусных программ на всех компьютерах в организации.
Убедитесь в наличии последних обновлений не только для продуктов Microsoft, но также для всего программного обеспечения, используемого в организации.
Обновления средств защиты от нежелательной почты
В версии Exchange 2010 используется инфраструктура Центра обновления Microsoft для обновления фильтров нежелательной почты. По умолчанию администратору необходимо вручную перейти на веб-сайт Центра обновления Microsoft, чтобы загрузить и установить обновления фильтров содержимого. Новые данные для обновления фильтра содержимого становятся доступными каждые две недели.
Обновления, загруженные вручную с веб-сайта Центра обновления Microsoft, содержат данные службы репутации IP-адресов Microsoft или сигнатуры нежелательной почты. Данные службы репутации IP-адресов Microsoft и сигнатуры нежелательной почты доступны только при использовании автоматического обновления средств защиты от нежелательной почты в составе Forefront Security для Exchange Server.
Дополнительные сведения о включении автоматического обновления средств защиты от нежелательной почты Forefront см. в разделе Общие сведения об обновлениях средства защиты от нежелательной почты.
Запуск антивирусного программного обеспечения
Вирусы, черви и другое вредоносное содержимое, передаваемое через системы электронной почты, представляют собой реальную опасность, с которой приходится сталкиваться большинству администраторов серверов Microsoft Exchange. Поэтому необходимо разработать и развернуть действенную систему защиты от вирусов для всех систем обмена сообщениями. В этом разделе приведены рекомендации по развертыванию антивирусного программного обеспечения для сервера Exchange 2010.
При выборе поставщика антивирусного программного обеспечения следует уделять особое внимание двум важным изменениям в системе Exchange 2010:
- начиная с версии Exchange Server 2007 сервер Microsoft Exchange
основан на 64-разрядной архитектуре;
- Exchange 2010 содержит функции агента транспорта.
Принимая во внимание данные изменения, поставщики должны предоставлять антивирусное программное обеспечение, разработанное специально для сервера Exchange 2010. Антивирусное программное обеспечение, предназначенное для более ранних версий Exchange, может работать неправильно в среде Exchange 2010.
Для использования подхода глубокой защиты рекомендуется развертывать антивирусное программное обеспечение, разработанное для систем обмена сообщениями, либо на шлюзе SMTP, либо на серверах Exchange, на которых размещаются почтовые ящики, в дополнение к антивирусному ПО на рабочих компьютерах пользователей.
Решение о том, какой тип антивирусного ПО использовать и где его развертывать, принимается путем поиска компромисса между возможными затратами и предполагаемыми рисками. Например, некоторые организации запускают антивирусное ПО для систем обмена сообщениями на шлюзе SMTP, поиск вирусов на уровне файловой системы на сервере Exchange и клиентское антивирусное ПО на рабочих компьютерах пользователей. Такой подход обеспечивает защиту операций обмена сообщениями в клиентских системах. Другие организации могут позволить себе более высокие затраты и улучшить безопасность, применяя антивирусное программное обеспечение для обмена сообщениями на шлюзе SMTP, защиту на уровне файлов на сервере Exchange и клиентское антивирусное ПО на рабочих местах совместно с антивирусным ПО, поддерживающим программный интерфейс для поиска вирусов (VSAPI) версии 2.5 в системе Exchange на сервере почтовых ящиков Exchange.
Запуск антивирусного программного обеспечения на пограничном транспортном сервере и на транспортном сервере-концентраторе
Антивирусные программы для защиты на уровне транспорта реализуются в системе в качестве агентов транспорта или содержат их. Агенты транспорта действуют по отношению к событиям транспорта почти таким же образом, как и приемники событий в более ранних версиях Microsoft Exchange. Дополнительные сведения см. в разделе Общие сведения об агентах транспорта.
Примечание. |
---|
Сообщения, не маршрутизируемые через транспортную службу, например элементы общедоступных папок, элементы папки «Отправленные» и элементы календаря, которые можно проверить только на сервере почтовых ящиков, не защищены функцией поиска вирусов на транспортном уровне. |
Сторонние разработчики могут создавать специальные агенты транспорта, использующие преимущества базового механизма анализа MIME для выполнения тщательного поиска вирусов на уровне транспорта. Список партнеров-изготовителей ПО для защиты от вирусов и нежелательной почты в системе Exchange см. на странице независимых поставщиков программных продуктов.
Кроме того, можно использовать службу Forefront Protection для Exchange Server — пакет антивирусного программного обеспечения, который тесно интегрирован с системой Exchange 2010 и обеспечивает дополнительную защиту среды Exchange от вирусов. Дополнительные сведения см. в разделе Microsoft Forefront Protection 2010 для Exchange Server.
Наиболее важным фактором является использование антивирусного программного обеспечения на первой линии защиты организации. Такой «линией» является шлюз SMTP, через который внешние сообщения попадают в среду обмена сообщениями. На сервере Exchange 2010 роль первой линии защиты выполняет пограничный транспортный сервер.
Если для получения входящих сообщений электронной почты до их передачи на сервер Exchange не используется SMTP-сервер или шлюз Exchange, на SMTP-узлах, не являющихся узлами Exchange, следует добавить достаточный объем функций защиты от вирусов и нежелательной почты.
В системе Exchange 2010 все сообщения маршрутизируются через транспортный сервер-концентратор. К ним относятся сообщения, получаемые из внешних источников или отправляемые за пределы организации Exchange, а также сообщения, передаваемые в пределах организации Exchange. Сообщения отправляются в почтовый ящик, расположенный на сервере почтовых ящиков отправителя. Для создания более эффективной защиты от массового распространения вирусов внутри организации и обеспечения второй линии защиты также рекомендуется установить на транспортных серверах-концентраторах антивирусное программное обеспечение для защиты на уровне транспорта.
Запуск антивирусного программного обеспечения на серверах почтовых ящиков
Помимо поиска вирусов на транспортных серверах важным уровнем защиты во многих организациях может являться программный интерфейс для поиска вирусов Microsoft Exchange (VSAPI), запускаемый на серверах почтовых ящиков. Следует подумать об использовании антивирусного решения на основе VSAPI, когда верно одно из следующих условий.
- На настольных компьютерах организации не установлено
полнофункциональное и надежное антивирусное программное
обеспечение.
- Организации требуется дополнительная защита, которую позволяет
обеспечить проверка баз данных почтовых ящиков.
- В организации разработаны пользовательские приложения,
использующие программный доступ к базе данных Exchange.
- Пользователи организации регулярно размещают сообщения в
общедоступных папках.
Антивирусные решения, использующие интерфейс Exchange VSAPI, выполняются непосредственно в процессе банка данных Exchange. Решения на основе VSAPI, вероятнее всего, являются единственными, обеспечивающими защиту от направлений атаки, размещающих зараженное содержимое в банке данных Exchange в обход стандартных проверок на вирусы на транспортном и клиентском уровнях. Например, интерфейс VSAPI является единственным решением, которое проверяет данные, отправляемые в базу данных объектами данных совместной работы, протоколом WebDAV и веб-службами Exchange. К тому же, когда происходит массовое распространение вирусов, решение на основе VSAPI обычно предоставляет самый быстрый способ удаления вирусов из зараженной базы данных почты.
Сервер Exchange Server и антивирусные программы на уровне файловой системы
При развертывании антивирусного программного обеспечения на уровне файловой системы для защиты серверов Exchange следует учитывать следующее.
- Необходимо исключить из области проверки антивирусной программы
в файловой системе каталоги серверов Exchange, в которых хранятся
базы данных почтовых ящиков и общедоступных папок Exchange.
Дополнительные сведения см. в разделе Поиск вирусов на
файловом уровне в Exchange 2010.
- Антивирусные программы в файловой системе защищают только
файлы. Чтобы защитить сообщения электронной почты, следует также
установить средства защиты от вирусов или обеспечения безопасности
системы обмена сообщениями с поддержкой Exchange, например
включающие в себя службу Microsoft Forefront, либо
соответствующие продукты компаний-партнеров или сторонних
изготовителей. Сведения о защите от вирусов и нежелательной почты
см. в разделе Общие сведения о
функциях защиты от нежелательной почты и вирусов.
Дополнительные сведения см. на странице Forefront Protection 2010 для Exchange
Server: обзор.
- Для обеспечения эффективной защиты необходимо регулярно
обновлять сигнатуры средств защиты от вирусов и нежелательной
почты.
- Отчеты программного обеспечения или служб с подобными функциями
следует просматривать регулярно, чтобы обеспечить непрерывную
работу системы защиты в соответствии с определенными требованиями,
быстро обнаружить инциденты и предпринять все необходимые
действия.
Использование служб Exchange Hosted Services
Фильтрация вирусов и нежелательной почты стала более эффективной, а также доступной в качестве одной из служб Microsoft Exchange Hosted Services. Службы Exchange Hosted Services представляют собой набор из четырех отдельных встроенных служб:
- служба Hosted Filtering, помогающая организациям обеспечить
защиту от вредоносного программного обеспечения, содержащегося в
электронной почте;
- служба Hosted Archive, помогающая организациям выполнять
требования по соответствию нормативам и хранению данных;
- служба Hosted Encryption, помогающая организациям шифровать
данные для сохранения конфиденциальности;
- служба Hosted Continuity, помогающая организациям сохранить
доступ к электронной почте во время и после простоев.
Перечисленные службы интегрируются с любыми локальными серверами Exchange, управление которыми осуществляется на месте. Дополнительные сведения см. в статье Оперативная защита Forefront для Exchange.
Использование фильтрации вложений
В системе Exchange 2010 компонент фильтрации вложений позволяет применять фильтры на уровне пограничных транспортных серверов с целью контроля вложений электронной почты, которые получают пользователи. В современных условиях важность фильтрации вложений постоянно возрастает, так как многие типы вложений содержат вирусы и другое недопустимое содержимое, что может принести существенный ущерб компьютеру пользователя или организации в целом, если будет повреждена важная документация или будут обнародованы секретные сведения.
Для контроля вложений, поступающих в организацию или исходящих из нее через пограничный транспортный сервер, можно использовать следующие типы фильтрации вложений.
Фильтрация на основе имени или расширения имени файла Фильтрацию вложений можно выполнять с указанием точного имени или расширения имени файла, в отношении которого будет действовать фильтр. Пример фильтра по точному имени файла — BadFilename.exe. Пример фильтра по расширению имени файла — *.exe.
Фильтрация на основе типа содержимого MIME Фильтрацию вложений можно выполнять с указанием типа содержимого MIME, в отношении которого будет действовать фильтр. Типы содержимого MIME указывают, что представляет собой вложение, например, является ли оно изображением JPEG, исполняемым файлом, файлом Microsoft Office Excel 2010 или относится к другому типу файлов. Типы содержимого представлены в формате тип/подтип. Например, тип содержимого «изображение JPEG» представлен как image/jpeg.
Если вложение соответствует одному из критериев фильтра, в отношении него могут быть выполнены следующие действия:
- блокировка всего сообщения и вложения;
- отделение вложения с разрешением самого сообщения;
- автоматическое удаление сообщения и вложения.
Дополнительные сведения см. в разделе Общие сведения о фильтрации вложений.
Примечание. |
---|
Агент фильтрации вложений невозможно использовать для фильтрации вложений на основе их содержимого. Чтобы проверять содержимое сообщений и вложений, а также выполнять такие действия, как удаление, отклонение сообщения либо защита сообщений и вложений с помощью службы управления правами на доступ к данным (IRM), можно использовать правила транспорта. Дополнительные сведения см. в разделе Общие сведения о правилах транспорта. |
Фильтрация файлов с помощью Forefront Protection для Exchange Server
В число функций фильтрации файлов, предоставляемых решением Forefront Protection для Exchange Server, входят расширенные возможности, недоступные при использовании агента фильтрации вложений, входящего в состав Exchange 2010.
Например, файлы-контейнеры (то есть файлы, содержащие другие файлы) могут проверяться на обнаружение запрещенных типов файлов. Функция фильтрации, имеющаяся в приложении Forefront Protection для Exchange Server, позволяет проверять следующие типы файлов-контейнеров и применять действия к внедренным файлам:
- PKZip (расширение ZIP)
- GNU Zip (расширение GZIP)
- Самоизвлекающиеся сжатые файловые архивы (расширение ZIP)
- Сжатые файлы (расширение ZIP)
- Архивные файлы Java (расширение JAR)
- Файлы TNEF (winmail.dat)
- Файлы в формате структурированного хранилища (расширения DOC,
XLS, PPT и т. п.)
- Файлы MIME (расширение EML0)
- Файлы SMIME (расширение EML)
- Файлы UUEncode (расширение UUE)
- Файлы ленточного архива Unix (расширение TAR)
- Архивные файлы RAR (расширение RAR)
- Файлы MACBinary (расширение BIN)
Примечание. |
---|
Агент фильтрации вложений, входящий в состав Exchange 2010, позволяет определять типы файлов даже в том случае, когда файлы переименованы. Фильтрация вложений также позволяет убедиться, что файлы ZIP и LZH не содержат заблокированных вложений. Это обеспечивается за счет проверки совпадения расширений, выполняемой для файлов, сжатых в контейнерах ZIP или LZH. Фильтрация файлов в составе решения Forefront Protection для Exchange Server позволяет определить, переименовано ли заблокированное вложение, которое содержится в файле-контейнере. |
Фильтрацию можно также осуществлять по размеру файла. Кроме того, приложение Forefront Protection для Exchange Server можно настроить таким образом, чтобы отправлять отфильтрованные файлы на карантин или производить рассылку почтовых уведомлений по итогам обнаруженных соответствий критериям фильтрации файлов Exchange.
Дополнительные сведения см. в статье Защита организации Microsoft Exchange с помощью Microsoft Forefront Security для сервера Exchange Server.
Запуск анализатора соответствия рекомендациям для Exchange
Анализатор соответствия рекомендациям для Exchange является одним из наиболее эффективных средств, которое можно регулярно использовать для проверки безопасности среды Exchange. Анализатор соответствия рекомендациям для Exchange автоматически проверяет развертывание сервера Microsoft Exchange и определяет соответствие его настройки рекомендациям Microsoft. В версии Exchange 2010 анализатор соответствия рекомендациям для Exchange устанавливается в процессе работы программы установки Exchange и может быть запущен в разделе «Сервис» консоли управления Exchange. При наличии соответствующего доступа к сети анализатор соответствия рекомендациям для Exchange проверяет все серверы доменных служб Active Directory (AD DS) и серверы Exchange. Анализатор соответствия рекомендациям для Exchange включает в себя механизмы проверки наследования разрешений. Кроме того, он проверяет действительность разрешений RBAC. При этом проверяется обеспечение доступа всех пользователей к панели управления Exchange (ECP), правильность настройки всех ролей RBAC по умолчанию, созданных программой установки Exchange, а также наличие по меньшей мере одной учетной записи администратора в организации Exchange.
Использование сетевых портов и усиление защиты брандмауэром
В состав Windows Server 2008 входит брандмауэр Windows в режиме повышенной безопасности, представляющий собой брандмауэр с пакетной проверкой и отслеживанием состояния, включенный по умолчанию. Брандмауэр Windows в режиме повышенной безопасности предоставляет следующие возможности.
- Фильтрация всего входящего и исходящего трафика на компьютере
по протоколу IP версии 4 и 6. По умолчанию весь входящий трафик
блокируется за исключением случаев, когда он является ответом на
предыдущий исходящий запрос с компьютера (ожидаемый трафик) или
специально разрешен созданным правилом. По умолчанию весь исходящий
трафик разрешен, кроме правил усиления защиты служб,
предотвращающих взаимодействие стандартных служб нестандартными
способами. Можно разрешить трафик на основании номеров портов,
IP-адресов версии 4 или 6, пути и имени приложения, имени службы,
запущенной на компьютере, либо других критериев.
- Защита входящего и исходящего сетевого трафика на компьютере с
помощью протокола IPsec позволяет проверить его целостность,
убедиться в подлинности удостоверения отправляющих и принимающих
компьютеров или пользователей и дополнительно зашифровать трафик
для обеспечения конфиденциальности.
Система Exchange 2010 предназначена для работы с включенным брандмауэром Windows Server в режиме повышенной безопасности. Программа установки Exchange создает требуемые правила брандмауэра, чтобы разрешить взаимодействие служб и процессов Exchange. Она создает только правила, необходимые для служб и процессов, установленных для заданной роли сервера. Дополнительные сведения об использовании сетевых портов и правилах брандмауэра, созданных для каждой роли сервера Exchange 2010, см. в разделе Справочник по сетевым портам Exchange.
В ОС Windows Server 2008 и Windows Server 2008 R2 брандмауэр Windows в режиме повышенной безопасности позволяет указать процесс или службу, для которых открыт порт. Это более безопасно, поскольку в таком случае порт может использоваться только процессом или службой, указанной в правиле. Программа установки Exchange 2010 создает правила брандмауэра с указанным именем процесса. В некоторых случаях в целях совместимости также создается дополнительное правило, не ограниченное этим процессом. Можно отключить или удалить правила, не ограниченные процессами, и сохранить соответствующие правила, которые также созданы программой установки Exchange 2010 и ограничены процессами, если текущая среда развертывания поддерживает их. Правила, не ограниченные процессами, можно отличить по слову (GFW) в имени правила. Перед отключением правил, не ограниченных процессами, рекомендуется провести достаточный объем их тестирования в существующей среде.
В следующей таблице приведены правила брандмауэра Windows, созданные программой установки Exchange, включая порты, открытые для каждой роли сервера.
Правила брандмауэра Windows
Имя правила | Роли сервера | Порт |
---|---|---|
MSExchangeRPCEPMap (GFW) (TCP-входящий) |
Все роли |
RPC-EPMap |
MSExchangeRPC (GFW) (TCP-входящий) |
Сервер клиентского доступа, транспортный сервер-концентратор, сервер почтовых ящиков, сервер единой системы обмена сообщениями |
Динамический RPC |
MSExchange — IMAP4 (GFW) (TCP-входящий) |
Сервер клиентского доступа |
143, 993 (TCP) |
MSExchange — POP3 (GFW) (TCP-входящий) |
Сервер клиентского доступа |
110, 995 (TCP) |
MSExchange — OWA (GFW) (TCP-входящий) |
Сервер клиентского доступа |
5075, 5076, 5077 (TCP) |
MSExchangeMailboxReplication (GFW) (TCP-входящий) |
Сервер клиентского доступа |
808 (TCP) |
MSExchangeIS (GFW) (TCP-входящий) |
Сервер почтовых ящиков |
6001, 6002, 6003, 6004 (TCP) |
MSExchangeTransportWorker (GFW) (TCP-входящий) |
Транспортный сервер-концентратор |
25, 587 (TCP) |
SESWorker (GFW) (TCP-входящий) |
Сервер единой системы обмена сообщениями |
Любая |
UMService (GFW) (TCP-входящий) |
Сервер единой системы обмена сообщениями |
5060, 5061 (TCP) |
UMWorkerProcess (GFW) (TCP-входящий) |
Сервер единой системы обмена сообщениями |
5065, 5066, 5067, 5068 |
Важно! |
---|
При изменении порта, используемого службой Exchange 2010 по умолчанию, необходимо также изменить соответствующее правило брандмауэра Windows в режиме повышенной безопасности, чтобы разрешить взаимодействие через выбранный нестандартный порт. Система Exchange 2010 не изменяет правила брандмауэра при изменении портов, используемых службой по умолчанию. |
Параметры регулирования и политики регулирования клиентов
Система Exchange 2010 содержит параметры регулирования для ролей транспортных серверов, серверов клиентского доступа и почтовых ящиков с целью управления различными параметрами подключений, связанных с каждым протоколом. Кроме того, в состав Exchange 2010 входят политики регулирования клиентов, позволяющие контролировать нагрузку на серверы клиентского доступа. Такие параметры и политики регулирования помогают контролировать нагрузку и защищать серверы Exchange 2010 от атак типа «отказ в обслуживании», ориентированных на различные протоколы.
Параметры регулирования на транспортных серверах
На транспортных серверах Exchange 2010 параметры регулирования сообщений реализуются на самом сервере и на соединителях отправки и получения с целью контроля скорости обработки сообщений, подключений по протоколу SMTP и значений времени ожидания SMTP-сеансов. В совокупности эти параметры регулирования защищают транспортные серверы от перегрузки в результате приема и доставки большого количества сообщений, а также обеспечивают защиту от подключения незаконных SMTP-клиентов и атак типа «отказ в обслуживании».
На транспортных серверах Exchange 2010 можно настроить следующие политики регулирования с помощью командлета Set-TransportServer.
Параметры регулирования транспортного сервера
Параметр | Описание |
---|---|
MaxConcurrentMailboxDeliveries |
Параметр MaxConcurrentMailboxDeliveries указывает максимальное количество потоков доставки, которое транспортный сервер-концентратор может одновременно открыть для доставки сообщений в почтовые ящики. Драйвер хранилища на транспортном сервере-концентраторе доставляет сообщения на серверы почтовых ящиков и с них. Это ограничение применяется к доставке сообщений в любые почтовые ящики в организации Exchange. Значение по умолчанию 20 доставок. |
MaxConcurrentMailboxSubmissions |
Параметр MaxConcurrentMailboxSubmissions указывает максимальное количество потоков доставки, которое транспортный сервер-концентратор может одновременно открыть для получения сообщений из почтовых ящиков. Драйвер хранилища на транспортном сервере-концентраторе доставляет сообщения на серверы почтовых ящиков и с них. Это ограничение применяется к получению новых сообщений из любых почтовых ящиков в организации Exchange. Значение по умолчанию 20 отправок. |
MaxConnectionRatePerMinute |
Параметр MaxConnectionRatePerMinute указывает максимальную скорость открытия новых входящих подключений к транспортному серверу-концентратору или пограничному транспортному серверу. Эти подключения открываются на любых соединителях получения на сервере. Значение по умолчанию 1200 подключений в минуту. |
MaxOutboundConnections |
Параметр MaxOutboundConnections указывает максимальное количество исходящих подключений, одновременно открытых на транспортном сервере-концентраторе или пограничном транспортном сервере. Для исходящих подключений используются соединители отправки на сервере. Значение, которое задается параметром MaxOutboundConnections, применяется ко всем соединителям отправки, существующим на транспортном сервере. Значение по умолчанию 1000 подключений. Если указать значение Unlimited («Не ограничено»), ограничение количества исходящих подключений применяться не будет. Это значение можно также настроить с помощью консоли управления Exchange. |
MaxPerDomainOutboundConnections |
Параметр MaxPerDomainOutboundConnections указывает максимальное количество подключений к одному удаленному домену, которое может быть открыто на транспортном сервере-концентраторе или пограничном транспортном сервере с выходом в Интернет. Для исходящих подключений к удаленным доменам используются соединители отправки на сервере. Значение по умолчанию 20 подключений к домену. Если указать значение Unlimited («Не ограничено»), ограничение количества исходящих подключений к домену применяться не будет. Это значение можно также настроить с помощью консоли управления Exchange. |
PickupDirectoryMaxMessagesPerMinute |
Параметр MaxPerDomainOutboundConnections указывает скорость обработки сообщений каталогами Раскладка и Преобразование. Каждый каталог может независимо обрабатывать файлы сообщений со скоростью, заданной параметром PickupDirectoryMaxMessagesPerMinute. Значения по умолчанию По умолчанию каталог раскладки может обрабатывать 100 сообщений в минуту, при этом каталог преобразования может обрабатывать 100 сообщений в минуту. Каталоги раскладки и преобразования проверяют наличие новых файлов сообщений каждые 5 секунд (12 раз в минуту). Этот 5-секундный период опроса является неизменяемым. Это значит, что максимальное число сообщений, которое может быть обработано в течение каждого интервала опроса, — это значение параметра PickupDirectoryMaxMessagesPerMinute, поделенное на 12 (PickupDirectoryMaxMessagesPerMinute/12). По умолчанию в течение каждого 5-секундного интервала опроса может быть обработано чуть более 8 сообщений. |
Параметры регулирования на соединителях отправки
На соединителях отправки доступны следующие параметры регулирования. Для настройки этих параметров используется командлет Send-Connector.
Параметры регулирования на соединителе отправки
Параметр | Описание |
---|---|
ConnectionInactivityTimeOut |
Параметр ConnectionInactivityTimeOut указывает максимальное время, в течение которого подключение по протоколу SMTP к серверу обмена сообщениями назначения может оставаться открытым при его бездействии. Значение по умолчанию 10 минут. |
SmtpMaxMessagesPerConnection |
Параметр SmtpMaxMessagesPerConnection указывает максимальное количество сообщений, которое сервер соединителя отправки может отправить в течение одного подключения. Значение по умолчанию 20 сообщений. |
Параметры регулирования на соединителях получения
На соединителях получения транспортных серверов Exchange 2010 можно настроить следующие параметры регулирования для управления такими параметрами подключений, как время ожидания при бездействии, максимальное количество подключений и число ошибок протокола SMTP, разрешенных во время подключения. Для настройки этих параметров используется командлет Set-ReceiveConnector.
Параметры регулирования на соединителе получения
Параметр | Описание |
---|---|
ConnectionInactivityTimeOut |
Параметр ConnectionInactivityTimeOut указывает максимальное время, в течение которого подключение по протоколу SMTP к исходному серверу обмена сообщениями может оставаться открытым при его бездействии. Значение по умолчанию на транспортных серверах-концентраторах 5 минут. Значение по умолчанию на пограничных транспортных серверах 1 минута. |
ConnectionTimeOut |
Параметр ConnectionTimeOut указывает максимальное время, в течение которого подключение по протоколу SMTP к исходному серверу обмена сообщениями может оставаться открытым, даже если этот сервер передает данные. Значение по умолчанию на транспортных серверах-концентраторах 10 минут. Значение по умолчанию на пограничных транспортных серверах 5 минут. Значение параметра ConnectionTimeout должно быть больше значения параметра ConnectionInactivityTimeout. |
MaxInboundConnection |
Параметр MaxInboundConnection указывает максимальное количество одновременных входящих подключений по протоколу SMTP, разрешенное на соединителе получения. Значение по умолчанию 5000. |
MaxInboundConnectionPercentagePerSource |
Параметр MaxInboundConnectionPercentagePerSource указывает максимальное количество одновременных подключений по протоколу SMTP с одного исходного сервера обмена сообщениями, разрешенное на соединителе получения. Значение выражается в виде процента доступных подключений для соединителя получения. Максимальное количество подключений, разрешенное на соединителе получения, определяется параметром MaxInboundConnection. Значение по умолчанию 2 процента. |
MaxInboundConnectionPerSource |
Параметр MaxInboundConnectionPerSource указывает максимальное количество одновременных подключений по протоколу SMTP с одного исходного сервера обмена сообщениями, разрешенное на соединителе получения. Значение по умолчанию 100 подключений. |
MaxProtocolErrors |
Параметр MaxProtocolErrors указывает максимальное количество ошибок протокола SMTP, которое допускает соединитель получения перед закрытием подключения к исходному серверу обмена сообщениями. Значение по умолчанию 5 ошибок. |
Параметры регулирования для службы POP3
Для службы POP3 Microsoft Exchange на серверах клиентского доступа применяются следующие параметры регулирования. Для настройки этих параметров используется командлет Set-POPSettings. Дополнительные сведения см. в разделе Установка предельного числа подключений для протокола POP3.
Параметры регулирования службы POP3
Параметр | Описание |
---|---|
MaxCommandSize |
Параметр MaxCommandSize указывает максимальный размер одиночной команды. Диапазон возможных значений: от 40 до 1024 байт. Значение по умолчанию 40 байт. |
MaxConnectonFromSingleIP |
Параметр MaxConnectionFromSingleIP указывает число подключений, принимаемых указанным сервером с одного IP-адреса. Диапазон возможных значений: от 1 до 25 000. Значение по умолчанию 2000 подключений. |
MaxConnections |
Параметр MaxConnections указывает общее число подключений, принимаемых определенным сервером. Это значение включает в себя подключения, прошедшие и не прошедшие проверку подлинности. Диапазон возможных значений: от 1 до 25 000. Значение по умолчанию 2000 подключений. |
MaxConnectionsPerUser |
Параметр MaxConnectionsPerUser указывает максимальное число подключений, принимаемых сервером клиентского доступа от отдельного пользователя. Диапазон возможных значений: от 1 до 25 000. Значение по умолчанию 16 подключений. |
PreAuthenticationConnectionTimeOut |
Параметр PreAuthenticatedConnectionTimeout указывает время, по истечении которого простаивающее подключение, не прошедшее проверку подлинности, будет закрыто. Диапазон возможных значений: от 10 до 3600 секунд. Значение по умолчанию 60 секунд. |
Параметры регулирования для службы IMAP4
Для службы IMAP4 Microsoft Exchange на серверах клиентского доступа применяются следующие параметры регулирования. Для настройки этих параметров используется командлет Set-IMAPSettings. Дополнительные сведения см. в разделе Установка предельного числа подключений для протокола IMAP4.
Параметры регулирования службы IMAP4
Параметр | Описание |
---|---|
AuthenticationConnectionTimeOut |
Параметр AuthenticatedConnectionTimeout указывает период времени ожидания перед закрытием неиспользуемого подключения, подлинность которого проверена. Диапазон возможных значений: от 30 до 86400 секунд. Значение по умолчанию 1800 секунд. |
MaxCommandSize |
Параметр MaxCommandSize указывает максимальный размер одиночной команды. Размер по умолчанию — 40 байт. Диапазон возможных значений: от 40 до 1024 байт. Значение по умолчанию 40 байт. |
MaxConnectionFromSingleIP |
Параметр MaxConnectionFromSingleIP указывает число подключений, принимаемых указанным сервером с одного IP-адреса. Диапазон возможных значений: от 1 до 25 000. Значение по умолчанию 2000 подключений. |
MaxConnections |
Параметр MaxConnections указывает общее число подключений, принимаемых определенным сервером. Это значение включает в себя подключения, прошедшие и не прошедшие проверку подлинности. Диапазон возможных значений: от 1 до 25 000. Значение по умолчанию 2000 подключений. |
MaxConnectionsPerUser |
Параметр MaxConnectionsPerUser указывает максимальное число подключений, принимаемых сервером клиентского доступа от отдельного пользователя. Диапазон возможных значений: от 1 до 25 000. Значение по умолчанию 16 подключений. |
PreAuthenticatedConnectionTimeOut |
Параметр PreAuthenticatedConnectionTimeout указывает время, по истечении которого простаивающее подключение, не прошедшее проверку подлинности, будет закрыто. Диапазон возможных значений: от 10 до 3600 секунд. Значение по умолчанию 60 секунд. |
Политики регулирования клиентов
На сервере Exchange 2010 можно использовать политики регулирования клиентов, чтобы управлять производительностью сервера клиентского доступа путем контроля таких параметров, как число одновременных подключений для каждого протокола клиентского доступа, процент времени, в течение которого в клиентском сеансе можно выполнять операции по протоколу LDAP, а также операции удаленного вызова процедур (RPC) и клиентского доступа. Как правило, политики регулирования клиентов, настроенной по умолчанию, достаточно для управления нагрузкой на серверы клиентского доступа. Можно изменить параметры политики по умолчанию или создать настраиваемые политики, соответствующие требованиям текущего развертывания.
Политики регулирования применяются для следующих групп пользователей и методов доступа:
- анонимный доступ;
- перекрестный доступ (CPA);
- Exchange ActiveSync (EAS);
- веб-службы Exchange (EWS);
- IMAP;
- POP;
- Outlook Web App (OWA);
- клиентский доступ RPC (RCA).
В политиках регулирования клиентов для каждой из перечисленных групп пользователей (анонимный доступ и CPA) и методов доступа (EAS, EWS, IMAP, OWA, POP и RCA) применяются следующие параметры регулирования.
Параметры политики регулирования клиентов
Параметр регулирования | Анонимный доступ | CPA | EAS | EWS | IMAP | OWA | POP | RCA |
---|---|---|---|---|---|---|---|---|
Макс. число одновременных подключений |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Процент времени в Active Directory |
Да |
Недоступно |
Да |
Да |
Да |
Да |
Да |
Да |
Процент времени на сервере клиентского доступа |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Процент времени при RPC почтовых ящиков |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
CPA Перекрестный доступ
EAS Exchange ActiveSync
EWS Веб-службы Exchange
OWA Outlook Web App
Помимо указанных параметров регулирования, основанных на группах пользователей и методах доступа, в политике регулирования клиентов доступны следующие параметры регулирования.
Параметры политики регулирования клиентов
Параметр | Описание |
---|---|
CPUStartPercent |
Параметр CPUStartPercent указывает процентную долю загрузки ЦП на процесс, при которой пользователи, подпадающие под действие этой политики, начинают переключаться в пассивный режим. Допустимые значения: от 0 до 100. Используйте значение $null, чтобы отключить регулирование, основанное на процентной доле загрузки ЦП, для этой политики. |
EASMaxDeviceDeletesPerMonth |
Параметр EASMaxDeviceDeletesPerMonth указывает максимальное количество связей Exchange ActiveSync, которое пользователь может удалить за месяц. По умолчанию каждый пользователь может удалить за календарный месяц не более 20 связей. При достижении максимального значения попытка удаления связи завершается сбоем и пользователь получает сообщение об ошибке. |
EASMaxDevices |
Параметр EASMaxDevices указывает максимальное количество связей Exchange ActiveSync, которое пользователь может одновременно поддерживать. По умолчанию каждый пользователь может создать 10 связей Exchange ActiveSync со своей учетной записью Exchange. После превышения максимального значения необходимо удалить одну из существующих связей, чтобы создать новую связь. При превышении максимального значения пользователю также отправляется сообщение с описанием ограничения. Кроме того, когда пользователь превышает максимальное значение, в журнал приложений заносится событие. |
EWSFastSearchTimeOutInSeconds |
Параметр EWSFastSearchTimeoutInSeconds указывает время выполнения поиска с помощью веб-служб Exchange до истечения времени ожидания. Если поиск занимает больше времени, чем указано в политике, он останавливается и возвращается ошибка. Значение по умолчанию для этого параметра: 60 секунд. |
EWSFindCountLimit |
Параметр EWSFindCountLimit указывает максимальный размер результатов вызовов FindItem или FindFolder, которые могут одновременно размещаться в памяти на сервере клиентского доступа для данного пользователя в текущем процессе. При попытке поиска большего числа элементов или папок, чем разрешено в политике, возвращается ошибка. Однако это ограничение не является обязательным в случаях, когда вызов выполняется в контексте индексированного представления страницы. В частности, при этом сценарии результаты поиска усекаются до числа элементов и папок, соответствующего ограничению политики. После этого можно продолжить просмотр в наборе результатов с помощью дополнительных вызовов FindItem или FindFolder. |
EWSMaxSubscriptions |
Параметр EWSMaxSubscriptions указывает максимальное количество одновременных активных подписок по запросу и принудительных подписок, которое может быть у пользователя на определенном сервере клиентского доступа. Если пользователь пытается создать число подписок, превышающее заданный максимум, то подписка завершается сбоем и событие вносится в журнал окна «Просмотр событий». |
ExchangeMaxCmdlets |
Параметр ExchangeMaxCmdlets указывает число командлетов, которые могут выполняться за определенный период времени до замедления выполнения. Значение этого параметра должно быть меньше значения параметра PowerShellMaxCmdlets parameter. Период времени, используемый для этого ограничения, указывается в параметре PowerShellMaxCmdletsTimePeriod. Рекомендуется задавать значения сразу для обоих параметров. |
ForwardeeLimit |
Параметр ForwardeeLimit указывает максимальное количество получателей, которое можно настроить в правилах для папки «Входящие» при использовании операции пересылки или перенаправления. Этот параметр не ограничивает число сообщений, которое можно переслать или перенаправить настроенным получателям. |
MessageRateLimit |
Параметр MessageRateLimit указывает число сообщений, которое можно отправить в транспортную службу в минуту. Для сообщений, отправляемых через роль сервера почтовых ящиков (Outlook Web App, Exchange ActiveSync или веб-службы Exchange), настройка этого параметра приводит к задержке сообщений до получения квоты для пользователя. В частности, сообщения дольше отображаются в папке «Исходящие» или «Черновики», если пользователи отправляют сообщения со скоростью, превышающей значение параметра MessageRateLimit. Для клиентов POP или IMAP, которые отправляют сообщения непосредственно в транспортную службу с помощью протокола SMTP, при отправке сообщений со скоростью, превышающей значение параметра MessageRateLimit, происходит временная ошибка. Система Exchange выполнит повторную попытку подключения и отправки сообщения позже. |
PowerShellMaxCmdletQueueDepth |
Параметр PowerShellMaxCmdletQueueDepth указывает число операций, которое может выполнить пользователь. Это значение напрямую влияет на работу параметров PowerShellMaxCmdlets и PowerShellMaxConcurrency. Например, параметр PowerShellMaxConcurrency требует выполнения по меньшей мере двух операций, заданных в параметре PowerShellMaxCmdletQueueDepth; дополнительные операции также требуются для выполнения каждого командлета. Количество операций зависит от выполняемых командлетов. Рекомендуется установить для параметра PowerShellMaxCmdletQueueDepth значение, которое не менее чем в три раза превышает значение параметра PowerShellMaxConcurrency parameter. Этот параметр не влияет на операции панели управления Exchange или веб-служб Exchange. |
PowerShellMaxCmdlets |
Параметр PowerShellMaxCmdlets указывает число командлетов, которые могут выполняться за определенный период времени до прекращения выполнения. Значение этого параметра должно быть больше значения параметра ExchangeMaxCmdlets. Период времени, используемый для этого ограничения, указывается в параметре PowerShellMaxCmdletsTimePeriod. Следует задавать значения сразу для обоих параметров. |
PowerShellMaxCmdletsTimePeriod |
Параметр PowerShellMaxCmdletsTimePeriod указывает период времени (в секундах), который используется политикой регулирования для определения того, превышает ли число выполняемых командлетов ограничения, заданные с помощью параметров PowerShellMaxCmdlets и ExchangeMaxCmdlets. |
PowerShellMaxConcurrency |
Параметр PowerShellMaxConcurrency указывает различные сведения в зависимости от контекста. В контексте удаленной среды Remote PowerShell параметр PowerShellMaxConcurrency указывает максимальное количество сеансов Remote PowerShell, которое пользователь Remote PowerShell может одновременно открыть. В контексте веб-служб Exchange параметр PowerShellMaxConcurrency указывает число разрешенных для пользователя одновременно выполняемых командлетов. Значение этого параметра необязательно соотносится с числом открытых пользователем браузеров. |
RecipientRateLimit |
Параметр RecipientRateLimit указывает максимальное количество получателей, которым пользователь может адресовать сообщения в течение 24 часов. |
Дополнительные сведения о политиках регулирования Exchange 2010 см. в разделе Общие сведения о политиках регулирования клиентов.
Управление доступом на основе ролей
Управление доступом на основе ролей (RBAC) — это новая модель разрешений на сервере Exchange 2010, позволяющая контролировать (на общем и более детальном уровнях) действия администраторов и пользователей. Благодаря управлению доступом на основе ролей больше не требуется изменять списки управления доступом (ACL) на таких объектах Служба каталогов Active Directory, как подразделения и контейнеры, чтобы на детальном уровне разрешить делегирование разрешений для групп, например операторов службы поддержки, или функций, например по управлению получателями. Служба каталогов Active Directory
Дополнительные сведения см. в разделе Общие сведения об управлении доступом на основе ролей. Список ролей управления RBAC, входящих в состав Exchange 2010 по умолчанию, см. в разделе Встроенные роли управления. Список групп ролей, настроенных по умолчанию, см. в разделе Встроенные группы ролей.
Группы ролей, созданные программой установки Exchange 2010 или пользователем, формируются в службе каталогов Служба каталогов Active Directory в качестве универсальных групп безопасности в подразделении групп безопасности Microsoft Exchange. С помощью командлета New-RoleGroupMember или панели управления Exchange (ECP) в группу ролей можно добавлять членов. При добавлении члена в группу ролей пользователь или группа добавляется в соответствующую группу безопасности Служба каталогов Active Directory. Чтобы ограничить членство для критически важных групп ролей RBAC, таких как группа ролей «Управление обнаружением», можно использовать политику групп с ограниченным доступом. При реализации политики групп с ограниченным доступом членство в группе отслеживается контроллерами домена Служба каталогов Active Directory и все пользователи, не входящие в политику, автоматически удаляются.
Важно! |
---|
Если группы с ограниченным доступом используются для ограничения членства в группах ролей RBAC, все изменения, внесенные в группу ролей с помощью средств Exchange 2010, необходимо также применить к политике групп с ограниченным доступом в Служба каталогов Active Directory. Дополнительные сведения см. в статье Параметры безопасности групповой политики. |
Служба каталогов Active Directory
Сервер Exchange Server сохраняет данные конфигурации в разделе «Конфигурация», а сведения о получателях — в разделе «Домен» доменных служб Active Directory (AD DS). Сведения о разрешениях, необходимых для настройки организации Exchange 2010, см. в разделе Справочник по разрешениям развертывания Exchange 2010. Безопасность взаимодействия с контроллерами домена Служба каталогов Active Directory обеспечивается путем проверки подлинности и шифрования по протоколу Kerberos.
Exchange 2010 предоставляет новый уровень авторизации на сервере Exchange, называемый управлением доступом на основе ролей (RBAC), вместо применения элементов управления доступом (ACE) для каждой учетной записи, требующей наличия соответствующих разрешений. В более ранних версиях Microsoft Exchange программа установки Exchange использовала элементы управления доступом в службе Служба каталогов Active Directory для администраторов Exchange, чтобы обеспечить управление объектами в разделе домена. Администраторам Exchange предоставляется возможность выполнения определенных операций в пределах конкретной области деятельности с помощью RBAC. Сервер Exchange выполняет правомочные действия от имени администратора или пользователей, применяя разрешения, предоставленные в службе Служба каталогов Active Directory посредством групп безопасности разрешений Exchange Windows и доверенной подсистемы Exchange. Дополнительные сведения об управлении доступом на основе ролей (RBAC) см. в разделе Общие сведения об управлении доступом на основе ролей.
На сервере Exchange 2010 команда /PrepapareDomain не применяет какие-либо элементы управления доступом для универсальной группы безопасности разрешений Exchange Windows к контейнеру AdminSDHolder в службе Служба каталогов Active Directory. Если команда /PrepareDomain обнаруживает какие-либо элементы управления доступом, предоставленные универсальной группе безопасности разрешений Exchange Windows, такие элементы удаляются. Указанные действия имеют следующие последствия.
- Члены универсальной группы безопасности разрешений
Exchange Windows не могут изменять членства в защищенных
группах безопасности, например группах администраторов предприятия
и домена. Указанные действия имеют следующие последствия.
- Члены универсальной группы безопасности разрешений
Exchange Windows не могут применять принудительный сброс
пароля учетной записи, защищенной объектом
AdminSDHolder.
- Члены универсальной группы безопасности разрешений
Exchange Windows не могут изменять разрешения любой группы или
учетной записи, защищенной объектом AdminSDHolder.
Не рекомендуется активировать учетные записи почтовых ящиков, защищенные объектом AdminSDHolder. Вместо этого следует сохранить отдельные учетные записи для администраторов Служба каталогов Active Directory: одну учетную запись для администрирования Служба каталогов Active Directory и одну запись для повседневного использования, в том числе работы с электронной почтой. Дополнительные сведения см. в следующих разделах:
Учетные записи сервера Exchange Server
Программа установки Exchange 2010 создает в корневом домене новое подразделение с именем «Группы безопасности Microsoft Exchange». В следующей таблице перечислены новые универсальные группы безопасности.
Группы безопасности Microsoft Exchange
Группа безопасности | Описание |
---|---|
Все размещенные организации Exchange |
Эта группа содержит все группы почтовых ящиков размещенной организации Exchange. Она используется для применения объектов настройки пароля ко всем размещенным почтовым ящикам. Указанную группу не следует удалять. |
Серверы Exchange |
Эта группа содержит все серверы Exchange. Ее не следует удалять. Настоятельно не рекомендуется вносить какие-либо изменения в членство этой группы. |
Доверенная подсистема Exchange |
Эта группа содержит серверы Exchange, выполняющие командлеты Exchange от имени пользователей в службе управления. Ее членам предоставляется разрешение на чтение и изменение конфигурации всех серверов Exchange, а также учетных записей и групп пользователей. Указанную группу не следует удалять. |
Exchange Разрешения Windows |
Эта группа содержит серверы Exchange, выполняющие командлеты Exchange от имени пользователей в службе управления. Ее членам предоставляется разрешение на чтение и изменение всех учетных записей и групп Windows. Указанную группу не следует удалять. Настоятельно рекомендуется отслеживать членство в этой группе, но не вносить какие-либо изменения в состав членов. |
ExchangeLegacyInterop |
Эта группа предназначена для обеспечения взаимодействия с серверами Exchange 2003 в одном лесу. Указанную группу не следует удалять. |
Помимо перечисленных групп безопасности программа установки создает следующие группы безопасности, соответствующие группам ролей RBAC с одним и тем же именем.
Группы безопасности, соответствующие группам ролей RBAC
Группа безопасности | Группа ролей RBAC |
---|---|
Делегированная установка |
|
Управление обнаружением |
|
Служба поддержки |
|
Управление санацией |
|
Управление организацией |
|
Управление общедоступными папками |
|
Управление получателями |
|
Управление записями |
|
Управление сервером |
|
Управление единой системой обмена сообщениями |
|
Управление организацией только с правом на просмотр |
Кроме того, при создании новой группы ролей система Exchange 2010 создает группу безопасности с тем же именем, которое присвоено группе ролей. Дополнительные сведения см. в следующих разделах:
Добавление и удаление пользователей в этих группах безопасности выполняется при добавлении и удалении пользователей в группах ролей с помощью командлетов Add-RoleGroupMember или Remove-RoleGroupMember, а также с помощью редактора пользователей с управлением доступом на основе ролей (RBAC) на панели управления Exchange.
Файловая система
Программа установки Exchange 2010 создает каталоги с минимальными разрешениями, необходимыми для работы сервера Exchange 2010. Не рекомендуется предоставлять какие-либо дополнительные разрешения для списков управления доступом (ACL) по умолчанию в каталогах, созданных программой установки.
Службы
По умолчанию программа установки Exchange 2010 не отключает службы Windows. В следующей таблице перечислены службы, включенные по умолчанию для каждой роли сервера. По умолчанию включаются только службы, необходимые для работы определенной роли сервера Exchange 2010.
Службы, устанавливаемые программой установки Exchange
Имя службы | Короткое имя службы | Контекст безопасности | Описание и зависимости | Тип запуска по умолчанию | Роли сервера | Обязательная (О) или необязательная (Н) |
---|---|---|---|---|---|---|
Топология Microsoft Exchange Служба каталогов Active Directory |
MSExchangeADTopology |
Локальная система |
Предоставляет сведения о топологии Служба каталогов Active Directory для служб Exchange. В случае ее остановки большинство служб Exchange не смогут начать работать. Эта служба не имеет зависимостей. |
Автоматическая |
Транспортный сервер-концентратор, серверы почтовых ящиков, клиентского доступа и единой системы обмена сообщениями |
О |
Microsoft Exchange ADAM |
ADAM_MSExchange |
Сетевая служба |
Сохраняет данные конфигурации и сведения о получателях на пограничном транспортном сервере. Эта служба представляет собой именованный экземпляр службы Служба каталогов Active Directory облегченного доступа к каталогам (AD LDS), автоматически создаваемый программой установки во время установки пограничного транспортного сервера. Эта служба зависит от службы «Система событий COM+». |
Автоматическая |
Пограничный транспортный сервер |
О |
Адресная книга Microsoft Exchange |
MSExchangeAB |
Локальная система |
Управляет подключениями адресной книги клиента. Эта служба зависит от службы топологии Microsoft Exchange Служба каталогов Active Directory. |
Автоматическая |
Сервер клиентского доступа |
О |
Обновление средства защиты от нежелательной почты Microsoft Exchange |
MSExchangeAntispamUpdate |
Локальная система |
Предоставляет службу обновления средств защиты от нежелательной почты в составе Microsoft Forefront Protection 2010 для Exchange Server. На транспортных серверах-концентраторах эта служба зависит от службы топологии Microsoft Exchange Служба каталогов Active Directory. На пограничных транспортных серверах эта служба зависит от службы Microsoft Exchange ADAM. |
Автоматическая |
Транспортный сервер-концентратор, пограничный транспортный сервер |
Н |
Служба учетных данных Microsoft Exchange |
MSExchangeEdgeCredential |
Локальная система |
Отслеживает изменения учетных данных в службах AD LDS и применяет изменения на пограничном транспортном сервере. Эта служба зависит от службы Microsoft Exchange ADAM. |
Автоматическая |
Пограничный транспортный сервер |
О |
Microsoft Exchange EdgeSync |
MSExchangeEdgeSync |
Локальная система |
Подключается по безопасному каналу LDAP к экземпляру AD LDS на подписанных пограничных транспортных серверах для синхронизации данных между транспортным сервером-концентратором и пограничным транспортным сервером. Эта служба зависит от службы топологии Microsoft Exchange Служба каталогов Active Directory. Если пограничная подписка не настроена, эту службу можно отключить. |
Автоматическая |
Транспортный сервер-концентратор |
Н |
Рассылка файлов Microsoft Exchange |
MSExchangeFDS |
Локальная система |
Распространяет автономную адресную книгу и настраиваемые приглашения единой системы обмена сообщениями. Эта служба зависит от служб топологии и рабочей станции Microsoft Exchange Служба каталогов Active Directory. |
Автоматическая |
Серверы клиентского доступа и единой системы обмена сообщениями |
О |
Проверка подлинности на основе форм Microsoft Exchange |
MSExchangeFBA |
Локальная система |
Обеспечивает проверку подлинности на основе форм для приложения Outlook Web App и панели управления Exchange. Если эта служба остановлена, приложение Outlook Web App и панель управления Exchange не будут выполнять проверку подлинности пользователей. Эта служба не имеет зависимостей. |
Автоматическая |
Сервер клиентского доступа |
О |
Microsoft Exchange IMAP4 |
MSExchangeIMAP4 |
Сетевая служба |
Предоставляет клиентам службу IMAP4. Если эта служба остановлена, клиенты не смогут подключиться к этому компьютеру по протоколу IMAP4. Эта служба зависит от службы топологии Microsoft Exchange Служба каталогов Active Directory. |
Вручную |
Сервер клиентского доступа |
Н |
Банк данных Microsoft Exchange |
MSExchangeIS |
Локальная система |
Управляет банком данных Exchange. Эта служба управляет также базами данных почтовых ящиков и общедоступных папок. При остановке этой службы на компьютере базы данных почтовых ящиков и общедоступных папок становятся недоступны. Если эта служба отключена, все службы, которые явным образом зависят от нее, не будут запускаться. Эта служба зависит от служб RPC, сервера, журнала событий Windows и рабочей станции. |
Автоматическая |
Сервер почтовых ящиков |
О |
Служба отправки почты Microsoft Exchange |
MSExchangeMailSubmission |
Локальная система |
Отправляет сообщения с сервера почтовых ящиков на транспортные серверы-концентраторы Exchange 2010. Эта служба зависит от службы топологии Microsoft Exchange Служба каталогов Active Directory. |
Автоматическая |
Сервер почтовых ящиков |
О |
Помощники по обслуживанию почтовых ящиков Microsoft Exchange |
MSExchangeMailboxAssistants |
Локальная система |
Выполняет фоновую обработку почтовых ящиков в хранилище Exchange. Эта служба зависит от службы топологии Microsoft Exchange Служба каталогов Active Directory. |
Автоматическая |
Сервер почтовых ящиков |
О |
Служба репликации почтовых ящиков Microsoft Exchange |
MSExchangeMailboxReplication |
Локальная система |
Обрабатывает перемещения и запросы на перемещение почтовых ящиков. Эта служба зависит от служб топологии Microsoft Exchange Служба каталогов Active Directory и общего доступа к портам Net.Tcp. |
Автоматическая |
Сервер клиентского доступа |
Н |
Отслеживание Microsoft Exchange |
MSExchangeMonitoring |
Локальная система |
Позволяет приложениям вызывать диагностические командлеты Exchange. Эта служба не имеет зависимостей. |
Вручную |
Все |
Н |
Microsoft Exchange POP3 |
MSExchangePOP3 |
Сетевая служба |
Предоставляет службу POP3 клиентам. При остановке этой службы клиенты не смогут подключиться к этому компьютеру по протоколу POP3. Эта служба зависит от службы топологии Microsoft Exchange Служба каталогов Active Directory. |
Вручную |
Сервер клиентского доступа |
Н |
Узел защищенных служб Microsoft Exchange |
MSExchangeProtectedServiceHost |
Локальная система |
Предоставляет размещение для нескольких служб Exchange, которые необходимо защитить от других служб. Эта служба зависит от службы топологии Microsoft Exchange Служба каталогов Active Directory. |
Автоматическая |
Транспортный сервер-концентратор, сервер клиентского доступа |
О |
Служба репликации Microsoft Exchange |
MSExchangeRepl |
Локальная система |
Обеспечивает репликацию баз данных почтовых ящиков на серверах почтовых ящиков в группе обеспечения доступности баз данных. Эта служба зависит от службы топологии Microsoft Exchange Служба каталогов Active Directory. |
Автоматическая |
Сервер почтовых ящиков |
Н |
Клиентский доступ RPC Microsoft Exchange |
MSExchangeRPC |
Сетевая служба |
Управляет RPC-подключениями клиентов к серверу Exchange. Эта служба зависит от службы топологии Microsoft Exchange Служба каталогов Active Directory. |
Автоматическая |
Серверы почтовых ящиков и клиентского доступа |
Н (сервер почтовых ящиков), О (сервер клиентского доступа) |
Индексатор поиска Microsoft Exchange |
MSExchangeSearch |
Локальная система |
Запускает индексацию содержимого почтового ящика, которая повышает скорость поиска содержимого. Эта служба зависит от служб топологии Microsoft Exchange Служба каталогов Active Directory и поиска Microsoft (для сервера Exchange Server). |
Автоматическая |
Сервер почтовых ящиков |
Н |
Расширение Microsoft Exchange Server для системы архивации данных Windows Server Server |
WSBExchange |
Локальная система |
Позволяет пользователям системы архивации данных Windows Server выполнять резервное копирование и восстановление данных приложений для Microsoft Exchange. Эта служба не имеет зависимостей. |
Вручную |
Сервер почтовых ящиков |
Н |
Microsoft Exchange Service Host |
MSExchangeServiceHost |
Локальная система |
Предоставляет размещение для нескольких служб Exchange. Для внутренних ролей сервера эта служба зависит от службы топологии Microsoft Exchange Служба каталогов Active Directory. На пограничных транспортных серверах эта служба зависит от службы Microsoft Exchange ADAM. |
Автоматическая |
Все |
О |
Речевой модуль Microsoft Exchange |
MSSpeechService |
Сетевая служба |
Предоставляет службы обработки речи для единой системы обмена сообщениями. Эта служба зависит от службы инструментария управления Windows (WMI). |
Автоматическая |
Сервер единой системы обмена сообщениями |
О |
Системный помощник Microsoft Exchange |
MSExchangeSA |
Локальная система |
Перенаправляет запросы на поиск в каталогах на сервер глобального каталога для клиентов Outlook прежних версий, создает адреса электронной почты и автономные адресные книги, обновляет сведения о доступности для клиентов прежних версий и сохраняет разрешения и членство в группах для этого сервера. Если эта служба отключена, все службы, которые явным образом зависят от нее, не будут запускаться. Эта служба зависит от служб RPC, сервера, журнала событий Windows и рабочей станции. |
Автоматическая |
Сервер почтовых ящиков |
О |
Регулирование Microsoft Exchange |
MSExchangeThrottling |
Сетевая служба |
Ограничивает скорость операций пользователя. Эта служба зависит от службы топологии Microsoft Exchange Служба каталогов Active Directory. |
Автоматическая |
Сервер почтовых ящиков |
О |
Транспорт Microsoft Exchange |
MSExchangeTransport |
Сетевая служба |
Предоставляет SMTP-сервер и транспортный стек. На транспортных серверах-концентраторах эта служба зависит от службы топологии Microsoft Exchange Служба каталогов Active Directory. На пограничных транспортных серверах эта служба зависит от службы Microsoft Exchange ADAM. |
Автоматическая |
Транспортный сервер-концентратор, пограничный транспортный сервер |
О |
Поиск журналов транспорта Microsoft Exchange |
MSExchangeTransportLogSearch |
Локальная система |
Предоставляет возможность удаленного поиска файлов журналов транспорта Microsoft Exchange. На транспортных серверах-концентраторах эта служба зависит от службы топологии Microsoft Exchange Служба каталогов Active Directory. На пограничных транспортных серверах эта служба зависит от службы Microsoft Exchange ADAM. |
Автоматическая |
Транспортный сервер-концентратор, сервер почтовых ящиков, пограничный транспортный сервер |
Н |
Единая система обмена сообщениями Microsoft Exchange |
MSExchangeUM |
Локальная система |
Включает функции единой системы обмена сообщениями Microsoft Exchange. Эти функции позволяют хранить голосовые и факсимильные сообщения в системе Exchange, а также предоставляют пользователям доступ по телефону к электронной и голосовой почте, календарю, контактам и автосекретарю. Если эта служба остановлена, единая система обмена сообщениями недоступна. Эта служба зависит от службы топологии Microsoft Exchange Служба каталогов Active Directory и службы речевого модуля Microsoft Exchange. |
Автоматическая |
Сервер единой системы обмена сообщениями |
О |
Служба поиска Microsoft Search (для сервера Exchange Server) |
msftesql-Exchange |
Локальная система |
Это версия службы поиска Microsoft Search, настроенная для сервера Microsoft Exchange. Эта служба зависит от службы RPC. |
Вручную |
Транспортный сервер-концентратор, сервер почтовых ящиков |
Н |
Сертификаты
Программа установки Exchange 2010 создает самозаверяющие сертификаты для обеспечения безопасности связи по различным протоколам, таким как HTTP, SMTP, POP3 и IMAP4. Самозаверяющие сертификаты, создаваемые программой установки, действительны в течение пяти лет. Это гарантирует, что самозаверяющие сертификаты не потребуется обновлять для большей части развертывания Exchange 2010 и на службы обмена сообщениями не будет влиять окончание срока их действия.
Для внешних механизмов и протоколов клиентского доступа, таких как Outlook Web App, POP3, IMAP4, Outlook Anywhere и автообнаружение, рекомендуется следующее.
- Используйте сертификаты, подписанные коммерческим центром
сертификации, которому доверяют клиенты, получающие доступ к
указанным службам.
- Чтобы создать запросы на подпись сертификатов для коммерческих
центров сертификации, используйте мастер создания сертификатов
Exchange или командлет New-ExchangeCertificate.
Запросы на сертификаты, созданные с помощью указанных средств,
обеспечивают соблюдение всех требований к сертификатам
Exchange.
- Учитывайте требования к сертификатам для каждого протокола или
службы, для которых требуется разрешить внешний клиентский
доступ.
- На серверах клиентского доступа сертификаты используются для
защиты HTTP-трафика (Outlook Anywhere, Outlook Web App,
автообнаружения, Exchange ActiveSync и веб-служб Exchange) с
помощью протокола SSL, а также POP3- и IMAP4-трафика с помощью
протоколов SSL или TLS. Дополнительные сведения см. в разделе
Управление
протоколом SSL на сервере клиентского доступа.
- На транспортных серверах сертификаты используются для защиты
SMTP-трафика с помощью протокола TLS. Дополнительные сведения см. в
разделе Общие
сведения о сертификатах TLS.
- На серверах единой системы обмена сообщениями сертификаты
используются для защиты VoIP-трафика. Дополнительные сведения см. в
разделе Общие
сведения о безопасности VoIP единой системы обмена
сообщениями.
- Для федерации сертификаты используются с целью шифрования
SAML-маркеров, обмениваемых со шлюзом Microsoft Federation Gateway
(MFG) и федеративными партнерскими организациями. Дополнительные
сведения см. в разделе Общие сведения о
федерации.
- На серверах клиентского доступа сертификаты используются для
защиты HTTP-трафика (Outlook Anywhere, Outlook Web App,
автообнаружения, Exchange ActiveSync и веб-служб Exchange) с
помощью протокола SSL, а также POP3- и IMAP4-трафика с помощью
протоколов SSL или TLS. Дополнительные сведения см. в разделе
Управление
протоколом SSL на сервере клиентского доступа.
- Чтобы избежать нарушения работы служб, своевременно
отслеживайте даты окончания срока действия сертификатов и
обновляйте их в центрах сертификации.
- При сохранении сертификатов, экспортированных со связанным
закрытым ключом, защищайте экспортированный файл с помощью
соответствующих элементов управления доступом в папке (файле), в
которой он хранится. В зависимости от требований к безопасности
организации рассмотрите возможность аудита доступа к файлам для
папок, в которых хранятся файлы сертификатов с закрытыми
ключами.
Вопросы, связанные с использованием протокола NTLM
Протокол NTLM обеспечивает намного меньшую безопасность
по сравнению с протоколом Kerberos. На сервере Exchange 2010
протоколы POP3 и IMAP4 не поддерживают проверку подлинности NTLM в
том случае, когда для параметра LoginType указано значение
SecureLogin
. Дополнительные сведения см. в разделе
Настройка
проверки подлинности для POP3 и IMAP4. Службы Exchange 2010,
использующие встроенную проверку подлинности Windows, могут
работать с протоколами NTLM или Kerberos. Протокол Kerberos
используется для взаимодействия сервера клиентского доступа с
сервером почтовых ящиков Exchange 2010, а также между серверами
клиентского доступа для Outlook Web App, Exchange ActiveSync и
веб-служб Exchange. Дополнительные сведения о службах, использующих
проверку подлинности NTLM, см. в разделе Справочник по сетевым
портам Exchange.
Двухфакторная проверка подлинности
Метод двухфакторной проверки подлинности предполагает использование дополнительного средства проверки подлинности помимо учетных данных пользователя для входа в систему (имени пользователя и пароля), например созданные в случайном порядке маркеры или цифровой сертификат смарт-карты вместе с ПИН-кодом. Различные организации развертывают двухфакторную проверку подлинности, чтобы обеспечить безопасный доступ к своей сети.
Сервер Exchange 2010 не содержит собственных средств двухфакторной проверки подлинности. В системе Exchange 2010 используется сервер IIS 7 для клиентского доступа по протоколу HTTP (для автообнаружения, Outlook Web App, Outlook Anywhere, Exchange ActiveSync и веб-служб Exchange). Партнеры и сторонние изготовители предлагают различные продукты для двухфакторной проверки подлинности, интегрируемые с сервером IIS. Такие продукты работают с такими службами клиентского доступа Exchange, как Outlook Web App. Перед развертыванием продуктов для двухфакторной проверки подлинности для служб Exchange рекомендуется соответствующим образом протестировать их, чтобы убедиться в соответствии требованиям безопасности организации и наличии необходимых функций.
Федерация
В состав Exchange 2010 входят новые функции федерации для обеспечения безопасной совместной работы федеративных организаций Exchange. Организации Exchange 2010 могут создавать доверие федерации со шлюзом Microsoft Federation Gateway, а затем устанавливать связи организации с другими федеративными организациями для обмена сведениями о доступности и данными календаря. Кроме того, с помощью политик общего доступа организации могут разрешать пользователям обмениваться данными о доступности, данными календаря и контактами данными с пользователями внешних федеративных организаций. Дополнительные сведения о доверии федерации и федеративном общем доступе см. в разделах Общие сведения о федерации и Общие сведения о федеративном общем доступе.
Чтобы включить общий доступ между двумя федеративными организациями, после установки доверия федерации со шлюзом Microsoft Federation Gateway необходимо создать связь организации. Тем не менее, по умолчанию обмен данными между пользователями вашей организации и пользователями внешних федеративных организаций активизируется с помощью политики общего доступа, назначаемой пользователям по умолчанию. Эта политика разрешает обмен сведениями о доступности и данными календаря только с пользователями всех внешних федеративных организаций. Чтобы запретить пользователям обмениваться своими сведениями о доступности и данными календаря с пользователями всех внешних федеративных доменов, необходимо отключить политику общего доступа по умолчанию или изменить имя домена, указанное в политике, на имена только тех доменов, обмен данными с которыми разрешен. Такое изменение необходимо вносить до создания доверия федерации со шлюзом Microsoft Federation Gateway. Дополнительные сведения см. в разделах Отключение политики общего доступа и Настройка свойств политики общего доступа.
Чтобы отключить в организации все функции федерации, включая федеративное делегирование, удалите для этой организации доверие федерации со шлюзом Microsoft Federation Gateway. Дополнительные сведения см. в разделе Удаление доверия федерации.
Secure/Multipurpose Internet Mail Extensions (S/MIME)
Secure/Multipurpose Internet Mail Extensions (S/MIME) — это стандарт для шифрования с открытым ключом и подписывания данных MIME, который обеспечивает проверку подлинности, целость сообщений, неподдельность и конфиденциальность данных системы обмена сообщениями. Пользователи могут подписывать и (или) шифровать сообщения с помощью сертификатов S/MIME. Дополнительные сведения о стандарте S/MIME см. в статье Общие сведения об S/MIME.
S/MIME — это клиентская технология без каких-либо требований к взаимодействию для почтовых серверов. С позиций передачи данных сообщения, подписанные или зашифрованные с помощью технологии S/MIME, передаются аналогично простым текстовым сообщениям (не зашифрованным). Фактическая обработка сообщения выполняется клиентом после проверки сертификата и сообщения. Для приложения Outlook Web App поддержка S/MIME обеспечивается с помощью элемента ActiveX. Несмотря на то что приложение Outlook Web App поддерживает большую часть распространенных браузеров, например Microsoft Internet Explorer, Mozilla FireFox и Safari, элементы ActiveX являются функцией Internet Explorer. Пользователи приложения Outlook Web App, работающие с другими браузерами, не могут получить доступ к функциям S/MIME и, возможно, должны будут выбрать другой почтовый клиент, который поддерживает стандарт S/MIME. Дополнительные сведения о поддержке S/MIME в приложении Outlook Web App см. в разделе Outlook Web App и S/MIME.
Дополнительные сведения о поддержке S/MIME в приложении Outlook см. в статье Общие сведения о сертификатах и шифровании сообщений электронной почты в Outlook.
Несмотря на то что стандарт S/MIME предоставляет организациям преимущества в обеспечении безопасности, при оценке этой технологии необходимо учитывать следующие особенности.
- Зашифрованные S/MIME-сообщения непрозрачны для текущей
организации. Программы для обеспечения безопасности обмена
сообщениями, например средства защиты от вирусов и нежелательной
почты, не позволяют проверить содержимое сообщений, в том числе их
основной текст и вложения.
- Так как содержимое сообщений и вложения шифруются, политики
обмена сообщениями в организации, включая правила транспорта,
невозможно применить к зашифрованным S/MIME-сообщениям.
- Изменение подписанного S/MIME-сообщения для соответствия
политикам обмена сообщениями в организации, например для применения
заявления об отказе или личной подписи, делает сообщение
недействительным.
- Содержимое зашифрованных сообщений невозможно проверить на
наличие каких-либо нарушений, поэтому организация не может защитить
конфиденциальные сведения. В эту категорию относятся все личные
сведения, отправляемые за пределы организации.
- Зашифрованные S/MIME-сообщения не индексируются службой поиска
Exchange и поэтому не выводятся в списке результатов поиска на
обнаружение.
- Для соответствия локальным нормативам или требованиям по
раскрытию информации во время судебного процесса организации может
потребоваться создание копий всех зашифрованных сообщений в
незашифрованном виде.
Система Exchange 2010 предоставляет функции управления правами на доступ к данным (IRM), позволяющие организации применить постоянную защиту конфиденциального содержимого сообщений таким образом, чтобы доступ к сообщениям с защитой IRM могли получить только указанные получатели. В организации можно также реализовать элементы управления способами использования подобного содержимого после его доставки получателям. Например, можно предотвратить печать сообщений, пересылку или ответ на них в организации и за ее пределами. Кроме того, в организации можно по-прежнему расшифровать содержимое с защитой IRM с целью его проверки средствами защиты от вирусов и нежелательной почты, а также другими агентами транспорта, и применения политик обмена сообщениями с помощью правил транспорта. Также можно обеспечить архивацию и обнаружение сообщений, защищенных службой управления правами на доступ к данным (IRM). Функции управления правами на доступ к данным (IRM) также доступны во всех веб-браузерах, поддерживаемых приложением Outlook Web App, и в устройствах с ОС Windows Mobile. Дополнительные сведения об управлении правами на доступ к данным см. в разделе Общие сведения об управлении правами на доступ к данным.
Замечания по ролям сервера
В этом разделе перечислены замечания, связанные с обеспечением безопасности ролей сервера Exchange 2010.
Замечания по серверу почтовых ящиков
В системе Exchange 2010 изменена архитектура хранилища Exchange и подключений клиентов MAPI, например Outlook. Клиенты MAPI подключаются к серверу клиентского доступа, изолируя сервер почтовых ящиков от клиентского трафика. Серверы почтовых ящиков взаимодействуют только с серверами клиентского доступа, использующими протокол RPCSec, а также с серверами доменных служб Active Directory (AD DS) в текущей организации. Для серверов почтовых ящиков не требуется подключение к Интернету.
Хранилище
Хранилище — это важнейший компонент серверов почтовых ящиков. На сервере почтовых ящиков необходимо спланировать подсистему хранения, чтобы обеспечить хорошую производительность и наличие достаточного пространства для хранения данных при развертывании. Дополнительные сведения о планировании хранилища для сервера почтовых ящиков см. в разделе Проектирование системы хранения сервера почтовых ящиков.
После развертывания сервера почтовых ящиков потребуется отслеживать перечисленные ниже показатели.
- Доступность подсистемы хранения.
- Доступность достаточного свободного пространства на томах,
содержащих базу данных почтовых ящиков и журналы транзакций. База
данных почтовых ящиков или общедоступных папок отключается, когда
том, на котором хранится база данных или журналы транзакций для
нее, не содержит свободного места.
Для отслеживания доступности хранилища и свободного места на диске можно использовать диспетчер Systems Center Operations Manager шлюза Microsoft Federation Gateway. Дополнительные сведения см. в статье Systems Center Operations Manager 2007.
Если при планировании и наблюдении за хранилищем будут использоваться следующие функции, необходимо учитывать их требования к хранению.
- Ведение журнала Если используется
функция ведения журнала для хранения сообщений с целью долгосрочной
архивации, в зависимости от выбора стандартного (из расчета на базу
данных почтовых ящиков) или расширенного ведения журнала (в
соответствии с правилами журналов) сообщения отправляются и
принимаются всеми получателями в базе данных почтовых ящиков или
получателями, указанными в правиле журнала, с доставкой в
соответствии с отчетом журнала в почтовый ящик журналов или
указанному получателю. В результате в почтовом ящике журналов может
сохраняться большое количество отчетов журналов. При планировании
хранилища для серверов почтовых ящиков необходимо учитывать размеры
почтовых ящиков журналов. Управлять размерами почтовых ящиков
журналов можно путем настройки достаточных квот для них.
Дополнительные сведения о ведении журнала и квотах почтовых ящиков
см. в следующих разделах:
- Судебное удержание Если для почтового
ящика применяется судебное удержание, элементы, удаленные
пользователем с помощью функции «Восстановить удаленные элементы» в
приложениях Outlook и Outlook Web App, а также сообщения, удаленные
автоматическими процессами, например процессом управления записями
сообщений, сохраняются до тех пор, пока судебное удержание не будет
отменено. На сервере Exchange 2010 квота предупреждения элементов
для восстановления и квота элементов для восстановления задаются на
уровне 20 ГБ и 30 ГБ. Дополнительные сведения см. в
следующих разделах:
Высокая доступность
Высокая доступность серверов почтовых ящиков критически важна для обеспечения доступности службы обмена сообщениями. В состав Exchange 2010 входят группы обеспечения доступности баз данных, гарантирующие высокую доступность серверов почтовых ящиков. Такие группы могут обеспечить доступность при сбое подсистемы хранения, сервера или сетевого подключения в развертывании Exchange либо при выходе из строя всего центра обработки данных. Дополнительные сведения о планировании и реализации высокодоступного развертывания Exchange 2010 см. в разделе Высокая доступность и устойчивость сайтов.
По умолчанию на сервере Exchange 2010 шифруется трафик репликации (для доставки журналов) между членами групп обеспечения доступности баз данных, расположенных на разных сайтах Служба каталогов Active Directory. Можно зашифровать трафик репликации между серверами на одном сайте Служба каталогов Active Directory. Для этого необходимо указать для свойства NetworkEncryption группы обеспечения доступности баз данных значение Enabled («Включено»). Чтобы изменить указанное свойство для группы обеспечения доступности баз данных, используйте командлет Set-DatabaseAvailabilityGroup.
Репликация выполняется через один TCP-порт, по умолчанию им является TCP-порт 64327. Порт, используемый для репликации, можно изменить. Дополнительные сведения см. в разделе Настройка свойств группы доступности базы данных.
Параметры для обеспечения высокой доступности
Параметр | Описание |
---|---|
NetworkEncryption |
Параметр NetworkEncryption указывает, включено ли шифрование в сети. Допустимыми являются следующие значения:
Значение по
умолчанию |
ReplicationPort |
Параметр ReplicationPort указывает TCP-порт для выполнения репликации (доставка и заполнение журнала). Значение по умолчанию Если этот параметр не указан, для репликации по умолчанию используется TCP-порт 64327. |
Разрешения и доступ к почтовым ящикам
По умолчанию система Exchange 2010 запрещает администраторам доступ к почтовым ящикам. Если в организации используются приложения или службы, которым требуется доступ к почтовому ящику, учетным записям, применяемым подобными приложениями или службами, необходимо назначить соответствующие разрешения на доступ к почтовым ящикам. Не рекомендуется настраивать указанные приложения или службы для использования учетных данных администраторов.
Несмотря на то что все почтовые ящики могут содержать конфиденциальные сведения, представляющие ценность для организации, с позиций безопасности перечисленные ниже почтовые ящики требуют к себе особое внимание. При этом для соответствия требованиям организации по безопасности необходимо контролировать и отслеживать разрешения на доступ к таким почтовым ящикам.
- Почтовые ящики найденных
сообщений Почтовые ящики найденных сообщений
используются функцией поиска в нескольких почтовых ящиках Exchange
2010. Это позволяет диспетчерам обнаружения, которые входят в
группу ролей «Управление обнаружением», выполнять поиск сообщений
во всех почтовых ящиках организации Exchange 2010. Сообщения,
возвращенные в результате поиска на обнаружение, копируются в
указанный почтовый ящик найденных сообщений. Программа установки
Exchange 2010 создает почтовый ящик для поиска на обнаружение по
умолчанию. Дополнительные сведения см. в разделе Общие сведения о поиске
по нескольким почтовым ящикам.
- Почтовые ящики журналов При настройке
функции ведения журнала для базы данных почтовых ящиков или при
создании правил для сообщений журнала, отправляемых и принимаемых
указанными получателями, отчеты журнала доставляются в указанный
почтовый ящик журналов. Дополнительные сведения см. в следующих
разделах:
Помимо защиты указанных почтовых ящиков обратите внимание на то, что администратор может использовать правила транспорта для проверки содержимого сообщений, а также доставлять копии сообщения другому получателю, даже в качестве скрытой копии. Разрешения, необходимые для управления правилами транспорта, перечислены в записи «Правила транспорта» раздела Политика обмена сообщениями и соответствие требованиям. Рекомендуется использовать соответствующие элементы управления для отслеживания и контроля процессов создания и изменения правил транспорта, а также регулярно проводить аудит действий с правилами транспорта для всех правил.
Замечания по серверу клиентского доступа
Для доступа к почтовым ящикам в системе Exchange 2010 к серверам клиентского доступа подключаются следующие клиенты:
- клиенты Outlook, использующие интерфейс MAPI;
- клиенты Outlook, использующие Outlook Anywhere;
- веб-браузеры, использующие Outlook Web App;
- мобильные устройства, использующие Exchange ActiveSync;
- клиенты POP3 и IMAP4;
- приложения, использующие веб-службы Exchange (EWS).
По умолчанию безопасность указанных методов клиентского доступа обеспечивается с помощью зашифрованных путей к данным. Кроме того, по умолчанию клиенты Outlook, подключающиеся к серверу клиентского доступа с помощью интерфейса MAPI, используют шифрование RPC. Безопасность доступа через приложения Outlook Web App, Outlook Anywhere и Exchange ActiveSync обеспечивается с помощью протокола SSL.
Для внешнего клиентского доступа необходимо получить и установить сертификаты, подписанные центром сертификации (ЦС), которому доверяет клиент. Дополнительные сведения см. в разделе Управление протоколом SSL на сервере клиентского доступа.
По умолчанию на серверах клиентского доступа Exchange 2010 службы POP3 и IMAP4 отключены. Если они включены, рекомендуется использовать протокол TLS или SSL для обеспечения безопасности взаимодействия. Дополнительные сведения см. в следующих разделах:
- Общие
сведения о протоколах POP3 и IMAP4
- Настройка
протоколов TLS и SSL для доступа к службам POP3 и IMAP4
При публикации серверов клиентского доступа для внешнего использования рекомендуется применять соответствующие брандмауэры и элементы управления доступом. В состав шлюза Microsoft Forefront Threat Management Gateway (TMG) 2010 входят мастеры публикации, позволяющие быстро и безопасно опубликовать серверы клиентского доступа Exchange 2010 для внешнего использования. Дополнительные сведения см. в статье Forefront Threat Management Gateway (TMG) 2010.
Важно! |
---|
Поиск серверов клиентского доступа в сетях периметра не поддерживается. |
На серверах клиентского доступа сервер IIS используется для предоставления доступа по протоколу HTTP к таким службам, как Outlook Web App, Exchange ActiveSync, Outlook Anywhere, автообнаружение, панель управления Exchange (ECP), веб-службы Exchange и автономная адресная книга (OAB). Удаленная среда Remote PowerShell (RPS) также использует сервер IIS. При этом все запросы RPS, в том числе запросы консоли управления Exchange, регистрируются в журналах IIS. Журналы IIS могут увеличиваться в размере и занимать большой объем пространства на диске. Службы IIS, являющиеся компонентом Windows Server, не содержат механизма удаления более старых версий журналов на основе размера каталога, в котором хранятся файлы журналов. Журналы IIS рекомендуется переместить на несистемный том, чтобы рост размера файлов журналов не приводил к переполнению системного тома, что может вызвать простои в работе служб. Следует отслеживать рост размера файлов журналов и реализовать механизм архивации или удаления журналов вручную в соответствии с требованиями организации. Дополнительные сведения см. в статье Настройка ведения журнала в службах IIS 7.
Замечания по транспортным серверам
Система Exchange 2010 предоставляет две роли транспортного сервера, предназначенные для различных целей.
- Пограничный транспортный сервер Роль
пограничного транспортного сервера выполняет транспортный сервер,
не входящий в домен и обычно расположенный в сетях периметра. Он
передает сообщения между организацией Exchange и внешними узлами
SMTP. Несмотря на то что пограничные транспортные серверы
предназначены для сетей периметра, их также можно размещать во
внутренней сети и присоединять к домену Служба каталогов Active
Directory в качестве рядовых серверов.
- Транспортный сервер-концентратор Роль
транспортного сервера-концентратора обеспечивает передачу сообщений
в организации, в том числе сообщений между серверами Exchange,
сообщений от клиентов SMTP, например пользователей, работающих со
службами POP3 и IMAP4, а также от серверов приложений и
устройств.
По умолчанию на сервере Exchange 2010 безопасность SMTP-подключения обеспечивается с помощью протокола TLS.
SMTP-соединение между транспортными серверами-концентраторами Для обеспечения безопасности SMTP-подключений на транспортных серверах-концентраторах в организации Exchange используется протокол TLS. На таких серверах рекомендуется оставить протокол TLS включенным. В системе Exchange 2010 организации, использующие для шифрования по протоколу TLS устройства или оборудование без поддержки Exchange, могут перенести функции шифрования TLS с транспортных серверов-концентраторов на это оборудование. Дополнительные сведения см. в разделе Отключение TLS между сайтами Active Directory для поддержки оптимизации глобальной сети.
SMTP-соединение между транспортными серверами-концентраторами и пограничными транспортными серверами Весь трафик между пограничными транспортными серверами и транспортными серверами-концентраторами проходит проверку подлинности и шифруется. В качестве механизма проверки подлинности и шифрования используется Mutual TLS. Вместо стандарта X.509 для проверки подлинности сертификатов в системе Exchange 2010 используется прямое доверие. Прямое доверие означает, что наличие сертификата в службе каталогов Служба каталогов Active Directory или службах Служба каталогов Active Directory облегченного доступа к каталогам (AD LDS) подтверждает подлинность сертификата. Использование службы Служба каталогов Active Directory считается доверенным механизмом хранения. Когда используется прямое доверие, не имеет значения, применяется ли самозаверяющий сертификат или сертификат, подписанный центром сертификации. При подписке пограничного транспортного сервера на сайт Служба каталогов Active Directory пограничная подписка обеспечивает публикацию сертификата пограничного транспортного сервера в службе Служба каталогов Active Directory. Транспортные серверы-концентраторы считают опубликованный сертификат действительным. Служба Microsoft EdgeSync обновляет службы Active Directory облегченного доступа к каталогам (AD LDS) на пограничных транспортных серверах, содержащих сертификаты транспортных серверов-концентраторов, которые пограничный транспортный сервер считает действительными.
SMTP-соединение между пограничными транспортными серверами и внешними узлами В системе Exchange 2010 безопасность SMTP-соединения между пограничными транспортными серверами и анонимными внешними узлами обеспечивается по умолчанию с помощью гибкого протокола TLS. При этом не требуются дополнительные действия по настройке и сертификат, выданный доверенным центром сертификации. Соединители получения обеспечивают согласование протокола TLS для входящих SMTP-подключений. Соединители отправки также пытаются согласовать протокол TLS для всех исходящих SMTP-подключений. Гибкий протокол TLS не обеспечивает выполнения проверки сертификатов и разрешает использование самозаверяющих сертификатов. Дополнительные сведения см. в разделе Функции TLS и связанные термины в Exchange 2010.
Примечание. |
---|
По умолчанию транспортные серверы-концентраторы не могут взаимодействовать с внешними узлами SMTP, так как на них отсутствуют соединители получения, разрешающие связь анонимных узлов. Транспортные серверы-концентраторы можно настроить для взаимодействия с анонимными узлами. Дополнительные сведения см. в разделе Настройка потока почты Интернета непосредственно через транспортный сервер-концентратор. Использовать данную топологию не рекомендуется, поскольку она увеличивает угрозу безопасности из-за открытого представления в Интернете сервера Exchange 2010 и всех ролей, установленных на этом сервере. Вместо этого рекомендуется развернуть шлюз SMTP на основе сети периметра, например пограничный транспортный сервер. |
SMTP-соединение между пограничными транспортными серверами или транспортными серверами-концентраторами и промежуточными узлами В системе Exchange 2010 можно настроить соединитель отправки, чтобы маршрутизировать почту (в том числе почту Интернета) для удаленных доменов на шлюз SMTP, который обычно располагается в сети периметра. Несмотря на то что можно создать соединитель отправки для маршрутизации электронной почты на промежуточный узел без выполнения проверки подлинности, для таких соединителей рекомендуется использовать соответствующий метод проверки подлинности. Если используется обычная проверка подлинности, ее рекомендуется выполнять по протоколу TLS. Если выбран вариант с внешним обеспечением безопасности, предполагается, что проверка подлинности выполняется с помощью механизмов, не связанных с сервером Exchange, например по протоколу IPsec. При настройке соединителя с адресом промежуточного узла можно использовать его IP-адрес или имя FQDN. Вместо удобного применения имени FQDN рекомендуется использовать IP-адрес промежуточного узла, так как он обеспечивает защиту от подделки DNS-записей.
Использование безопасности домена для SMTP-соединения с партнерами В системе Exchange 2010 можно использовать функцию безопасности домена для защиты путей обмена сообщениями с партнерскими доменами. Для шифрования и проверки подлинности во время одного сеанса функция безопасности домена использует протокол Mutual TLS. Для обеспечения проверки подлинности по протоколу Mutual TLS исходный узел и узел назначения проверяют подключение и сертификат по стандарту X.509. Транспортные серверы, взаимодействующие с партнерскими доменами, настроенными для использования функции безопасности домена, требуют сертификат, подписанный доверенной сторонней организацией или внутренним центром сертификации. Если используется внутренний ЦС, список отзыва сертификатов должен быть опубликован и доступен для партнерского узла. Дополнительные сведения см. в следующих разделах:
- Общие
сведения о безопасности домена
- Технический документ: безопасность домена в системе
Exchange 2007
Система Exchange 2010 использует SMTP-порт (TCP-порт 25) по умолчанию для SMTP-подключения. Программа установки Exchange создает требуемые правила брандмауэра Windows в режиме повышенной безопасности, чтобы разрешить взаимодействие через порты по умолчанию. Если указать другой порт для соединителя, система Exchange не изменяет правила брандмауэра и не создает автоматически новое правило для взаимодействия через нестандартный порт. Чтобы разрешить взаимодействие через нестандартные порты, необходимо вручную изменить конфигурацию брандмауэра. При настройке соединителя получения для нестандартного порта также потребуется настроить для его использования клиенты SMTP, отправляющие сообщения соединителю.
В системе Exchange 2010 роль транспортного сервера-концентратора можно расположить на сервере почтовых ящиков Exchange 2010. В эту категорию относится сервер почтовых ящиков, являющийся членом группы обеспечения доступности баз данных. Чтобы изолировать серверы почтовых ящиков от Интернета, не рекомендуется размещать роль транспортного сервера-концентратора на сервере почтовых ящиков, особенно в топологиях, не содержащих развернутых пограничных транспортных серверов. Роль транспортного сервера-концентратора можно располагать на серверах клиентского доступа. При размещении нескольких ролей на одном сервере необходимо соблюдать инструкции по определению размера для каждой роли сервера.
Если для соединителя отправки на транспортном сервере-концентраторе или пограничном транспортном сервере указывается промежуточный узел, рекомендуется использовать IP-адреса вместо полного доменного имени (FQDN) промежуточного узла, чтобы обеспечить защиту от подделки DNS-записей и спуфинга. Это также минимизирует влияние любых простоев службы DNS в транспортной инфраструктуре. DNS-серверы, используемые в сетях периметра, должны применяться только для разрешения исходящего трафика. DNS-серверы сети периметра могут содержать записи для транспортных серверов-концентраторов. Кроме того, можно использовать файлы узлов на пограничных транспортных серверах, чтобы избежать создания записей для транспортных серверов-концентраторов на DNS-серверах, расположенных в сетях периметра.
Помимо действий, описанных в этом разделе, следует рассмотреть использование достаточных ограничений размера сообщений на соединителях, а также параметры регулирования сообщений на транспортных серверах. Дополнительные сведения см. в следующих разделах:
Замечания по серверу единой системы обмена сообщениями
При планировании развертывания роли сервера единой системы обмена сообщениями необходимо учитывать различные каналы связи, используемые этой системой для взаимодействия со шлюзами IP или IP-УАТС.
По умолчанию при создании абонентской группы единой системы обмена сообщениями взаимодействие будет осуществляться в небезопасном режиме. Кроме того, серверы единой системы обмена сообщениями, связанные с соответствующей абонентской группой, будут отправлять и получать данные со шлюзов IP, IP-УАТС и других компьютеров Exchange 2010 без шифрования. В небезопасном режиме каналы данных протокола RTP и сигнальные данные SIP не шифруются.
Сервер единой системы обмена сообщениями можно настроить на использование протокола Mutual TLS, чтобы шифровать трафик SIP и RTP, передаваемый другим устройствам и серверам и получаемый от них. Когда сервер единой системы обмена сообщениями добавляется в абонентскую группу этой системы и группа настраивается на использование режима с защитой SIP, будет шифроваться только сигнальный трафик SIP, а каналы данных протокола RTP по-прежнему будут использовать протокол TCP. Трафик TCP не шифруется. Однако когда сервер единой системы обмена сообщениями добавляется в абонентскую группу этой системы и группа настраивается на использование безопасного режима, шифруются как сигнальный трафик SIP, так и каналы данных протокола RTP. Защищенный сигнальный канал данных, использующий протокол SRTP, также применяет протокол Mutual TLS для шифрования данных VoIP.
Если используемый шлюз IP или IP-УАТС поддерживает протокол IPsec, можно с его помощью обеспечить безопасность связи между сервером единой системы обмена сообщениями и шлюзом IP или IP-УАТС.
Дополнительные сведения см. в разделе Общие сведения о безопасности VoIP единой системы обмена сообщениями.
Кроме того, единая система обмена сообщениями отправляет текстовые сообщения, например уведомления о пропущенных вызовах, и сообщения голосовой почты на транспортные серверы-концентраторы. По умолчанию такое взаимодействие выполняется по протоколу SMTP с использованием шифрования TLS.
Политику почтовых ящиков единой системы обмена сообщениями можно настроить для доступа без использования ПИН-кода. Это позволяет вызывающей стороне получить доступ к голосовой почте без необходимости ввода ПИН-кода на основе идентификатора вызова CallerID. Спуфинг идентификатора CallerID маловероятен. Не рекомендуется включать доступ без ПИН-кода для голосовой почты. Кроме того, рекомендуется проверить параметры ПИН-кода по умолчанию и настроить их в соответствии с требованиями по безопасности в организации. Для политики почтовых ящиков единой системы обмена сообщениями можно настроить следующие параметры с помощью командлета Set-UMMailboxPolicy.
Параметры управления ПИН-кодами пользователей для доступа к голосовой почте
Параметр | Описание |
---|---|
AllowCommonPatterns |
Параметр AllowCommonPatterns указывает, будут ли разрешены очевидные ПИН-коды. Примерами очевидных ПИН-кодов являются подмножества телефонных номеров либо последовательных или повторяющихся номеров. Если задано значение $false, последовательные и повторяющиеся номера, а также суффикс добавочного номера почтового ящика будут отклоняться. Если задано значение $true, будет отклоняться только суффикс добавочного номера почтового ящика. |
AllowPinlessVoiceMailAccess |
Параметр AllowPinlessVoiceMailAccess указывает, должны ли пользователи, связанные с политикой почтовых ящиков единой системы обмена сообщениями, вводить ПИН-код для доступа к голосовой почте. ПИН-код по-прежнему требуется для доступа к электронной почте и календарю. Значение по умолчанию Отключено
( |
LogonFailusresBeforePINReset |
Параметр LogonFailuresBeforePINReset указывает, сколько неудачных попыток входа в систему подряд допускается сделать перед тем, как ПИН-код почтового ящика будет автоматически сброшен. Чтобы отключить эту функцию, установите для этого параметра неограниченное число попыток (Unlimited). Если для этого параметра не установлено значение Unlimited («Не ограничено»), его значение должно быть меньше значения параметра MaxLogonAttempts. Диапазон значений: от 0 до 999. Значение по умолчанию 5 сбоев. |
MaxLogonAttempts |
Параметр MaxLogonAttempts указывает число последовательных неудачных попыток входа пользователя, прежде чем почтовые ящики единой системы обмена сообщениями будут заблокированы. Диапазон значений: от 1 до 999. Значение по умолчанию 15 попыток. |
MinPINLength |
Параметр MinPINLength указывает минимальное количество цифр ПИН-кода для пользователей с включенной поддержкой единой системы обмена сообщениями. Диапазон значений: от 4 до 24. Значение по умолчанию 6 цифр. |
PINHistoryCount |
Параметр PINHistoryCount указывает количество запоминаемых предыдущих ПИН-кодов, которые запрещено вводить при смене ПИН-кода. В это число входит и первоначально установленное значение ПИН-кода. Диапазон значений: от 1 до 20. Значение по умолчанию 5 ПИН-кодов. |
PINLifetime |
Параметр PINLifetime указывает количество дней, по прошествии которых потребуется указать новый пароль. Диапазон значений: от 1 до 999. Если указать значение Unlimited («Не ограничено»), ПИН-коды пользователей будут бессрочными. Значение по умолчанию 60 дней. |
На сервере Exchange 2010 сообщения голосовой почты можно пометить в качестве защищенных. Сообщения голосовой почты защищаются с помощью функции управления правами на доступ к данным (IRM). Настроить параметры защиты голосовой почты можно с помощью указанного ниже параметра в политике почтовых ящиков единой системы обмена сообщениями. Дополнительные сведения см. в следующих разделах:
Параметры защищенной голосовой почты
Параметр | Описание |
---|---|
ProtectAuthenticatedVoicemail |
Параметр ProtectAuthenticatedVoiceMail указывает, будут ли серверы единой системы обмена сообщениями, которые отвечают на вызовы голосового доступа к Outlook для пользователей, связанных с политикой почтовых ящиков единой системы обмена сообщениями, создавать защищенные сообщения голосовой почты. Если для этого параметра указано значение Private («Личное»), защищены будут только сообщения, помеченные как личные. Если параметр имеет значение All («Все»), будут защищены все сообщения голосовой почты. Значение по умолчанию Отсутствует (защита для сообщений голосовой почты отключена) |
ProtectUnauthenticatedVoiceMail |
Параметр ProtectUnauthenticatedVoiceMail указывает, будут ли серверы единой системы обмена сообщениями, которые отвечают на вызовы для пользователей, связанных с политикой почтовых ящиков единой системы обмена сообщениями, создавать защищенные сообщения голосовой почты. Он также применяется при отправке сообщения от автосекретаря единой системы обмена сообщениями для пользователя, связанного с политикой почтовых ящиков этой системы. Если для этого параметра указано значение Private («Личное»), защищены будут только сообщения, помеченные как личные. Если параметр имеет значение All («Все»), будут защищены все сообщения голосовой почты. Значение по умолчанию Отсутствует (защита для сообщений голосовой почты отключена) |
RequireProtectedPlayOnPhone |
Параметр RequireProtectedPlayOnPhone указывает, могут ли пользователи, связанные с политикой почтовых ящиков единой системы обмена сообщениями, воспроизводить защищенные сообщения голосовой почты только с помощью функции воспроизведения на телефоне или также с помощью другого мультимедийного ПО. Значение по
умолчанию |
Важно! |
---|
Чтобы серверы единой системы обмена сообщениями продолжали отвечать на вызовы, необходимо предоставить им доступ к службе каталогов Служба каталогов Active Directory. Для этого рекомендуется отслеживать доступность службы Служба каталогов Active Directory. |
Приложение 1: дополнительная документация по безопасности
Этот раздел содержит ссылки на дополнительную документацию по безопасности Exchange.
Функции защиты от нежелательной почты и вирусов
Сертификаты
- Общие
сведения о сертификатах TLS
- Управление
сертификатами TLS
- Управление
протоколом SSL на сервере клиентского доступа
- Настройка
SSL для Exchange ActiveSync
- Настройка
SSL для мобильного Outlook
- Настройка
протоколов TLS и SSL для доступа к службам POP3 и IMAP4
- Настройка
виртуальных каталогов Outlook Web App для использования протокола
SSL
- Создание
нового сертификата Exchange
- Импорт
сертификата Exchange
- Просмотр
свойств сертификатов Exchange
- Назначение
служб сертификату
Проверка подлинности и безопасность клиентов
Outlook Web App
- Управление
безопасностью Outlook Web App
- Настройка
виртуальных каталогов Outlook Web App для использования протокола
SSL
- Настройка
проверки подлинности на основе форм для Outlook Web App
- Настройка
стандартных методов проверки подлинности для Outlook Web
App
- Настройка
Outlook Web App для использования со службами федерации Active
Directory
- Outlook Web
App и S/MIME
Outlook Anywhere
POP3 и IMAP
Разрешения
- Справочник
по разрешениям развертывания Exchange 2010
- Общие
сведения об управлении доступом на основе ролей
- Общие
сведения о разделенных разрешениях
- Общие
сведения о совместимости разрешений с Exchange 2003
- Общие
сведения о сосуществовании разрешений в Exchange 2007
- Общие
сведения о разрешениях при использовании нескольких лесов
- Разрешения
на функции
- Управление
администраторами и специалистами
- Управление
конечными пользователями
- Роли
управления и записи ролей
- Области
применения ролей управления
- Назначения
ролей управления
- Управление
разделенными разрешениями
- Разрешения
на управление серверами почтовых ящиков
- Обеспечение
безопасности серверов единой системы обмена сообщениями
Обеспечение защиты потока обработки почты
Политика обмена сообщениями и соответствие требованиям
- Общие
сведения об управлении правами на доступ к данным
- Общие
сведения о ведении журнала
- Защита
отчетов журнала
- Общие
сведения об управлении записями обмена сообщениями
- Общие
сведения о тегах и политиках хранения
- Общие
сведения о поиске по нескольким почтовым ящикам
- Общие
сведения о ведении журнала аудита почтовых ящиков
- Управление
ведением журнала аудита почтовых ящиков