Мастер настройки безопасности — это средство, появившееся в сервере Microsoft Windows Server 2003 с пакетом обновления 1. Используя мастер настройки безопасности, можно свести к минимуму подверженную атакам область серверов, отключив функции Windows, которые не являются необходимыми для ролей сервера Microsoft Exchange Server 2007. Мастер настройки безопасности автоматизирует рекомендации по безопасности, чтобы уменьшить область сервера, подверженную возможным атакам. Мастер настройки безопасности использует модель на основе ролей для запроса служб, необходимых для приложений на сервере. Это средство позволяет снизить восприимчивость систем Windows к использованию уязвимостей системы безопасности.

Использование мастера настройки безопасности

Сервер Exchange 2007 предоставляет шаблон мастера настройки безопасности для каждой роли сервера Exchange 2007. Используя этот шаблон с мастером настройки безопасности, можно настроить операционную систему Windows для блокировки служб и портов, которые не нужны для каждой роли сервера Exchange. При запуске мастера настройки безопасности создается пользовательская политика безопасности для среды. Можно применять настраиваемую политику ко всем серверам Exchange в вашей организации. Можно настроить следующие функции при помощи мастера настройки безопасности:

  • Роль сервера. Мастер настройки безопасности использует сведения о роли сервера, чтобы включить службы и открыть порты в локальном брандмауэре.

  • Возможности клиента. Серверы также действуют как клиенты по отношению к другим серверам. Выберите только те возможности клиента, которые необходимы для вашей среды.

  • Параметры администрирования. Выберите параметры, которые необходимы для вашей среды, например резервное копирование и отчеты об ошибках.

  • Службы. Выберите службы, необходимые для сервера, и задайте режим запуска, не указанный политикой. Не указанные службы не устанавливаются на выбранный сервер и не входят в базу данных настройки безопасности. Настраиваемая политика безопасности должна применяться к серверам, на которых запущены службы, отличные от тех, что запущены на сервере, на котором создана политика. Можно выбрать параметр политики, определяющий действие, которое необходимо выполнить в случае, если найдена неуказанная служба, к которой применяется эта политика. В качестве такого действия может быть указано не изменять режим запуска службы или отключать службу.

  • Безопасность сети. Выберите, какие порты необходимо открыть для каждого сетевого интерфейса. Доступ к портам может быть ограничен на основе интерфейса локальной сети или удаленных IP-адресов и подсетей.

  • Параметры реестра. Используйте параметры реестра для настройки протоколов, используемых для связи с другими компьютерами.

  • Политика аудита. Политика аудита определяет, какие события (успехи и отказы) заносятся в журнал, а также для каких объектов системы проводится аудит.

Для получения дополнительных сведений о мастере настройки безопасности см. файл справки мастера настройки безопасности или статью Windows Server 2003 Security Configuration Wizard (Мастер настройки безопасности для Windows Server 2003) на веб-узле.

Дополнительные сведения о службах и портах, которые включаются файлами регистрации мастера настройки безопасности Exchange 2007, см. в разделе Службы и порты исполняемых файлов, включаемые регистрационными файлами мастера настройки безопасности Exchange Server 2007.

Использование шаблона мастера настройки безопасности Exchange Server 2007

После установки роли сервера Exchange выполните эти шаги, чтобы настроить политику безопасности с помощью мастера настройки безопасности:

  1. Установите мастер настройки безопасности. Подробное описание выполняемых шагов см. в разделе Инструкции по установке мастера настройки безопасности.

  2. Зарегистрируйте расширение мастера настройки безопасности. Подробное описание выполняемых шагов см. в разделе Инструкции по регистрирации расширений мастера настройки безопасности для роли сервера Exchange.

  3. Создайте настроенную политику безопасности и примените политику к локальному серверу. Подробное описание выполняемых шагов см. в разделе Инструкции по созданию новой политики мастера настройки безопасности роли сервера Exchange.

  4. Если в организации данная роль выполняется более чем на одном сервере Exchange, можно применить настраиваемую политику безопасности к каждому серверу Exchange. Подробное описание выполняемых шагов см. в разделе Инструкции по применению существующей политики мастера настройки безопасности к роли сервера Exchange.