В этом разделе описывается, как в Microsoft Exchange Server 2007 с помощью мастера настройки безопасности создать новую политику настройки безопасности для компьютера, на котором установлена роль сервера Exchange. Мастер настройки безопасности — это инструмент, введенный в пакете обновления Microsoft Windows Server 2003 SP 1. Мастер настройки безопасности SCW автоматизирует использование рекомендаций по настройке безопасности, чтобы уменьшить возможности атаки для сервера.

Данная процедура используется для создания специализированной политики безопасности для своей конкретной среды. После создания специализированной политики эта политика используется для применения одного и того же уровня безопасности ко всем серверам Exchange 2007, выполняющим одну и ту же роль сервера или одинаковые роли серверов в организации.

Прежде чем приступить к работе

Перед началом работы необходимо выполнить следующие действия:

Установите роль сервера Exchange. Для получения дополнительных сведений см. раздел Развертывание ролей сервера.
Установите мастер настройки безопасности. Для получения дополнительных сведений см. раздел Инструкции по установке мастера настройки безопасности.
Зарегистрируйте расширение мастера настройки безопасности для роли сервера Exchange. Дополнительные сведения см. в разделе Инструкции по регистрирации расширений мастера настройки безопасности для роли сервера Exchange.
Определите требования безопасности, уникальные для своей среды. Дополнительные сведения см. в разделе Инструкции по использованию мастера настройки безопасности для обеспечения безопасности Windows для ролей сервера Exchange.

Для выполнения описанных ниже действий используемой учетной записи необходимо делегировать следующее:

роль администратора сервера Exchange и членство в локальной группе администраторов на целевом сервере.

Чтобы выполнить следующую процедуру на компьютере, на котором установлена роль пограничного транспортного сервера, необходимо войти в систему с учетной записью, входящей в локальную группу администраторов этого компьютера.

Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования сервера Microsoft Exchange Server 2007, см. в разделе Вопросы, связанные с разрешениями.

Примечание.
В описании некоторых шагов следующей процедуры не предоставляются конкретные сведения о конфигурации для всех страниц мастера настройки безопасности. В этих случаях корпорация Майкрософт рекомендует оставить настройки по умолчанию, если нет уверенности, какие службы или функции должны включаться. Как и для всего содержимого файла справки Exchange 2007, самые последние сведения об использовании мастера настройки безопасности с Exchange 2007 можно найти в центре технической поддержки Exchange Server TechCenter.

Примечание.

В описании некоторых шагов следующей процедуры не предоставляются конкретные сведения о конфигурации для всех страниц мастера настройки безопасности. В этих случаях корпорация Майкрософт рекомендует оставить настройки по умолчанию, если нет уверенности, какие службы или функции должны включаться. Как и для всего содержимого файла справки Exchange 2007, самые последние сведения об использовании мастера настройки безопасности с Exchange 2007 можно найти в центре технической поддержки Exchange Server TechCenter.

Процедура

Использование мастера настройки безопасности для создания специализированной политики безопасности

Чтобы запустить этот мастер, щелкните Пуск, выберите Все программы, укажите Администрирование, а затем щелкните Мастер настройки безопасности. На экране приветствия нажмите кнопку Далее.
На странице Действие конфигурации выберите Создать новую политику безопасности, а затем нажмите кнопку Далее.
На странице Выберите серверы убедитесь, что в поле Сервер (используйте DNS-имя, NetBIOS-имя или IP-адрес): . Нажмите кнопку Далее.
На странице Обработка базы данных конфигурации безопасности дождитесь заполнения индикатора выполнения, а затем нажмите кнопку Далее.
На странице Конфигурация службы, основанная на ролях нажмите кнопку Далее.
На странице Выбрать роли серверов выберите роли Exchange 2007, установленные на компьютере, а затем нажмите кнопку Далее.
На странице Выбрать клиентские функции выберите все клиентские функции, необходимые для данного сервера Exchange, а затем нажмите кнопку Далее.
На странице Выбрать администрирование и другие возможности выберите все функции администрирования, необходимые на данном сервере Exchange, а затем нажмите кнопку Далее.
На странице Выбрать дополнительные службы выберите все службы, необходимые для включения сервера Exchange, а затем нажмите кнопку Далее.
На странице Обработка неуказанных служб выберите действие, выполняемое при обнаружении службы, не установленной в данный момент на локальном сервере. Можно выбрать либо отсутствие каких-либо действий, выбрав Не изменять режим запуска службы, либо автоматическое отключение службы, выбрав Отключить службу. Нажмите кнопку Далее.
На странице Подтвердить изменения службы просмотрите изменения, вносимые этой политикой в текущую конфигурацию службы. Нажмите кнопку Далее.
На странице Сетевая безопасность убедитесь, что флажок Пропустить этот раздел не установлен, а затем нажмите кнопку Далее.
Если мастер настройки безопасности выполняется на пограничном транспортном сервере, тогда на странице Открыть порты и утвердить приложения необходимо добавить два порта для связи LDAP с ADAM (Active Directory Application Mode).
1. Нажмите кнопку Добавить. На странице Добавить порт или приложение, в поле Номер порта: , введите 50389. Установите флажок TCP и нажмите кнопку OK.
2. Нажмите кнопку Добавить. На странице Добавить порт или приложение, в поле Номер порта: , введите 50636. Установите флажок TCP и нажмите кнопку OK.
(Только для пограничного транспортного сервера) На странице Открыть порты и утвердить приложения необходимо настроить порты для каждой сетевой платы.
1. Выберите Порт 25 и нажмите кнопку Дополнительно. На странице Ограничения портов щелкните вкладку Ограничения локального интерфейса. Выберите Для следующих локальных интерфейсов:, установите флажки для внешней и внутренней сетевых плат и нажмите кнопку OK.
2. Выберите Порт 50389 и нажмите кнопку Дополнительно. На странице Ограничения портов щелкните вкладку Ограничения локального интерфейса. Выберите Для следующих локальных интерфейсов:, установите флажок только для внутренней сетевой платы и нажмите кнопку OK.
3. Выберите Порт 50636 и нажмите кнопку Дополнительно. На странице Ограничения портов щелкните вкладку Ограничения локального интерфейса. Выберите Для следующих локальных интерфейсов:, установите флажок только для внутренней сетевой платы и нажмите кнопку OK.
Примечание.

Можно также настроить для каждого порта ограничения удаленных адресов.
На странице Открыть порты и утвердить приложения нажмите кнопку Далее.
На странице Подтвердить конфигурацию портов убедитесь, что настройка входящих портов выполнена правильно, а затем нажмите кнопку Далее.
На странице Параметры реестра установите флажок Пропустить этот раздел, а затем нажмите кнопку Далее.
На странице Политика аудита установите флажок Пропустить этот раздел, а затем нажмите кнопку Далее.
На странице Службы IIS установите флажок Пропустить этот раздел, а затем нажмите кнопку Далее.
На странице Сохранить политику безопасности нажмите кнопку Далее.
На странице Имя файла политики безопасности введите имя файла для политики безопасности и необязательное описание. Нажмите кнопку Далее. Если после применения политики потребуется перезагрузить сервер, появится диалоговое окно. Чтобы закрыть диалоговое окно, нажмите кнопку ОК.
На странице Применить политику безопасности выберите Применить после или Применить сейчас, а затем нажмите кнопку Далее.
На странице Завершение мастера настройки безопасности нажмите кнопку Готово.

Примечание.
Можно также настроить для каждого порта ограничения удаленных адресов.

Дополнительные сведения

Для получения дополнительных сведений см. следующие разделы: