Раньше для каждой версии Microsoft Exchange Server команда разработчиков Exchange публиковала отдельные руководства по усилению безопасности со сведениями о разрешениях и безопасности. Этот подход годился для блокировки служб и каталогов после завершения программы установки Exchange. Однако в Microsoft Exchange Server 2007 с установкой на основе ролей серверов Microsoft Exchange включает только те службы, которые требуются для устанавливаемой роли сервера. Больше не производится установка Microsoft Exchange с последующим усилением безопасности. Он разработан для безопасности по умолчанию.

Поэтому, в отличие от предыдущих версий Exchange Server, где администраторам ИТ приходилось выполнять много действий для защиты серверов Exchange Server, Exchange 2007 не требует блокировки или усиления безопасности.

Какие темы рассмотрены в данном руководстве?

Это руководство написано для администраторов ИТ, ответственных за обеспечение безопасности при развертывании Exchange 2007. Оно разработано с целью помочь администраторам ИТ ознакомиться со всей средой безопасности, где установлен сервер Exchange, и управлять ей. В этом руководстве содержатся следующие сведения:

Жизненный цикл разработки безопасности Exchange 2007

В начале 2002 Microsoft представила инициативу доверенных вычислений . С момента введения доверенных вычислений процесс разработки в Microsoft и в команде разработчиков Exchange Server ориентирован на разработку безопасного по умолчанию ПО. Дополнительные сведения приведены в документе доверенные вычисления (на английском языке).

В Exchange 2007 концепция доверенных вычислений реализована в следующих четырех основных областях:

  • Спроектирован как безопасный   Exchange 2007 был спроектирован и разработан в соответствии с жизненным циклом разработки безопасности доверенных вычислительных систем . Первым шагом в создании более безопасной системы обмена сообщениями была разработка моделей угроз и проверка каждой возможности по мере проектирования. Много улучшений, связанных с безопасностью, было включено в технологический процесс разработки исходного кода. Переполнение буферов и прочие возможные угрозы безопасности отслеживаются средствами времени сборки, прежде чем исходный код переносится в конечный продукт. Конечно, невозможно спроектировать защиту от всех неизвестных угроз безопасности. Ни одна система не может гарантировать полную безопасность. Однако благодаря соблюдению принципов безопасного проектирования во всем процессе разработки Exchange 2007 более безопасен, чем предыдущие версии.

  • Безопасный по умолчанию   Одной из целей Exchange 2007 была разработка системы, в которой большая часть сетевого обмена шифруется по умолчанию. За исключением кластерных связей по протоколу SMB и части связей единой системы обмена сообщениями, эта цель была достигнута. Практически все данные Exchange 2007 защищены во время передачи по сети с использованием самоподписанных сертификатов, протоколов Kerberos и SSL и других общепринятых отраслевых приемов шифрования. В дополнение, установка, основанная на ролях, позволяет установить Exchange 2007 таким образом, что только службы и разрешения, связанные с этими службами, устанавливаются для конкретной подходящей роли. В предыдущих версиях Exchange Server необходимо было устанавливать все службы для полной функциональности.

    Примечание.
    Для шифрования связей по протоколу SMB и единой системы обмена сообщениями необходимо развернуть протокол IPsec. В будущих выпусках этого руководства, возможно, будут сведения о шифровании связей по протоколу SMB и единой системы обмена сообщениями.
  • Защита от нежелательной почты и вирусов   В состав Exchange 2007 входит комплект агентов защиты от нежелательной почты, работающих в пограничной сети. Защита от вирусов значительно улучшена добавлением Microsoft Forefront Security для Exchange Server как решения Microsoft.

  • Безопасное развертывание   По мере разработки Exchange 2007 предварительная версия была развернута в рабочей среде ИТ компании Microsoft. На основе данных этого развертывания анализатор соответствия рекомендациям Microsoft Exchange обновлен для анализа реальных настроек безопасности, а рекомендации по процедурам до и после развертывания были включены в справочную систему Exchange 2007.

    Раньше документация по управлению разрешениями создавалась и поставлялась после завершения разработки основной документации. Однако известно, что управление разрешениями не является дополнительным процессом. Оно должно быть встроено во все этапы планирования и развертывания Exchange 2007. Поэтому документация по разрешениям была упрощена и встроена в основную документацию, чтобы предоставить администраторам однородный контекст для планирования и развертывания своей административной модели.

  • Связь   Теперь, когда Exchange 2007 уже выпущен, команда разработчиков Exchange ориентирована на поддержание актуальности ПО и своевременное информирование пользователей. Поддерживая актуальность системы при помощи Microsoft Update, вы можете быть уверены, что в вашей организации установлены новейшие обновления безопасности. Exchange 2007 включает также обновления средств защиты от нежелательной почты. Кроме того, подписавшись на Объявления технической безопасности Microsoft, вы будете в курсе последних новостей о безопасности Exchange 2007.

Какие темы рассмотрены в данном руководстве?

Рекомендации

Давайте рассмотрим некоторые основные рекомендации, которые помогут вам создать и поддерживать более безопасную среду. В целом, просто поддержание актуальности ПО и антивирусных баз данных и периодический запуск анализирующих средств являются наиболее эффективными способами оптимизации среды Exchange 2007 с точки зрения безопасности.

В этом разделе приведены некоторые рекомендации по обеспечению и поддержанию безопасности среды Exchange 2007.

Обеспечиваем безопасность

Для создания безопасной среды в Microsoft предоставлены следующие средства. Перед установкой Exchange 2007 запустите следующие средства:

  • Microsoft Update

  • Анализатор соответствия рекомендациям для Exchange.

  • Анализатор безопасности Microsoft Baseline Security Analyzer.

  • Средство защиты службы IIS и средство URLScan (только для сред, где Windows Server 2003 установлен как обновление Windows 2000 Server).

  • Шаблоны Exchange для мастера настройки безопасности.

Служба Microsoft Update

Microsoft Update - новая служба, которая предлагает загрузку тех же обновлений, что и Windows Update, а также последние обновления для других продуктов Microsoft. Она может поддерживать ваш компьютер максимально защищенным и работающим наилучшим образом.

Ключевой возможностью Microsoft Update является автоматическое обновление Windows. Это дает возможность автоматической установки наиболее важных обновлений, которые необходимы для безопасности и надежности вашего компьютера. Без этих обновлений безопасности ваш компьютер значительно более уязвим к атакам взломщиков и вредоносным программам.

Наиболее надежным способом получения Microsoft Update является автоматическая доставка обновлений на ваш компьютер с использованием автоматического обновления Windows. Включить автоматическое обновление можно при подписке на Microsoft Update.

При этом Windows проанализирует установленное на вашем компьютере программное обеспечение Microsoft на необходимость установки текущих и пропущенных наиболее важных обновлений, а затем загрузит и автоматически установит их. После этого при каждом подключении к Интернету Windows повторяет процедуру обновления для поиска любых новых обновлений.

Примечание.
Если вы уже пользуетесь автоматическим обновлением, Microsoft Update будет продолжать использовать его в том режиме, который у вас настроен.

Для включения Microsoft Update посетите Центр обновления Майкрософт.

Режим Microsoft Update по умолчанию требует, чтобы для получения автоматических обновлений каждый сервер Exchange был подключен к Интернету. Если ваши сервера не подключены к Интернету, то можно установить службы обновления серверов Windows (WSUS) для управления распространением обновлений в вашей организации. После этого можно настроить Microsoft Update на внутренних серверах Exchange Server на получение обновлений с сервера WSUS. Дополнительные сведения приведены в документе Microsoft Windows Server Update Services 3.0 (на английском языке).

WSUS не является единственным доступным решением по управлению Microsoft Update. Дополнительные сведения о том, какое решение по управлению Microsoft Update наилучшим образом отвечает вашим нуждам, приведены в документе MBSA, MU, WSUS, Essentials 2007 или SMS 2003? (на английском языке).

Обновления защиты от нежелательной почты

Exchange 2007 использует инфраструктуру Microsoft Update для поддержания актуальности фильтров нежелательной почты. По умолчанию, администратору необходимо вручную посетить веб-узел Microsoft Update, чтобы загрузить и установить обновления фильтров содержимого. Обновленные данные обновления фильтра содержимого можно загружать каждые две недели.

Обновления Microsoft Update, загруженные вручную, не содержат данных службы репутации IP-адресов Microsoft и сигнатур нежелательной почты. Данные службы репутации IP-адресов Microsoft и сигнатуры нежелательной почты доступны только при пользовании автоматическим обновлением средств защиты от нежелательной почты решения Forefront Security для Exchange Server.

Примечание.
Автоматическое обновление средств защиты от нежелательной почты решения Forefront Security является расширенной функцией, для работы которой необходимо наличие корпоративной лицензии клиентского доступа (CAL) Exchange для каждого почтового ящика пользователя или лицензии на решение Forefront Security для Exchange Server.

Дополнительные сведения о настройке автоматического обновления средств защиты от нежелательной почты решения Forefront Security приведены в разделе Обновления защиты от нежелательной почты.

Анализатор соответствия рекомендациям для Microsoft Exchange

Анализатор соответствия рекомендациям для Exchange является одним из наиболее эффективных средств, которое можно регулярно использовать для проверки безопасности среды Exchange. Анализатор соответствия рекомендациям для Exchange автоматически проверяет развертывание Microsoft Exchange и определяет соответствие настройки рекомендациям Microsoft. Анализатор соответствия рекомендациям для Exchange можно установить на клиентский компьютер, на котором установлена платформа Microsoft .NET Framework версии 1.1. При наличии соответствующего доступа к сети анализатор соответствия рекомендациям для Exchange производит анализ службы каталога Active Directory и серверов Exchange.

Дополнительные сведения, включая рекомендации, приведены в разделе «Применение анализатора соответствия рекомендациям для Exchange» далее в этом руководстве, а также в документе Анализатор соответствия рекомендациям для Microsoft Exchange версии 2.8.

Анализатор безопасности Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) является средством, разработанным для специалистов по ИТ с целью помочь организациям малого и среднего бизнеса определить соответствие безопасности рекомендациям по безопасности Microsoft. Улучшите ваш процесс управления безопасностью, используя MBSA для отслеживания часто встречающихся ошибок в настройках безопасности и отсутствующих обновлений безопасности на ваших компьютерных системах.

Для загрузки средства MBSA воспользуйтесь ссылкой Microsoft Baseline Security Analyzer.

Средство защиты IIS и URLScan

По умолчанию, параметры настройки служб IIS версии 6.0 и 7.0, которые устанавливаются в составе Windows Server и Windows Server 2008 соответственно, схожи с теми, которые устанавливает средство защиты IIS. Поэтому нет необходимости запускать средство защиты IIS для веб-серверов, где установлены службы IIS версии 6.0 или 7.0. Однако если вы обновляете более раннюю версию служб IIS до версии 6.0 или 7.0, то рекомендуется запустить средство защиты IIS для повышения безопасности вашего веб-сервера.

Также не рекомендуется запускать средство URLScan для служб IIS версии 6.0 и 7.0, поскольку риск неправильной настройки в этом случае больше, чем приносимая средством польза.

Дополнительные сведения приведены в документе Как пользоваться IISLockdown.exe (на английском языке).

Шаблоны Exchange 2007 для мастера настройки безопасности

Мастер настройки безопасности — это средство, появившееся в Windows Server 2003 с пакетом обновления 1. Используя мастер настройки безопасности, можно свести к минимуму подверженную атакам область для серверов, отключив функции Windows, которые не являются необходимыми для ролей сервера Exchange 2007. Мастер настройки безопасности автоматизирует рекомендации по безопасности, чтобы уменьшить область сервера, подверженную возможным атакам. Мастер настройки безопасности использует модель на основе ролей для запроса служб, необходимых для приложений на сервере. Это средство позволяет снизить восприимчивость сред Windows к использованию уязвимостей безопасности.

Дополнительные сведения о создании шаблонов Exchange 2007 для мастера настройки безопасности приведены в разделе «Использование мастера настройки безопасности при защите Windows с серверными ролями Exchange» далее в этом руководстве.

Остаемся защищенными

В этом разделе предлагаются рекомендации по поддержанию безопасности среды Exchange 2007.

Запуск анализатора соответствия рекомендациям для Exchange

Анализатор соответствия рекомендациям для Exchange является одним из наиболее эффективных средств, которое можно регулярно использовать для проверки безопасности среды Exchange.

Для большинства сред рекомендуется запускать анализатор соответствия рекомендациям для Exchange по меньшей мере раз в квартал. Тем не менее, лучше запускать его раз в месяц на всех серверах, где используется Exchange Server.

Кроме того, следует запускать анализатор соответствия рекомендациям для Exchange в следующих ситуациях:

  • При значительных изменениях настроек на сервере Exchange. Например, следует запустить его после добавления или удаления соединителей или создания подключения EdgeSync к пограничному транспортному серверу.

  • Сразу после установки новой или удаления существующей серверной роли Exchange.

  • После установки пакета обновления Windows или пакета обновления Exchange Server.

  • После установки программного обеспечения сторонних производителей на компьютер, где используется Microsoft Exchange.

Запуск антивирусного программного обеспечения

Вирусы, черви и прочее вредоносное содержимое, передаваемые по системам электронной почты, представляют собой реальную опасность, с которой приходится сталкиваться большинству администраторов серверов Microsoft Exchange. Поэтому необходимо разработать и развернуть действенную систему защиты от вирусов для всех систем обмена сообщениями. В этом разделе приведены рекомендации по развертыванию антивирусного программного обеспечения для Exchange 2007 и Microsoft Office Outlook 2007.

При выборе поставщика антивирусного программного обеспечения следует учитывать следующие основные изменения в сервере Exchange 2007:

  • Сервер Exchange 2007 основан на 64-разрядной архитектуре.

  • В сервере Exchange 2007 реализованы новые функции агентов транспорта (описанные более подробно далее в этом разделе).

Принимая во внимание данные изменения, производители должны представить антивирусное программное обеспечение, разработанное специально для сервера Exchange 2007. Антивирусное программное обеспечение, предназначенное для более ранних версий Exchange Server, вряд ли будет работать правильно с Exchange 2007.

Для использования подхода глубокой защиты рекомендуется развертывать антивирусное программное обеспечение, разработанное для систем обмена сообщениями, либо на шлюзе SMTP, либо на серверах Exchange, где хранятся почтовые ящики, в дополнение к антивирусному ПО на рабочих местах.

Решение о том, какой тип антивирусного ПО использовать и где его развертывать, принимается путем поиска компромисса между возможными затратами и предполагаемыми рисками. Например, некоторые организации эксплуатируют антивирусное ПО для сообщений на шлюзе SMTP, поиск вирусов на уровне файлов на сервере Exchange и клиентское антивирусное ПО на рабочих местах. Такой подход предоставляет защиту специально для обмена сообщениями на шлюзе, общую защиту файлового уровня на почтовом сервере и защиту на клиенте. Другие организации могут позволить себе более высокие затраты и улучшить безопасность, применяя антивирусное программное обеспечение для обмена сообщениями на шлюзе SMTP, защиту на уровне файлов на сервере Exchange и клиентское антивирусное ПО на рабочих местах совместно с антивирусным ПО, которое совместимо с интерфейсом прикладного программирования для проверки на вирусы (VSAPI) вресии 2.5 для Exchange на сервере почтовых ящиков Exchange.

Антивирусное программное обеспечение на пограничном транспортном сервере и на транспортном сервере-концентраторе

Наиболее важным фактором является использование антивирусного программного обеспечения на первой линии защиты организации. В сервере Exchange 2007 роль первой линии защиты выполняет пограничный транспортный сервер на периметре сети.

Для создания более эффективной защиты от массового распространения вирусов внутри организации или для создания второй линии защиты рекомендуется установка на транспортном сервере-концентраторе антивирусного программного обеспечения для защиты на уровне транспорта.

В Exchange 2007 агенты действуют по отношению к событиям транспорта почти таким же образом, как и приемники событий в более ранних версиях Microsoft Exchange. Сторонние разработчики могут создавать специальные агенты, пользуясь преимуществами базового механизма анализа MIME Exchange для выполнения тщательного поиска вирусов на уровне транспорта.

Многие сторонние производители программного обеспечения предлагают агенты, предназначенные для сервера Exchange 2007, использующие преимущества механизма анализа MIME на транспортном уровне сервера Exchange. Для получения дополнительных сведений свяжитесь со своим поставщиком антивирусного программного обеспечения.

Кроме того, в состав решения Microsoft Forefront Security для Exchange Server входит антивирусный агент транспорта для сервера Exchange 2007. Дополнительные сведения об установке и настройке антивирусного агента решения Forefront Security для сервера Exchange Server приведены в документе Руководство пользователя решения Microsoft Forefront Security для Exchange Server (на английском языке).

Примечание.
Объекты, не передаваемые через транспорт, такие как содержимое общих папок, отправленные сообщения и элементы календаря, которые можно анализировать только на сервере почтовых ящиков, не защищены проверкой на вирусы на транспортном уровне.
Антивирусное программное обеспечение на других компьютерах в организации

Можно использовать антивирусное программное обеспечение для защиты на уровне файлов на компьютерах следующих двух классов:

  • пользовательские настольные компьютеры;

  • серверы.

В дополнение к защите на уровне файлов стоит использовать решение на основе интерфейса Microsoft VSAPI на сервере почтовых ящиков Exchange.

Проверка настольных компьютеров на вирусы

Настоятельно рекомендуется, чтобы пользователи использовали последнюю версию Outlook. При использовании на персональном компьютере устаревшего почтового клиента существует серьезная опасность заражения вирусом, что связано с объектной моделью и методами обработки вложений, реализованными в устаревших почтовых клиентах. Поэтому по умолчанию Microsoft Office Outlook 2003 и Office Outlook 2007 являются единственными клиентами MAPI, от которых сервер Exchange 2007 принимает подключения. Дополнительные сведения о рисках, связанных с использованием более старых версий почтовых клиентов, приведены в статье Настройка безопасности в Outlook (на английском языке).

После перехода на Outlook 2003 или Outlook 2007 проверьте наличие установленного антивирусного программного обеспечения на всех настольных компьютерах. Кроме этого, выполните следующие действия.

  • Разработайте план, гарантирующий автоматическое обновление файлов антивирусных сигнатур на всех настольных компьютерах.

  • Убедитесь в том, что в организации разработана и используется всеобъемлющая система управления обновлениями для борьбы с вирусами.

Антивирусное программное обеспечение на сервере

Общая политика требует установки антивирусного программного обеспечения для защиты на уровне файлов на всех настольных компьютерах и серверах корпорации. Поэтому на всех серверах Exchange Server должно быть установлено антивирусное программное обеспечение для защиты на уровне файлов. Для каждой серверной роли необходимо дополнительно настроить проверку на вирусы на уровне файлов, чтобы запретить проверку определенных каталогов, типов файлов и процессов. Например, рекомендуется никогда не использовать антивирусное программное обеспечение для защиты на уровне файлов для проверки баз данных хранилищ Exchange. Конкретные сведения по настройке приведены в разделе Поиск вирусов на файловом уровне в Exchange Server 2007.

Проверка базы данных почтовых ящиков на вирусы с помощью VSAPI

Для многих организаций решение по проверке на вирусы с помощью решения на основе интерфейса Microsoft VSAPI может оказаться важным уровнем защиты. Вам стоит подумать об использовании антивирусного решения на основе VSAPI, когда верно одно из следующих условий:

  • На настольных компьютерах организации не установлено полнофункциональное и надежное антивирусное программное обеспечение.

  • Организации требуется дополнительная защита, которую позволяет обеспечить проверка хранилищ.

  • В вашей организации разработаны пользовательские приложения, использующие программный доступ к базе данных Exchange.

  • Пользователи в вашей организации регулярно помещают сообщения в общих папках.

Антивирусные решения, использующие Exchange VSAPI, выполняются напрямую в процессе хранилища информации Exchange. Решения на основе VSAPI, вероятнее всего, являются единственными, обеспечивающими защиту от направлений атаки, помещающих зараженное содержимое внутрь хранилища информации Exchange, минуя стандартные проверки на вирусы на транспортном уровне и на клиенте. Например, только решение на основе VSAPI может проверить на вирусы данные, помещаемые в базу данных объектами данных совместной работы (CDO), WebDAV и веб-службами Exchange.

К тому же, когда происходит массовое распространение вирусов, зачастую антивирусное решение на основе VSAPI предоставляет самый быстрый способ удаления вирусов из зараженного почтового хранилища.

Более конкретные сведения о использовании решения Forefront Security для Exchange Server, включающего механизм проверки на основе VSAPI, приведены в документе Руководство пользователя решения Microsoft Forefront Security для Exchange Server (на английском языке).

Использование размещенных служб Exchange

Фильтрация вирусов и нежелательной почты может быть полностью или частично реализована в виде размещенной службы Microsoft Exchange. Набор размещенных служб Exchange состоит из четырех разных размещенных служб:

  • Размещенная служба фильтрации помогает организациям защититься от вредоносных программ, распространяющихся посредством сообщений электронной почты.

  • Размещенная служба архивации позволяет организациям обеспечить соответствие нормативам по хранению данных.

  • Размещенная служба шифрования позволяет шифровать данные для обеспечения конфиденциальности информации.

  • Размещенная служба бесперебойного доступа позволяет обеспечить доступ к электронной почте как во время аварийных ситуаций, так и после их окончания.

Эти службы взаимодействуют со всеми корпоративными серверами Exchange, которые управляются внутрикорпоративными службами или размещенными службами электронной почты Exchange, предлагаемыми через поставщиков услуг. Дополнительные сведения о размещенных службах Exchange приведены в документе Microsoft Exchange Hosted Services.

Дополнительные сведения об антивирусах

Подробный технический отчет о развернутом подразделением ИТ корпорации Майкрософт антивирусном решении для Exchange 2007 приведен в документе Microsoft Exchange Server 2007 Edge Transport and Messaging Protection (на английском языке).

Решение Forefront Security для Exchange Server предоставляет антивирусное решение с набором механизмов проверки на вирусы для транспортных серверных ролей Exchange и решение на основе VSAPI для сервера почтовых ящиков Exchange. Практические рекомендации по полному антивирусному решению приведены в документе Руководство пользователя решения Microsoft Forefront Security для Exchange Server.

Поддержание актуальности программного обеспечения

Как упоминалось ранее, рекомендуется использовать Microsoft Update. В дополнение к использованию Microsoft Update, на всех серверах очень важно поддерживать актуальность ПО всех клиентских компьютеров, а также поддерживать актуальность антивирусного ПО всех компьютеров организации.

В дополнение к программному обеспечению Microsoft, удостоверьтесь, что у вас установлены последние обновления всего программного обеспечения, использующегося в вашей организации.

Блокировка клиентов устаревших версий Outlook

Предыдущие версии Outlook содержали уязвимости, которые потенциально могут увеличить распространение вирусов. Рекомендуется настроить Exchange 2007 на прием подключений MAPI только от клиентов Outlook 2007, Outlook 2003 и Outlook 2002. Вводя ограничение на версии клиентов Outlook, могущих подключаться к серверу Exchange, можно значительно снизить риск атак вирусами и прочими вредоносными программами. Также рекомендуется стандартизировать и уменьшить количество версий программного обеспечения, используемого в вашей организации.

Дополнительные сведения о том, как запретить доступ клиента Outlook к серверу Exchange 2007, приведены в документе Доступ к серверу разрешен для всех версий клиентов Outlook.

Фильтрация вложений

В Exchange 2007 фильтрация вложений позволяет использовать фильтры на уровне сервера, позволяя тем самым контролировать почтовые вложения, которые получают пользователи. В современных условиях важность фильтрации вложений постоянно возрастает, поскольку многие вложения содержат вирусы и иное недопустимое содержимое, что может принести существенный ущерб компьютеру пользователя или организации в целом, если будет повреждена важная документация или будут обнародованы секретные сведения.

Примечание.
Рекомендуется не удалять вложения из сообщений с цифровой подписью, зашифрованных или защищенных с помощью управления правами. При удалении вложений из таких сообщений цифровая подпись будет недействительна, а зашифрованные и защищенные с помощью управления правами сообщения станут нечитаемыми.
Типы фильтрации вложений в Exchange 2007

Для контроля вложений, поступающих в организацию или исходящих из нее, можно использовать следующие типы фильтрации вложений:

  • Фильтрация на основе имени или расширения имени файла — можно выполнять фильтрацию вложений, указав точное имя или расширение имени файла. Пример фильтра по точному имени файла — BadFilename.exe. Пример фильтра по расширению имени файла — *.exe.

  • Фильтрация на основе типа MIME содержимого — вложения можно фильтровать, указав тип MIME содержимого, в отношении которого будет действовать фильтр. Типы содержимого MIME указывают, что представляет собой вложение, например, является ли оно изображением JPEG, исполняемым файлом, файлом Microsoft Office Excel 2003 или относится к другому типу файлов. Типы содержимого представлены как type/subtype. Например, тип содержимого «изображение JPEG» представлен как image/jpeg.

    Для того чтобы получить полный список всех расширений файлов, а также всех типов содержимого, для которых может применяться фильтрация вложений, выполните следующую команду:

    Копировать код
    Get-AttachmentFilterEntry | FL
    
    Для выполнения командлета Get-AttachmentFilterEntry на компьютере, присоединенном к домену, используемой учетной записи необходимо делегировать роль администратора Exchange с правами на просмотр.

    Чтобы выполнить командлет Get-AttachmentFilterEntry на компьютере, на котором установлена роль пограничного транспортного сервера, необходимо войти в систему под учетной записью, входящей в локальную группу администраторов на этом компьютере.

    Дополнительные сведения о полномочиях, делегировании ролей и правах, необходимых для администрирования Exchange 2007, приведены в разделе Вопросы, связанные с разрешениями.

Если вложение соответствует одному из критериев фильтра, в отношении него может быть выполнено одно из следующих действий:

  • Блокирование самого сообщения и вложения — вложение, которое соответствует фильтру вложений, может быть отклонено вместе с самим сообщением. Если блокируются как вложение, так и само сообщение, отправитель получает сообщение с уведомлением о состоянии доставки, которое содержит имя файла недопустимого вложения.

  • Удаление вложения без блокирования сообщения — вложение, которое соответствует условию фильтра вложений, может быть удалено, при этом само сообщение и другие вложения, не соответствующие условиям фильтра, пропускаются. Если вложение удалено, оно заменяется текстовым файлом, в котором объясняется, почему данное вложение было удалено. Это действие установлено по умолчанию.

  • Удаление сообщения и вложения без уведомления — вложение, которое соответствует фильтру вложений, может быть отклонено вместе с самим сообщением. При блокировке вложения и сообщения уведомление не направляется ни отправителю, ни получателю сообщения.

    Внимание!
    Блокированные сообщения и вложения, а также удаленные вложения вернуть нельзя. При настройке фильтров вложений тщательно проверьте совпадения по именам файлов и убедитесь, что этот фильтр не затронет нормальные вложения.

Дополнительные сведения приведены в разделе Настройка параметров фильтрации вложений.

Фильтрация файлов с использованием Microsoft Forefront Security для Exchange Server

В число функций фильтрации, предоставляемых решением Forefront Security для Exchange Server, входят расширенные возможности, недоступные при использовании стандартного агента фильтра вложений, поставляемого в составе стандартного выпуска Exchange Server 2007.

Например, файлы-контейнеры (т.е. файлы, внутри которых содержатся другие файлы), могут проверяться для обнаружения запрещенных типов файлов. Функция фильтрации, имеющаяся в Forefront Security для Exchange Server, позволяет проверять следующие типы файлов-контейнеров и применять действия к внедренным файлам:

  • PKZip (расширение ZIP)

  • GNU Zip (расширение GZIP)

  • Самоизвлекающиеся архивы ZIP

  • файлы Zip (расширение ZIP)

  • Файлы архивов Java (расширение JAR)

  • Файлы TNEF (winmail.dat)

  • Файлы в формате структурированного хранилища (расширения DOC, XLS, PPT и т. п.)

  • Файлы MIME (расширение EML)

  • Файлы SMIME (расширение EML)

  • Файлы UUEncode (расширение UUE)

  • Файлы ленточного архива Unix (расширение TAR)

  • Архивные файлы RAR (расширение RAR)

  • Файлы MACBinary (расширение BIN)

Примечание.
Агент фильтра вложений, который поставляется в составе стандартного выпуска Exchange 2007, позволяет определять типы файлов даже в том случае, когда файлы переименованы. Фильтрация вложений также позволяет убедиться, что файлы ZIP и LZH не содержат заблокированных вложений. Это обеспечивается за счет проверки на совпадения расширений, производящейся для файлов, которые находятся внутри файлов Zip или LZH. Фильтрация файлов Forefront Security для Exchange Server позволяет определить, переименовано ли заблокированное вложение, которое содержится в файле-контейнере.

Фильтрацию можно также осуществлять по размеру файла. Кроме того, решение Forefront Security для Exchange Server можно настроить таким образом, чтобы можно было отправлять задержанные файлы на карантин или производить рассылку почтовых уведомлений по итогам обнаруженных соответствий с условиями фильтра файлов.

Для получения дополнительных сведений см. документ Руководство пользователя решения Microsoft Forefront Security для Exchange Server (на английском языке).

Внедрение стойких паролей в вашей организации

Большинство пользователей входит в локальный компьютер и удаленный компьютер, используя комбинацию имени пользователя и пароля, набираемого с клавиатуры. Хотя для популярных операционных систем доступны альтернативные технологии проверки подлинности, такие как биометрические проверки, смарт-карты и одноразовые пароли, большинство организаций по-прежнему полагается на традиционные пароли, и в ближайшее время это вряд ли изменится. Поэтому очень важно, чтобы организации определили и внедрили политики использования паролей для доступа к компьютерам. Это включает обязательное использование стойких паролей. Стойкие пароли отвечают нескольким требованиям по сложности, что делает их угадывание более сложным для злоумышленников. Эти требования включают требования к длине паролей и категориям используемых символов. Вводя в вашей организации политики стойких паролей, вы можете предотвратить персонификацию пользователей злоумышленниками и таким образом предотвратить потерю, обнародование и повреждение важных сведений.

Дополнительные сведения приведены в документе Внедрение использования стойких паролей в вашей организации (на английском языке).

Разделение имен пользователей Windows и адресов SMTP

По умолчанию, при создании почтового ящика для пользователя адрес SMTP для этого пользователя выглядит как username@contoso.com, где username является именем учетной записи пользователя Windows.

Рекомендуется создавать для пользователей новые адреса SMTP, чтобы скрыть имена пользователей Windows от злоумышленников.

Например, рассмотрим пользователя Kweku Ako-Adjei, чье имя пользователя Windows KwekuA. Чтобы скрыть имя пользователя Windows для этого пользователя, администратор может создать адрес SMTP Kweku.Ako-Adjei@contoso.com.

Использование отдельных адресов SMTP не считается очень строгой мерой безопасности. Тем не менее, это создает дополнительное препятствие для злоумышленников, могущих пытаться взломать сеть вашей организации с использованием известного имени пользователя.

Дополнительные сведения о добавлении адресов SMTP для существующих пользователей приведены в разделе Создание политики адресов электронной почты.

Управление безопасностью клиентского доступа

Роль сервера клиентского доступа предоставляет доступ к Microsoft Outlook Web Access, Microsoft Exchange ActiveSync, мобильному Outlook, протоколам POP3 и IMAP4. Кроме того, она поддерживает службу автоматического обнаружения и службу доступности. У всех этих протоколов и служб имеются свои уникальные потребности в защите.

Управление проверкой подлинности

Одной из наиболее важных задач по обеспечению безопасности, которые можно выполнить для роли сервера клиентского доступа, является настройка способа проверки подлинности. Роль сервера клиентского доступа устанавливается при помощи самоподписанного цифрового сертификата по умолчанию. Цифровой сертификат выполняет две указанных ниже функции.

  • Он заверяет, что его держатель является тем, за кого он себя выдает.

  • Он защищает данные, передаваемые по сети, от воровства или ненадлежащего использования.

Хотя самоподписанный сертификат по умолчанию поддерживается в Exchange ActiveSync и Outlook Web Access, он не является самым безопасным способом проверки подлинности. Кроме того, он не поддерживается для мобильного Outlook. Для дополнительной безопасности рассмотрите возможность настройки сервера клиентского доступа Exchange 2007 для использования доверенного сертификата, выдаваемого или сторонним коммерческим центром сертификации, или инфраструктурой открытых ключей Windows. Можно настраивать проверку подлинности отдельно для Exchange ActiveSync, Outlook Web Access, мобильного Outlook, POP3 и IMAP4.

Дополнительные сведения о настройке проверки подлинности приведены в следующих разделах:

Повышение безопасности обмена данными между сервером клиентского доступа и другими серверами

После оптимизации безопасности связи между клиентами и сервером Exchange 2007 следует оптимизировать безопасность связи между сервером Exchange 2007 и другими серверами вашей организации. По умолчанию шифруется обмен данными по протоколам HTTP, Exchange ActiveSync, POP3 и IMAP4 между сервером клиентского доступа и другими серверами, например серверами Exchange 2007 с установленной ролью сервера почтовых ящиков, контроллерами домена и серверами глобального каталога.

Дополнительные сведения об управлении безопасностью для различных компонентов сервера клиентского доступа приведены в следующих разделах:

Какие темы рассмотрены в данном руководстве?

Знакомство с доменной безопасностью

Exchange 2007 содержит новый набор функциональных возможностей под общим названием «доменная безопасность» (Domain Security). Доменная безопасность относится к набору функциональных возможностей в Exchange 2007 и Outlook 2007, который представляет собой относительно недорогое решение, альтернативное S/MIME и другим решениям безопасности на уровне сообщений. Цель набора функций доменной безопасности заключается в предоставлении администраторам способа управления безопасными маршрутами обмена сообщениями с деловыми партнерами через Интернет. После настройки этих безопасных маршрутов передачи сообщений те сообщения, которые успешно переданы по безопасному маршруту от прошедшего проверку подлинности отправителя, отображаются пользователям как "Почта из безопасного домена" в интерфейсах Outlook и Outlook Web Access.

Доменная безопасность использует протокол TLS со взаимной проверкой подлинности для обеспечения шифрования и проверки подлинности на основе сеанса. Применение протокола TLS со взаимной проверкой подлинности отличается от применения обычного протокола TLS. Как правило, при использовании TLS клиентский компьютер проверяет, что устанавливается безопасное подключение к нужному серверу, проверяя сертификат сервера. Этот сертификат передается клиенту в ходе согласования TLS. В этом случае клиент выполняет проверку подлинности сервера, прежде чем начать передачу данных на сервер. Однако при этом сервер не выполняет проверку подлинности сеанса с клиентом.

При использовании протокола TLS со взаимной проверкой подлинности обе стороны осуществляют проверку подлинности сертификата, предоставленного другой стороной. В этом случае, то есть когда в среде Exchange 2007 от внешних доменов поступают переданные по проверенным маршрутам сообщения, в Outlook 2007 будет отображаться значок "Почта из безопасного домена".

Дополнительные сведения о планировании и развертывании доменной безопасности в вашей организации см. в техническом документе "Доменная безопасность в Exchange 2007" (на английском языке).

Какие темы рассмотрены в данном руководстве?

Защита путей данных Exchange

По умолчанию, практически все используемые Exchange 2007 защищены. В этом разделе рассказывается о портах, проверке подлинности и шифровании для всех путей данных, используемых Exchange 2007. В разделе «Примечания», следующем за каждой таблицей, объясняются или определяются нестандартные способы проверки подлинности и шифрования.

Транспортные серверы

В следующей таблице приведены сведения о портах, проверке подлинности и шифровании путей данных между транспортными серверами-концентраторами и пограничными транспортными серверами и другими серверами и службами Exchange 2007.

Пути данных для транспортных серверов

Путь данных Требуемые порты Проверка подлинности по умолчанию Поддерживаемый способ проверки подлинности Поддержка шифрования Шифрование данных по умолчанию

Между двумя транспортными серверами-концентраторами

25/TCP (SSL), 587/TCP (SSL)

Kerberos

Kerberos

Да (TLS)

Да

С транспортного сервера-концентратора на пограничный транспортный сервер

25/TCP (SSL)

Прямое доверие

Прямое доверие

Да (TLS)

Да

С пограничного транспортного сервера на транспортный сервер-концентратор

25/TCP (SSL)

Прямое доверие

Прямое доверие

Да (TLS)

Да

Между двумя пограничными транспортными серверами

25/TCP (SSL), 389/TCP/UDP и 80/TCP (проверка подлинности с помощью сертификата)

Анонимно, проверка подлинности с помощью сертификата

Анонимно, проверка подлинности с помощью сертификата

Да (TLS)

Нет

С сервера почтовых ящиков на транспортный сервер-концентратор через службу отправки почты Microsoft Exchange 

135/TCP (RPC)

NTLM. Если подключение выполняется с учетной записью службы (локальной), используется Kerberos.

NTLM/Kerberos

Да (шифрование RPC)

Да

С транспортного сервера-концентратора на сервер почтовых ящиков через MAPI

135/TCP (RPC)

NTLM. Если подключение выполняется с учетной записью службы (локальной), используется Kerberos.

NTLM/Kerberos

Да (шифрование RPC)

Да

Служба Microsoft Exchange EdgeSync

50636/TCP (SSL), 50389/TCP (без SSL)

Обычная

Обычная

Да (LDAPS)

Да

Служба каталогов ADAM на пограничном транспортном сервере

50389/TCP (без SSL)

NTLM/Kerberos

NTLM/Kerberos

Нет

Нет

Доступ к службе каталога Active Directory с транспортного сервера-концентратора

389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC)

Kerberos

Kerberos

Да (шифрование Kerberos)

Да

Примечания для транспортных серверов

Весь трафик между транспортными серверами-концентраторами шифруется с использованием TLS и самоподписанных сертификатов, установленных по умолчанию программой установки Exchange 2007.

Весь трафик между пограничными транспортными серверами и транспортными серверами-концентраторами проходит проверку подлинности и шифруется. В качестве механизма проверки подлинности и шифрования используется взаимная проверка TLS. Вместо проверки X.509 для проверки подлинности сертификатов в Exchange 2007 используется прямое доверие. Прямое доверие означает, что наличие сертификата в Active Directory или ADAM подтверждает подлинность сертификата. Active Directory считается доверенным механизмом хранения. Если используется прямое доверие, не имеет значения, применяется ли самоподписанный сертификат или же сертификат, подписанный центром сертификации. При подписке пограничного транспортного сервера на организацию Exchange пограничная подписка публикует сертификат пограничного транспортного сервера в Active Directory для проверки транспортными серверами-концентраторами. Служба Microsoft Exchange EdgeSync добавляет в ADAM набор сертификатов транспортного сервера-концентратора для проверки пограничным транспортным сервером.

По умолчанию трафик между пограничными транспортными серверами двух различных организаций шифруется. Программа установки Exchange 2007 создает самоподписанный сертификат и по умолчанию включает TLS. Это позволяет любой отправляющей системе шифровать входящие сеансы SMTP на Microsoft Exchange. Также по умолчанию Exchange 2007 пытается использовать TLS для всех удаленных подключений.

Способы проверки подлинности для трафика между транспортными серверами-концентраторами и серверами почтовых ящиков отличаются, если роли транспортного сервера-концентратора и сервера почтовых ящиков установлены на одном компьютере. При локальной передаче почты используется проверка подлинности Kerberos. При удаленной передаче почты используется проверка подлинности NTLM.

Exchange 2007 также поддерживает доменную безопасность. Доменная безопасность — это набор функцональных возможностей Exchange 2007 и Outlook 2007, которые являются недорогой альтернативой S/MIME и другим решениям по обеспечению безопасности передачи сообщений через Интернет. Цель набора функций доменной безопасности заключается в предоставлении администраторам способа управления безопасными путями сообщений между доменами через Интернет. После настройки этих безопасных маршрутов передачи сообщений те сообщения, которые успешно переданы по безопасному маршруту от прошедшего проверку подлинности отправителя, отображаются пользователям как "Почта из безопасного домена" в интерфейсах Outlook и Outlook Web Access. Дополнительные сведения приведены в разделе Планирование безопасности домена.

Многие агенты могут выполняться как на транспортных серверах-концентраторах, так и на пограничных транспортных серверах. Как правило, агенты защиты от нежелательной почты используют сведения локального компьютера, на котором они выполняются. Таким образом, практически не требуется взаимодействие с удаленными компьютерами. Исключением является фильтрация получателей. Эта функция требует вызовов ADAM или Active Directory. Фильтрацию получателей рекомендуется выполнять на пограничном транспортном сервере. В этом случае каталог ADAM находится на том же компьютере, что и пограничный транспортный сервер, поэтому удаленная связь не требуется. Если функция фильтрации получателей установлена и настроена на транспортном сервере-концентраторе, необходим доступ к Active Directory.

Агент анализа протокола используется функцией репутации отправителя в Exchange 2007. Этот агент также подключается к различным внешним прокси-серверам, чтобы определить пути входящих сообщений для подозрительных подключений.

Все остальные функции защиты от нежелательной почты используют данные, которые собираются, хранятся и используются только на локальном компьютере. Зачастую такие данные, как объединенные списки надежных отправителей или данные получателей для фильтрации получателей, принудительно отправляются в локальный каталог ADAM с помощью службы Microsoft Exchange EdgeSync.

Функции ведения журнала и классификации сообщений работают на транспортных серверах-концентраторах и используют данные Active Directory.

Сервер почтовых ящиков

На сервере почтовых ящиков используемый вариант проверки подлинности, NTLM или Kerberos, зависит от контекста пользователя или процесса, который используется получателем уровня бизнес-логики Exchange. В таком контексте получателем является любое приложение или процесс, использующий уровень бизнес-логики Exchange. Во многих ячейках «Проверка подлинности по умолчанию» таблицы «Пути данных для серверов почтовых ящиков» в данном разделе указан способ проверки подлинности «NTLM/Kerberos».

Уровень бизнес-логики Exchange используется для доступа к хранилищу Exchange и взаимодействия с ним. Уровень бизнес-логики Exchange также вызывается из хранилища Exchange для взаимодействия со внешними приложениями и процессами.

Если получатель уровня бизнес-логики Exchange выполняется в контексте локальной системы, способом проверки подлинности при доступе получателя к хранилищу Exchange всегда является Kerberos. Способ проверки подлинности Kerberos используется из-за того, что подлинность получателя необходимо проверять с использованием учетной записи компьютера «Локальная система», а также требуется двустороннее доверие с проверкой подлинности.

Если получатель уровня бизнес-логики Exchange выполняется не в контексте локальной системы, способом проверки подлинности является NTLM. Например, когда администратор запускает командлет командной консоли Exchange, использующий уровень бизнес-логики Exchange, применяется NTLM.

Трафик RPC всегда шифруется.

В следующей таблице приведены сведения о портах, проверке подлинности и шифровании путей данных для серверов почтовых ящиков.

Пути данных для серверов почтовых ящиков

Путь данных Требуемые порты Проверка подлинности по умолчанию Поддерживаемый способ проверки подлинности Поддержка шифрования Шифрование данных по умолчанию

Доставка журналов (локальная непрерывная репликация и кластерная непрерывная репликация)

445/случайный порт (заполнение)

NTLM/Kerberos

NTLM/Kerberos

Да (IPsec)

Нет

Резервное копирование службы теневого копирования томов (VSS)

Локальный блок сообщений (SMB)l

NTLM/Kerberos

NTLM/Kerberos

Нет

Нет

Резервное копирование и заполнение прежних версий

Случайный порт

NTLM/Kerberos

NTLM/Kerberos

Да (IPsec)

Нет

Кластеризация

135 /TCP (RPC). См. раздел «Примечания для серверов почтовых ящиков» после этой таблицы.

NTLM/Kerberos

NTLM/Kerberos

Да (IPsec)

Нет

Доступ MAPI

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Да (шифрование RPC)

Да

помощники по обслуживанию почтовых ящиков

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Нет

Нет

Веб-служба доступности (клиентский доступ к почтовому ящику)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Да (шифрование RPC)

Да

Доступ к Active Directory 

389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC)

Kerberos

Kerberos

Да (шифрование Kerberos)

Да

Индексация содержимого

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Да (шифрование RPC)

Да

Административный удаленный доступ (удаленный реестр)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Да (IPsec)

Нет

Административный удаленный доступ (SMB, файлы)

445/TCP (SMB)

NTLM/Kerberos

NTLM/Kerberos

Да (IPsec)

Нет

Доступ по RPC к службе обновления получателей

135/TCP (RPC)

Kerberos

Kerberos

Да (шифрование RPC)

Да

Служба топологии Microsoft Exchange Active Directory 

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Да (шифрование RPC)

Да

Устаревший доступ для службы системного автосекретаря Microsoft Exchange (прослушивание запросов)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Нет

Нет

Устаревший доступ службы системного автосекретаря Microsoft Exchange к Active Directory 

389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC)

Kerberos

Kerberos

Да (шифрование Kerberos)

Да

Устаревший доступ службы системного автосекретаря Microsoft Exchange (в качестве клиента MAPI)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Да (шифрование RPC)

Да

Доступ автономной адресной книги к Active Directory 

135/TCP (RPC)

Kerberos

Kerberos

Да (шифрование RPC)

Да

Обновление получателей по Active Directory 

389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC)

Kerberos

Kerberos

Да (шифрование Kerberos)

Да

Доступ DSAccess к Active Directory 

389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC)

Kerberos

Kerberos

Да (шифрование Kerberos)

Да

Доступ Outlook к автономной адресной книге

80/TCP, 443/TCP (SSL)

NTLM/Kerberos

NTLM/Kerberos

Да (HTTPS)

Нет

WebDav

80/TCP, 443/TCP (SSL)

Обычная проверка подлинности, NTLM, согласование

Обычная проверка подлинности, NTLM, согласование

Да (HTTPS)

Да

Примечания для серверов почтовых ящиков

Для проверки подлинности HTTP, для которой указано «согласование», сначала выполняется попытка использовать проверку подлинности Kerberos, а затем — проверку подлинности NTLM.

Между собой узлы кластера взаимодействуют через порт 3343 протокола UDP. Каждый узел кластера периодически обменивается с остальными узлами кластера последовательными одноадресными датаграммами UDP. Этот обмен выполняется с целью определения правильности работы всех узлов, а также для наблюдения за работоспособностью сетевых соединений.

Хотя приложения или клиенты WebDav могут подключаться к серверу почтовых ящиков через порт 80 или 443 прготокола TCP, в большинстве случаев они подключаются к серверу клиентского доступа. После этого сервер клиентского доступа подключается к серверу почтовых ящиков через порт 80 или 443 протокола TCP.

Для пути данных при кластеризации, приведенном в таблице «Пути данных для серверов почтовых ящиков» данного раздела, используется динамический протокол RPC (TCP) для передачи данных о состоянии и активности кластера между узлами кластера. Служба кластера (ClusSvc.exe) также использует порт 3343 UDP и случайным образом назначенные порты TCP с высокими номерами для взаимодействия между узлами кластера.

Сервер клиентского доступа

Если не указано иное, технологии клиентского доступа, например Office Outlook Web Access, POP3 и IMAP4, описаны в контексте проверки подлинности и шифрования при подключении клиентского приложения к серверу клиентского доступа.

В следующей таблице приведены сведения о портах, проверке подлинности и шифровании для путей данных между серверами клиентского доступа и другими серверами и клиентами.

Пути данных для серверов клиентского доступа

Путь данных Требуемые порты Проверка подлинности по умолчанию Поддерживаемый способ проверки подлинности Поддержка шифрования Шифрование данных по умолчанию

Служба автообнаружения

80/TCP, 443/TCP (SSL)

Обычная/встроенная проверка подлинности Windows (согласование)

Обычная проверка подлинности, дайджест-проверка подлинности, NTLM, согласование (Kerberos)

Да (HTTPS)

Да

Служба доступности

80/TCP, 443/TCP (SSL)

NTLM/Kerberos

NTLM, Kerberos

Да (HTTPS)

Да

Outlook Web Access

80/TCP, 443/TCP (SSL)

Проверка подлинности на основе форм

Обычная проверка подлинности, дайджест-проверка подлинности, проверка подлинности на основе форм, NTLM (только версии 2), Kerberos, проверка подлинности с помощью сертификата

Да (HTTPS)

Да, с использованием самоподписанного сертификата

протокол POP3

110/TCP (TLS), 995/TCP (SSL)

Обычная проверка подлинности, NTLM, Kerberos

Обычная проверка подлинности, NTLM, Kerberos

Да (SSL, TLS)

Да

IMAP4

143/TCP (TLS), 993/TCP (SSL)

Обычная проверка подлинности, NTLM, Kerberos

Обычная проверка подлинности, NTLM, Kerberos

Да (SSL, TLS)

Да

Мобильный Outlook (прежнее название — RPC через HTTP)

80/TCP, 443/TCP (SSL)

Обычная

Обычная проверка подлинности или NTLM

Да (HTTPS)

Да

Приложение Exchange ActiveSync 

80/TCP, 443/TCP (SSL)

Обычная

Обычная проверка подлинности, проверка подлинности с помощью сертификата

Да (HTTPS)

Да

С сервера клиентского доступа на сервер единой системы обмена сообщениями

5060/TCP, 5061/TCP, 5062/TCP, динамический порт

По IP-адресу

По IP-адресу

Да (SIP через TLS)

Да

С сервера клиентского доступа на сервер почтовых ящиков, на котором запущена предыдущая версия Exchange Server 

80/TCP, 443/TCP (SSL)

NTLM/Kerberos

Согласование (Kerberos с резервным способом: NTLM или обычная проверка подлинности), POP/IMAP (открытый текст)

Да (IPsec)

Нет

С сервера клиентского доступа на сервер почтовых ящиков Exchange 2007 

RPC. См. раздел «Примечания для серверов клиентского доступа» после данной таблицы.

Kerberos

NTLM/Kerberos

Да (шифрование RPC)

Да

Между серверами клиентского доступа (Exchange ActiveSync)

80/TCP, 443/TCP (SSL)

Kerberos

Kerberos, проверка подлинности с помощью сертификата

Да (HTTPS)

Да, с использованием самоподписанного сертификата

Между серверами клиентского доступа (Outlook Web Access)

80/TCP, 443/TCP (SSL)

Kerberos

Kerberos

Да (HTTPS)

Да

WebDAV

80/TCP, 443/TCP (SSL)

Обычная проверка подлинности HTTP или проверка подлинности на основе форм Outlook Web Access 

Обычная проверка подлинности, проверка подлинности на основе форм Outlook Web Access 

Да (HTTPS)

Да

Примечания для серверов клиентского доступа

Сервер клиентского доступа взаимодействует с сервером почтовых ящиков, используя множество портов. За некоторыми исключениями эти порты определяются службой RPC и не являются фиксированными.

Для проверки подлинности HTTP, для которой указано «согласование», сначала выполняется попытка использовать проверку подлинности Kerberos, а затем — проверку подлинности NTLM.

При взаимодействии сервера клиентского доступа Exchange 2007 с сервером почтовых ящиков, на котором установлена версия Exchange Server 2003, рекомендуется использовать Kerberos и отключить проверку подлинности NTLM и обычную проверку подлинности. Кроме того, рекомендуется настроить Outlook Web Access на использование проверки подлинности на основе форм с доверенным сертификатом. Чтобы клиенты Exchange ActiveSync могли подключаться к серверу базы данных Exchange 2003 через сервер клиентского доступа Exchange 2007, для виртуального каталога Microsoft-Server-ActiveSync на сервере базы данных Exchange 2003 должна быть включена встроенная проверка подлинности Windows. Чтобы иметь возможность использовать Exchange System Manager для управления проверкой подлинности для виртуального каталога Exchange 2003 на сервере Exchange 2003, загрузите и установите исправление, описанное в статье базы знаний Майкрософт 937301, Event ID 1036 is logged on an Exchange 2007 server that is running the CAS role when mobile devices connect to the Exchange 2007 server to access mailboxes on an Exchange 2003 back-end server (на английском языке).

Дополнительные сведения приведены в разделе Управление безопасностью клиентского доступа.

Сервер единой системы обмена сообщениями

Шлюзы IP поддерживают только проверку подлинности с помощью сертификата, при которой используется взаимная проверка подлинности TLS и проверка подлинности на основе IP-адреса для подключений по протоколам SIP или TCP. Шлюзы IP не поддерживают проверку подлинности NTLM или Kerberos. Таким образом, при использовании проверки подлинности на основе IP-адреса в качестве механизма проверки подлинности для незашифрованных подключений (TCP) используются IP-адреса подключений. При использовании в единой системе обмена сообщениями проверки подлинности на основе IP-адресов сервер единой системы обмена сообщениями проверяет, разрешено ли данному IP-адресу подключаться. IP-адрес настраивается на шлюзе IP или на УАТС на основе IP.

В следующей таблице приведены сведения о портах, проверке подлинности и шифровании для путей данных между серверами единой системы обмена сообщениями и другими серверами.

Пути данных для серверов единой системы обмена сообщениями

Путь данных Требуемые порты Проверка подлинности по умолчанию Поддерживаемый способ проверки подлинности Поддержка шифрования Шифрование данных по умолчанию

Факс единой системы обмена сообщениями

5060/TCP, 5061/TCP, 5062/TCP, динамический порт

По IP-адресу

По IP-адресу

SIP через TLS, но носитель не шифруется

Да для SIP

Взаимодействие с единой системой обмена сообщениями по телефону (УАТС)

5060/TCP, 5061/TCP, 5062/TCP, динамический порт

По IP-адресу

По IP-адресу

SIP через TLS, но носитель не шифруется

Да для SIP

Веб-служба единой системы обмена сообщениями

80/TCP, 443/TCP (SSL)

Встроенная проверка подлинности Windows (Согласование)

Обычная проверка подлинности, дайджест-проверка подлинности, NTLM, согласование (Kerberos)

Да (SSL)

Да

С сервера единой системы обмена сообщениями на транспортный сервер-концентратор

25/TCP (SSL)

Kerberos

Kerberos

Да (TLS)

Да

С сервера единой системы обмена сообщениями на сервер почтовых ящиков

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Да (шифрование RPC)

Да

Примечания для серверов единой системы обмена сообщениями

При создании в Active Directory объекта шлюза IP единой системы обмена сообщениями необходимо определить IP-адрес физического шлюза IP или УАТС на основе IP. При определении IP-адреса объекта шлюза IP единой системы обмена сообщениями IP-адрес добавляется в список допустимых шлюзов IP, с которыми разрешено взаимодействовать серверу единой системы обмена сообщениями. При создании шлюза IP единой системы обмена сообщениями он сопоставляется с абонентской группой единой системы обмена сообщениями. Сопоставление шлюза IP единой системы обмена сообщениями с абонентской группой позволяет серверам единой системы обмена сообщениями, сопоставленным с абонентской группой, использовать проверку подлинности на основе IP-адреса для взаимодействия со шлюзом IP. Если шлюз IP единой системы обмена сообщениями не создан или не настроен на использование правильного IP-адреса, произойдет сбой проверки подлинности, а серверы единой системы обмена сообщениями не будут принимать подключения с IP-адреса данного шлюза IP.

В предварительной версии Exchange 2007 сервер единой системы обмена сообщениями может использовать либо небезопасный порт 5060 TCP, либо безопасный порт 5061 TCP. В версии Exchange 2007 с пакетом обновления 1 сервер единой системы обмена сообщениями прослушивает оба порта одновременно.

Дополнительные сведения приведены в разделах Общие сведения о безопасности VoIP единой системы обмена сообщениями и Общие сведения о протоколах, портах и службах в единой системе обмена сообщениями.

Какие темы рассмотрены в данном руководстве?

Использование мастера настройки безопасности для защиты Windows для ролей сервера Exchange

В этом разделе объясняется как использовать мастер настройки безопасности для уменьшения поверхности атаки для серверов путем отключения функциональности Windows, которая не требуется серверным ролям Exchange 2007.

Использование мастера настройки безопасности

Сервер Exchange 2007 предоставляет шаблон мастера настройки безопасности для каждой серверной роли Exchange 2007. Используя этот шаблон в мастере настройки безопасности, можно настроить операционную систему Windows для блокировки служб и портов, которые не нужны для каждой роли сервера Exchange. При запуске мастера настройки безопасности создается пользовательская политика безопасности для среды. Можно применять настраиваемую политику ко всем серверам Exchange в вашей организации. Можно настроить следующие функции при помощи мастера настройки безопасности:

  • Роль сервера   Мастер настройки безопасности использует сведения о роли сервера, чтобы включить службы и открыть порты в локальном брандмауэре.

  • Возможности клиента.   Серверы также действуют как клиенты по отношению к другим серверам. Выберите только те возможности клиента, которые необходимы для вашей среды.

  • Параметры администрирования Выберите параметры, которые необходимы для вашей среды, например, резервное копирование и отчеты об ошибках.

  • Службы Выберите службы, необходимые для сервера, и установите режим запуска служб, не указанный политикой. Неуказанные службы не устанавливаются на выбранный сервер и не входят в базу данных настройки безопасности. Настраиваемая политика безопасности должна применяться к серверам, на которых запущены службы, отличные от тех, что запущены на сервере, на котором создана политика. Можно выбрать параметр политики, определяющий действие, которое необходимо выполнить в случае, если найдена неуказанная служба, к которой применяется эта политика. В качестве такого действия может быть указано не изменять режим запуска службы или отключать службу.

  • Безопасность сети Выберите, какие порты необходимо открыть для каждого сетевого интерфейса. Доступ к портам может быть ограничен на основе интерфейса локальной сети или удаленных IP-адресов и подсетей.

  • Параметры реестра Используйте параметры реестра для настройки протоколов, используемых для связи с другими компьютерами.

  • Политика аудита Политика аудита определяет, какие события (успехи и отказы) заносятся в журнал, а также для каких объектов системы проводится аудит.

Использование шаблона мастера настройки безопасности Exchange Server 2007

После установки роли сервера Exchange выполните следующие действия, чтобы настроить политику безопасности с помощью мастера настройки безопасности:

  1. Установите мастер настройки безопасности.

  2. Зарегистрируйте расширение мастера настройки безопасности.

  3. Создайте настроенную политику безопасности и примените политику к локальному серверу.

  4. Если в организации данная роль выполняется более чем на одном сервере Exchange, можно применить настраиваемую политику безопасности к каждому серверу Exchange.

Следующие разделы содержат процедуры для каждого из перечисленных действий.

Для выполнения описанных ниже действий используемой учетной записи необходимо делегировать следующую роль:

  • роль администратора сервера Exchange Server и членство в локальной группе администраторов на целевом сервере.

Чтобы выполнить следующие процедуры на компьютере с установленной ролью пограничного транспортного сервера, необходимо войти в систему с учетной записью, входящей в локальную группу администраторов.

Дополнительные сведения о полномочиях, делегировании ролей и правах, необходимых для администрирования Exchange 2007, приведены в разделе Вопросы, связанные с разрешениями.

Установка мастера настройки безопасности

Эту процедуру необходимо выполнить на каждом сервере Exchange 2007, к которому планируется применять политику безопасности при помощи мастера настройки безопасности.

Установка мастера настройки безопасности
  1. На панели управления выберите Установка и удаление программ.

  2. Выберите Установка компонентов Windows, чтобы запустить мастер компонентов Windows.

  3. В диалоговом окне Компоненты Windows установите флажок Мастер настройки безопасности и нажмите кнопку Далее.

  4. Дождитесь завершения установки и нажмите кнопку Готово.

Чтобы открыть мастер настройки безопасности после выполнения этой процедуры, нажмите кнопку Пуск, последовательно укажите пункты Все программы, Администрирование и выберите Мастер настройки безопасности.

Регистрация расширений мастера настройки безопасности для серверных ролей Exchange

Расширения ролей Exchange Server позволяют использовать мастер настройки безопасности для создания политик безопасности в соответствии с функциями каждой роли сервера Microsoft Exchange. Эти расширения входят в состав Exchange 2007 и должны быть зарегистрированы до начала создания настраиваемой политики безопасности.

Регистрацию необходимо выполнить на каждом сервере Exchange 2007, к которому нужно применить политику безопасности мастера настройки безопасности. Для различных ролей сервера Exchange 2007 требуются два различных файла расширений. Для ролей сервера почтовых ящиков, транспортного сервера-концентратора, сервера единой системы обмена сообщениями и сервера клиентского доступа необходимо зарегистрировать файл расширений Exchange2007.xml. Для роли пограничного транспортного сервера зарегистрируйте файл расширений Exchange2007Edge.xml.

Примечание.
Файлы расширений мастера настройки безопасности Exchange 2007 расположены в каталоге %Exchange%\Scripts. По умолчанию каталог установки Exchange находится по адресу Program Files\Microsoft\Exchange Server. Расположение каталога может отличаться от указанного, если в процессе установки сервера было выбрано другое расположение.
Важно!
Регистрацию мастера настройки безопасности можно также выполнить, если Exchange 2007 установлен в другой каталог. Тем не менее, чтобы включить мастер настройки безопасности, необходимо выполнить действия вручную для определения другого каталога установки. Дополнительные сведения приведены в статье 896742 базы знаний Microsoft После запуска мастера настройки безопасности на компьютере под управлением Windows Server 2003 с пакетом обновления 1 (SP1) пользователям Outlook не удается подключиться к своим учетным записям.
Регистрация расширения мастера настройки безопасности на компьютере, выполняющем роль сервера почтовых ящиков, транспортного сервера-концентратора, сервера единой системы обмена сообщениями и сервера клиентского доступа
  1. Откройте окно командной строки. Введите следующую команду, чтобы использовать средство командной строки мастера настройки безопасности для регистрации расширения Exchange 2007 в локальной базе данных настройки безопасности:

    Копировать код
    scwcmd register /kbname:Ex2007KB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007.xml"
    
  2. Чтобы проверить, что выполнение команды завершилось успешно, просмотрите файл SCWRegistrar_log.xml, который расположен в каталоге %windir%\security\msscw\logs.

Регистрация расширения мастера настройки безопасности на компьютере, выполняющем роль пограничного транспортного сервера
  1. Откройте окно командной строки. Введите следующую команду, чтобы использовать средство командной строки мастера настройки безопасности для регистрации расширения Exchange 2007 в локальной базе данных настройки безопасности:

    Копировать код
    scwcmd register /kbname:Ex2007EdgeKB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\ Exchange2007Edge.xml"
    
  2. Чтобы проверить, что выполнение команды завершилось успешно, просмотрите файл SCWRegistrar_log.xml, который расположен в каталоге %windir%\security\msscw\logs.

Создание новой политики мастера настройки безопасности роли сервера Exchange

Данная процедура используется для создания специализированной политики безопасности для своей конкретной среды. После создания специализированной политики эта политика используется для применения одного и того же уровня безопасности ко всем серверам Exchange 2007, выполняющим одну и ту же роль сервера или одинаковые роли серверов в организации.

Примечание.
В описании некоторых шагов следующей процедуры не предоставляются конкретные сведения о настройках для всех страниц мастера настройки безопасности. В этих случаях рекомендуется оставить параметры по умолчанию, если нет уверенности, какие службы или функции должны включаться. Как и для всего содержимого файла справки Exchange 2007, самые последние сведения об использовании мастера настройки безопасности для Exchange 2007 можно найти в центре технической поддержки Exchange Server TechCenter.
Использование мастера настройки безопасности для создания специализированной политики безопасности
  1. Чтобы запустить этот мастер, нажмите кнопку Пуск, выберите Все программы, укажите Администрирование, а затем выберите Мастер настройки безопасности. На экране приветствия нажмите кнопку Далее.

  2. На странице Действие настройки выберите Создать новую политику безопасности, а затем нажмите кнопку Далее.

  3. На странице Выберите сервер убедитесь, что в поле Сервер (используйте доменное имя, имя NetBIOS или IP-адрес): отображено верное имя сервера. Нажмите кнопку Далее.

  4. На странице Обработка базы данных настройки безопасности дождитесь заполнения индикатора выполнения, а затем нажмите кнопку Далее.

  5. На странице Настройка службы, основанная на ролях нажмите кнопку Далее.

  6. На странице Выбор роли серверов выберите роли Exchange 2007, установленные на компьютере, а затем нажмите кнопку Далее.

  7. На странице Выбор клиентских функций выберите все клиентские функции, необходимые для данного сервера Exchange, затем нажмите кнопку Далее.

  8. На странице Выбор администрирования и других возможностей выберите все функции администрирования, необходимые на данном сервере Exchange, затем нажмите кнопку Далее.

  9. На странице Выбор дополнительных служб выберите все службы, которые необходимые включить на сервере Exchange, а затем нажмите кнопку Далее.

  10. На странице Обработка неуказанных служб выберите действие, выполняемое при обнаружении службы, не установленной в данный момент на локальном сервере. Можно выбрать либо отсутствие каких-либо действий, выбрав Не изменять режим запуска службы, либо автоматическое отключение службы, выбрав Отключить службу. Нажмите кнопку Далее.

  11. На странице Подтвердить изменения службы просмотрите изменения, вносимые этой политикой в текущую настройку службы. Нажмите кнопку Далее.

  12. На странице Сетевая безопасность убедитесь, что флажок Пропустить этот раздел не установлен, а затем нажмите кнопку Далее.

  13. Если мастер настройки безопасности выполняется на пограничном транспортном сервере, тогда на странице Открыть порты и утвердить приложения необходимо добавить два порта для связи LDAP с ADAM (Active Directory Application Mode).

    1. Нажмите кнопку Добавить. На странице Добавить порт или приложение, в поле Номер порта: введите 50389. Установите флажок TCP и нажмите кнопку OK.

    2. Нажмите кнопку Добавить. На странице Добавить порт или приложение, в поле Номер порта: введите 50636. Установите флажок TCP и нажмите кнопку OK.

  14. (Только для пограничного транспортного сервера) На странице Открыть порты и утвердить приложения необходимо настроить порты для каждой сетевой платы.

    1. Выберите Порт 25 и нажмите кнопку Дополнительно. На странице Ограничения портов выберите вкладку Ограничения локального интерфейса. Выберите Для следующих локальных интерфейсов:, установите флажки для внешней и внутренней сетевых плат и нажмите кнопку OK.

    2. Выберите Порт 50389 и нажмите кнопку Дополнительно. На странице Ограничения портов выберите вкладку Ограничения локального интерфейса. Выберите Для следующих локальных интерфейсов:, установите флажок только для внутренней сетевой платы и нажмите кнопку OK.

    3. Выберите Порт 50636 и нажмите кнопку Дополнительно. На странице Ограничения портов выберите вкладку Ограничения локального интерфейса. Выберите Для следующих локальных интерфейсов:, установите флажок только для внутренней сетевой платы и нажмите кнопку OK.

    Примечание.
    Можно также настроить для каждого порта ограничения удаленных адресов.
  15. На странице Открыть порты и утвердить приложения нажмите кнопку Далее.

  16. На странице Подтвердить настройку портов убедитесь, что настройка входящих портов выполнена правильно, а затем нажмите кнопку Далее.

  17. На странице Параметры реестра установите флажок Пропустить этот раздел, а затем нажмите кнопку Далее.

  18. На странице Политика аудита установите флажок Пропустить этот раздел, а затем нажмите кнопку Далее.

  19. На странице Службы IIS установите флажок Пропустить этот раздел, а затем нажмите кнопку Далее.

  20. На странице Сохранить политику безопасности нажмите кнопку Далее.

  21. На странице Имя файла политики безопасности введите имя файла для политики безопасности и необязательное описание. Нажмите кнопку Далее. Если после применения политики потребуется перезагрузить сервер, появится диалоговое окно. Чтобы закрыть диалоговое окно, нажмите кнопку ОК.

  22. На странице Применить политику безопасности выберите Применить позже или Применить сейчас, затем нажмите кнопку Далее.

  23. На странице Завершение мастера настройки безопасности нажмите кнопку Готово.

Указания по применению существующей политики мастера настройки безопасности к роли сервера Exchange

После того, как политика создана, ее можно применить к нескольким компьютерам, выполняющим одну и ту же роль в вашей организации.

Использование мастера настройки безопасности для применения существующей политики
  1. Чтобы запустить этот мастер, нажмите кнопку Пуск, выберите Все программы, укажите Администрирование, а затем выберите Мастер настройки безопасности. На экране приветствия нажмите кнопку Далее.

  2. На странице Действие по настройке выберите Применить существующую политику безопасности. Нажмите кнопку Обзор, выберите файл XML для своей политики и нажмите кнопку Открыть. Нажмите кнопку Далее.

  3. На странице Выберите сервер убедитесь, что в поле Сервер (используйте доменное имя, имя NetBIOS или IP-адрес): отображено верное имя сервера. Нажмите кнопку Далее.

  4. На странице Применить политику безопасности выберите Просмотреть политику безопасности, если нужно просмотреть подробности политики, затем нажмите кнопку Далее.

  5. На странице Применение политики безопасности дождитесь, пока индикатор выполнения не покажет Применение завершено, затем нажмите кнопку Далее.

  6. На странице Завершение мастера настройки безопасности нажмите кнопку Готово.

Какие темы рассмотрены в данном руководстве?

Приложение 1: Службы и порты исполняемых файлов, включаемые регистрационными файлами мастера настройки безопасности Exchange 2007

Чтобы помочь пользователям настроить операционную систему Windows для взаимодействия с другими приложениями, мастер настройки безопасности использует регистрационные файлы XML. Эти файлы определяют настройку безопасности, необходимую для работы определенного приложения. Как минимум, настройка безопасности включает сведения о службах и портах, необходимых конкретному приложению.

В данном разделе описаны службы и порты, включаемые для каждой роли сервера Exchange 2007 при запуске мастера настройки безопасности с регистрационными файлами Exchange 2007 по умолчанию.

Регистрационные файлы

В Exchange 2007 мастером настройки безопасности используются два регистрационных файла. Общий регистрационный файл Exchange 2007 называется Exchange2007.xml. Он определяет настройку безопасности для всех ролей сервера Microsoft Exchange, за исключением роли пограничного транспортного сервера. Регистрационный файл роли пограничного транспортного сервера называется Exchange2007Edge.xml. Он определяет настройку безопасности для пограничных транспортных серверов.

Эти регистрационные файлы сохраняются в каталоге %Programfiles%\Microsoft\Exchange Server\Scripts при установке сервера Exchange 2007.

Для включенных служб устанавливается тип запуска «Автоматически» или «Вручную».

Включаемые порты определяют исполняемые файлы (EXE), которым брандмауэр Windows доверяет открывать порты для конкретных приложений.

Регистрационные файлы Exchange 2007, используемые мастером настройки безопасности, определяют порты исполняемых файлов в соответствии с их местоположением по умолчанию. В большинстве случаев это каталог %Programfiles%\Microsoft\Exchange Server\bin. Если Exchange установлен в другом каталоге, необходимо соответствующим образом изменить значение <Path> в разделе <Port> регистрационных файлов Exchange 2007.

Роль сервера почтовых ящиков

Ниже указаны службы, которые регистрационный файл Exchange 2007 (Exchange2007.xml) включает для роли сервера почтовых ящиков.

Служба поиска Microsoft (Exchange Server) и служба наблюдения Microsoft Exchange настраиваются как запускаемые вручную. Все остальные службы настраиваются как запускаемые автоматически.

Краткое имя службы Имя службы

MSExchangeIS

Банк сообщений Microsoft Exchange

MSExchangeADTopology

Служба топологии Active Directory Microsoft Exchange

MSExchangeRepl

Служба репликации Microsoft Exchange

MSExchangeMailboxAssistants

Помощники по обслуживанию почтовых ящиков Microsoft Exchange

MSExchangeSearch

Индексатор поиска Microsoft Exchange

MSExchangeServiceHost

Размещение службы Microsoft Exchange

MSExchangeMonitoring

Наблюдение Microsoft Exchange

MSExchangeSA

Системный автосекретарь Microsoft Exchange

MSExchangeMailSubmission

Служба отправки почты Microsoft Exchange

msftesql-Exchange

Служба поиска Microsoft (Exchange Server)

Ниже указаны включаемые порты.

Имя порта Соответствующий исполняемый файл

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSExchangeISPorts

Store.exe

MSExchangeReplPorts

Microsoft.Exchange.Cluster.ReplayService.exe

MSExchangeMailboxAssistantsPorts

MSExchangeMailboxAssistants.exe

MSExchangeSearchPorts

Microsoft.Exchange.Search.ExSearch.exe

MSExchangeServiceHostPorts

Microsoft.Exchange.ServiceHost.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

MSExchangeSAPorts

Mad.exe

MSExchangeMailSubmissionPorts

MSExchangeMailSubmission.exe

msftesql-ExchangePorts

Msftesql.exe

MSExchangeTransportLogSearchPorts

MSExchangeTransportLogSearch.exe

Роль кластерного сервера почтовых ящиков

Все службы и порты, включаемые для роли сервера почтовых ящиков (см. выше), включаются и для роли кластерного сервера почтовых ящиков.

Кроме того, включается служба кластера Microsoft; она настраивается как запускаемая автоматически.

Краткое имя службы Имя службы

ClusSvc

Служба кластера Microsoft

Ниже указаны дополнительно включаемые порты.

Примечание.
По умолчанию исполняемые файлы, специфичные для кластера, находятся в каталоге %windir%\Cluster. Файл Powershell.exe находится по умолчанию в каталоге %windir%\system32\windowspowershell\v1.0.

Имя порта Соответствующий исполняемый файл

ExSetupPorts

ExSetup.exe

clussvcPorts

Clussvc.exe

CluAdminPorts

CluAdmin.exe

resrcmonPorts

Resrcmon.exe

msftefdPorts

Msftefd.exe

powershellPorts

Powershell.exe

Роль транспортного сервера-концентратора

Ниже указаны службы, которые регистрационный файл Exchange 2007 (Exchange2007.xml) включает для роли транспортного сервера-концентратора.

Служба наблюдения Microsoft Exchange настраивается на запуск вручную. Все остальные службы настраиваются как запускаемые автоматически.

Краткое имя службы Имя службы

MSExchangeADTopology

Служба топологии Active Directory Microsoft Exchange

MSExchangeTransport

Служба транспорта Microsoft Exchange

MSExchangeAntispamUpdate

Служба обновления средства защиты от нежелательной почты Microsoft Exchange

MSExchangeEdgeSync

Служба Microsoft Exchange EdgeSync

MSExchangeTransportLogSearch

Служба поиска журналов транспорта Microsoft Exchange

MSExchangeMonitoring

Наблюдение Microsoft Exchange

Ниже указаны включаемые порты.

Имя порта Соответствующий исполняемый файл

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSExchangeTransportPorts

MSExchangeTransport.exe

EdgeTransportPorts

EdgeTransport.exe

MSExchangeAntispamUpdatePorts

Microsoft.Exchange.AntispamUpdateSvc.exe

MSExchangeEdgeSyncPorts

Microsoft.Exchange.EdgeSyncSvc.exe

MSExchangeTransportLogSearchPorts

MSExchangeTransportLogSearch.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

Роль пограничного транспортного сервера

Ниже указаны службы, которые включает регистрационный файл роли пограничного транспортного сервера (Exchange2007Edge.xml).

Служба наблюдения Microsoft Exchange и служба поиска журналов транспорта Microsoft Exchange настраиваются на запуск вручную. Все остальные службы настраиваются как запускаемые автоматически.

Краткое имя службы Имя службы

MSExchangeTransport

Служба транспорта Microsoft Exchange

MSExchangeAntispamUpdate

Служба обновления средства защиты от нежелательной почты Microsoft Exchange

ADAM_MSExchange

Microsoft Exchange ADAM

EdgeCredentialSvc

Служба учетных данных Microsoft Exchange

MSExchangeTransportLogSearch

Служба поиска журналов транспорта Microsoft Exchange

MSExchangeMonitoring

Наблюдение Microsoft Exchange

Ниже указаны включаемые порты.

Примечание.
Файл Dsadmin.exe по умолчанию находится в каталоге %windir%\ADAM.

Имя порта Соответствующий исполняемый файл

MSExchangeTransportPorts

MSExchangeTransport.exe

EdgeTransportPorts

EdgeTransport.exe

MSExchangeAntispamUpdatePorts

Microsoft.Exchange.AntispamUpdateSvc.exe

ADAM_MSExchangePorts

Dsamain.exe

EdgeCredentialSvcPorts

EdgeCredentialSvc.exe

MSExchangeTransportLogSearchPorts

MSExchangeTransportLogSearch.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

Роль сервера клиентского доступа

Ниже указаны службы, которые регистрационный файл Exchange 2007 (Exchange2007.xml) включает для роли сервера клиентского доступа.

Служба наблюдения Microsoft Exchange, служба Microsoft Exchange POP3 и служба Microsoft Exchange IMAP4 настраиваются на запуск вручную. Все остальные службы настраиваются как запускаемые автоматически.

Краткое имя службы Имя службы

MSExchangeADTopology

Служба топологии Active Directory Microsoft Exchange

MSExchangePOP3

Служба POP3 Microsoft Exchange

MSExchangeIMAP4

служба IMAP4 Microsoft Exchange

MSExchangeFDS

Служба рассылки файлов Microsoft Exchange

MSExchangeServiceHost

Размещение службы Microsoft Exchange

MSExchangeMonitoring

Наблюдение Microsoft Exchange

Ниже указаны включаемые порты.

Примечание.
Файлы Pop3Service.exe и Imap4Service.exe по умолчанию находятся в каталоге %Programfiles%\Microsoft\Exchange Server\ClientAccess\PopImap.

Имя порта Соответствующий исполняемый файл

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSExchangePOP3Ports

Microsoft.Exchange.Pop3Service.exe

MSExchangeIMAP4Ports

Microsoft.Exchange.Imap4Service.exe

MSExchangeFDSPorts

MSExchangeFDS.exe

MSExchangeServiceHostPorts

Microsoft.Exchange.ServiceHost.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

Роль сервера единой системы обмена сообщениями

Ниже указаны службы, которые регистрационный файл Exchange 2007 (Exchange2007.xml) включает для роли сервера единой системы обмена сообщениями.

Служба наблюдения Microsoft Exchange настраивается на запуск вручную. Все остальные службы настраиваются как запускаемые автоматически.

Имя службы Понятное имя

MSExchangeADTopology

Служба топологии Active Directory Microsoft Exchange

MSSpeechService

Подсистема работы с речью Microsoft Exchange

MSExchangeUM

Единая система обмена сообщениями Microsoft Exchange

MSExchangeFDS

Служба рассылки файлов Microsoft Exchange

MSExchangeMonitoring

Наблюдение Microsoft Exchange

Ниже указаны включаемые порты.

Примечание.
Файл SpeechService.exe по умолчанию находится в каталоге %Programfiles%\Microsoft\Exchange Server\UnifiedMessaging.

Имя порта Соответствующий исполняемый файл

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSSPorts

SpeechService.exe

MSExchangeUMPorts

umservice.exe

UMWorkerProcessPorts

UMWorkerProcess.exe

MSExchangeFDSPorts

MSExchangeFDS.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

Какие темы рассмотрены в данном руководстве?

Приложение 2: Дополнительная документация по безопасности Exchange

Этот раздел содержит ссылки на дополнительную документацию по безопасности Exchange. Наиболее актуальный перечень материалов по безопасности приведен в разделе Безопасность и защита.

Функции защиты от нежелательной почты и вирусов

Безопасность проверки подлинности и доступа клиента

Разрешения

Обеспечение безопасности потока электронной почты