Обеспечение безопасности Exchange Server

Обзор сессии

Внедрение Exchange Server

Организация защиты сервисов Exchange Server и протоколов передачи сообщений


Конфигурация Exchange для защиты от нежелательной электронной почты

Обзор безопасности Exchange Server 2003

Безопасность разработкиБезопасность разработкиБезопасность по умолчанию

Поддержка для Отправителя, Получателя и Фильтрации соединений включает сервис блокировок (Block List services)

Безопасность по умолчанию

Поддержка для Отправителя, Получателя и Фильтрации соединений включает сервис блокировок (Block List services)

Безопасность по умолчаниюБезопасность по умолчанию

Исключен локальный вход в систему пользователей

Ограничения размера передачи сообщений в 10MB

Исключен локальный вход в систему пользователей

Ограничения размера передачи сообщений в 10MB

Усиление безопасности Microsoft Exchange Server 2003: http://www.microsoft.com/exchange/evaluation/security_E2k3.mspx

Усиление безопасности Microsoft Exchange Server 2003: http://www.microsoft.com/exchange/evaluation/security_E2k3.mspx

Сценарии развертывания Exchange Server

Интеграция с ISA ServerИнтеграция с ISA Server

Базовое развертывание Базовое развертывание FE/BE развертываниеFE/BE развертывание

Exchangeserver

Exchangeserver

ИнтернетИнтернет

Front-endExchange

server

Front-endExchange

server

Back-end Exchange

servers

Back-end Exchange

servers

ISA serverISA server

Exchangeserver

Exchangeserver

Сценарии клиента Exchange Server

Основной клиент:Основной клиент:

Microsoft OutlookMicrosoft Outlook

Мобильный клиент:Мобильный клиент:

Outlook Web Access

Outlook Mobile Access

Exchange Server ActiveSync

Outlook Web Access

Outlook Mobile Access

Exchange Server ActiveSync

Сценарии клиента Exchange Server 2003 включают следующее:Сценарии клиента Exchange Server 2003 включают следующее:

Рекомендации по конфигурации и обновлениям безопасности для and Exchange Server

Компонент Конфигурация

Операционная система и программа

Microsoft Windows Server 2003 с последними обновлениями безопасностиExchange Server 2003 с Service Pack 1 (или выше) Microsoft Exchange Intelligent Message Filter

ОбозревательInternet Explorer 6 с последними обновлениями безопасности

Управление обновлениями безопасности

Microsoft Baseline Security Analyzer

Внедрение защиты высокого уровня для Exchange Server Security

Использование многоэтапной защиты:Увеличение возможности обнаружения атакующегоУменьшает шансы атакующего

Политики безопасности, процедуры и обучениеПолитики, процедуры и информированностьПолитики, процедуры и информированность

Охрана, замки, устройства слеженияФизическая безопасностьФизическая безопасность

Улучшение приложенийApplication

Улучшение ОС, аутентификация, управление обновлениями, обновление антивирусов, аудит

Host

Сегментирование сети, NIDSInternal network

Межсетевой экран, VPN с процедурой карантина.Perimeter

Сложный пароль, ACLs, -стратегия резервного копирования и восстановления

Data

Организация защиты Exchange Servers: Насколько сложная задача?

Задачи по обеспечению безопасности Exchange server следующие:Задачи по обеспечению безопасности Exchange server следующие:

Поддержание безопасности, лежащей в основе инфраструктуры Windows

Поддержание базовой безопасности, подкрепленной специфическими инструкциями

Понимание опций безопасности в зависимости от сценарий развертывания

Поддержание безопасности, лежащей в основе инфраструктуры Windows

Поддержание базовой безопасности, подкрепленной специфическими инструкциями

Понимание опций безопасности в зависимости от сценарий развертывания

Улучшение безопасности среды передачи сообщений

Улучшить безопасность вашей среды обмена сообщениями можно используя следующее:Улучшить безопасность вашей среды обмена сообщениями можно используя следующее:

Среда Конфигурация

Серверов

Соответствующие базовые шаблоны политик для Домена, Контроллера Домена и Рядового Сервера Домена Windows Server 2003 Инструкция по безопасности http://go.microsoft.com/fwlink/?LinkId=21638

Обмена сообщениями

Базовый шаблон политики для Exchange Домен Контроллер Exchange Server 2003 Инструкция по улучшению безопасности http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/exsecure.mspx

Улучшение безопасности Back-End Exchange серверов

Задачи по улучшению безопасности back-end Exchange серверов включают:Задачи по улучшению безопасности back-end Exchange серверов включают:

Улучшение безопасности сервисов

Улучшение безопасности контроля доступа (ACLs) к файлам

Изменение привилегий

Дополнительные сервисы (необязательно)



Изменение привилегий


Внедрите для вашего Exchange 2003 back-end сервера Backend.inf шаблон безопасности Внедрите для вашего Exchange 2003 back-end сервера Backend.inf шаблон безопасности

Улучшение безопасности Front-End Exchange серверов

Задачи по улучшению безопасности front-end Exchange серверов включают:Задачи по улучшению безопасности front-end Exchange серверов включают:




Запуск URLScan (необязательно, но рекомендуемо)

Удаление хранилища почтовых ящиков и удаление хранилища публичных папок (необязательно, но рекомендуемо)




Запуск URLScan (необязательно, но рекомендуемо)

Удаление хранилища почтовых ящиков и удаление хранилища публичных папок (необязательно, но рекомендуемо)

Внедрите для вашего Exchange 2003 front-end сервера Frontend.inf шаблон безопасности

Внедрите для вашего Exchange 2003 front-end сервера Frontend.inf шаблон безопасности

Понимание SMTP ретрансляции

SMTP Ретрансляция: Когда SMTP сервер принимает почту с одного DNS домена, адресованного почтовым ящикам другого домена, ни тех, для которых этот сервер является хозяином

SMTP Ретрансляция: Когда SMTP сервер принимает почту с одного DNS домена, адресованного почтовым ящикам другого домена, ни тех, для которых этот сервер является хозяином

Ретрансляция может быть необходима когда: Ретрансляция может быть необходима когда:

Принимается почта для другой организации

Поддержка клиентов, использующих POP3 или IMAP4

Поддержка приложений, которые генерируют SMTP сообщения

Принимается почта для другой организации

Поддержка клиентов, использующих POP3 или IMAP4

Поддержка приложений, которые генерируют SMTP сообщения

Ограничить открытую ретрансляцию можно: Ограничить открытую ретрансляцию можно: Разрешением только аутентифицированным компьютерам производить ретрансляцию

Ограничить ретрансляцию специфическим компьютерам или пользователям

Использовать SMTP конектор для ретрансляции сообщений определенным доменам

Разрешением только аутентифицированным компьютерам производить ретрансляцию

Ограничить ретрансляцию специфическим компьютерам или пользователям

Использовать SMTP конектор для ретрансляции сообщений определенным доменам

Обеспечение безопасности SMTP соединений между почтовыми серверами

Обеспечить безопасность SMTP соединений между серверами можно: Обеспечить безопасность SMTP соединений между серверами можно:

Установка и конфигурация X.509 сертификата на SMTP сервер 11

• Включение и конфигурация TLS шифрования для входящей почты

22

Включение и конфигурация TLS шифрования для исходящей почты к специфическим доменам

33

Обеспечение безопасности Exchange серверов: Полезные советы

Ограничить выполняемые функции Exchange сервера для клиентов если в этих функциях нет безусловной необходимости

Ограничить выполняемые функции Exchange сервера для клиентов если в этих функциях нет безусловной необходимости

Осуществлять постоянное обновление как Exchange Server 2003 так, и операционной системы

Осуществлять постоянное обновление как Exchange Server 2003 так, и операционной системы

Использование SSL/TLS и базовой аутентификации для Outlook Web AccessИспользование SSL/TLS и базовой аутентификации для Outlook Web Access

Использовать ISA Server 2004 для предоставления доступа по протоколам HTTP, RPC поверх HTTPS, POP3, и IMAP4

Использовать ISA Server 2004 для предоставления доступа по протоколам HTTP, RPC поверх HTTPS, POP3, и IMAP4

Обеспечение безопасности Exchange Server : Насколько сложная задача?

Задачи по обеспечению безопасности Exchange server следующие:Задачи по обеспечению безопасности Exchange server следующие:

Быть с последними обновлениями безопасности

Следовать рекомендациями полезных советов

Понимать влияние конфигурации различных опций Exchange Server

Документировать изменения в конфигурации и установкам безопасности

Быть с последними обновлениями безопасности

Следовать рекомендациями полезных советов

Понимать влияние конфигурации различных опций Exchange Server

Документировать изменения в конфигурации и установкам безопасности

Для анализа Exchange Server 2003 используется MBSA

MBSA используется для проверки следующего: MBSA используется для проверки следующего: Известных Windows и Internet Explorer проблем безопасности Известных Windows и Internet Explorer проблем безопасности

Отсутствие обновлений безопасности Отсутствие обновлений безопасности

Слабость учетных записей и паролей Слабость учетных записей и паролей

Проблем безопасности Internet Information Services (IIS) Проблем безопасности Internet Information Services (IIS)

Проблем безопасности Exchange ServerПроблем безопасности Exchange Server

Проблем безопасности SQL ServerПроблем безопасности SQL Server

Обоснование установок конфигурации Exchange Server

ExBPA проверяет ваш Exchange servers:ExBPA проверяет ваш Exchange servers:

Создает лист проблем, таких как неправильная конфигурация или включение нерекомендованных опций

Создает лист проблем, таких как неправильная конфигурация или включение нерекомендованных опций

Дает экспертную оценку основному состоянию системы Дает экспертную оценку основному состоянию системы

Помогает разрешить специфические проблемы Помогает разрешить специфические проблемы

Обеспечение Антивирусной защиты в Exchange Server

Рассмотреть следующее при планировании и внедрении антивирусного решения: Рассмотреть следующее при планировании и внедрении антивирусного решения:

Планирование высокого уровня защиты как для серверов, так и для рабочих станций.

Внедрение антивирусного сканера, поддерживающего AVAPI 2.5

Избежать использование файловых антивирусных сканеров для папок Exchange Server

Планирование высокого уровня защиты как для серверов, так и для рабочих станций.

Внедрение антивирусного сканера, поддерживающего AVAPI 2.5

Избежать использование файловых антивирусных сканеров для папок Exchange Server

Какие опции Exchange служат для ограничения нежелательной почты ?

Опции для ограничения нежелательной почты включают: Опции для ограничения нежелательной почты включают:

Фильтрация получателя

Фильтрация отправителя

Фильтрация соединений

Microsoft Exchange Intelligent Message Filter

Фильтрация получателя



Microsoft Exchange Intelligent Message Filter

Конфигурация фильтра по адресам получателя

Фильтрация получателя блокирует почту с

специфическим адресом вашего домена и фильтрирует

почту, обращенную к пользователям не вашей Active

Directory

Фильтрация получателя блокирует почту с

специфическим адресом вашего домена и фильтрирует

почту, обращенную к пользователям не вашей Active

Directory

Конфигурация фильтра по адресам отравителя или домена


блокирует почту от специфических

отправителей или доменов


блокирует почту от специфических

отправителей или доменов

Внедрение поддержки блокировочных листов реального времени используя фильтрацию соединений


используется для конфигурации

Exchange Server и контакта с

поставщиками блокировочных таблиц

реального времени (RBL)


используется для конфигурации

Exchange Server и контакта с

поставщиками блокировочных таблиц

реального времени (RBL)

Обзор Exchange Intelligent Message Filter

Exchange Intelligent Message Filter – дополнительный

продукт, помогающий компаниям уменьшить

количество нежелательной почты,

приходящей пользователям

Exchange Intelligent Message Filter – дополнительный

продукт, помогающий компаниям уменьшить

количество нежелательной почты,

приходящей пользователям

Развертывание Intelligent Message Filter

ШлюзExchange Серверов

ШлюзExchange Серверов

Intelligent Message

Filter

Intelligent Message

Filter FirewallFirewall

InternetInternet

Внутренние Сервера Exchange

Внутренние Сервера Exchange

Intelligent Message Filter – инструмент, имеющий два порога срабатывания:Intelligent Message Filter – инструмент, имеющий два порога срабатывания:

Конфигурация блокировки на шлюзе

Резервная конфигурация нежелательной почты

Конфигурация блокировки на шлюзе

Резервная конфигурация нежелательной почты

Как Intelligent Message Filter работает с Exchange и Outlook

Exchange Server 2003 Gateway Server

Exchange Server 2003 Gateway Server

Connection filtering

Connection filtering

Recipient filtering Recipient filtering

Sender filtering Sender filtering

Intelligent Message Filter

(GatewayThreshold)

Intelligent Message Filter

(GatewayThreshold)

Exchange Server 2003 Back-endExchange Server 2003 Back-end

Store threshold Store threshold

User mailboxUser mailbox

InboxInbox JunkJunk InboxInbox

Y N Y N

InternetInternet

Safe senderSafe

senderBlocked sender

Blocked sender

YesYes NoNo

SpamSpam

Managing IMF Archived Messages Using the Archive Manager

Archive Manager C# tool released with source on GotDotNet

http://workspaces.gotdotnet.com/imfarchive

Supports the following features:

Tree view of the Archive directory of messages View of RFC2822 decoded headers and raw message Resubmission of message to pickup directory Deletion of messages Forwarding of message as attachment to third-party

address

Итог сессии

Развертывание Exchange Server 2003 и Microsoft Office Outlook 2003 для того, чтобы иметь последние достижения в безопасности

Развертывание Exchange Server 2003 и Microsoft Office Outlook 2003 для того, чтобы иметь последние достижения в безопасности

Внедрение соответствующих базовых и улучшенных шаблонов безопасности для Exchange Server Внедрение соответствующих базовых и улучшенных шаблонов безопасности для Exchange Server

Установка Exchange-совместимых антивирусов и поддержание безопасности, используя инструментов MBSA и ExBPA Установка Exchange-совместимых антивирусов и поддержание безопасности, используя инструментов MBSA и ExBPA

Защита от нежелательной почты возможностями фильтрации и утилиты Intelligent Message Filter Защита от нежелательной почты возможностями фильтрации и утилиты Intelligent Message Filter

Следующие шаги

Поиск дополнительных тренингов по безопасности:

http://www.microsoft.com/seminar/events/security.mspxЗапись в объединения безопасности:

http://www.microsoft.com/technet/security/signup/default.mspx

Поиск дополнительных курсов:

https://www.microsoftelearning.com/security

Получение дополнительной информации по Exchange Server 2003:

http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/default.mspx

Вопросы и ответы

Обеспечение безопасности Exchange Server

Documents

Transcript of Обеспечение безопасности Exchange Server