Контрольный список по безопасности развертывания
Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Последнее изменение раздела: 2007-12-11
Сервер Microsoft Exchange Server 2007 разработан с целью обеспечения безопасности по умолчанию в большинстве сред. Обычно для сервера Exchange 2007 безопасность по умолчанию подразумевает выполнение указанных ниже условий.
Учетные записи, используемые Exchange 2007, имеют минимальные права, необходимые для выполнения конкретных наборов задач.
По умолчанию службы запускаются, только когда они необходимы.
Используются минимальные права списка управления доступом (ACL) для объектов Exchange.
Права администратора устанавливаются в соответствии с областью изменений на объекте, требуемой для конкретной модификации.
Все внутренние пути сообщений по умолчанию шифруются.
Предусмотрено множество других функций, предназначенных для обеспечения относительно безопасной среды обмена сообщениями на этапе первоначальной установки.
В этом разделе описываются действия, которые рекомендуется выполнить до и после установки Microsoft Exchange для увеличения безопасности среды обмена сообщениями. Рекомендуется сверяться с этим контрольным списком каждый раз при установке новой роли сервера Exchange.
Содержимое файла справочной системы сервера Exchange 2007 и самые последние обновления содержимого находятся на веб-узле Exchange Server TechCenter.
Перед установкой
Перед установкой сервера Exchange 2007 выполните следующие процедуры.
Процедуры | Проверка |
---|---|
Запустите средство Microsoft Update. |
|
Запустите средство удаления вредоносных программ Microsoft. Средство удаления вредоносных программ входит в обновление Microsoft. Более подробные сведения об этом средстве находятся на веб-странице Средство удаления вредоносных программ. |
|
Запустите анализатор безопасности Microsoft Baseline Security Analyzer. |
|
После установки
Рекомендуется запустить мастер настройки безопасности для всех ролей сервера Exchange 2007. На серверах с Windows Server 2003 также рекомендуется изменить уровень проверки подлинности LAN Manager.
Мастер настройки безопасности
Мастер настройки безопасности впервые появился в сервере Microsoft Windows Server 2003 с пакетом обновления 1 (SP1). Мастер настройки безопасности используется для уменьшения контактной зоны серверов за счет отключения функций Windows, которые не являются необходимыми для ролей сервера Exchange 2007. Мастер настройки безопасности автоматизирует рекомендуемую процедуру уменьшения контактной зоны сервера. Мастер настройки безопасности использует модель на основе ролей для принятия решения о службах, необходимых для приложений на сервере. Это средство позволяет снизить подверженность сред Windows к использованию уязвимостей системы безопасности. Дополнительные сведения см. в разделе Инструкции по использованию мастера настройки безопасности для обеспечения безопасности Windows для ролей сервера Exchange.
Уровень проверки подлинности LAN Manager
Для каждого сервера Exchange, работающего в операционной системе Windows Server 2003, рекомендуется установить уровень проверки подлинности LAN Manager, указанный в Руководстве по безопасности Windows Server 2003 для соответствующей среды. Этот параметр определяет, какой протокол проверки подлинности с запросом и ответом будет использоваться для входа в сеть. Выбранное значение влияет на уровень протокола проверки подлинности, используемого на клиентских компьютерах, уровень безопасности, определяемый при согласовании, и уровень проверки подлинности, принимаемый серверами. Чтобы изменить уровень проверки подлинности LAN Manager, необходимо изменить в реестре запись LmCompatibilityLevel.
Внимание! |
---|
UNRESOLVED_TOKEN_VAL(exRegistry) |
Ниже приведены уровни проверки подлинности LAN Manager, рекомендуемые вРуководстве по безопасности Windows Server 2003**.**
Среда с устаревшими клиентами. В Руководстве по безопасности Windows Server 2003 среда с устаревшими клиентами определяется как среда, которая состоит из домена со службой каталогов Active Directory с рядовыми серверами, контроллерами домена с операционной системой Windows Server 2003 и несколькими клиентскими компьютерами под управлением Microsoft Windows 98 и Windows NT 4.0. На компьютерах под управлением Windows 98 должно быть установлено расширение клиента Active Directory (DSCLient). Дополнительные сведения об установке средства DSClient см. в статье 288358 базы знаний Майкрософт Установка расширения клиента Active Directory (на английском языке). Для среды с устаревшими клиентами в Руководстве по безопасности Windows Server 2003 рекомендуется присвоить параметру LmCompatibilityLevel значение 3.
Среда с корпоративными клиентами. В Руководстве по безопасности Windows Server 2003 среда с корпоративными клиентами определяется как среда, которая состоит из домена Active Directory с рядовыми серверами, контроллерами домена под управлением операционной системы Windows Server 2003 с пакетом обновления 1 (SP1) и клиентских компьютеров под управлением Windows 2000 Server и Windows XP. Для среды с корпоративными клиентами в Руководстве по безопасности Windows Server 2003 рекомендуется присвоить параметру LmCompatibilityLevel значение 4.
Кроме того, к кластерным средам также предъявляются требования, связанные суровнем проверки подлинности LAN Manager.В среде кластера с непрерывной репликацией записи LmCompatibilityLevel каждого контроллера домена в организации следует присвоить значение, равное значению записи LmCompatibilityLevel на серверах Exchange. Если значение записи LmCompatibilityLevel на контроллере домена не совпадает со значением записи LmCompatibilityLevel на сервере Exchange, это может привести к ошибкам репликации. Рекомендуется сначала присвоить значение записи LmCompatibilityLevel на всех контроллерах домена в домене, а затем назначить значение записи LmCompatibilityLevel для каждого кластера.
Чтобы задать значение записи LmCompatibilityLevel на кластере, необходимо изменить это значение одновременно на всех узлах кластера, а затем перезагрузить каждый узел. Изменять запись реестра и перезагружать каждый компьютер в кластере рекомендуется вручную, а не с помощью объекта групповой политики, поскольку при этом гарантируется одновременная перезагрузка всех узлов кластера.
Примечание. |
---|
По умолчанию на компьютерах с операционной системой Windows Server 2008 записи LmCompatibilityLevel присвоено значение 3 или больше. |
Дополнительные сведения об уровнях проверки подлинности LAN Manager см. в главе 4 "Политика для базовых показателей рядовых серверов" Руководства по безопасности Windows Server 2003 (на английском языке). Дополнительные сведения об изменении записи реестра LmCompatibilityLevel для задания уровня проверки подлинности LAN Manager см. в разделе How to Configure the LAN Manager Authentication Level. Для установки значения записи реестра LmCompatibilityLevel на всех компьютерах в организации можно воспользоваться объектом групповой политики. Дополнительные сведения см. в разделе How to Configure the LAN Manager Authentication Level.