Планирование безопасности домена
Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Последнее изменение раздела: 2007-02-27
Под безопасностью доменов (Domain Security) понимается набор функций, имеющихся в Microsoft Exchange Server 2007 и Microsoft Office Outlook 2007. По сравнению со службами S/MIME или другими решениями, применяющимися на уровне сообщений, эти функции представляют собой более экономичное решение. Задача функций по обеспечению безопасности домена – предоставить системным администраторам инструменты, которые позволят управлять защищенными маршрутами передачи сообщений, которые через Интернет соединяют организацию с её партнерами. После настройки защищенных маршрутов передачи, сообщения, которые доверенный отправитель успешно передал по защищенному маршруту, будут отображаться для пользователей как "Domain Secured" (в интерфейсах Outlook и Outlook Web Access) .
Функции по обеспечению безопасности доменов используют протокол TLS (Transport Layer Security) с взаимной аутентификацией, что позволяет обеспечить шифрование и проводить проверку подлинности на основе сессий. Применение протокола TLS с взаимной аутентификацией отличается от применения обычного протокола TLS. Как правило, при выполнении протокола TLS клиентский компьютер проверяет, чтобы соединение с сервером было безопасным, то есть в ходе проверки подтверждается действительность сертификата сервера. Этот сертификат передается клиенту в ходе согласования TLS. В этом случае клиент выполняет проверку подлинности (аутентификацию) сервера, прежде чем начать передачу данных на сервер. Однако при этом сервер не выполняет проверку подлинности сессии с клиентом.
При использовании протокола TLS с взаимной аутентификацией обе стороны осуществляют проверку подлинности сертификата, предоставленного другой стороной. В этом случае, то есть когда в среде Exchange 2007 от внешних доменов поступают переданные по проверенным маршрутам сообщения, в Outlook 2007 будет отображаться значок "Domain Secured".
Важно! |
---|
Подробное изложение принципов и технологий криптографирования и сертификации не является темой настоящего раздела. Прежде чем устанавливать какое-либо решение по обеспечению безопасности, которое использует принципы криптографирования и сертификации, сначала рекомендуется ознакомиться с такими базовыми понятиями, как доверительные отношения, проверка подлинности (аутентификация), шифрование, обмен открытыми и закрытыми (личными) ключами, поскольку все эти понятия относятся к криптографии. Для получения дополнительных сведений воспользуйтесь ссылками, указанными в конце данного раздела. |
Проверка сертификатов TLS
Для того чтобы наиболее полно понять общую безопасность и уровень надежности, обеспечиваемые за счет использования TLS с взаимной аутентификацией, необходимо рассмотреть принципы проверки базового TLS сертификата.
В Exchange 2007 имеется набор командлетов, которые позволяют создавать и запрашивать сертификаты TLS, а также управлять этими сертификатами. По умолчанию эти сертификаты являются самозаверенными. Самозаверенным называется сертификат, который был заверен создателем этого сертификата. В Exchange 2007 самозаверенные сертификаты создаются компьютером, на котором выполняется Microsoft Exchange. Для создания самозавереннго сертификата используются базовый сертификат Microsoft Windows API. Поскольку сертификаты являются самозаверенными, то результирующие сертификаты будут иметь меньший уровень надежности, в отличие от сертификатов, созданных с использованием инфраструктуры открытых ключей (PKI) или приобретенных в стороннем центре сертификации. По этой причине самозаверенные сертификаты рекомендуется использовать только для внутренней почты. Возможен и другой вариант. Если организации-получатели (с которыми организация-отправитель обменивается почтой защищенного домена) на каждом из своих входящих пограничных транспортных серверов вручную добавят самозаверенный сертификат (предоставляемый организацией-отправителем) в хранилище доверенных корневых сертификатов, то в этом случае самозаверенный сертификат в явной форме приобретает статус доверенного сертификата.
Для соединений, использующих Интернет, лучше всего создавать сертификаты TLS используя инфраструктуру открытых ключей либо можно получать эти сертификаты в стороннем центре сертификации. Создание ключей TLS при помощи доверенной инфраструктуры открытых ключей или стороннего центра сертификации, в целом, позволяет сократить объем работы по управлению безопасностью домена. Для получения дополнительных сведений о работе с доверенными сертификатами и об безопасности домена см.Инструкции по активизации инфраструктуры открытых ключей (PKI) на сервере «Граничный транспорт» для системы безопасности домена.
Для создания запросов сертификата, направляемых в организационную инфраструктуру открытых ключей или в сторонний центр сертификации, можно использовать сертификационные командлеты Exchange 2007. Для получения дополнительных сведений см. раздел Создание сертификата или запроса сертификата для TLS.
Дополнительные сведения о настройке безопасности домена см. в следующих документах:
Использование служб Exchange Hosted Services
Решения по обеспечению безопасности на уровне сообщений совершенствуется службами Microsoft Exchange Hosted Services. Эти решения также могут быть доступны в качестве служб Microsoft Exchange. В состав Exchange Hosted Services входят четыре отдельных службы:
Служба Hosted Filtering помогает организациям защитить себя от воздействия вредоносных программ, распространяемых посредством электронных писем.
Служба Hosted Archive позволяет организациям обеспечить соответствие требованиям по хранению данных.
Служба Hosted Encryption позволяет шифровать данные для обеспечения конфиденциальности информации.
Служба Hosted Continuity позволяет обеспечить бесперебойный доступ к электронной почте как во время аварийных ситуаций так и после их окончания.
Эти службы интегрируются с любыми оконечными серверами Exchange, которые управляются на местном уровне, а также с почтовыми службами Exchange, которые предоставляются сторонними поставщиками услуг. Более подробно о службах Exchange Hosted Services см. Microsoft Exchange Hosted Services.
Дополнительные сведения
Для получения дополнительных сведений о принципах и технологиях криптографирования и сертификации см. следующие ресурсы:
Housley, Russ and Tim Polk. Planning for PKI: Best Practices Guide for Deploying Public Key Infrastructure (Планирование PKI: Руководство по развертыванию инфраструктуры открытых ключей). New York: John Wiley & Son, Inc., 2001 (на англ. языке).
Adams, Carlisle and Steve Lloyd. Applied Cryptography: Protocols, Algorithms, and Source Code in C, 2nd Edition («Прикладная криптография: протоколы, алгоритмы и исходный код на языке C», 2-е издание). New York: John Wiley & Son, Inc., 1996.