Exchange 2010 安全指南
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2016-11-28
本指南为负责保证 MicrosoftExchange Server 2010 部署安全性的 IT 管理员而编写,专用于帮助 IT 管理员了解和管理 Exchange 所安装在的整体安全环境。
过去,Exchange 团队针对每个版本的 Microsoft Exchange 都发布了单独的安全性强化指南,用以提供有关权限和安全性的信息。 此方法对于在运行 Exchange 2010 安装程序后锁定服务和目录很有意义。 但是,从 MicrosoftExchange Server 2007 起,Exchange 安装程序仅启用所安装服务器角色需要的服务,而不再先安装 Microsoft Exchange,然后再对其进行安全性强化。 这种设计旨在帮助您提高默认情况下的安全性。
因此,Exchange 2010 不需要进行任何锁定或强化,这与早期版本的 Microsoft Exchange 不同,在早期版本中,IT 管理员必须执行多个过程来锁定运行 Microsoft Exchange 的服务器。
适用范围
Exchange 2010 遵循“Microsoft 安全开发生命周期 (SDL)”原则而开发。 针对每项功能和组件都进行了安全性审核。 经过慎重选择的默认设置可以确保部署更具安全性。 本指南旨在向管理员介绍与安全性相关的功能以及可能影响安全性考量因素的功能。 本指南链接到 Exchange 2010 文档中与安全性相关的主题。 这些主题列在“附录 1: 其他与安全性相关的文档”中。 本指南将不介绍任何与强化 Windows Server 操作系统相关的操作步骤。
目录
新增功能
Exchange 2010 安全开发生命周期
实现安全性 — 最佳实践
保持安全性 — 最佳实践
网络端口的使用及防火墙的强化
限制参数和客户端限制策略
基于角色的访问控制
Active Directory
Exchange 服务器帐户
文件系统
服务
证书
NTLM 注意事项
双重身份验证
联合
Secure/Multipurpose Internet Mail Extensions (S/MIME)
服务器角色注意事项
附录 1: 其他与安全性相关的文档
新增功能
Exchange 2010 包括以下新增的安全性功能:
基于角色的访问控制 Exchange 2010 包含一个新的基于角色的访问控制模型,通过该模型,贵组织可以精细地管理分配给不同利益干系人(例如收件人管理员、服务器管理员、记录和发现管理员以及组织管理员)的权限。
限制策略 Exchange 2010 针对邮箱、客户端访问和传输服务器引入了限制机制,以保护贵组织免受拒绝服务攻击的侵害并减轻此类攻击的影响。
联合委派 Exchange 2010 引入了新的联合委派功能,您可以通过这些功能允许用户安全地与外部组织的用户进行协作。 通过联合委派,用户可以与外部联合组织的用户共享其日历和联系人信息。 该功能还使跨林协作成为可能,并且无需设置并管理 Active Directory 信任关系。
信息权限管理 Exchange 2010 引入了新的信息保护和控制功能,使您既可以在多个层次保护敏感的邮件内容,同时又保证组织能够对受保护的内容进行解密、搜索以及应用邮件策略。
无安全配置向导 在 Exchange 2010 中,安装程序会进行必要的配置更改,以便仅安装并启用特定 Exchange 服务器角色所需要的服务,同时将通信限定于每种服务器角色上运行的服务和进程所需要的端口。 这样,就无需再使用“安全配置向导”(SCW) 等工具来配置这些设置。
Exchange 2010 安全开发生命周期
在 2002 年初,Microsoft 引入了可信任计算计划。 自引入可信任计算后,Microsoft 和 Microsoft Exchange 团队的开发流程始终致力于开发能帮助您获得更高安全性的软件。 有关详细信息,请参阅 可信任计算。
在 Exchange 2010 中,可信任计算是在以下四个核心领域中实现的:
设计安全 设计和开发 Exchange 2010 时要遵照 可信任计算安全开发生命周期。 创建更加安全的邮件系统的第一步是设计威胁模型并在设计时测试每个功能。 多个与安全相关的改进功能内置在编码过程和实践中。 生成时间工具将检测缓冲区溢出和其他潜在的安全性威胁。 没有任何系统会保证完全的安全。 但是,通过将安全设计原则包含到整个设计流程中,Exchange 2010 比早期的版本更加安全。
默认安全性 Exchange 2010 的一个目标是开发一个在默认情况下对大多数网络通信都进行加密的系统。 除“服务器消息块”(SMB) 通信和一些“统一消息”(UM) 通信外,这一目标已经实现。 通过使用自签名证书、Kerberos 协议、安全套接字层 (SSL) 和其他行业标准加密技术,几乎所有 Exchange 2010 数据都在网络上得到保护。 此外,基于角色的安装使得可以在安装 Exchange 2010 时使用某个特定的、合适的服务器角色仅安装服务及与这些服务相关的权限。 在早期版本的 Microsoft Exchange 中,必须为所有功能安装所有服务。
反垃圾邮件和防病毒功能 Exchange 2010 包含一套反垃圾邮件代理,这些代理运行于外围网络中的边缘传输服务器角色上,同时也可以安装在内部网络中的集线器传输服务器角色上。 新增 MicrosoftForefront Protection 2010 for Exchange Server 作为 Microsoft 解决方案使防病毒功能得到进一步改进。
部署安全 在开发 Exchange 2010 时,在 Microsoft IT 生产环境中已部署了该预发行版本。 基于来自该部署的数据,MicrosoftExchange 服务器最佳实践分析工具已更新为扫描实际的安全配置,预先部署和后期部署的最佳实践均已记录在 Exchange 2010 帮助中。
过去,要在核心文档完成后才会记录并交付权限管理。 但是,我们知道权限管理并不是一个附加过程。 它应当纳入 Exchange 2010 部署的总体规划与部署中。 因此,我们简化了权限文档流程,将其整合到核心文档中,以便在管理员规划和部署管理模型时为其提供无缝的上下文环境。Exchange 2010 具有基于角色的新权限模型,使您能够为管理员和用户授予精细化的权限,使他们能够以所需的最小权限执行任务。
通信 现在 Exchange 2010 已经发行,Exchange 团队致力于及时更新软件并通知给您。 通过使用 Microsoft Update 使您的系统保持最新状态,可以确保在您的组织中安装最新的安全更新。Exchange 2010 还包含反垃圾邮件更新。 此外,通过订阅 Microsoft 技术安全通知,也可以跟踪 Exchange 2010 中的最新安全问题。
实现安全性 — 最佳实践
有些基本的最佳实践可以帮助您创建和维护更加安全的环境。 通常,定期运行分析工具并及时更新软件和防病毒特征是优化 Exchange 2010 环境以保证安全性的最有效方法。
设置与安装建议
以下最佳实践将帮助您创建更加安全的 Exchange 2010 环境:
委派安装 对于组织内安装的第一台 Exchange 2010 服务器,用来运行安装程序的帐户必须是“Enterprise Administrators”组的成员。 所用帐户将添加到由 Exchange 2010 安装程序创建的“组织管理”角色组中。 通过委派安装,可以允许不属于“组织管理”角色组的管理员安装后续的服务器。 有关更多详细信息,请参阅设置 Exchange 2010 Server 和委派安装。
文件系统权限 Exchange 2010 安装程序将针对 Exchange 二进制文件和数据所在的文件系统分配所需的最低权限。 不得对文件系统上根文件夹和 Program Files 文件夹的“访问控制列表”(ACL) 进行任何更改。
安装路径 我们建议您将 Exchange 2010 二进制文件安装在非系统磁盘(非操作系统安装卷)上。Exchange 数据库和事务日志可能会迅速增长,因此必须放置在大小适合于所需容量和性能的非系统卷上。 许多由不同 Exchange 组件生成的其他日志(例如传输日志)也与 Exchange 二进制文件存储在相同的安装路径中,并且可能会显著增长,具体取决于所用配置和消息环境。 在 Exchange 2010 中,许多日志文件的最大大小和日志文件夹可占用的最大存储空间都是可以配置的,默认情况下设置为 250 MB。 为防止可能因磁盘空间不足而发生系统中断,我们建议您针对每种服务器角色评估日志记录要求,并根据需要配置日志记录选项和日志文件存储位置。
阻止旧版 Outlook 客户端 您可以根据需要配置 Outlook 客户端阻止功能,以阻止旧版的 Outlook 客户端。 某些 Exchange 2010 功能(例如“Outlook 保护规则”和“个人存档”)不支持旧版的 Outlook 客户端。 有关 Outlook 客户端阻止功能的详细信息,请参阅为邮件记录管理配置 Outlook 客户端阻止。
取消 SMTP 地址与用户名的联系 默认情况下,Exchange 基于邮箱用户的用户名生成电子邮件地址和别名。 许多组织会创建额外的电子邮件地址策略来取消用户电子邮件地址与用户名的联系,从而提高安全性。 例如,如果用户 Ben Smith 的用户名为 bsmith,域为 contoso.com,则由默认电子邮件地址策略产生的主电子邮件地址为 bsmith@contoso.com。您可以创建其他电子邮件地址策略,使生成的电子邮件地址不使用用户的别名或用户名。 例如,创建一个使用模板
%g.%s@domain以 Firstname.Lastname@domain 格式生成电子邮件地址的电子邮件地址策略。 对于用户 Ben Smith,该策略将生成地址 Ben.Smith@contoso.com。或者,您也可以在创建或启用邮箱时指定与用户名不同的别名,从而取消电子邮件地址与用户名的联系。.gif "注释")
注意:如果用户的主 SMTP 地址与帐户上的 UPN 不匹配,用户将无法使用其电子邮件地址来登录 MicrosoftOfficeOutlook Web App,必须提供 DOMAIN\username 格式的用户名。 使用 MicrosoftOutlook 时,如果在 Outlook 连接 Autodiscover 服务时系统提示输入凭据,用户必须提供 DOMAIN\username 格式的用户名。
Microsoft Update
Microsoft Update 是一项服务,它所提供的下载与 MicrosoftWindows Update 提供的下载相同,此外,它还提供其他 Microsoft 程序的最新更新。 它可以帮助您提高服务器的安全性,确保服务器具有最佳的性能。
Microsoft Update 的一个关键功能是 Windows 自动更新。 此功能会自动安装对于您的计算机的安全和可靠性很关键的高优先级更新。 如果没有这些安全更新,计算机更易于遭受来自网络黑客和恶意软件的攻击。
接收 Microsoft Update 的最可靠的方法是通过使用 Windows 自动更新让更新自动传送到您的计算机。 可以在注册 Microsoft Update 时打开“自动更新”。
Windows 接着会分析计算机上安装的 Microsoft 软件是否存在它所需要的任何当前和过去的高优先级更新,然后会自动下载并安装这些更新。 此后,当您连接到 Internet 时,Windows 会重复此更新过程,以获取任何新的高优先级更新。
若要启用 Microsoft Update,请参阅 Microsoft Update。
Microsoft Update 的默认模式要求每个 Exchange 服务器都连接到 Internet 以接收自动更新。 如果您运行的服务器未连接到 Internet,则可以安装 Windows Server 更新服务 (WSUS) 来管理向组织中的计算机分发更新的操作。 然后可以配置内部 Microsoft Exchange 计算机上的 Microsoft Update 来联系内部 WSUS 服务器以获取更新。 有关详细信息,请参阅 Microsoft Windows Server Update Services 3.0。
WSUS 并不是唯一可用的 Microsoft Update 管理解决方案。 有关 Microsoft 安全发行、过程、通信和工具的详细信息,请参阅 Microsoft 安全更新指南。
Exchange 2010 不再需要执行的任务
不必再安装或运行以下工具:
对于 IIS 7,不需要使用 URLScan 安全工具。在早期版本的 Microsoft Exchange 中,通常需要安装 URLScan 等 IIS 工具来保证 IIS 安装的安全性。 Exchange 2010 需要使用 Windows Server 2008,该软件中包含 IIS 7。起初由 UrlScan 提供的许多安全功能现在都可以从 IIS 7 请求筛选功能中获得。
您不再需要安装 Exchange 最佳实践分析工具。 在早期版本的 Microsoft Exchange 中,通常需要在安装软件前安装并运行 Exchange 最佳实践分析工具,并且此后也需要定期运行该工具。 而 Exchange 2010 安装程序中包含 Exchange 最佳实践分析工具组件,安装期间将会运行这些组件。 在安装软件前,将不需要运行 Exchange 最佳实践分析工具。
不再需要使用“安全配置向导”(SCW) 或者 SCW 的 Exchange 模板。 Exchange 2010 安装程序仅安装特定 Exchange 服务器角色所需要的服务,并将创建高级安全 Windows 防火墙规则,以便仅开放该服务器角色的服务和进程所需要的端口。 完成此项操作不再需要运行“安全配置向导”(SCW)。 与 Exchange Server 2007 不同,Exchange 2010 不附带 SCW 模板。
保持安全性 — 最佳实践
以下的最佳实践建议将帮助您保持 Exchange 2010 环境的安全性。
及时更新软件
如上一部分中所述,运行 Microsoft Update 是一种最佳做法。 除了在所有服务器上运行 Microsoft Update 之外,及时更新所有客户端计算机并保证在组织中所有计算机上及时更新防病毒软件也非常重要。
除了 Microsoft 软件外,还应确保为组织中运行的所有软件运行最新的更新。
反垃圾邮件更新
Exchange 2010 还使用 Microsoft Update 基础结构来使反垃圾邮件筛选器保持最新状态。 默认情况下,使用手动更新时,管理员必须访问 Microsoft Update 来下载和安装内容筛选器更新。 内容筛选器更新数据每两周更新一次,用户可进行下载。
从 Microsoft Update 进行的手动更新包括 Microsoft IP 信誉服务或垃圾邮件签名数据。 Microsoft IP 信誉服务和垃圾邮件签名数据只能通过 Forefront Security for Exchange Server 反垃圾邮件自动更新来获得。
有关如何启用 Forefront 反垃圾邮件自动更新的详细信息,请参阅了解反垃圾邮件更新。
运行防病毒软件
电子邮件系统传递的病毒、蠕虫和其他恶意内容是大多数 Microsoft Exchange 管理员要面对的一种具有破坏性的实体。 因此,必须对所有邮件系统进行防御性防病毒部署。 本部分提供有关部署 Exchange 2010 防病毒软件的最佳实践建议。
选择防病毒软件供应商时,应额外注意 Exchange 2010 中的两点重要变化:
自 Exchange Server 2007 起,Microsoft Exchange 基于 64 位体系结构构建。
Exchange 2010 具有传输代理功能。
这两点变化意味着,防病毒软件供应商必须提供专用于 Exchange 2010 的软件。 针对早期版本的 Exchange 而编写的防病毒软件在 Exchange 2010 中可能无法正常工作。
要使用深度防御方法,我们建议您在 SMTP 网关或邮箱的宿主 Exchange 服务器处部署专门为邮件系统设计的防病毒软件,此外还要在用户桌面上部署防病毒软件。
您可以在愿意承受的成本与风险之间找到适当的平衡点,以决定要使用哪些类型的防病毒软件以及在哪些位置部署该软件。 例如,某些组织在 SMTP 网关处运行防病毒邮件软件,在 Exchange 服务器上运行文件级防病毒扫描,并在用户桌面上运行防病毒客户端软件。 这种方式将在客户端专门针对邮件提供保护。 其他组织可能选择在 STMP 网关处运行防病毒邮件软件,在 Exchange 服务器上运行文件级防病毒扫描,在用户桌面上运行防病毒客户端软件,以及在 Exchange 邮箱服务器上运行与 Exchange 病毒扫描应用程序编程接口 (VSAPI) 2.5 兼容的防病毒软件,这样需要承受更高的成本,但也因此提高了安全性。
在边缘传输服务器和集线器传输服务器上运行防病毒软件
基于传输的防病毒软件作为传输代理而实现,或者包括传输代理。 传输代理负责处理传输事件,与 Microsoft Exchange 早期版本中的事件接收器相似。 有关更多详细信息,请参阅了解传输代理。
| 注意: |
|---|
| 未通过传输路由的邮件不受专门针对传输进行的病毒扫描的保护,例如公用文件夹中的项目、已发送邮件和日历项目,这些都只能在邮箱服务器上进行扫描。 |
第三方开发人员可以编写自定义的传输代理程序,以利用基础的 MIME 分析引擎进行可靠的传输级防病毒扫描。 有关 Exchange 防病毒和反垃圾邮件合作伙伴的列表,请参阅独立软件供应商。
此外,Forefront Protection for Exchange Server 是与 Exchange 2010 紧密集成的防病毒软件包,用于为 Exchange 环境提供额外的防病毒保护。 有关详细信息,请参阅适用于 Exchange Server 的 Microsoft Forefront Protection 2010。
邮件防病毒软件的最重要位置是组织中的第一道防线。 这是外部邮件进入您的邮件环境所必经的 SMTP 网关。 在 Exchange 2010 中,第一道防线是边缘传输服务器。
如果在 Exchange 前使用非 Exchange SMTP 服务器或网关接收入站电子邮件,应在非 Exchange SMTP 主机上实施足够的反垃圾邮件和防病毒功能。
在 Exchange 2010 中,所有邮件都要经过集线器传输服务器路由。 这其中包括从 Exchange 组织外部发送或接收的邮件、在 Exchange 组织内部发送的邮件, 以及发件人邮箱与收件人邮箱位于同一邮箱服务器的邮件。 为了更好地在组织内部防御病毒爆发并部署第二道防线,我们还建议您在集线器传输服务器上运行基于传输的防病毒软件。
在邮箱服务器上运行防病毒软件
除了在传输服务器上执行病毒扫描外,运行在邮箱服务器上的 MicrosoftExchange 病毒扫描 API (VSAPI) 扫描解决方案也是许多组织中的重要安全屏障。 如果符合以下任一条件,则应考虑运行 VSAPI 防病毒解决方案:
贵组织尚未部署完善而可靠的桌面防病毒扫描产品。
贵组织希望可以通过扫描邮箱数据库来提供额外的保护。
您的组织已开发对 Exchange 数据库进行编程访问的自定义应用程序。
您的用户社区会经常将邮件发布到公用文件夹中。
使用 Exchange VSAPI 的防病毒解决方案直接在 Exchange 信息存储进程内运行。 VSAPI 解决方案很可能是可以防御在绕过标准客户端和传输扫描的同时将受感染的内容放到 Exchange 信息存储中的攻击工具的仅有解决方案。 例如,VSAPI 是用于扫描通过 CDO(协作数据对象)、WebDAV 和 Exchange Web 服务 (EWS) 提交到数据库的数据的唯一解决方案。 此外,当病毒爆发时,通过 VSAPI 解决方案通常可以最快地从受感染的邮件数据库中删除和消除病毒。
Exchange 服务器和文件系统防病毒软件
如果通过部署文件系统防病毒软件来保护 Exchange 服务器,应考虑以下事项:
必须从文件系统防病毒扫描程序排除 Exchange 邮箱和公用文件夹数据库所在的 Exchange 服务器目录。 有关详细信息,请参阅Exchange 2010 上的文件级防病毒扫描。
文件系统防病毒扫描程序仅保护文件。 要保护电子邮件,还应考虑实施支持 Exchange 的防病毒或邮件安全产品(例如包括 MicrosoftForefront 在内的产品)或者合适的合作伙伴或第三方产品。 有关反垃圾邮件和防病毒保护的详细信息,请参阅了解反垃圾邮件和防病毒功能。 有关详细信息,请参阅 Forefront Protection 2010 for Exchange Server: Overview。
必须及时更新防病毒和反垃圾邮件签名,才能有效地实施保护。
应定期审核防病毒和反垃圾邮件软件或服务所提供的报告,以确保保护功能已经启用并且正在按需工作,并迅速发现意外事件,采取任何必要的措施。
使用 Exchange 托管服务
MicrosoftExchange 托管服务改进了垃圾邮件和病毒筛选功能,也可以将垃圾邮件和病毒筛选作为其中的一项服务提供。 Exchange 托管服务是包含四个不同托管服务的服务组:
托管筛选,帮助组织防御以电子邮件为载体的恶意软件
托管存档,帮助组织满足合规性及文档保留的要求
托管加密,帮助组织加密数据以保护机密数据
托管连续性,帮助组织在断电期间以及之后继续访问电子邮件
这些服务与在内部管理的所有内部部署 Exchange 服务器相集成。 有关详细信息,请参阅 Forefront Online Protection for Exchange。
使用附件筛选
在 Exchange 2010 中,可以通过附件筛选功能在边缘传输服务器上应用筛选器,以控制用户接收的附件。 在当今的环境中,许多附件类型都包含有害的病毒或不适宜的资料,这些内容可能会通过破坏重要文档或公开敏感信息而使用户计算机或组织遭受重大损失,因此,附件筛选变得日益重要。
可以使用下列类型的附件筛选来控制通过边缘传输服务器传入或传出组织的附件:
基于文件名或文件扩展名筛选 可以通过指定要筛选的准确文件名或文件扩展名来筛选附件。 BadFilename.exe 是准确文件名筛选器的示例。*.exe 是文件扩展名筛选器的示例。
基于文件 MIME 内容类型筛选 还可以通过指定要筛选的 MIME 内容类型来筛选附件。 MIME 内容类型可以指示附件类型:JPEG 图像、可执行文件、MicrosoftOfficeExcel 2010 文件或一些其他文件类型。 内容类型以 type/subtype 形式表示。 例如,JPEG 图像内容类型表示为 image/jpeg。
如果附件符合上述筛选条件之一,则可以配置对附件执行下列操作:
阻止整个邮件和附件
去除附件但允许邮件通过
以静默方式删除邮件和附件
有关更多详细信息,请参阅了解附件筛选。
| 注意: |
|---|
| 不能使用附件筛选器代理来根据附件内容对附件进行筛选。 您可以使用传输规则来检查邮件和附件内容并采取适当的措施,例如删除或拒绝邮件,或者对邮件和附件进行 IRM 保护。 有关详细信息,请参阅了解传输规则。 |
使用 Forefront Protection for Exchange Server 进行文件筛选
Forefront Protection for Exchange Server 提供的文件筛选功能包括 Exchange 2010 附带的附件筛选器代理中未提供的高级功能。
例如,可以扫描容器文件(即包含其他文件的文件)是否存在冲突文件类型。 Forefront Protection for Exchange Server 筛选可以扫描下列容器文件并操作嵌入文件:
PKZip (.zip)
GNU Zip (.gzip)
自解压的压缩文件存档 (.zip)
压缩文件 (.zip)
Java 存档 (.jar)
TNEF (winmail.dat)
结构化存储(.doc, .xls, .ppt 等)
MIME (.eml)
SMIME (.eml)
UUEncode (.uue)
Unix 磁带存档 (.tar)
RAR 存档 (.rar)
MACBinary (.bin)
| 注意: |
|---|
| Exchange 2010 附带的附件筛选器代理可以检测文件类型,即使这些文件已经重命名也无妨。 附件筛选还可以通过对压缩的 Zip 或 LZH 文件中的文件执行文件扩展名匹配,来确保压缩的 Zip 和 LZH 文件中不包含被阻止的附件。 Forefront Protection for Exchange Server 文件筛选还具有其他功能,可以确定被阻止的附件是否在容器文件中进行了重命名。 |
您还可以按文件大小筛选文件。 另外,还可以将 Forefront Protection for Exchange Server 配置为隔离筛选的文件或基于 Exchange 文件筛选器匹配来发送电子邮件通知。
有关详细信息,请参阅 使用 Microsoft Forefront Security for Exchange Server 保护 Microsoft Exchange 组织。
运行 Exchange 最佳实践分析工具
Exchange 最佳实践分析工具是可以定期运行来帮助验证 Exchange 环境是否安全的最有效工具之一。 Exchange 最佳实践分析工具可以自动检查 Microsoft Exchange 部署,并确定其配置是否符合 Microsoft 最佳实践。 在 Exchange 2010 中,Exchange 最佳实践分析工具作为 Exchange 安装程序的一部分安装,并且可以从 Exchange 管理控制台 (EMC) 的“工具”部分运行。 如果有适当的网络访问权限,Exchange 最佳实践分析工具可以检查所有 Active Directory 域服务 (AD DS) 服务器和 Exchange 服务器。 Exchange 最佳实践分析工具具有权限继承检查功能。 此外,它还可以通过测试来验证 RBAC 权限。 这包括通过测试确保所有用户都可以访问 Exchange 控制面板 (ECP)、由 Exchange 安装程序创建的所有默认 RBAC 角色均配置正确并且 Exchange 组织内至少存在一个管理帐户。
网络端口的使用及防火墙的强化
Windows Server 2008 包括高级安全 Windows 防火墙,这是默认情况下启用的有状态数据包检查防火墙。 高级安全 Windows 防火墙提供以下功能:
筛选传入或传出计算机的 IP 版本 4 (IPv4) 和 IP 版本 6 (IPv6) 通信。 默认情况下,将阻止所有传入通信,除非通信是对计算机先前传出请求的应答(请求的通信),或者通过创建相应规则而专门允许该通信。 默认情况下,将允许所有传出通信,除非服务强化规则阻止标准服务以非常规的方式进行通信。 您可以选择基于端口号、IPv4 或 IPv6 地址、应用程序路径和名称、计算机上所运行服务的名称或者其他标准来允许通信。
使用 IPsec 协议验证网络通信的完整性、对发送和接收方计算机或用户进行身份验证并(可选)对通信进行加密以确保机密性,从而保护传入或传出计算机的网络通信的安全。
根据设计,Exchange 2010 应在启用高级安全 Windows Server 防火墙的情况下运行。 Exchange 安装程序将创建所需的防火墙规则,以允许 Exchange 服务和进程进行通信。 它仅创建特定服务器角色上安装的服务和进程所需要的规则。 有关为每种 Exchange 2010 服务器角色创建的网络端口使用和防火墙规则的更多详细信息,请参阅Exchange 网络端口参考。
在 Windows Server 2008 和 Windows Server 2008 R2 中,高级安全 Windows 防火墙允许您指定端口针对哪些进程或服务开放。 这样做会更安全,因为它将对端口的使用限制在规则中指定的进程或服务。 Exchange 2010 安装程序将创建指定了进程名称的防火墙规则。 在某些情况下,也会出于兼容目的而创建其他不局限于进程的规则。 您可以禁用或删除不局限于进程的规则,而保留同样由 Exchange 2010 安装程序创建并局限于特定进程的对应规则(如果您的部署支持这些规则)。 可以通过规则名称中的词 (GFW) 来辨别不局限于进程的规则。 我们建议您在禁用不局限于进程的规则前在环境中充分测试这些规则。
下表列出了由 Exchange 安装程序创建的 Windows 防火墙规则,其中包括每个服务器角色上开放的端口。
Windows 防火墙规则
| 规则名称 | 服务器角色 | 端口 |
|---|---|---|
MSExchangeRPCEPMap (GFW) (TCP-In) |
所有角色 |
RPC-EPMap |
MSExchangeRPC (GFW) (TCP-In) |
客户端访问、集线器传输、邮箱、统一消息 |
动态 RPC |
MSExchange - IMAP4 (GFW) (TCP-In) |
客户端访问 |
143, 993 (TCP) |
MSExchange - POP3 (GFW) (TCP-In) |
客户端访问 |
110, 995 (TCP) |
MSExchange - OWA (GFW) (TCP-In) |
客户端访问 |
5075, 5076, 5077 (TCP) |
MSExchangeMailboxReplication (GFW) (TCP-In) |
客户端访问 |
808 (TCP) |
MSExchangeIS (GFW) (TCP-In) |
邮箱 |
6001, 6002, 6003, 6004 (TCP) |
MSExchangeTransportWorker (GFW) (TCP-In) |
集线器传输 |
25, 587 (TCP) |
SESWorker (GFW) (TCP-In) |
统一消息 |
任意 |
UMService (GFW) (TCP-In) |
统一消息 |
5060, 5061 (TCP) |
UMWorkerProcess (GFW) (TCP-In) |
统一消息 |
5065, 5066, 5067, 5068 |
.gif "重要") 重要说明: |
|---|
| 修改某项 Exchange 2010 服务所用的默认端口时,还必须修改相应的高级安全 Windows 防火墙的防火墙规则,以允许通过您决定使用的非默认端口进行通信。当您更改某项服务所用的默认端口时,Exchange 2010 并不会更改防火墙规则。 |
限制参数和客户端限制策略
Exchange 2010 包括传输服务器、客户端访问服务器和邮箱服务器角色的限制参数,用以控制与各协议相关的不同连接参数。Exchange 2010 还包括客户端限制策略,用以控制客户端访问服务器上的负载。 这些限制参数和策略可以帮助您控制负载并保护 Exchange 2010 服务器免受针对不同协议的拒绝服务攻击的侵害。
传输服务器的限制参数
在 Exchange 2010 传输服务器上,邮件限制参数在服务器以及发送和接收连接器上实施,用以控制邮件处理速率、SMTP 连接速率和 SMTP 会话超时值。 这些限制参数共同保护传输服务器,避免其因接受并传递大量邮件而负载过重,使其免受恶意 SMTP 客户端和拒绝服务攻击的侵害。
您可以使用 Set-TransportServer cmdlet 在 Exchange 2010 传输服务器上配置以下限制策略。
传输服务器限制参数
| 参数 | 描述 |
|---|---|
MaxConcurrentMailboxDeliveries |
MaxConcurrentMailboxDeliveries 参数指定集线器传输服务器在将邮件传递给邮箱时可以同时打开的最大传递线程数。 集线器传输服务器上的存储驱动程序负责向邮箱服务器传入邮件或从其传出邮件。 此限制对于向 Exchange 组织中的任何邮箱传递邮件适用。 默认值 20 个传递线程 |
MaxConcurrentMailboxSubmissions |
MaxConcurrentMailboxSubmissions 参数指定集线器传输服务器在从邮箱接收邮件时可以同时打开的最大传递线程数。集线器传输服务器上的存储驱动程序负责向邮箱服务器传入邮件或从其传出邮件。 此限制对于从 Exchange 组织中的任何邮箱接收新邮件适用。 默认值 20 个提交线程 |
MaxConnectionRatePerMinute |
MaxConnectionRatePerMinute 参数指定集线器传输服务器或边缘传输服务器可以打开新入站连接的最大速率。 这些连接可以指向服务器上存在的任何接收连接器。 默认值 每分钟 1,200 个连接。 |
MaxOutboundConnections |
MaxOutboundConnections 参数指定集线器传输服务器或边缘传输服务器可以同时打开的最大并发出站连接数。 借助安装在服务器上的发送连接器,可进行出站连接。 MaxOutboundConnections 参数指定的值适用于传输服务器上的所有发送连接器。 默认值 1,000 个连接。 如果输入“无限制”值,则不限制出站连接数。 此外,也可以使用 EMC 配置该值。 |
MaxPerDomainOutboundConnections |
MaxPerDomainOutboundConnections 参数指定面向 Internet 的集线器传输服务器或边缘传输服务器可以向任何一个远程域打开的最大连接数。 借助安装在服务器上的发送连接器,可进行到远程域的出站连接。 默认值 每个域 20 个连接。 如果输入“无限制”值,则不限制每个域的出站连接数。 此外,也可以使用 EMC 配置该值。 |
PickupDirectoryMaxMessagesPerMinute |
MaxPerDomainOutboundConnections 参数指定针对“分拣”目录和“重播”目录的邮件处理速率。 每个目录都可以按照 PickupDirectoryMaxMessagesPerMinute 参数指定的速率独立处理邮件文件。 默认值 默认情况下,“分拣”目录每分钟可以同时处理 100 封邮件,“重播”目录每分钟可以同时处理 100 封邮件。 “分拣”目录和“重播”目录每 5 秒钟扫描一次新邮件文件,每分钟扫描 12 次。 此 5 秒钟的轮询间隔不可配置。 这意味着每个轮询间隔期间可以处理的最大邮件数等于为 PickupDirectoryMaxMessagesPerMinute 参数指定的值除以 12 (PickupDirectoryMaxMessagesPerMinute/12)。 默认情况下,每个 5 秒钟的轮询间隔最多只能处理 8 封邮件。 |
发送连接器的限制参数
发送连接器上可使用以下限制参数。 可以使用 Send-Connector cmdlet 配置这些参数。
发送连接器限制参数
| 参数 | 描述 |
|---|---|
ConnectionInactivityTimeOut |
ConnectionInactivityTimeOut 参数指定到目标邮件传递服务器的已打开 SMTP 连接在关闭前可以保持空闲的最长时间。 默认值 10 分钟。 |
SmtpMaxMessagesPerConnection |
SmtpMaxMessagesPerConnection 参数指定此发送连接器服务器可通过每个连接发送的最大邮件数。 默认值 20 封邮件 |
接收连接器的限制参数
可以针对 Exchange 2010 传输服务器上的接收连接器配置以下限制参数,以控制连接参数,例如非活动超时、最大连接数以及连接期间允许的 SMTP 协议错误数。 可以使用 Set-ReceiveConnector cmdlet 配置这些参数。
接收连接器限制参数
| 参数 | 描述 |
|---|---|
ConnectionInactivityTimeOut |
ConnectionInactivityTimeOut 参数指定到源邮件传递服务器的已打开 SMTP 连接在关闭前可以保持空闲的最长时间。 在集线器传输服务器上的默认值 5 分钟。 在边缘传输服务器上的默认值 1 分钟。 |
ConnectionTimeOut |
ConnectionTimeOut 参数指定到源邮件传递服务器的 SMTP 连接可以保持打开状态的最长时间(即使源邮件传递服务器正在传输数据)。 在集线器传输服务器上的默认值 10 分钟。 在边缘传输服务器上的默认值 5 分钟。 ConnectionTimeout 参数指定的值必须大于 ConnectionInactivityTimeout 参数指定的值。 |
MaxInboundConnection |
MaxInboundConnection 参数指定此接收连接器允许同时建立的最大入站 SMTP 连接数。 默认值 5,000 |
MaxInboundConnectionPercentagePerSource |
MaxInboundConnectionPercentagePerSource 参数指定接收连接器允许同时从单个源邮件传递服务器建立的最大 SMTP 连接数。 该值以接收连接器上的可用剩余连接百分比表示。 接收连接器允许的最大连接数由 MaxInboundConnection 参数定义。 默认值 2% |
MaxInboundConnectionPerSource |
MaxInboundConnectionPerSource 参数指定接收连接器允许同时从单个源邮件传递服务器建立的最大 SMTP 连接数。 默认值 100 个连接 |
MaxProtocolErrors |
MaxProtocolErrors 参数指定接收连接器在关闭与源邮件传递服务器的连接前允许出现的 SMTP 协议错误的最大数量。 默认值 5 个错误 |
POP3 服务的限制参数
以下限制参数适用于客户端访问服务器上的 MicrosoftExchange POP3 服务。 可以使用 Set-POPSettings cmdlet 配置这些参数。 有关详细信息,请参阅设置 POP3 的连接限制。
POP3 服务限制参数
| 参数 | 描述 |
|---|---|
MaxCommandSize |
MaxCommandSize 参数指定单个命令的最大大小。 可能的值从 40 个字节到 1024 个字节。 默认值 40 个字节。 |
MaxConnectonFromSingleIP |
MaxConnectionFromSingleIP 参数指定特定的服务器从单个 IP 地址接受的连接数。 可能的值从 1 到 25,000。 默认值 2,000 个连接 |
MaxConnections |
MaxConnections 参数指定特定的服务器将接受的连接总数。 这包括通过身份验证和未通过身份验证的连接。 可能的值从 1 到 25,000。 默认值 2,000 个连接。 |
MaxConnectionsPerUser |
MaxConnectionsPerUser 参数指定客户端访问服务器将从特定用户接受的最大连接数。 可能的值从 1 到 25,000。 默认值 16 个连接。 |
PreAuthenticationConnectionTimeOut |
PreAuthenticatedConnectionTimeout 参数指定在关闭未经过身份验证的空闲连接之前要等待的时间。 可能的值从 10 秒到 3,600 秒。 默认值 60 秒。 |
IMAP4 服务的限制参数
以下限制参数适用于客户端访问服务器上的 MicrosoftExchange IMAP4 服务。 可以使用 Set-IMAPSettings cmdlet 配置这些参数。 有关详细信息,请参阅设置 IMAP4 的连接限制。
IMAP4 服务限制参数
| 参数 | 描述 |
|---|---|
AuthenticationConnectionTimeOut |
AuthenticatedConnectionTimeout 参数指定在关闭经过身份验证的空闲连接之前要等待的时间。 可能的值从 30 秒到 86400 秒。 默认值 1,800 秒。 |
MaxCommandSize |
MaxCommandSize 参数指定单个命令的最大大小。 默认大小为 40 字节。 可能的值从 40 个字节到 1024 个字节。 默认值 40 个字节。 |
MaxConnectionFromSingleIP |
MaxConnectionFromSingleIP 参数指定特定的服务器从单个 IP 地址接受的连接数。 可能的值从 1 到 25,000。 默认值 2,000 个连接 |
MaxConnections |
MaxConnections 参数指定特定服务器接受的总连接数。 这包括通过身份验证和未通过身份验证的连接。 可能的值从 1 到 25,000。 默认值 2,000 个连接 |
MaxConnectionsPerUser |
MaxConnectionsPerUser 参数指定客户端访问服务器将从特定用户接受的最大连接数。 可能的值从 1 到 25,000。 默认值 16 个连接。 |
PreAuthenticatedConnectionTimeOut |
PreAuthenticatedConnectionTimeout 参数指定在关闭未经过身份验证的空闲连接之前要等待的时间。 可能的值从 10 秒到 3600 秒。 默认值 60 秒。 |
客户端限制策略
在 Exchange 2010 中,可以使用客户端限制策略来管理客户端访问服务器的性能,管理工作可以通过控制参数来实现,例如每个客户端访问协议的并发连接数、客户端会话可用于运行 LDAP 操作的时间百分比、RPC 操作以及客户端访问操作。 软件包含一个默认的客户端限制策略,通常情况下足以管理客户端访问服务器上的负载。 您也可以修改默认策略参数或创建符合部署要求的自定义策略。
限制策略可用于以下用户组及访问方法:
匿名访问
跨内部部署访问 (CPA)
Exchange ActiveSync (EAS)
Exchange Web 服务 (EWS)
IMAP
POP
Outlook Web App (OWA)
RPC 客户端访问 (RCA)
以下限制设置可以用于每个用户组(匿名访问和 CPA)及访问方法(EAS、EWS、IMAP、OWA、POP 和 RCA)的客户端限制策略中。
客户端限制策略设置
| 限制设置 | 匿名访问 | CPA | EAS | EWS | IMAP | OWA | POP | RCA |
|---|---|---|---|---|---|---|---|---|
最大并发数 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
AD 中时间百分比 |
是 |
不适用 |
是 |
是 |
是 |
是 |
是 |
是 |
CAS 中时间百分比 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
邮箱 RPC 中时间百分比 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
CPA 跨内部部署访问
EAS Exchange ActiveSync
EWS Exchange Web 服务
OWA Outlook Web App
除这些基于用户组和访问方法的限制设置外,客户端限制策略中还可以使用以下限制设置。
客户端限制策略参数
| 参数 | 描述 |
|---|---|
CPUStartPercent |
CPUStartPercent 参数指定每个进程占用的 CPU 百分比,达到此值时,将开始拒绝受此策略约束的用户。 有效值介于 0 到 100 之间。使用 $null 可以针对此策略禁用基于 CPU 百分比的限制。 |
EASMaxDeviceDeletesPerMonth |
EASMaxDeviceDeletesPerMonth 参数指定对用户每月可删除的 Exchange ActiveSync 合作伙伴关系数的限制。 默认情况下,每个用户每个日历月最多可以删除 20 个合作伙伴关系。 达到该限制后,合作伙伴关系删除尝试将失败,并且会向用户显示错误消息。 |
EASMaxDevices |
EASMaxDevices 参数指定对用户一次可以创建的 Exchange ActiveSync 合作伙伴关系数的限制。 默认情况下,每个用户可以使用其 Exchange 帐户创建 10 个 Exchange ActiveSync 合作伙伴关系。 用户超过此限制后,必须删除其中一个现有的合作伙伴关系,然后才能创建任何新的合作伙伴关系。 当超过限制时,将向用户发送一封描述该限制的电子邮件错误消息。 此外,当用户超过限制时,还会在应用程序日志中记录该事件。 |
EWSFastSearchTimeOutInSeconds |
EWSFastSearchTimeoutInSeconds 参数指定使用 Exchange Web 服务进行的搜索需要运行多长时间才会超时。 如果搜索的时间超过了策略值指示的时间,则会停止搜索并返回错误。 此设置的默认值为 60 秒。 |
EWSFindCountLimit |
EWSFindCountLimit 参数指定对于此当前进程中的此用户,可同时存在于客户端访问服务器内存中的 FindItem 或 FindFolder 调用的最大结果大小。 如果尝试查找的项目或文件夹超过策略限制允许的范围,则将会返回错误。 但是,如果在已编制索引的页面视图环境中执行调用,则不会严格强制执行限制。 具体来说,在此情况下,将会截断搜索结果以包含符合策略限制的项目和文件夹数。 然后,通过进一步执行 FindItem 或 FindFolder 调用,在结果集中添加分页。 |
EWSMaxSubscriptions |
EWSMaxSubscriptions 参数指定用户在特定的客户端访问服务器上可以同时具有的活动推送订阅和请求订阅的最大数量。 如果用户尝试创建的订阅超出了配置的最大数,则订阅将失败,并会在事件查看器中记录事件。 |
ExchangeMaxCmdlets |
ExchangeMaxCmdlets 参数指定在执行速度减慢之前的特定时间段内可以运行的 cmdlet 数。 此参数指定的值应该小于 PowerShellMaxCmdlets parameter 参数指定的值。 用于此限制的时间段由 PowerShellMaxCmdletsTimePeriod 参数指定。 我们建议同时设置这两个参数的值。 |
ForwardeeLimit |
ForwardeeLimit 参数指定使用转发或重定向操作时可以在“收件箱规则”中配置的收件人数限制。 此参数不限制可转发或重定向到配置的收件人的邮件数量。 |
MessageRateLimit |
MessageRateLimit 参数指定每分钟可以提交以便进行传输的邮件数量。 对于通过邮箱服务器角色(Outlook Web App、Exchange ActiveSync 或 Exchange Web 服务)提交的邮件,此设置会导致邮件延迟发送,直至达到用户配额。 具体来说,当用户以大于 MessageRateLimit 参数的速率提交邮件时,邮件会在长时间出现在“发件箱”或“草稿”文件夹中。 对于使用 SMTP 直接提交所传输邮件的 POP 或 IMAP 客户端,如果以超过 MessageRateLimit 参数的速率提交邮件,则客户端会收到暂时性错误。Exchange 会在稍后的某个时间尝试连接并发送邮件。 |
PowerShellMaxCmdletQueueDepth |
PowerShellMaxCmdletQueueDepth 参数指定允许用户执行的操作数。 该值直接影响 PowerShellMaxCmdlets 和 PowerShellMaxConcurrency 参数的行为。 例如,PowerShellMaxConcurrency 参数至少占用两个由 PowerShellMaxCmdletQueueDepth 参数定义的操作,但是每次执行 cmdlet 时还会占用其他操作。 操作数取决于所运行的 cmdlet。 建议 PowerShellMaxCmdletQueueDepth 参数的值至少是 PowerShellMaxConcurrency parameter 参数值的四倍。 此参数不会影响 Exchange 控制面板操作或 Exchange Web 服务操作。 |
PowerShellMaxCmdlets |
PowerShellMaxCmdlets 参数指定在执行停止前的特定时间段内可以执行的 cmdlet 数。 此参数指定的值应该大于 ExchangeMaxCmdlets 参数指定的值。 用于此限制的时间段由 PowerShellMaxCmdletsTimePeriod 参数指定。 应同时设置这两个值。 |
PowerShellMaxCmdletsTimePeriod |
PowerShellMaxCmdletsTimePeriod 参数指定一个时间段(以秒为单位),限制策略使用该时间段来确定运行的 cmdlet 数是否超过 PowerShellMaxCmdlets 和 ExchangeMaxCmdlets 参数指定的限制。 |
PowerShellMaxConcurrency |
PowerShellMaxConcurrency 参数根据上下文指定不同的信息: 在 Remote PowerShell 上下文中,PowerShellMaxConcurrency 参数指定 Remote PowerShell 用户可以同时打开的最大 Remote PowerShell 会话数。 在 Exchange Web 服务上下文中,PowerShellMaxConcurrency 参数指定用户可以同时执行的并发 cmdlet 数。 此参数值不一定与用户打开的浏览器数相关。 |
RecipientRateLimit |
RecipientRateLimit 参数指定用户在 24 小时内可以发送到的收件人数量限制。 |
有关 Exchange 2010 限制策略的更多详细信息,请参阅了解客户端限制策略。
基于角色的访问控制
基于角色的访问控制 (RBAC) 是 Exchange 2010 中一种新的权限模型,通过它,您可以在粗略和精细化级别控制管理员和用户所能执行的操作。通过 RBAC,将不再需要修改 Active Directory 对象(例如组织单位和容器)上的“访问控制列表”(ACL),即可将权限精细地委派给组(例如支持人员)或者通过权限委派实现多项功能(例如收件人管理)。 Active Directory
有关更多详细信息,请参阅了解基于角色的访问控制。 有关 Exchange 2010 中附带的默认 RBAC 管理角色的列表,请参阅内置管理角色。 有关默认角色组的列表,请参阅内置的角色组。
由您或者 Exchange 2010 安装程序创建的角色组将创建于 Active Directory 中,成为 MicrosoftExchange 安全组 OU 中的通用安全组。 可以使用 New-RoleGroupMember cmdlet 或 Exchange 控制面板 (ECP) 在角色组中添加成员。 将某个成员添加到角色组中时,该用户或组也将添加到相应的 Active Directory 安全组中。 可以使用“受限组”策略来限制关键 RBAC 角色组(例如“发现管理”)的成员身份。 实施“受限组”策略时,组成员身份由 Active Directory 域控制器进行监控,策略中不包括的所有用户都将被自动删除。
| 重要说明: |
|---|
| 如果使用“受限组”来限制 RBAC 角色组的组成员身份,则在使用 Exchange 2010 工具对角色组进行更改时,还必须在 Active Directory 中对“受限组”策略进行相应的更改。 有关详细信息,请参阅组策略安全设置。 |
Active Directory
Exchange 服务器将配置数据存储在“配置”分区,而将收件人数据存储在“Active Directory 域服务”(AD DS) 的“域”分区中。 有关设置 Exchange 2010 组织所需权限的详细信息,请参阅Exchange 2010 部署权限参考。 与 Active Directory 域控制器之间的通信安全要通过 Kerberos 身份验证和加密来加以保证。
Exchange 2010 在 Exchange 内提供了一个新的授权层,称为“基于角色的访问控制”(RBAC),而无需针对需要相应权限的每个帐户应用访问控制条目 (ACE)。 在早期版本的 Microsoft Exchange 中,Exchange 安装程序依赖于 Active Directory 中的 ACE,这样,Exchange 管理员才能够管理域分区内的对象。Exchange 管理员将可以通过 RBAC 在特定作用域内执行某些操作。 通过“ExchangeWindows 权限”和“Exchange 受信任子系统”安全组可以在 Active Directory 中为 Exchange 服务器授予相应的权限,服务器可以利用这些权限代表管理员或用户运行授权的操作。 有关 RBAC 的详细信息,请参阅了解基于角色的访问控制。
在 Exchange 2010 中,/PrepapareDomain 不会将“ExchangeWindows 权限”通用安全组的任何 ACE 应用到 Active Directory 中的 AdminSDHolder 容器。 如果 /PrepareDomain 检测到任何授予“ExchangeWindows 权限”通用安全组的 ACE,该 ACE 会被删除。 这样做具有如下影响:
“ExchangeWindows 权限”通用安全组的成员不能修改受保护安全组(例如“Enterprise Admins”和“Domain Admins”)的成员身份。 这样做具有如下影响:
“ExchangeWindows 权限”通用安全组的成员不能强制对受 AdminSDHolder 保护的帐户进行密码重置。
“ExchangeWindows 权限”通用安全组的成员不能更改受 AdminSDHolder 保护的任何组或帐户的权限。
最佳做法是,我们建议您不要对受 AdminSDHolder 保护的帐户启用邮箱,务必为 Active Directory 管理员维护单独的帐户: 一个帐户用于管理 Active Directory,一个帐户用于日常使用(包括收发电子邮件)。 有关详细信息,请参阅下列主题:
Exchange 服务器帐户
Exchange 2010 安装程序将在根域中创建一个新的组织单元 (OU),称为 MicrosoftExchange 安全组。 下表介绍这些新的通用安全组。
Microsoft Exchange 安全组
| 安全组 | 描述 |
|---|---|
Exchange 所有托管组织 |
该组包含所有“Exchange 托管组织邮箱”组。 它用于将密码设置对象应用于所有托管邮箱。 不应删除该组。 |
Exchange 服务器 |
该组包含所有 Exchange 服务器。 不应删除该组。 我们强烈建议不要对该组的成员身份进行任何更改。 |
Exchange 受信任子系统 |
该组包含通过“管理”服务代表用户运行 Exchange cmdlet 的 Exchange 服务器。 其成员有权读取和修改所有 Exchange 配置以及用户帐户和组。 不应删除该组。 |
ExchangeWindows 权限 |
该组包含通过“管理”服务代表用户运行 Exchange cmdlet 的 Exchange 服务器。 其成员有权读取和修改所有 Windows 帐户和组。 不应删除该组。 我们强烈建议不要对该组的成员身份进行任何更改,建议您对组成员身份进行监视。 |
ExchangeLegacyInterop |
该组用于实现与相同林内 Exchange 2003 服务器的互操作性。 不应删除该组。 |
除上述安全组外,安全程序还会创建与对应 RBAC 角色组同名的以下安全组。
与 RBAC 角色组对应的安全组
| 安全组 | RBAC 角色组 |
|---|---|
委派安装 |
|
发现管理 |
|
技术支持 |
|
清洁管理 |
|
组织管理 |
|
公用文件夹管理 |
|
收件人管理 |
|
记录管理 |
|
服务器管理 |
|
UM 管理 |
|
仅查看组织管理 |
此外,当您创建新角色组时,Exchange 2010 将创建与角色组同名的安全组。有关详细信息,请参阅下列主题:
使用 Add-RoleGroupMember 或 Remove-RoleGroupMember cmdlet 或者 ECP 中的“基于角色的访问控制 (RBAC) 用户编辑器”在角色组中添加或删除用户时,也会相应地在这些安全组中添加或删除这些用户。
文件系统
Exchange 2010 安装程序将以 Exchange 2010 正常工作所需的最小权限创建目录。 我们建议您不要对安装程序所创建目录的默认访问控制列表进行任何额外的权限强化操作。
服务
Exchange 2010 安装程序在默认情况下不会禁用任何 Windows 服务。 下表列出每个服务器角色在默认情况下启用的服务。 默认情况下,安装程序仅启用特定 Exchange 2010 服务器角色正常操作所需要的服务。
Exchange 安装程序安装的服务
| 服务名 | 服务简短名称 | 安全上下文 | 描述及依赖关系 | 默认启动类型 | 服务器角色 | 必需 (R) 或可选 (O) |
|---|---|---|---|---|---|---|
Microsoft ExchangeActive Directory 拓扑 |
MSExchangeADTopology |
本地系统 |
为 Exchange 服务提供 Active Directory 拓扑信息。 如果停止此服务,则大多数 Exchange 服务将无法启动。 此服务没有任何依赖关系。 |
自动 |
邮箱、集线器传输、客户端访问、统一消息 |
R |
Microsoft Exchange ADAM |
ADAM_MSExchange |
网络服务 |
在边缘传输服务器上存储配置数据和收件人数据。 此服务代表安装程序在安装边缘传输服务器期间自动创建的 Active Directory 轻型目录服务 (AD LDS) 命名实例。 此服务依赖于 COM + 事件系统服务。 |
自动 |
边缘传输 |
R |
Microsoft Exchange 通讯簿 |
MSExchangeAB |
本地系统 |
管理客户端通讯簿连接。 此服务依赖于 Microsoft ExchangeActive Directory 拓扑服务。 |
自动 |
客户端访问 |
R |
Microsoft Exchange 反垃圾邮件更新 |
MSExchangeAntispamUpdate |
本地系统 |
提供 MicrosoftForefront Protection 2010 for Exchange Server 反垃圾邮件更新服务。 在集线器传输服务器上,此服务依赖于 Microsoft ExchangeActive Directory 拓扑服务。 在边缘传输服务器上,此服务依赖于 Microsoft Exchange ADAM 服务。 |
自动 |
集线器传输、边缘传输 |
O |
Microsoft Exchange 凭据服务 |
MSExchangeEdgeCredential |
本地系统 |
监视 AD LDS 中的凭据更改并将更改安装在边缘传输服务器上。 此服务依赖于 Microsoft Exchange ADAM 服务。 |
自动 |
边缘传输 |
R |
Microsoft Exchange EdgeSync |
MSExchangeEdgeSync |
本地系统 |
通过安全 LDAP 通道连接到订阅的边缘传输服务器上的 AD LDS 实例,以便在集线器传输服务器与边缘传输服务器之间同步数据。 此服务依赖于 Microsoft ExchangeActive Directory 拓扑服务。 如果未配置“边缘订阅”,可以禁用此服务。 |
自动 |
集线器传输 |
O |
Microsoft Exchange 文件分发 |
MSExchangeFDS |
本地系统 |
分发脱机通讯簿 (OAB) 和自定义统一消息提示。 此服务依赖于 Microsoft ExchangeActive Directory 拓扑和工作站服务。 |
自动 |
客户端访问、统一消息 |
R |
Microsoft Exchange 基于表单的身份验证 |
MSExchangeFBA |
本地系统 |
提供针对 Outlook Web App 以及 Exchange 控制面板的基于表单的身份验证。 如果停止此服务,Outlook Web App 和 Exchange 控制面板将不会验证用户。 此服务没有任何依赖关系。 |
自动 |
客户端访问 |
R |
Microsoft Exchange IMAP4 |
MSExchangeIMAP4 |
网络服务 |
为客户端提供 IMAP4 服务。 如果停止此服务,则客户端将无法使用 IMAP4 协议连接到此计算机。 此服务依赖于 Microsoft ExchangeActive Directory 拓扑服务。 |
手动 |
客户端访问 |
O |
Microsoft Exchange 信息存储 |
MSExchangeIS |
本地系统 |
管理 Exchange 信息存储。 这包括邮箱数据库和公用文件夹数据库。 如果停止此服务,则此计算机上的邮箱数据库和公用文件夹数据库不可用。 如果禁用此服务,则显式依赖于它的任何服务都将无法启动。 此服务依赖于 RPC、服务器、Windows 事件日志和工作站服务。 |
自动 |
邮箱 |
R |
Microsoft Exchange 邮件提交服务 |
MSExchangeMailSubmission |
本地系统 |
将来自邮箱服务器的邮件提交到 Exchange 2010 集线器传输服务器。 此服务依赖于 Microsoft ExchangeActive Directory 拓扑服务。 |
自动 |
邮箱 |
R |
Microsoft Exchange 邮箱助理 |
MSExchangeMailboxAssistants |
本地系统 |
在 Exchange 存储中对邮箱执行后台处理。 此服务依赖于 Microsoft ExchangeActive Directory 拓扑服务。 |
自动 |
邮箱 |
R |
Microsoft Exchange 邮箱复制服务 |
MSExchangeMailboxReplication |
本地系统 |
处理邮箱移动和移动请求。 此服务依赖于 Microsoft ExchangeActive Directory 拓扑和 Net.Tcp 端口共享服务。 |
自动 |
客户端访问 |
O |
Microsoft Exchange 监视 |
MSExchangeMonitoring |
本地系统 |
允许应用程序调用 Exchange 诊断 cmdlet。 此服务没有任何依赖关系。 |
手动 |
所有 |
O |
Microsoft Exchange POP3 |
MSExchangePOP3 |
网络服务 |
为客户端提供 POP3 服务。 如果停止此服务,则客户端将无法使用 POP3 协议连接到此计算机。 此服务依赖于 Microsoft ExchangeActive Directory 拓扑服务。 |
手动 |
客户端访问 |
O |
Microsoft Exchange 受保护服务主机 |
MSExchangeProtectedServiceHost |
本地系统 |
为必须由其他服务加以保护的多个 Exchange 服务提供宿主。 此服务依赖于 Microsoft ExchangeActive Directory 拓扑服务。 |
自动 |
集线器传输、客户端访问 |
R |
Microsoft Exchange 复制服务 |
MSExchangeRepl |
本地系统 |
为数据库可用性组 (DAG) 中邮箱服务器上的邮箱数据库提供复制功能。 此服务依赖于 Microsoft ExchangeActive Directory 拓扑服务。 |
自动 |
邮箱 |
O |
Microsoft Exchange RPC 客户端访问 |
MSExchangeRPC |
网络服务 |
管理 Exchange 的客户端 RPC 连接。 此服务依赖于 Microsoft ExchangeActive Directory 拓扑服务。 |
自动 |
邮箱、客户端访问 |
O(邮箱)、R(客户端访问) |
Microsoft Exchange 搜索索引器 |
MSExchangeSearch |
本地系统 |
促进邮箱内容的索引编制,提高内容搜索的性能。 此服务依赖于 Microsoft ExchangeActive Directory 拓扑和 Microsoft Search(Exchange 服务器)服务。 |
自动 |
邮箱 |
O |
Microsoft Exchange Server Extension for Windows Server Backup |
WSBExchange |
本地系统 |
允许 Windows Server Backup 用户备份和恢复 Microsoft Exchange 的应用程序数据。 此服务没有任何依赖关系。 |
手动 |
邮箱 |
O |
Microsoft Exchange 服务主机 |
MSExchangeServiceHost |
本地系统 |
为多个 Exchange 服务提供主机。 对于内部服务器角色,此服务依赖于 Microsoft ExchangeActive Directory 拓扑服务。 在边缘传输服务器上,此服务依赖于 Microsoft Exchange ADAM 服务。 |
自动 |
所有 |
R |
Microsoft Exchange 语音引擎 |
MSSpeechService |
网络服务 |
为统一消息提供语音处理服务。 此服务依赖于 Windows Management Instrumentation (WMI) 服务。 |
自动 |
统一消息 |
R |
Microsoft Exchange 系统助理 |
MSExchangeSA |
本地系统 |
将目录查找转发到全局编录服务器以查找旧版 Outlook 客户端,生成电子邮件地址和 OAB,更新旧版客户端的忙/闲信息,并维护服务器的权限和组成员身份。如果禁用此服务,则显式依赖于它的任何服务都将无法启动。 此服务依赖于 RPC、服务器、Windows 事件日志和工作站服务。 |
自动 |
邮箱 |
R |
Microsoft Exchange 限制 |
MSExchangeThrottling |
网络服务 |
限制用户操作的速率。 此服务依赖于 Microsoft ExchangeActive Directory 拓扑服务。 |
自动 |
邮箱 |
R |
Microsoft Exchange 传输 |
MSExchangeTransport |
网络服务 |
提供 SMTP 服务器和传输堆栈。 在集线器传输服务器上,此服务依赖于 Microsoft ExchangeActive Directory 拓扑服务。 在边缘传输服务器上,此服务依赖于 Microsoft Exchange ADAM 服务。 |
自动 |
集线器传输、边缘传输 |
R |
Microsoft Exchange 传输日志搜索 |
MSExchangeTransportLogSearch |
本地系统 |
提供针对 Microsoft Exchange 传输日志文件的远程搜索功能。 在集线器传输服务器上,此服务依赖于 Microsoft ExchangeActive Directory 拓扑服务。 在边缘传输服务器上,此服务依赖于 Microsoft Exchange ADAM 服务。 |
自动 |
集线器传输、邮箱、边缘传输 |
O |
Microsoft Exchange 统一消息 |
MSExchangeUM |
本地系统 |
启用 Microsoft Exchange 统一消息功能。 通过该功能,可以将语音邮件和传真邮件存储在 Exchange 中,并允许用户通过电话访问电子邮件、语音邮件、日历、联系人或自动助理。 如果停止此服务,统一消息将不可用。 此服务依赖于 Microsoft ExchangeActive Directory 拓扑和 Microsoft Exchange 语音引擎服务。 |
自动 |
统一消息 |
R |
Microsoft Search(Exchange 服务器) |
msftesql-Exchange |
本地系统 |
此服务是 Microsoft Exchange 的自定义版本的 Microsoft Search。 此服务依赖于 RPC 服务。 |
手动 |
集线器传输、邮箱 |
O |
证书
Exchange 2010 安装程序将创建自签名证书,来保证通过不同协议(例如 HTTP、SMTP、POP3 和 IMAP4)实现安全的通信。 由安装程序创建的自签名证书有效期为五年。 这样可以确保无需为 Exchange 2010 部署的重要部分续订自签名证书,并且不会因自签名证书过期而影响邮件服务。
对于外部客户端访问机制和协议(例如 Outlook Web App、POP3、IMAP4、Outlook Anywhere 和 AutoDiscover),我们建议您:
使用由商业证书颁发机构 (CA) 签发的证书,并且该颁发机构必须是访问这些服务的客户端所信任的机构。
使用“新建 Exchange 证书”向导或 New-ExchangeCertificate cmdlet 创建面向商业 CA 的证书签名请求。 使用这些工具所生成的证书请求可以确保满足所有 Exchange 证书要求。
针对要允许外部客户端访问的每项协议或服务考虑证书要求。
在客户端访问服务器上,证书可用来通过安全套接字层保护 HTTP 通信(Outlook Anywhere、Outlook Web App、AutoDiscover、Exchange ActiveSync 和 Exchange Web 服务),以及通过 SSL 或传输层安全性 (TLS) 保护 POP3 和 IMAP4 通信。 有关详细信息,请参阅管理客户端访问服务器的 SSL。
在传输服务器上,证书用于通过 TLS 保护 SMTP 通信。 有关详细信息,请参阅了解 TLS 证书。
在统一消息服务器上,证书用于保护 IP 语音 (VoIP) 通信。 有关详细信息,请参阅了解统一消息 VoIP 安全性。
对于联合环境,证书用于对与 Microsoft 联合网关 (MFG) 和联合合作伙伴组织交换的 SAML 令牌进行加密。 有关详细信息,请参阅了解联合身份验证。
监视证书的有效日期并及时从 CA 续订证书,以避免服务中断。
存储附带关联私钥导出的证书时,应针对存储文件夹/文件进行适当的访问控制,以保护所导出的文件。 根据组织的安全要求,考虑针对用来存储带私钥的证书文件的文件夹启用文件访问审核功能。
NTLM 注意事项
NTLM 协议的安全性大大低于 Kerberos 协议。 在 Exchange 2010 中,如果将 SecureLogin 指定为 LoginType,则 POP3 和 IMAP4 协议不支持 NTLM 身份验证。 有关详细信息,请参阅为 POP3 和 IMAP4 配置身份验证。使用 Windows 集成身份验证的 Exchange 2010 服务可以使用 NTLM 或 Kerberos 协议。 Kerberos 用于在客户端访问服务器与 Exchange 2010 邮箱服务器之间或者在 Outlook Web App、Exchange ActiveSync 和 Exchange Web 服务的客户端访问服务器之间实现通信。 有关使用 NTLM 进行身份验证的各项服务的详细信息,请参阅 Exchange 网络端口参考。
双重身份验证
双重身份验证机制除用户登录凭据(用户名和密码)外还使用另一种身份验证器,例如随机生成的令牌或者智能卡上与 PIN 一起使用的数字证书。 许多组织都通过部署双重身份验证来实现对组织网络的安全访问。
Exchange 2010 自身不支持双重身份验证。Exchange 2010 使用 Internet Information Server (IIS) 7 来通过 HTTP(AutoDiscover、Outlook Web App、Outlook Anywhere、Exchange ActiveSync 和 Exchange Web 服务)实现客户端访问。 许多与 IIS 集成的双重身份验证产品都由合作伙伴和第三方提供,可以与 Exchange 客户端访问服务(例如 Outlook Web App)结合使用。 部署用于 Exchange 服务的双重身份验证产品前,建议您进行充分的测试,以确保这些产品能够满足贵组织的安全要求并能提供您所需要的功能。
联合
Exchange 2010 引入了新的联合功能,使得联合 Exchange 组织彼此之间能够实现安全的协作。Exchange 2010 组织可以与“Microsoft 联合网关”创建联合身份验证信任,然后与其他联合组织建立组织关系,以共享可用性信息和日历。 组织也可以使用共享策略允许用户与外部联合组织的用户共享其可用性信息、日历和联系人信息。 有关联合身份验证信任和联合共享的更多详细信息,请参阅了解联合身份验证和了解联合委派。
与 MFG 建立联合身份验证信任后,除非创建组织关系,否则无法在两个联合组织之间实现共享。 但默认情况下,通过分配给用户的“默认共享策略”可以在您的用户与外部联合组织用户之间实现共享。 该策略只允许将日历及空闲/繁忙日历信息共享给所有外部联合组织中的用户。 如果您不想允许用户将其日历和空闲/繁忙信息与所有外部联合域中的用户共享,则必须禁用“默认共享策略”或更改策略中所指定的域名,使其仅包含您希望其共享信息的域。 该更改必须在与 MFG 创建“联合身份验证信任”之前完成。 有关详细信息,请参阅禁用共享策略和配置共享策略属性。
可以通过删除组织与 MFG 的联合身份验证信任关系来为该组织禁用所有联合功能,其中包括联合委派。 有关更多详细信息,请参阅删除联合信任。
安全/多用途 Internet 邮件扩展 (S/MIME)
安全/多用途 Internet 邮件扩展 (S/MIME) 是一项 MIME 数据公钥加密和签名标准,用于为邮件数据提供身份验证、邮件完整性、不可否认性和数据隐私性。 用户可以使用 S/MIME 证书为邮件提供签名和/或加密。 有关 S/MIME 的详细信息,请参阅了解 S/MIME。
S/MIME 是一项客户端技术,对于电子邮件服务器无任何互操作要求。 从邮件传输的角度来看,经过 S/MIME 签名或加密的邮件在传输时与明文(未加密)邮件没有任何区别。 在通过证书和邮件验证检查后,邮件将在客户端实际呈现。 对于 Outlook Web App,将由 ActiveX 控件提供 S/MIME 支持。 尽管 Outlook Web App 支持大多数流行的浏览器(例如 Microsoft Internet Explorer、Mozilla FireFox 和 Safari),但 ActiveX 控件是一项 Internet Explorer 功能。使用其他浏览器的 Outlook Web App 用户无法访问 S/MIME 功能,可能需要使用支持 S/MIME 的另一个电子邮件客户端。 有关 Outlook Web App 中 S/MIME 支持功能的更多详细信息,请参阅 Outlook Web App 和 S/MIME。
有关 Outlook 中的 S/MIME 支持的更多详细信息,请参阅关于 Outlook 中电子邮件的证书和加密的概述。
尽管 S/MIME 为组织带来许多安全性方面的益处,但在评估该项技术时,仍应考虑以下事项:
对组织而言,经过 S/MIME 加密的邮件采用密文形式。 邮件安全软件(例如防病毒软件和反垃圾邮件软件)无法检查邮件内容,包括邮件正文和任何附件。
由于邮件内容和附件均经过加密,因此贵组织的邮件策略(包括传输规则)无法应用于经 S/MIME 加密的邮件。
如果根据贵组织的邮件策略修改经 S/MIME 签名的邮件,例如应用免责声明或个性化签名,将会使邮件失效。
无法检查加密邮件内容中是否存在任何内容违例情况,贵组织无法保护敏感性信息。 这包括无法防止任何个人身份信息 (PII) 传出组织。
Exchange Search 无法为经 S/MIME 加密的邮件建立索引,因此这些邮件不能由发现过程进行搜索。
在诉讼期间,为满足当地法规和信息披露要求,贵组织可能会被要求生成所有加密邮件的未加密副本。
Exchange 2010 提供了“信息权限管理”(IRM) 功能,通过这些功能,贵组织可以对敏感邮件内容实施永久的保护,只允许指定的收件人访问由 IRM 保护的邮件。 贵组织还可以控制这些内容在传递给收件人后的使用方式。 例如,可以阻止对邮件进行打印、回复或转发到组织内外。 此外,贵组织还可以将由 IRM 保护的内容进行解密,以便供防病毒和反垃圾邮件软件以及其他传输代理对其进行扫描、使用传输规则应用邮件策略以及支持存档和发现由 IRM 保护的邮件。 Outlook Web App 支持的所有 Web 浏览器以及 Windows 移动设备中也都提供了 IRM 功能。 有关 IRM 的更多详细信息,请参阅了解信息权限管理。
服务器角色注意事项
本部分将列出 Exchange 2010 服务器角色的与安全性有关的注意事项。
邮箱服务器注意事项
在 Exchange 2010 中,针对 Exchange 存储以及 MAPI 客户端 (Outlook) 连接性进行了一些体系结构方面的更改。 MAPI 客户端将连接到客户端访问服务器,从而将邮箱服务器与客户端通信分隔开来。 邮箱服务器只与使用 RPCSec 的客户端访问服务器以及组织中的“Active Directory 域服务”(AD DS) 服务器进行通信。 邮箱服务器不需要 Internet 连接。
存储
存储是邮箱服务器的关键组件。 必须通过规划邮箱服务器存储子系统,来确保您的部署具有令人满意的性能和足够的存储空间。 有关邮箱服务器存储规划的更多详细信息,请参阅邮箱服务器存储设计。
部署邮箱服务器后,应监视以下情况:
存储子系统的可用性。
邮箱数据库和事务日志所在卷上是否有足够的可用空间。 当用于存储数据库或其事务日志的卷没有足够的可用空间时,邮箱或公用文件夹数据库将被卸载。
可以使用 Microsoft 联合网关 Systems Center Operations Manager 来监视存储可用性和可用磁盘空间量。有关更多详细信息,请参阅 Systems Center Operations Manager 2007。
规划和监视存储系统时,如果计划使用以下功能,则必须考虑其存储要求:
日记 使用日记功能保留邮件以供长期存档时,会在日记报告中将邮箱数据库中所有收件人或者日记规则中指定收件人收发的邮件传递给指定的日记邮箱或收件人,这主要取决于您所使用的是标准日记(每个邮箱数据库)还是高级日记(日记规则)。 该过程中,可能会将大量的日记报告传递给日记邮箱。 在对邮箱服务器进行存储规划时,必须考虑日记邮箱的大小。 可以通过为日记邮箱配置充足的邮箱配额来控制日记邮箱的大小。 有关日记功能及邮箱配额的更多详细信息,请参阅以下主题:
诉讼保留 将邮箱置于诉讼保留状态后,用户通过 Outlook 和 Outlook Web App 中的“恢复已删除邮件”功能删除的项目以及由自动进程(例如 MRM)所删除的邮件将保留到诉讼保留状态被清除。 在 Exchange 2010 中,“可恢复项目”警告配额及“可恢复项目”配额分别设置为 20 GB 和 30 GB。 有关详细信息,请参阅下列主题:
高可用性
邮箱服务器的高可用性是确保邮件服务可用性的关键。 Exchange 2010 包含“数据库可用性组”(DAG),用于实现邮箱服务器的高可用性。 当 Exchange 部署的存储子系统、服务器或网络连接出现故障或者整个数据中心出现故障时,DAG 可以提供可用性。 有关规划和实现高可用性 Exchange 2010 部署的详细信息,请参阅高可用性和站点恢复。
默认情况下,在 Exchange 2010 中,位于不同 Active Directory 站点的 DAG 成员之间的复制(日志传送)通信是经过加密的。 通过将 DAG 的 NetworkEncryption 属性设置为“启用”,可以对同一 Active Directory 站点中服务器之间的复制通信进行加密。 可以使用 Set-DatabaseAvailabilityGroup cmdlet 修改 DAG 的该属性。
复制通过单个 TCP 端口(默认情况下为 TCP 端口 64327)来完成。可以修改用于复制的端口。 有关详细信息,请参阅配置数据库可用性组属性。
高可用性参数
| 参数 | 描述 |
|---|---|
NetworkEncryption |
NetworkEncryption 参数指定是否启用网络加密。 有效值包括:
默认值 |
ReplicationPort |
ReplicationPort 参数指定用于复制(日志传送和种子设定)活动的传输控制协议 (TCP) 端口。 默认值 如果不指定此参数,复制所用的默认端口为 TCP 64327。 |
邮箱权限与访问
默认情况下,Exchange 2010 不允许管理员访问邮箱。 如果贵组织使用的应用程序或服务需要访问邮箱,则必须为此类应用程序或服务所使用的帐户分配适当的邮箱权限。 建议您不要将此类应用程序或服务配置为使用管理员凭据。
尽管所有邮箱都可能包含对组织至关重要的敏感信息,但从安全的角度来看,以下邮箱值得特别关注,必须根据贵组织的安全要求对访问这些邮箱的权限加以控制和监视。
发现邮箱 Exchange 2010 多邮箱搜索功能将使用发现邮箱。 通过该功能,属于“发现管理”角色组的发现管理员可以在 Exchange 2010 组织的所有邮箱中搜索邮件。 通过发现搜索返回的邮件将复制到指定的发现邮箱中。 Exchange 2010 安装程序将创建默认的发现搜索邮箱。 有关更多详细信息,请参阅了解多邮箱搜索。
日记邮箱 当您为邮箱数据库配置日记功能或者创建日记规则来记录指定收件人收发的邮件时,日记报告将传送到指定的日记邮箱中。 有关详细信息,请参阅下列主题:
除保护这些邮箱外,还请注意,管理员可以使用传输规则来检查邮件内容,也可以将邮件副本传输给另一个收件人(甚至是作为密件抄送收件人)。 管理传输规则所需要的权限在邮件策略和遵从性权限主题的传输规则条目中列出。 我们建议您实施充分的控制手段来监视和控制传输规则的创建与修改,并定期对所有规则的传输规则操作进行审核。
客户端访问服务器注意事项
在 Exchange 2010 中,以下客户端将连接到客户端访问服务器来访问邮箱:
使用 MAPI 的 Outlook 客户端
使用 Outlook Anywhere 的 Outlook 客户端
使用 Outlook Web App 的 Web 浏览器
使用 Exchange ActiveSync 的移动设备
POP3 & IMAP4 客户端
使用 Exchange Web 服务 (EWS) 的应用程序
默认情况下,将使用加密数据路径来保证这些访问方法的安全。 同样是在默认情况下,使用 MAPI 连接到客户端访问服务器的 Outlook 客户端将采用 RPC 加密方式。 对于 Outlook Web App、Outlook Anywhere 以及 Exchange ActiveSync 访问,将通过安全套接字层 (SSL) 来保证其安全。
要实现外部客户端访问,必须获得并安装由客户端所信任的证书颁发机构 (CA) 签发的证书。 有关更多详细信息,请参阅管理客户端访问服务器的 SSL。
默认情况下,Exchange 2010 客户端访问服务器上将禁用 POP3 和 IMAP4 服务。 如果您启用这些服务,我们建议您使用传输层安全性 (TLS) 或安全套接字层 (SSL),通过这些协议来帮助实现通信的安全。 有关详细信息,请参阅下列主题:
当您发布供外部访问的客户端访问服务器时,我们建议您采用适当的防火墙和访问控制措施。 MicrosoftForefront Threat Management Gateway (TMG) 2010 带有发布向导,可轻松安全地发布供外部访问的 Exchange 2010 客户端访问服务器。 有关详细信息,请参阅 Forefront Threat Management Gateway (TMG) 2010。
| 重要说明: |
|---|
| 不支持将客户端访问服务器放置在外围网络中。 |
在客户端访问服务器上,Internet Information Server (IIS) 用于支持对多项服务进行 HTTP 协议访问,例如 Outlook Web App、Exchange ActiveSync、Outlook Anywhere、AutoDiscover、Exchange 控制面板 (ECP)、Exchange Web 服务和脱机通讯簿 (OAB)。 远程 PowerShell 也使用 IIS。包括 Exchange 管理控制台 (EMC) 发送的请求在内的所有 RPS 请求都将记录在 IIS 日志中。 IIS 日志可能会增长至占用大量磁盘空间的程度。 IIS 是 Windows Server 的一个组件,它不带有根据日志文件所在目录的大小清除旧有日志的机制。 最佳做法是,将 IIS 日志移动到非系统卷,这样日志文件的增加将不会导致系统卷发生磁盘空间不足的情况(这种情况会导致服务中断)。 您应当监视日志文件的增长并根据需要实施适当的机制来手动将日志存档或删除。有关详细信息,请参阅在 IIS 7 中配置日志记录。
传输服务器注意事项
Exchange 2010 提供了为不同用途而设计的两种传输服务器角色。
边缘传输 边缘传输服务器角色是不加入域的传输服务器,通常位于外围网络中,用于在 Exchange 组织与外部 SMTP 主机之间传输邮件。 尽管边缘传输服务器专门针对外围网络而设计,但您也可以将其放置在内部网络中,并将其加入 Active Directory 域,使其成为一台成员服务器。
集线器传输 集线器传输服务器角色负责在组织内部传输邮件,包括 Exchange 服务器之间的邮件、来自 SMTP 客户端(例如使用 POP3 和 IMAP4 的用户)以及应用程序服务器和设备的邮件。
默认情况下,在 Exchange 2010 中,使用 TLS 来保证 SMTP 通信的安全。
集线器传输服务器之间的 SMTP 通信 Exchange 组织中的集线器传输服务器使用 TLS 来帮助保证组织内 SMTP 通信的安全。 我们建议您在集线器传输服务器上将 TLS 保持启用状态。 在 Exchange 2010 中,使用非 Exchange 设备或工具来完成 TLS 加密的组织可以将 TLS 从集线器传输服务器卸载到此类设备上。 有关更多详细信息,请参阅禁用 Active Directory 站点间的 TLS 以支持 WAN 优化。
集线器传输服务器与边缘传输服务器之间的 SMTP 通信 集线器传输服务器与边缘传输服务器之间的所有通信都要经过身份验证和加密。 身份验证和加密的基础机制是相互 TLS。 Exchange 2010 使用直接信任(而不是使用 X.509 验证)来验证证书。 直接信任意味着 Active Directory 或 Active Directory 轻型目录服务 (AD LDS) 中存在证书即证明证书有效。Active Directory 被视为受信任存储机制。 使用直接信任时,证书是自签名还是由证书颁发机构 (CA) 签名并不重要。向 Active Directory 站点订阅边缘传输服务器时,“边缘订阅”将在 Active Directory 中发布边缘传输服务器的证书。 集线器传输服务器认为所发布证书是有效证书。 Microsoft EdgeSync 服务将在拥有集线器传输服务器证书的边缘传输服务器上更新 AD LDS,边缘传输服务器认为这些证书有效。
边缘传输服务器与外部主机之间的 SMTP 通信 默认情况下,在 Exchange 2010 中,通过机会型 TLS 来保证边缘传输服务器与匿名外部主机之间的 SMTP 通信的安全。 您不需要使用受信任 CA 所颁发的证书,也不需要执行任何配置步骤。 接收连接器为入站 SMTP 连接提供 TLS 协商。 发送连接器也会针对所有出站 SMTP 连接提供 TLS 协商。 机会型 TLS 不执行证书验证,允许使用自签名证书。 有关详细信息,请参阅Exchange 2010 中的 TLS 功能以及相关术语。
| 注意: |
|---|
| 默认情况下,集线器传输服务器无法与外部 SMTP 主机进行通信,因为在允许匿名主机进行通信的集线器传输服务器上不存在接收连接器。 您可以将集线器传输服务器配置为与匿名主机进行通信。 有关详细信息,请参阅配置直接通过集线器传输服务器的 Internet 邮件流。 我们建议不要采用此拓扑,因为它会将 Exchange 2010 服务器和该服务器上安装的所有角色向 Internet 公开,这会增加安全风险。 建议您实现基于外围网络的 SMTP 网关,如边缘传输服务器。 |
集线器或边缘传输服务器与智能主机之间的 SMTP 通信 在 Exchange 2010 中,您可以将发送连接器配置为将发往远程域的邮件(包括 Internet 邮件)路由到通常位于外围网络中的 SMTP 网关。 尽管可以通过创建发送连接器将电子邮件路由到智能主机,而不进行任何身份验证,但我们建议您针对此类连接器使用相应的身份验证。 如果使用基本身份验证,我们建议您通过 TLS 进行基本身份验证。 如果选择外部安全身份验证,则将使用非 Exchange 机制(例如 IPsec)进行身份验证。 如果用智能主机的地址配置连接器,可以使用智能主机的 IP 地址或其 fqdn。 尽管使用 FQDN 非常方便,但我们建议使用智能主机的 IP 地址,因为它可以防止发生 DNS 投毒。
使用“域安全”与合作伙伴进行 SMTP 通信 在 Exchange 2010 中,可以使用“域安全”功能来帮助保证与合作伙伴域之间的邮件通信路径的安全。 “域安全”功能使用相互 TLS 来提供基于会话的加密和身份验证。 进行相互 TLS 身份验证时,源主机和目标主机通过执行 X.509 证书验证来对连接进行验证。 对于配置为使用“域安全”功能与合作伙伴域进行通信的传输服务器而言,需要使用由受信任第三方或内部证书颁发机构所签发的证书。 如果使用内部 CA,则必须发布证书吊销列表 (CRL),并且该列表必须可由合作伙伴主机访问。 有关详细信息,请参阅下列主题:
Exchange 2010 使用默认的 SMTP 端口(TCP 端口 25)来进行 SMTP 通信。 Exchange 安装程序将在高级安全 Windows 防火墙中创建所需的防火墙规则,以允许通过默认端口进行通信。 如果为连接器指定其他端口,Exchange 不会修改防火墙规则或自动创建新规则来允许通过非默认端口进行通信。 必须手动修改防火墙配置来允许通过非默认端口进行通信。 如果为接收连接器配置非默认端口,必须也将向该连接器提交邮件的 SMTP 客户端配置为使用该非默认端口。
在 Exchange 2010 中,可以将集线器传输服务器角色放置在 Exchange 2010 邮箱服务器上。 其中包括属于数据库可用性组 (DAG) 的邮箱服务器。 我们建议您不要将集线器传输服务器角色放置在邮箱服务器上,尤其是在未部署边缘传输服务器的拓扑结构中,以便将邮箱服务器与 Internet 分离开来。 您可以将集线器传输服务器角色放置在客户端访问服务器上。 在同一台服务器上配置多个服务器角色时,必须遵循每个服务器角色的大小原则。
在集线器传输或边缘传输服务器上为发送连接器指定智能主机时,我们建议您使用智能主机的 IP 地址,而不是完全限定域名 (FQDN),以便防止 DNS 投毒和仿冒。 这样还可以最大程度降低任何 DNS 中断对传输基础结构的影响。 外围网络中使用的 DNS 服务器只能用于进行出站解析。 外围 DNS 服务器可能包含集线器传输服务器的记录。 您也可以使用边缘传输服务器上的主机文件,以避免在外围网络中的 DNS 服务器上创建集线器传输服务器的记录。
除本部分所讨论的步骤外,您还应考虑为连接器加以充分的邮件大小限制,并在传输服务器上使用邮件限制设置。 有关详细信息,请参阅下列主题:
统一消息注意事项
对统一消息 (UM) 服务器角色进行部署规划时,必须考虑 UM 用来与 IP 网关或 IP PBX 进行通信的不同通信通道。
默认情况下,在创建 UM 拨号计划时,它将以不安全模式进行通信。 此外,与 UM 拨号计划关联的统一消息服务器将从 IP 网关、IP PBX 和其他 Exchange 2010 计算机收发数据,而不进行加密。 在不安全模式中,实时传输协议 (RTP) 媒体通道和 SIP 信号信息均不加密。
可以将统一消息服务器配置为使用相互 TLS 来加密与其他设备和服务器之间的往来 SIP 和 RTP 通信。 将统一消息服务器添加到 UM 拨号计划并将拨号计划配置为使用 SIP 安全模式时,仅为 SIP 信号通信加密,RTP 媒体通道将仍然使用 TCP。 不为 TCP 加密。 但是,如果将统一消息服务器添加到 UM 拨号计划并将该拨号计划配置为使用安全模式,将对 SIP 信号通信和 RTP 媒体通道进行加密。 使用安全实时传输协议 (SRTP) 的安全信号媒体通道还使用相互 TLS 来对 VoIP 数据进行加密。
如果所使用的 IP 网关或 IP PBX 支持 IPsec,则还可以使用 IPsec 来帮助保证 UM 服务器与 IP 网关或 IP PBX 之间的通信安全。
有关更多详细信息,请参阅了解统一消息 VoIP 安全性。
UM 还会将未接来电通知和语音邮件等消息提交给集线器传输服务器。 默认情况下,此通信通过 SMTP 来实现,并且要采用 TLS 加密。
可以配置一个 UM 邮箱策略来实现不需要 PIN 的访问。 采用这种方式时,可以根据呼叫的呼叫方 ID 来允许呼叫方访问语音邮件,而无需输入 PIN。 假冒呼叫方 ID 没有任何意义。 我们建议您不要允许在不使用 PIN 的情况下访问语音邮件。 而且,我们建议您检查默认的 PIN 设置并根据贵组织的安全要求对它们进行配置。 可以使用 Set-UMMailboxPolicy cmdlet 针对 UM 邮箱策略配置以下设置。
用于控制语音邮件访问所用用户 PIN 的参数
| 参数 | 描述 |
|---|---|
AllowCommonPatterns |
AllowCommonPatterns 参数指定是否允许使用易被识破的 PIN。 例如,易被识破的 PIN 包括电话号码、连续数字或重复数字的子集。 如果设置为 $false,将拒绝连续数字和重复数字以及邮箱扩展的后缀。 如果设置为 $true,将只拒绝邮箱扩展的后缀。 |
AllowPinlessVoiceMailAccess |
AllowPinlessVoiceMailAccess 参数指定与 UM 邮箱策略相关联的用户是否需要使用 PIN 访问其语音邮件。 用户仍需提供 PIN 才能访问电子邮件和日历。 默认值 禁用 ( |
LogonFailusresBeforePINReset |
LogonFailuresBeforePINReset 参数指定自动重置邮箱 PIN 之前连续尝试登录失败的次数。 要禁用此功能,请将此参数设置为“无限制”。 如果未将此参数设置为“无限制”,则必须将其设置为小于 MaxLogonAttempts 参数的值。 有效范围为 0 到 999。 默认值 5 次失败。 |
MaxLogonAttempts |
MaxLogonAttempts 参数指定在锁定 UM 邮箱前用户可以连续尝试登录失败的次数。 有效范围为 1 到 999。 默认值 15 次尝试。 |
MinPINLength |
MinPINLength 参数指定启用 UM 的用户的 PIN 所需的最小位数。 有效范围为 4 到 24。 默认值 6 位 |
PINHistoryCount |
PINHistoryCount 参数指定应记住的且在 PIN 重置期间禁止使用的以前 PIN 的个数。 此数字包含第一次设置的 PIN。 有效范围为 1 到 20。 默认值 5 个 PIN |
PINLifetime |
PINLifetime 参数指定需要新密码之前的天数。 有效范围为 1 到 999。如果指定“无限制”,则用户的 PIN 将不会过期。 默认值 60 天 |
在 Exchange 2010 中,可以将语音邮件标记为受保护状态。 应使用信息权限管理 (IRM) 保护语音邮件。 可以在 UM 邮箱策略中配置以下参数,来配置语音邮件保护设置。 有关详细信息,请参阅下列主题:
受保护语音邮件的参数
| 参数 | 描述 |
|---|---|
ProtectAuthenticatedVoicemail |
ProtectAuthenticatedVoiceMail 参数指定统一消息服务器(这些服务器应答与 UM 邮箱策略相关联且已启用 UM 的用户的 Outlook Voice Access 呼叫)是否创建受保护的语音邮件。 如果将此值设置为“私人”,则只有标记为“私人”的邮件受到保护。 如果将此值设置为“所有”,则每封语音邮件都受到保护。 默认值 无(不会对语音邮件实施保护) |
ProtectUnauthenticatedVoiceMail |
ProtectUnauthenticatedVoiceMail 参数指定统一消息服务器(这些服务器应答与 UM 邮箱策略相关联且已启用 UM 的用户的呼叫)是否创建受保护的语音邮件。 将邮件从 UM 自动助理发送给与 UM 邮箱策略相关联且已启用 UM 的用户时,此参数同样适用。 如果将此值设置为“私人”,则只有标记为“私人”的邮件受到保护。 如果将此值设置为“所有”,则每封语音邮件都受到保护。 默认值 无(不会对语音邮件实施保护) |
RequireProtectedPlayOnPhone |
RequireProtectedPlayOnPhone 参数指定与 UM 邮箱策略相关联的用户是否只能对受保护的语音邮件使用“在电话上播放”功能,或者用户是否可以使用多媒体软件播放受保护的邮件。 默认值 |
| 重要说明: |
|---|
| 为使 UM 服务器继续应答呼叫,关键是使它们有权访问 Active Directory。 我们建议您监视 Active Directory 的可用性。 |
附录 1: 其他与安全性相关的文档
本部分包含到其他与安全相关的 Exchange 文档的链接。
反垃圾邮件和防病毒功能
证书
客户端身份验证与安全性
Outlook Web App
Outlook Anywhere
POP3 和 IMAP
权限
保护邮件流
邮件策略和合规性
联合
© 2010 Microsoft Corporation。保留所有权利。