部署安全性檢查清單

  • 發行項

 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間: 2007-12-11

Microsoft Exchange Server 2007 的設計可讓大多數的客戶環境保有「預設的安全性」。對 Exchange 2007 而言,預設的安全性通常意味著存在下列情況:

  • Exchange 2007 使用的帳戶擁有執行指定的工作集所需的最低權限。
  • 依預設,只會啟動必要的服務。
  • 會最小化 Exchange 物件的存取控制清單 (ACL) 權限。
  • 系統管理權限是依據對物件進行指定之修改所需的變更範圍而設定。
  • 會加密所有內部的預設郵件路徑。
  • 我們已設計了其他許多功能,以在初始安裝時提供相當安全的郵件環境。

本主題說明部份建議步驟,您可以在安裝 Microsoft Exchange 前後執行這些步驟,為郵件環境提供更好的防護。每當安裝新的 Exchange 伺服器角色時,我們都建議您參考這份檢查清單。

您可以在 Exchange Server 技術資源中心中找到 Exchange 2007 說明檔中的所有最新內容。

安裝前期工作

安裝 Exchange 2007 之前,請執行下列程序。

程序 勾選

執行 Microsoft Update

 

執行 Microsoft 惡意軟體移除工具。Microsoft Update 隨附了該惡意軟體移除工具。如需工具的相關資訊,請參閱惡意軟體移除工具

 

執行 Microsoft Baseline Security Analyzer

 

安裝後期工作

我們建議您在所有 Exchange 2007 伺服器角色上執行資訊安全設定精靈 (SCW)。我們也建議您在執行 Windows Server 2003 的伺服器上修改 LAN Manager 驗證等級。

資訊安全設定精靈

SCW 是 Microsoft Windows Server 2003 Service Pack 1 (SP1) 所引進的工具。您可以使用 SCW,藉由停用 Exchange 2007 伺服器角色不需要的 Windows 功能,讓伺服器的攻擊面降到最低。SCW 會自動執行可減少伺服器攻擊表面的最佳作法。SCW 使用角色型象徵來請求伺服器上之應用程式所需的服務。此工具可降低 Windows 環境遭受安全性弱點攻擊的容易性。如需相關資訊,請參閱使用資訊安全設定精靈為 Exchange 伺服器角色保護 Windows

LAN Manager 驗證等級

對於每部執行 Windows Server 2003 的 Exchange 伺服器,我們建議您將 LAN Manager 驗證等級設定為《Windows Server 2003 安全性手冊》為您環境所建議的等級。此設定會判斷要使用哪個挑戰/回應驗證通訊協定來進行網路登入。此項選擇會影響用戶端電腦所使用的驗證通訊協定等級、要交涉的安全性等級,以及伺服器所接受的驗證等級。若要修改 LAN Manager 驗證等級,您必須修改登錄中的 LmCompatibilityLevel 項目。

Caution請注意:
不正確地編輯登錄可能會造成嚴重問題,而需要重新安裝作業系統。 因不正確地編輯登錄而造成的問題可能無法解決。 在編輯登錄之前,請先備份重要資料。

以下為《Windows Server 2003 安全性手冊》建議的 LAN Manager 驗證等級**:**

  • 傳統用戶端環境   《Windows Server 2003 安全性手冊》會將傳統用戶端環境定義為由一個含有成員伺服器和網域控制站 (執行 Windows Server 2003) 的 Active Directory 目錄服務網域,以及一些用戶端電腦 (執行 Microsoft Windows 98 和 Windows NT 4.0) 所構成的環境。執行 Windows 98 的電腦必須安裝 Active Directory 用戶端擴充程式 (DSCLient)。如需安裝 DSClient 的相關資訊,請參閱 Microsoft 知識庫文章 288358 如何安裝 Active Directory 用戶端擴充程式。如果您有傳統用戶端環境,《Windows Server 2003 安全性手冊》會建議您將 LmCompatibilityLevel 項目設為 3。
  • 企業用戶端環境   《Windows Server 2003 安全性手冊》將企業用戶端環境定義為由一個含有成員伺服器和網域控制站 (執行 Windows Server 2003 SP1) 的 Active Directory 網域,以及一些用戶端電腦 (執行 Windows 2000 Server 和 Windows XP) 所構成的環境。對於企業用戶端環境,《Windows Server 2003 安全性手冊》建議您將 LmCompatibilityLevel 項目設為 4。

此外,用戶端環境還有與LAN Manager 驗證等級相關的需求。在叢集連續複寫 (CCR) 環境中,您必須將組織中每個網域控制站的 LmCompatibilityLevel 項目的值,設定為與 Exchange 伺服器上的 LmCompatibilityLevel 項目相同。如果網域控制站上的 LmCompatibilityLevel 項目與 Exchange 伺服器上的 LmCompatibilityLevel 項目不同,可能會在複寫時發生錯誤。我們建議您先設定網域中所有網域控制站上的 LmCompatibilityLevel 項目,再設定每個叢集的 LmCompatibilityLevel 項目。

若要設定叢集上的 LmCompatibilityLevel 項目,您必須同時變更叢集之所有節點上的值,然後重新啟動叢集的每個節點。我們建議您手動修改登錄項目並重新啟動叢集中的每部電腦,而不是使用群組原則物件 (GPO),如此您即可確定叢集的每個節點都會同時重新啟動。

note附註:
根據預設,執行 Windows Server 2008 之電腦上的 LmCompatibilityLevel 會是 3 或以上。

如需 LAN Manager 驗證等級的相關資訊,請參閱《Windows Server 2003 安全性手冊》中的第四章<成員伺服器基準原則>。如需修改 LmCompatibilityLevel 登錄項目以設定 LAN Manager 驗證等級的相關資訊,請參閱How to Configure the LAN Manager Authentication Level。您可以使用 GPO 來設定組織中所有電腦上的 LmCompatibilityLevel 登錄項目。如需詳細步驟,請參閱How to Configure the LAN Manager Authentication Level。

若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.