第 3 章 – 依據角色維護 Exchange 2000 Server 的安全性之 1
- 本頁索引
測試環境
使用 OWA 前端和後端伺服器
維護 Exchange 2000 環境伺服器角色的安全性
Exchange 伺服器原則
前一章檢視了保護 Exchange 2000 環境安全的一般性建議。這一章節則是要檢視提升 Exchange 2000 Server 安全性的特定課題,而且是以伺服器在 IT 環境中所扮演的角色為基礎來提升安全性。
確保 Windows 2000 的安全性就是維護 Exchange 2000 安全性的基礎,因為 Exchange 2000 是在 Windows 2000 環境中執行的應用程式。《Microsoft Windows 2000 安全性作業》一書將提供各種建議,以維護特定伺服器角色的安全性,本章則是要擴充延續該指南所提出的建議,以便將 Exchange 2000 涵蓋在內,尤其是應該檢視 OWA 前端伺服器和 Exchange 後端伺服器的角色。
請注意:本章是補充《Microsoft Windows 2000 Server 安全性作業》第 3 章和第 4 章所作的建議。為了便於參考,該指南中這兩章內容是以附錄 A 和 B 的形式附加在本書之後。如需有關該指南其餘部份的詳細資訊,請參閱本章結尾的〈其他資訊〉一節。
測試環境
在對生產環境執行任何變更之前,必須先在測試環境中先存取對 IT 系統的安全性所做的變更。測試環境應儘量模仿真實的生產環境。最低限度也要含有數部網域控制站及生產環境中所有的成員伺服器角色。 測試的目的在於確定環境在變更之後仍可正常運作,而且重要的是要能夠如預期般提升安全性層級。您必須仔細地驗證所有變更,並對測試環境進行弱點評估。
請注意:在替公司執行弱點評估的人員都必須具備寫入權限才行。
使用 OWA 前端和後端伺服器
在預設情況下,每一個 Exchange 2000 Server 都有 OWA 功能,以便讓使用者可以透過超文字傳輸協定 (HTTP,Hypertext Transfer Protocol) 來連線到 Exchange 伺服器。因為組成 OWA 方案的元件是以預設安裝的方式安裝在 Exchange 伺服器上,所以能夠以這種方式來連線。但是在一般中大型規模的環境中,最好還是實作執行前端/後端方案來允許存取 OWA。此時,使用者是連線到前端伺服器,然後接受要求,在 Active Directory 中驗證使用者身份,再將要求轉送給適當的後端 Exchange 伺服器。後端伺服器能夠提供權限來存取信箱和公用資料夾。這種作業方式有下列好處:
- 使用者不需要知道本機 Exchange 伺服器的名稱,就可以進行存取。
- 保存信箱的伺服器名稱是隱藏的。
- 前端伺服器可以達到載入平衡。
- Secure Sockets Layer (SSL) 額外負荷可以卸載到前端伺服器上。
- 您還可以更進一步地保障位於其他防火牆之後的後端伺服器安全。
請注意:前端伺服器也可以使用於 POP3 和 IMAP4 的連線作業上。但是,本指南則是假定您只啟用 HTTP 和 MAPI 連線為前提。
請注意:如需有關 Exchange 中 OWA 前端/後端伺服器環境的詳細討論,請參閱本章結尾的〈其他資訊〉。
維護 Exchange 2000 環境伺服器角色的安全性
本指南將會提供安全性範本來修改 Exchange 2000 Server 角色上的安全性。這些範本必須匯入「群組原則」設定中,以便套用在 Exchange 上。
下表定義了使用於提升安全性的伺服器角色和範本。
資料表 3.1:Exchange 2000 Server 角色
| 伺服器角色 | 說明 | 安全性範本 |
| OWA 伺服器 | Outlook Web Access 的專用 OWA 前端伺服器 | Baseline.inf 和 OWA front-end Incremental.inf |
| Exchange 2000 後端伺服器 | 供信箱、公用資料夾存取和傳閱的伺服器 | Baseline.inf 和 Exchange back-end Incremental.inf |
除了上述指定的範本以外,您也需要在網域控制站的「基礎群組原則」上,套用其他的安全性範本。《Microsoft Windows 2000 Server 安全性作業》中定義的設定並未認定 Exchange 將是環境的一部份,因此需要加以變更才能容納 Exchange 2000。
若要修改網域控制站的設定,將允許網域控制站支援 Exchange 作業,本指南中也提供了範本 Exchange DC Incremental.inf。這個範本必須匯入在網域控制站組織單位 (OU,organizational unit) 上的群組原則物件 (GPO) 中。事實上,其中只變更了一項設定,就是下表中所顯示的安全性選項。
資料表 3.2:在網域控制站上支援 Exchange 2000 的安全性選項
| 選項 | Security Operations for Windows 2000 | Server Security Operations for Exchange 2000 Server |
| 匿名使用者連線的其他限制 | 沒有明確的匿名使用者連線不能存取 | 無。完全依靠預設權限。 |
| 當無法記錄安全性稽核時,請立即關閉系統 | 啟用 | 停用 |
| 帳戶登入事件稽核 | 成功與失敗 | 失敗 |
| 登入事件稽核 | 成功與失敗 | 失敗 |
匿名使用者限制設定必須加以變更,因為 Outlook 2000 和 2002 用戶端會以匿名使用者的方式,連絡通用類別目錄伺服器來取得資訊。若使用《Microsoft Windows 2000 Server 安全性作業》中定義的設定,Outlook 使用者將無法傳送內部郵件,因此必須使用外部位址。
請注意:如需有關這項問題的詳細資訊,請參閱知識庫文件 Q309622〈XADM:Clients Cannot Browse the Global Address List After You Apply the Q299687 Windows 2000 Security Hotfix〉。 其他設定是因為 Exchange 2000 產生大量的成功登入事件而加以修改。如果登入事件啟用了成功稽核,安全性記錄檔會迅速填滿。
請注意:如需有關這項問題的詳細資訊,請參閱知識庫文件 Q316685〈Active Directory-Integrated Domain Name Is Not Displayed in DNS Snap-in with Event ID 4000 and 4013 Messages〉。
《Microsoft Windows 2000 Server 安全性作業》建議的 OU 架構,可以讓您輕輕鬆鬆地運用書中所提供的安全性範本。該指南中所建議的 OU 架構可以很容易地擴充,以便涵蓋這裡所定義的兩種新伺服器角色。Exchange 2000 是應用程式,所以先在應用程式伺服器 OU 之下建立 Exchange Server OU,然後再於 Exchange Server OU 之下,進一步地加入這些伺服器角色的 OU。
下表顯示了建議用來容納兩種新伺服器角色的 OU 架構:
.gif)
圖 3.1 包含 Exchange Server 和應用程式伺服器OU 的 OU 架構
請注意:在《Windows 2000 Server 安全性作業指南》中會更詳細地討論建立 OU 架構來支援本指南所作建議。
匯入安全性範本
以下所描述的安全性範本是包含在本指南所附的 ExSecurityOps.exe 檔案之內。在匯入安全性範本以前,必須先將此檔案解壓縮。如果您使用的是 Windows 2000、Service Pack 2,也應該確定已套用下列知識庫文件中詳細論述的〈Hotfix:
- Q295444:SCE Cannot Alter a Service's SACL Entry in the Registry。
- Q272560:Race Condition May Lead to Loss of Group Policy Changes
請注意:您必須連絡 Microsoft 產品支援服務 (PSS),來取得上述知識庫文件中所討論的 Hotfix。如需有關連絡 PSS 的詳細資訊,請參閱 https://support.microsoft.com。
警告:本指南中安全性範本的設計,目的在增進環境的安全性。安裝本指南所附的範本之後,環境中很可能會因此喪失一些功能。其中包括具有重要任務的應用程式可能無法執行。因此,在將這些範本部署到生產環境之前,請務必先經過完善的測試,並且因應您環境的需要作適當的修改。在套用新的安全性設定之前,請先替所有網域控制站及伺服器進行備份。並且確定備份中包含系統狀態,因為這是登錄資料存放的地方,而且在網域控制站中,系統狀態內還包含 Active Directory 中的所有物件。
請注意:《Microsoft Windows 2000 安全性作業》中所包含的網域控制站基礎原則和成員伺服器基礎原則只在 NTLMv2 上設定 LAN 管理員認證層次。Outlook 用戶端若要順利地和 Exchange 伺服器及網域控制站通訊交流的話,就必須設定為僅使用 NTLMv2。
下列程序可將本指南所附的安全性範本匯入本章所建議的 OU 結構中。
建立網域控制站群組原則物件並匯入安全性範本
在 [Active Directory 使用者及電腦] 中以滑鼠右鍵按一下 [網域控制站],然後選取 [內容]。
在 [群組原則] 索引標籤上按一下 [新增],加入一個新的「群組原則」物件。
請輸入 Exchange DC Policy,然後按 Enter。
按一下向上鍵,直到 Exchange DC Policy 位於清單頂端為止。
按一下 [編輯]。
展開 [Windows 設定],並且以滑鼠右鍵按一下 [安全性設定],然後選取 [匯入原則]。
請注意:若功能表上未出現 [匯入原則],請關閉 [群組原則] 視窗,並重複步驟 4 和 5。
在 [匯入原則自] 對話方塊中巡覽至 C:\SecurityOps\Templates,然後按兩下 Exchange DC Incremental.inf。
關閉 [群組原則],然後按一下 [確定]。
在網域控制站之間強制複寫,讓所有網域控制站都具有此項原則。
在「事件記錄檔」中驗證原則是否已順利下載,且伺服器可與網域中其他網域控制站通訊。
逐一地重新啟動每一部網域控制站,以確保每一部網域控制站都可以順利重新開機。
建立 Exchange Server群組原則物件並匯入安全性範本
在 [Active Directory 使用者和電腦] 中,展開 [成員伺服器],展開 [應用程式伺服器],再展開 [Exchange Server],以滑鼠右鍵按一下 [OWA 前端伺服器],然後選取 [內容]。
在 [群組原則] 索引標籤上按一下 [新增],加入一個新的「群組原則」物件。
輸入 OWA Policy,然後按 Enter。
按一下 [編輯]。
展開 [Windows 設定],以滑鼠右鍵按一下 [安全定],然後選取 [匯入原則]。
請注意:若功能表上未出現 [匯入原則],請關閉 [群組原則] 視窗,並重複步驟 4 和 5。
在 [匯入原則自] 對話方塊中巡覽至 C:\SecurityOps\Templates,然後按兩下 [OWA Front-end Incremental.inf]。
關閉 [群組原則],然後按一下 [確定]。
使用 Exchange Back-end Incremental.inf,為後端伺服器 OU 重複執行步驟 1 到 7。
在網域控制站之間強制複寫,讓所有網域控制站都具有此項原則。
將各角色的伺服器移入適當的 OU 中。
在伺服器上,利用 secedit /refreshpolicy machine_policy /enforce 指令來下載原則。
在「事件記錄檔」中驗證原則是否已順利下載,且伺服器可與網域中其他網域控制站通訊。成功測試過 OU 中的一部伺服器之後,請移動 OU 中的其餘伺服器,然後套用安全性設定。
請注意:如需有關驗證群組原則下載是否成功的詳細資訊,請參閱附錄 A:〈Chapter 3:Managing Security with Windows 2000 Group Policy〉(取自《Microsoft Windows 2000 Server 安全性作業》)。
逐一地重新啟動每一部網域控制站,以確保每一部網域控制站都可以順利重新開機。
Exchange 伺服器原則
Windows 2000 中可以定義大量的安全性設定,其中包括稽核、安全性選項、登錄設定、檔案使用權限和服務。在《Microsoft Windows 2000 Server 安全性作業》一書中針對這些設定也作了許多建議,這些建議並不需要特別為了 Exchange 2000 而加以變更。雖然檔案使用權限作了些許變更,其他設定主要是適用於各項服務上。
由於 Exchange 伺服器是位於成員伺服器 OU 之下的 OU 中,因此繼承了成員伺服器基礎原則中定義的設定。Exchange 原則是以兩種方式來修改這些設定:第一,在 Windows 2000 基本功能中並不需要某些服務,但這些服務卻是 Exchange 2000 作業要順利運作所必須具備的元素。第二,雖然 Exchange 2000 引進了一些額外的服務,但是它並不是全部都需要這些服務,Exchange 伺服器就可以順利運作擔任特定的角色。
請注意:雖然在 Exchange 累加式原則中並未明確提及,但網路 News 傳輸通訊協定 (NNTP) 已由 Windows 2000 成員伺服器基礎原則加以停用。因此,雖然在安裝 Exchange 時需要這項服務,但於執行 Exchange 作業時,除非是需要新聞群組功能,否則並不需要這項服務。
Exchange 後端伺服器原則
Exchange Server 後端原則定義了兩大領域的設定 — 服務和檔案存取控制清單。
Exchange 後端伺服器服務原則
下表顯示在 Exchange 2000 後端原則中指定的服務:
資料表 3.3:在 Exchange Server 後端基礎原則中設定的服務
| 服務名稱 | 啟動模式 | 原因 |
| Microsoft Exchange IMAP4 | 停用 | 並未替 IMAP4 設定伺服器 |
| Microsoft Exchange Information Store | 自動 | 需要此項服務才能存取信箱和公用資料夾存放 |
| Microsoft Exchange POP3 | 停用 | 並未替 POP3 設定伺服器 |
| Microsoft Search | 停用 | 核心功能不需要此項服務 |
| Microsoft Exchange 事件服務 | 停用 | 只有後端相容性才需要 |
| Microsoft Exchange 網站複寫服務 | 停用 | 只有後端相容性才需要 |
| Microsoft Exchange 管理 | 自動 | 郵件追蹤需要此項服務才能運作 |
| Windows Management Instrumentation | 自動 | Microsoft Exchange 管理需要此項服務 |
| Microsoft Exchange MTA 堆疊服務 | 停用 | 只有後端相容性或是有 X.400 連接器時才需要 |
| Microsoft Exchange System Attendant | 自動 | Exchange 維護與其他工作都需要此項服務 |
| Microsoft Exchange 路由引擎 | 自動 | 在 Exchange 伺服器之間協調郵件傳輸時就需要此項服務 |
| IPSEC 原則代理服務 | 自動 | 在伺服器上實作 IPSec 原則時需要此項服務 |
| RPC Locator | 自動 | 與網域控制站及用戶端通訊時需要此項服務 |
| IIS 管理服務 | 自動 | Exchange 路由引擎需要此項服務 |
| NTLM Security Support Provider (NTLM 安全性支援提供者) | 自動 | System Attendant 必須有此項服務才能運作 |
| SMTP | 自動 | Exchange 傳輸作業需要此項服務 |
| World Wide Web Publishing Service (全球資訊網發行服務) | 自動 | 與 OWA 前端伺服器通訊時需要此項服務 |
請注意:下列服務必須事先啟動執行,才能啟動 Exchange System Attendant:
- 事件記錄檔
- NTLM Security Support Provider (NTLM 安全性支援提供者)
- RPC
- RPC Locator
- 伺服器
- 工作站
已停用的重要服務
在本指南的討論中,只要不是 Exchange 2000 核心功能絕對必要的所有服務都加以停用,在某些情況下可能需要重新啟用服務,才能提供環境中所需要的服務。下面說明由後端伺服器累加式原則所停用的重要服務。
事件服務
在 Exchange Server 5.5 中已經介紹過事件服務,Exchange 伺服器事件服務支援由資料夾事件所觸發的伺服器端指令碼,而且該資料夾事件可能是在公用資料夾或是在各個信箱中。Exchange 事件服務是在 Exchange 2000 中提供,用來建立與 Exchange 5.5 事件指令碼的後端相容性。特別為 Exchange 2000 編寫的新應用程式應該使用原生 Web 儲存系統事件,而非使用 Exchange 事件服務,就如同在 MSDN 網站上的 Exchange 2000 Software Development Kit (SDK) 一文中所述一樣,請參閱〈其他資訊〉一節,取得進一步詳細資訊。
Microsoft Search
這是一種資訊儲存處理程序,可以建立並管理一般索引鍵欄位的索引,以便更迅速尋查及搜尋儲存於存放中的文件。索引可以讓 Outlook 使用者更容易地搜尋文件。具有全文檢索索引的索引是在用戶端搜尋之前先建立的,因而能夠更快速地執行搜尋。文字附件也可以納入全文檢索索引之中。 索引是由 Microsoft Search 服務所提供。必須同時執行資訊存放檔 (Information Store) 服務和 Search 服務,才能建立、更新或刪除索引。
Microsoft Exchange 網站複寫服務
當 Exchange 2000 Server 屬於現有 Exchange 5.5 網站時,此項服務負責將 Exchange 5.x 網站和設定資訊複寫至 Active Directory 的設定命名分割區。
Microsoft Exchange MTA 堆疊服務
這是將 Exchange 2000 Server 與外部系統連接在一起的額外元件。這套郵件傳遞代理程式 (MTA,Message Transfer Agent) 負責透過 X.400 和閘道連接器,將郵件轉送到外部環境。此項服務是在資訊存放服務之外,並獨立維護 \Program Files\Exchsrvr\Mtadata 目錄中特定的郵件佇列。
Exchange 後端伺服器檔案存取控制清單原則
Exchange 後端伺服器原則會在數個目錄上修改存取控制清單 (ACL)。下表顯示了所定義的設定。
資料表 3.4:由 Exchange 後端伺服器原則設定的檔案存取控制清單
| 目錄 | 舊 ACL | 新 ACL | 套用到子目錄上? |
| %systremdrive% \Inetpub\mailroot |
Everyone:完整存取 | Domain Admins:完整存取 Local System:完整存取 |
有 |
| %systremdrive% \Inetpub\nntpfile\ |
Everyone:完整存取 | Domain Admins:完整存取 Local System:完整存取 |
有 |
| %systremdrive% \Inetpub\nntpfile\root |
Everyone: 完整存取 | Everyone:完整存取 | 有 |