第 4 章 – 維護 Exchange 通訊安全之 1

  • 發行項
本頁索引

維護 Outlook 20002 的通訊安全
維護 OWA 通訊安全

提升任何網路的安全性時,不應該只檢查電腦本身的安全性,也應該檢查在電腦之間流通來往的資料安全性。不論是何種系統,最好的方式就是先查看可用的功能,然後檢測所需的功能,考量各種功能所帶來的風險。

本指南假定所需要的功能為:a) 透過網際網路傳送及接收電子郵件,以及 b) 利用 Outlook Web Access,透過網際網路存取 Exchange。如果您並不需要這些功能,那麼就可以更加嚴密地鎖定系統。另一方面,若需要 POP3 與 IMAP4 功能,就必須開放環境以便容納這些功能。

本指南所建議的前端/後端環境可以讓您在網際網路之間傳送郵件,並且透過網際網路,提供了存取 Exchange的功能。本章要檢視如何維護這種通訊安全,同時也檢視用戶端的通訊安全維護。

請注意:使用 ISA Server 提供的 Exchange 遠端程序呼叫 (RPC) 應用程式篩選器可以透過網際網路存取 Outlook。本指南內容不討論這種存取 Exchange 的方式。請參閱〈Configuring and Securing Microsoft Exchange 2000 Server and Clients〉白皮書與《Microsoft Exchange 2000 Server Hosting Series》(Microsoft Press 出版,ISBN:0-7356-1829-1 and 0-7356-1830-5),此書也列在〈其他資訊〉一節中。

維護 Outlook 20002 的通訊安全

在 Outlook 2002 中可以採用幾種措施來維護通訊的安全。其中包括:

  • 為 Outlook 2002 到 Exchange 伺服器之間的 MAPI 連線進行加密

  • 利用 S/MIME 憑證來為郵件簽名和加密

為 Outlook 2002 到 Exchange 伺服器之間的 MAPI 連線進行加密

Windows 2000 擁有內建安全性功能,因此,可以進行 RPC 通訊的 128 位元加密。MAPI 連線是發生在 RPC 上的,因此可以利用這項功能來提升從 Outlook 2002 用戶端到 Exchange 伺服器之間的連線安全。

啟用從 Outlook 2002 到 Exchange 伺服器之間 MAPI 連線的 RPC 加密

  1. 在 Outlook 2002 中,請按一下 [工具],然後按 [電子郵件帳號]。
  2. 按一下 [下一步]。
  3. 確定已選取 Exchange 伺服器,然後按一下 [變更]。
  4. 按一下 [其他設定]。
  5. 按一下 [進階] 索引標籤。
  6. 核取 [在使用網路時]。
  7. 按一下 [確定]。
  8. 按一下 [下一步]。
  9. 按一下 [完成]。

請注意:在 Outlook 2002 中設定使用者設定檔時,也可以指定這項設定值。

RPC 加密只對從 MAPI 用戶端傳送到 Exchange 伺服器的資料進行加密。而不是就郵件本身進行加密。

為郵件簽名及加密

Outlook 2002 能夠為郵件簽名並加密,再傳送給內部或外部收件者。要使用這種加密就必須具備憑證。如果要傳送經過簽名和/或加密的電子郵件給網際網路收件者時,就必須使用第三方廠商的可識別憑證 (一般稱為數位 ID)。

一旦在用戶端上安裝了憑證之後,就可以使用 S/MIME,開始傳送經過簽名及加密的郵件。如果能夠存取其他使用者的公開金鑰,就可以只傳送加密的郵件給其他使用者。這種作法必須請其他使用者先將已簽名的郵件傳送進來,然後再將該使用者加入連絡人中。之後就會有對方的公開金鑰可以使用。

請注意:如需有關簽名及加密郵件的詳細資訊,請參閱知識庫文件 Q286159〈Encryption and Message Security Overview〉。

金鑰管理服務

如果需要經常在 Exchange 組織內的使用者之間傳送已簽名及加密的郵件時,就必須考慮使用 Exchange 2000 提供的金鑰管理服務。這項服務是利用 Windows 2000 憑證服務,提供了存取公開金鑰以外,還可安全而且集中式地存取私密金鑰。因此,用戶端可以不著痕跡地存取經過簽名及加密的郵件,也可以傳送這些經過簽名及加密的郵件至在全域通訊名單 (GAL) 中任何其他已啟用安全性的收件者。

請注意:如果使用 Key Management Server 加上附屬於第三方 CA 的憑證授權單位 (CA),就可以與網際網路上的其他使用者整合金鑰管理服務。

回到頁首

維護 OWA 通訊安全

剛開始檢視 OWA 通訊時,看起來是非常簡單的。Web 瀏覽器與 OWA 伺服器通訊以取得電子郵件。這項作業是透過連接埠 80 進行的,若是取得通訊安全性則是透過連接埠 443 進行。但是並非這樣就結束了。雖然用戶端是透過連接埠 80 或連接埠 443 與前端伺服器連接,這些前端伺服器還必須再與網域中的網域控制站通訊以便驗證使用者。同時也必須與 Exchange 後端伺服器通訊,以便從適當的信箱或公用資料夾確實地取得資訊。

要保障 OWA 前端伺服器安全性的方法是:將前端伺服器置於外圍網路 (Perimeter Network,也稱為 DMZ) 之內,而且將後端伺服器置於內部防火牆之內。但是若要使幾上方法能夠有效運作的話,就必須開放內部防火牆上的大量連接埠才行。

使用 ISA Server 來維護 OWA 的安全

如果打算將內部防火牆上所需開放的連接數目埠減到最少,可以使用應用程式層防火牆 (如 Microsoft Internet Security and Acceleration (ISA) Server) 來執行此項任務。ISA Server 可以讓您將 SMTP 伺服器和 OWA 前端伺服器一起放在防火牆後面。ISA Server 是利用伺服器發行與 Web 發行規則,毋需將伺服器放在 DMZ 中就可以模擬內部伺服器向外界發佈。

請注意:如需使用於前端與其他伺服器之間通訊的連接埠清單,請參閱《Exchange 2000 Front-end and Back-end Topology》白皮書,這份文件也列在本章最後的〈其他資訊〉一節中。

下圖顯示 ISA Server 發行 OWA 伺服器至網際網路上的 OWA 用戶端:

圖 4.1 安全防火牆架構

請注意:在此設定中,前端 OWA 伺服器的外部 DNS 項目必須指向 ISA Server 上發行的 IP 位址,而不是 OWA 前端伺服器的位址。

請注意:如果不能變更現有的兩個防火牆基礎架構來容納 ISA Server 時,可以將 ISA Server 放在目前的內部防火牆之中,然後通過 TCP 連接埠 443 傳送到 ISA Server 上。

防火牆可協助您保護伺服器以避免遭受攻擊。但是,同時您也必須保護在伺服器間來往傳送的資料。當網際網路上的 Web 瀏覽器用戶端使用 HTTP 透過 OWA 存取 Exchange 時,作業狀況如下:

  • HTTP 要求從 Web 瀏覽器傳送給 ISA Server。如果 ISA 發行規則准許通過時,要求就會傳送到 OWA 前端伺服器上。
  • ISA Server 以本身的 IP 位址作為來源 IP 位址,建立到前端伺服器的 HTTP新連線。
  • HTTP 要求會在 OWA 前端伺服器上進行處理。在處理程序中,OWA 前端伺服器會執行下列作業:
    • ‧ 對通用類別目錄伺服器驗證使用者及連絡人,以判斷使用者信箱的位置。
    • ‧ 解析使用者信箱伺服器的 IP 位址。
  • OWA 前端伺服器會在後端 Exchange 伺服器建立新 HTTP 工作階段。

由於 IIS 架構的一部份是支援 OWA 的,因此必須啟用基本驗證。當用來做通訊的唯一通訊協定為 HTTP 或 HTTPS,整合式的 Windows 驗證就無法運作,而且您無法使用匿名存取,否則就會將電子郵件環境開放給網際網路上的任何人使用。

基本驗證代表在 HTTP 連線上,密碼和電子郵件是以未加密的形式通過網際網路傳送。如果沒有使用其他加密方法,這些封包就會繼續以未加密的純文字形式,在 ISA Server 與 OWA 前端伺服器之間傳送。在 OWA 進行驗證之後,相同的未加密資訊 (包括密碼在內) 都會透過 HTTP 在 OWA 前端伺服器和後端伺服器之間傳送。若要防止這種現象的發生,重要的事就是一定要順著 Web 瀏覽器與後端 Exchange 伺服器之間通訊的路徑全線,為使用者認證加密。執行下列作業即可達到以上目的:

  • 使用 SSL 加密,取得 Web 瀏覽器與 ISA Server 之間的通訊安全
  • 使用 SSL,取得 ISA Server 與 OWA 前端伺服器之間的通訊安全。
  • 使用 IPSec 加密,取得 OWA 前端伺服器與後端 Exchange 伺服器之間的通訊安全。

下文將逐項探討這些作業。

取得 Web 瀏覽器與 ISA Servers 之間的通訊安全

若要使用 SSL,在 Web 瀏覽器與 ISA Server 之間為資料加密,就必須在 ISA Server 上安裝 SSL 憑證及適當的 SSL 接聽項。憑證應該是由全球信任的 CA 所核發,因為該憑證是要由不屬於組織基礎架構的外部 Web 用戶端來使用。

設定 ISA Server 來支援 SSL 通訊

ISA Server 可以用幾個方法來設定,以便接受來自 Web 瀏覽器的 SSL 要求。ISA Server 可以:

  • 接收 SSL 通訊,並將通訊傳送到防火牆之內的伺服器。
  • 將 SSL 通訊解密,並將通訊以未加密形式傳送到後端。
  • 將 SSL 通訊解密,然後再重新將通訊加密,並傳送到後端。

請注意:將 SSL 通訊解密又重新加密的作業必須要有 ISA Server SP1 (含) 以上版本。必須先安裝 ISA Server SP1 (含) 以上版本,以下程序才能正確運作。

在上述三種方法中,最安全的方法是將封包解密之後再重新加密,因為這樣就可以讓 ISA Server 檢查資料是否有漏洞。而且也能夠保護資料避免遭受 ISA Server 內部的攻擊。

請注意:某些國家的法律可能會明文規定不准對資料進行解密,並在網路的中間點進行檢查。您應該事先檢查這個方案所隱含的法律意義,再加以採用。

請注意:若要改善效能並減低 SSL 的額外負荷,就應該考慮使用 SSL 加速器網路介面卡。

如果打算為資料成功地加密,就必須確定具備下列各項:

  • OWA 的 ISA Server 憑證需要有一般名稱,也稱為好記的名稱,該名稱必須與 Web 瀏覽器用來參照 OWA 資源的完整網域名稱 (FQDN) 相符。例如,如果用戶端所使用的 OWA URL 是 **https://mail.nwtraders.com/exchange**,憑證的一般名稱就應該是 mail.nwtraders.com
  • 憑證必須匯入 ISA Server 的「個人」電腦存放區或是發行 OWA 資源的伺服器中。將憑證匯入 ISA Server 時,請確定已啟用 [Mark the private key as exportable]。
  • 若要避免意外傳輸純文字密碼,ISA Server 必須只允許安全通道,而且拒絕已發行 OWA 網站的純文字 HTTP 連線。

ISA Server 使用網頁發行規則,將 OWA 伺服器提供給網際網路用戶端使用。但是在建立網頁發行規之前,Web 發行就必須事先安裝在 ISA Server 上。準備工作是透過設定 [Incoming Web Requests] 和 [Outgoing Web Requests] 來完成的。

請注意:完成下列程序以前,必須先匯入外部憑證。

設定Incoming Web Requests

  1. 啟動 [ISA Managment]。
  2. 以滑鼠右鍵按一下 ISA Server,然後選取 [內容]。
  3. 按一下 [Incoming Web Requests] 索引標籤。
  4. 選取 [Configure listeners individually per IP Address],然後按一下 [Add]。
  5. 選取 ISA Server,再選取 ISA Server 的外部 IP 位址。
  6. 選取 [Use a server certificate to authenticate web clients]。
  7. 按一下 [Select],然後選取 FQDN 用戶端要用來存取 SSL 站台的憑證。
  8. 按一下 [OK]。
  9. 選取 [Enable SSL Listeners]。
  10. 按一下 [OK]。
  11. 按一下 [OK]。
  12. 按一下 [Save the changes and restart the service(s)],然後按一下 [OK]。

設定 Outgoing Web Requests

請注意:執行下列程序可防止內部網路上的使用者利用 ISA Server 作為 Proxy 伺服器來存取網際網路上的網站。想讓 OWA 透過 ISA 提供使用並不需要此程序,但將此程序包含在內可提供額外的安全性。

  1. 啟動 [ISA Managment]。
  2. 以滑鼠右鍵按一下 ISA Server,然後選取 [內容]。
  3. 按一下 [Outgoing Web Requests] 索引標籤。
  4. 選取 [Configure listeners individually per IP Address],確定並未列出任何 IP 位址,然後按一下 [OK]。
  5. 按一下 [Save the changes and restart the service(s)],然後按一下 [OK]。 現在您已取得身份,可以設定 Web 發行來支援 OWA。

設定 OWA 的 Web Publishing

  1. 在 [ISA 管理] 中展開 [ISA Server],然後展開 [Publishing]。
  2. 以滑鼠右鍵按一下 [Web Publishing Rules],選取 [New],然後選取 [Rule]。
  3. 提供名稱,如「OWA – 」,然後按一下 [Next]。
  4. 確認 [All destinations],然後按一下 [Next]。
  5. 確認已選取 [Any request],然後按一下 [Next]。
  6. 選取 [Redirect the request to this internal Web server (name or IP Address)],按一下 [Browse],然後選取 OWA 前端伺服器。
  7. 選取 [Send the original host header to the publishing server instead of the actual one (specified above)],然後按一下 [Next]。
  8. 按一下 [Finish]。
  9. 在資料夾窗格中按一下 [Web Publishing Rules],然後按兩下新規則。
  10. 按一下 [Bridging] 索引標籤。
  11. 選取 [Require secure channel (SSL) for published site],選取 [Require 128-bit encryption],然後按一下 [OK]。

請注意:您也需要在環境中的適當路由器和防火牆上,為連接埠 80 和連接埠 443 設定適當的規則。

請注意:如需有關使用 ISA Server 來發行 SMTP 和 OWA 的詳細資訊,請參閱知識庫文件 Q290113〈How to Publish Outlook Web Access Behind ISA Server〉和 Q308599〈How to Configure ISA Server to Publish Exchange for OWA〉。

ISA Servers 與 OWA 前端伺服器之間的加密

若要為 ISA Server 與 OWA 前端伺服器之間的 HTTP 傳輸加密,就必須在 OWA 前端伺服器上安裝 SSL 憑證。ISA Server 與 OWA 前端伺服器是組織基礎架構的一部份,因此 OWA 前端憑證可以由組織的內部根 CA 或任何其所信任的附屬憑證授權單位核發。

為 OWA 前端伺服器要求憑證

請注意:下列步驟假設您已經在環境中安裝了 CA。

  1. 啟動 OWA 前端伺服器上的 [Internet 服務管理員]。
  2. 以滑鼠右鍵按一下 [預設的網站],然後按一下 [內容]。
  3. 按一下 [目錄安全設定] 索引標籤,然後按一下 [伺服器憑證]。
  4. 按一下 [下一步],按一下 [建立新憑證],然後按一下 [下一步]。
  5. 按一下 [立即傳送要求到線上憑證授權] 選項按鈕,然後按一下 [下一步]。
  6. 在 [名稱] 欄位中,鍵入名稱,然後按一下 [下一步]。
  7. 在 [組織] 欄位中,鍵入組織的名稱。
  8. 在 [組織單位] 欄位中,鍵入組織單位的名稱,然後按一下 [下一步]。
  9. 在 [一般名稱] 欄位中,鍵入 OWA 前端伺服器的 FQDN,然後按一下 [下一步]。
  10. 鍵入州/省和市的資訊,然後按一下 [下一步]。
  11. 在 [憑證授權單位] 下拉式清單方塊中,確認已選取憑證授權單位,然後按一下 [下一步]。
  12. 按一下 [下一步] 提出要求,然後按一下 [完成] 來完成精靈作業。
  13. 在 [目錄安全設定] 索引標籤上,[安全通訊] 群組方塊中,按一下 [編輯]。
  14. 選取 [必須使用安全通道 (SSL)],選取 [需要 128 位元加密],然後按一下 [確定]。
  15. 在 [目錄安全設定] 索引標籤上,在 [匿名存取及驗證控制] 群組方塊中,按一下 [編輯]。
  16. 選取 [基本驗證] (密碼是以純文字傳送),然後按一下 [是] 來確認警告。
  17. 清除所有其他選項,然後按一下 [確定]。
  18. 按一下 [確定]。
  19. 按一下 [確定] 來關閉 [繼承覆寫] 對話方塊,然後關閉 [Internet 服務管理員]。

請注意:一般名稱是 OWA 伺服器的 FQDN,因為它與 ISA Server 上的 OWA 發行規則屬性相符。ISA Server 會在發行程序期間,檢查 OWA Web 憑證的有效性,同時也檢查憑證信任鏈驗證和憑證到期日期。

OWA 前端伺服器與後端 Exchange 伺服器之間的加密

在 OWA 前端伺服器與後端伺服器之間是無法使用 SSL 為資料加密。但是由於前端與後端伺服器都是執行 Windows 2000,因此可以使用 IPSec 來進行加密。IPSec 有一項好處,就是速度比 SSL 快許多。

請注意:若要改善效能,同時減低 IPSec 的額外負荷,應該考慮使用專門的網路介面卡,將 IPSec 處理卸載到介面卡上。

IPSec 可以讓您控制網路介面卡接受的通訊協定,封鎖或准許某些連接埠,同時為其他連接埠加密。在前端/後端伺服器通訊時,必須要確保連接埠 80 是已加密的。 IPSec 是透過 IPSec 原則加以控制,這些原則是在 Windows 2000 群組原則之內定義。

資料表 4.1:IPSec 原則設定

原則 設定
OWA 前端 連接埠 80 輸出 – 加密
連接埠 80 輸入– 封鎖
後端 連接埠 80 輸入 – 加密
由於是前端伺服器啟動與後端伺服器之間的所有通訊,因此可以從前端伺服器封鎖輸入要求。封鎖這些要求可以避免無意中將使用者憑證以純文字加以傳輸,而將前端伺服器上的緩衝區溢位攻擊減到最低。 建立 OWA 前端伺服器 IPSec 原則 要建立及設定的第一項原則是供 OWA 前端伺服器使用的。 **建立輸出 TCP 80 篩選器** 1. 啟動 \[Active Directory使用者和電腦\]。 2. 展開 \[成員伺服器\],展開 \[應用程式伺服器\],然後展開 \[Exchange 2000\]。 3. 以滑鼠右鍵按一下 \[OWA 前端伺服器 OU\],然後按一下 \[內容\]。 4. 按一下 \[群組原則\] 索引標籤。 5. 選取 \[OWA 前端累加式 GPO\]。 6. 按一下 \[編輯\]。 7. 展開 \[Windows 設定\]、\[安全設定\],然後以滑鼠右鍵按一下 \[在 Active Directory 上的 IP 安全性原則\]。 8. 按一下 \[管理 IP 篩選器清單和篩選器動作\]。 9. 按一下 \[新增\]。 10. 在 \[名稱\] 方塊中,鍵入 \[輸出 TCP 80 – OWA FE\]。 11. 在 \[說明\] 方塊中,鍵入 \[此篩選器與 OWA 前端伺服器上的輸出 TCP 80 傳輸相符\]。 12. 按一下 \[新增\],然後按一下 \[下一步\]。 13. 在 \[來源位址\] 下拉式清單方塊中,確認顯示 \[我的 IP 位址\],然後按一下 \[下一步\]。 14. 在 \[目的地位址\] 下拉式清單方塊中,確認顯示 \[任何 IP 位址\],然後按一下 \[下一步\]。 15. 在 \[請選取通訊協定的類型\] 下拉式清單方塊中,選取 \[TCP\],然後按一下 \[下一步\]。 16. 在 \[設定 IP 通訊協定連接埠\] 中,確認已選取 \[從任意連接埠\],選取 \[到此連接埠\],然後鍵入 80。 17. 按一下 \[下一步\],然後按一下 \[完成\]。 18. 按一下 \[關閉\],關閉 \[IP 篩選器清單\] 視窗。 **建立輸入 TCP 80 篩選器** 1. 按一下 \[新增\]。 2. 在 \[名稱\] 方塊中,鍵入 \[輸入 TCP 80 – OWA FE\]。 3. 在 \[說明\] 方塊中,鍵入 \[此篩選器與 OWA 前端伺服器上的輸入 TCP 80 傳輸相符\]。 4. 按一下 \[新增\],然後按一下 \[下一步\]。 5. 在 \[來源位址\] 下拉式清單方塊中,選取 \[任何 IP 位址\],然後按一下 \[下一步\]。 6. 在 \[目的地位址\] 下拉式清單方塊中,選取 \[我的 IP 位址\],然後按一下 \[下一步\]。 7. 在 \[請選取通訊協定的類型\] 下拉式清單方塊中,選取 \[TCP\],然後按一下 \[下一步\]。 8. 在 \[設定 IP 通訊協定連接埠\] 中,確認已選取 \[從任意連接埠\],選取 \[到此連接埠\],然後鍵入 **80**。 9. 按一下 \[下一步\],然後按一下 \[完成\]。 10. 按一下 \[關閉\]。 11. 按一下 \[關閉\]。 **建立將與輸入 TCP 連接埠 80 篩選器一起使用的封鎖動作** 1. 從 \[群組原則\] 視窗,以滑鼠右鍵按一下 \[在 Active Directory 上的 IP 安全性原則\],然後選取 \[管理 IP 篩選器清單和篩選器動作\]。 2. 按一下 \[管理篩選器動作\] 索引標籤。 3. 按一下 \[新增\],然後按一下 \[下一步\]。 4. 在 \[名稱\] 欄位中,鍵入 \[封鎖\],然後按一下 \[下一步\]。 5. 選取 \[封鎖\],然後按一下 \[下一步\]。 6.  按一下 \[完成\]。 **建立將與輸出 TCP 連接埠 80 篩選器一起使用的加密動作** 1. 按一下 \[管理篩選器動作\] 索引標籤。 2. 按一下 \[新增\],然後按一下 \[下一步\]。 3. 在 \[名稱\] 欄位中,鍵入 **Encrypt**,然後按一下 \[下一步\]。 4. 選取 \[交涉安全性\],然後按一下 \[下一步\]。 5. 選取 \[不要和不支援 IPSec 的電腦進行通訊\],然後按一下 \[下一步\]。 6. 確認已選取 \[高 (壓縮式安全付費載入)\],然後按一下 \[下一步\]。 7. 按一下 \[編輯內容\],然後按一下 \[完成\]。 8. 按一下 \[新增\]。 9. 選取 \[自訂 (專家使用者)\],然後按一下 \[設定\]。 10. 確認只選取 \[資料完整性及加密 (ESP)\]。 11. 在 \[加密演算法\] 中選取 \[3DES\]。 12. 按一下 \[確定\]。 13. 按一下 \[確定\]。 14. 選取 \[自訂\],然後按一下 \[上移\]。 15. 按一下 \[確定\]。 16. 按一下 \[關閉\]。 **建立 IP 安全性原則,套用篩選器並指定動作** 1. 以滑鼠右鍵按一下 \[在 Active Directory 上的 IP 安全性原則\],選取 \[建立 IP 安全性原則\],然後按一下 \[下一步\]。 2. 在 \[名稱\] 方塊中,鍵入 **Block-Encrypt TCP 80 traffic – OWA FE**,然後按一下 \[下一步\]。 3. 確認已選取 \[啟動預設的回應規則\],然後按一下 \[下一步\]。 4. 確認已選取 \[Windows 2000 預設值 (Kerberos V5 通訊協定)\],然後按一下 \[下一步\]。 5. 確認已選取 \[編輯內容\],然後按一下 \[完成\]。 6. 在 \[規則\] 索引標籤上,按一下 \[新增\],然後按一下 \[下一步\]。 7. 確認已選取 \[這個規則並沒有指定 IPsec 通道\],然後按一下 \[下一步\]。 8. 確認已選取 \[所有網路連線\],然後按一下 \[下一步\]。 9. 確認已選取 \[Windows 2000 預設值 (Kerberos V5 通訊協定)\],然後按一下 \[下一步\]。 10. 在 \[IP 篩選器清單\] 中選取 \[輸入 TCP 80 – OWA FE\],然後按一下 \[下一步\]。 11. 在 \[篩選器動作\] 方塊中,按一下 \[封鎖\],然後按一下 \[下一步\]。 12. 確認已清除 \[編輯內容\],然後按一下 \[完成\]。 13. 在 \[規則\] 標籤上,按一下 \[新增\],然後按一下 \[下一步\]。 14. 確認已選取 \[這個規則並沒有指定 IPsec 通道\],然後按一下 \[下一步\]。 15. 確認已選取 \[所有網路連線\],然後按一下 \[下一步\]。 16. 確認已選取 \[Windows 2000 預設值 (Kerberos V5 通訊協定)\],然後按一下 \[下一步\]。 17. 在 \[IP 篩選器清單\] 中選取 \[輸出 TCP 80 – OWA FE\],然後按一下 \[下一步\]。 18. 在 \[篩選器動作\] 方塊中,按一下 \[加密\],然後按一下 \[下一步\]。 19. 確認已清除 \[編輯內容\],然後按一下 \[完成\]。 20. 按一下 \[關閉\]。 **將輸出篩選器套用到群組原則** 1. 在 \[群組原則\] 內容窗格中,以滑鼠右鍵按一下 \[**Block-Encrypt TCP 80 traffic – OWA FE**\],然後按一下 \[指派\]。 2. 關閉 \[群組原則\],然後按一下 \[確定\]。 **將群組原則套用到 OWA 前端伺服器** 1. 在 OWA 前端伺服器上啟動指令提示。 2. 鍵入 **secedit /refreshpolicy machine\_policy /enforce**,然後按 ENTER。 3. 重新啟動伺服器。 **建立後端伺服器 IPSec 原則** 後端伺服器上的原則會為輸入連接埠 80 資料傳輸加密。 **建立輸入 TCP 80 篩選器** 1. 啟動 \[Active Directory使用者和電腦\]。 2. 展開 \[成員伺服器\],展開 \[應用程式伺服器\],然後展開 \[Exchange 2000\]。 3. 以滑鼠右鍵按一下 \[後端伺服器 OU\],然後按一下 \[內容\]。 4. 按一下 \[群組原則\] 標籤。 5. 選取 \[後端累加式 GPO\]。 6. 按一下 \[編輯\]。 7. 展開 \[Windows 設定\]、\[安全設定\],然後以滑鼠右鍵按一下 \[在 Active Directory 上的 IP 安全性原則\]。 8. 按一下 \[管理 IP 篩選器清單和篩選器動作\]。 9. 按一下 \[新增\]。 10. 在 \[名稱\] 方塊中,鍵入 **Inbound TCP 80 – BE**。 11. 在 \[說明\] 方塊中,鍵入 **This filter matches inbound TCP 80 traffic on the Back-end Server**。 12. 按一下 \[新增\],然後按一下 \[下一步\]。 13. 在 \[來源位址\] 下拉式清單方塊中,確認顯示 \[我的 IP 位址\],然後按一下 \[下一步\]。 14. 在 \[目的地位址\] 下拉式清單方塊中,確認顯示 \[任何 IP 位址\],然後按一下 \[下一步\]。 15. 在 \[請選取通訊協定的類型\] 下拉式清單方塊中,選取 \[TCP\],然後按一下 \[下一步\]。 16. 在 \[設定 IP 通訊協定連接埠\] 中,確認已選取 \[從任意連接埠\],選取 \[到此連接埠\],然後鍵入 **80**。 17. 按一下 \[下一步\],然後按一下 \[完成\]。 18. 按一下 \[關閉\] 以關閉 IP 篩選器清單視窗。 **建立 IP 安全性原則,套用篩選器並指定動作** 1. 以滑鼠右鍵按一下 \[在 Active Directory 上的 IP 安全性原則\],選取 \[建立 IP 安全性原則\],然後按一下 \[下一步\]。 2. 在 \[名稱\] 方塊中,鍵入 **Encrypt TCP 80 traffic – BE**,然後按一下 \[下一步\]。 3. 確認已選取 \[啟動預設的回應規則\],然後按一下 \[下一步\]。 4. 確認已選取 \[Windows 2000 預設值 (Kerberos V5 通訊協定)\],然後按一下 \[下一步\]。 5. 確認已選取 \[編輯內容\],然後按一下 \[完成\]。 6. 在 \[規則\] 標籤上,按一下 \[新增\],然後按一下 \[下一步\]。 7. 確認已選取 \[這個規則並沒有指定 IPsec 通道\],然後按一下 \[下一步\]。 8. 確認已選取 \[所有網路連線\],然後按一下 \[下一步\]。 9. 確認已選取 \[Windows 2000 預設值 (Kerberos V5 通訊協定)\],然後按一下 \[下一步\]。 10. 在 \[IP 篩選器清單\] 中選取 \[**Inbound TCP 80 – BE**\],然後按一下 \[下一步\]。 11. 在 \[篩選器動作\] 方塊中,按一下 \[加密\],然後按一下 \[下一步\]。 12. 確認已清除 \[編輯內容\],然後按一下 \[完成\]。 13. 按一下 \[關閉\]。 **將輸入篩選器套用到群組原則** 1. 在 \[群組原則\] 內容窗格中,以滑鼠右鍵按一下 \[**Encrypt TCP 80 traffic – BE\]**,然後按一下 \[指派\]。 2. 關閉 \[群組原則\],然後按一下 \[確定\]。 **將群組原則套用到後端伺服器** 1. 在 OWA 前端伺服器上啟動指令提示。 2. 鍵入 **secedit /refreshpolicy machine\_policy /enforce**,然後按 ENTER。 3. 重新啟動伺服器。 **請注意**:可能也需要在每架本機電腦上套用 IPSec 設定。這樣可以確保─即使從網域控制站存取群組原則出問題時,仍然會使用 IPSec。 監控 IP 安全性連線 在設定了 IPSec 之後,最好是稽核與 IPSec 相關的事件和使用 IP Security Monitor 工具來確認其功能。 **啟動及設定 IP Security Monitor** 1. 在 OWA 前端或是後端伺服器上,啟動 IP Security Monitor 工具,按一下 \[開始\],按一下 \[執行\],然後在 \[開啟\] 方塊中,鍵入 **ipsecmon**。 2. 按一下 \[選項\],然後將 \[重新整理的秒數\] 值從 **15** 變更為 **1**。 3. 按一下 \[確定\]。 **驗證 IPSec 的成功設定** 1. 讓使用者利用 OWA 傳送電子郵件,在 OWA 前端與後端伺服器之間產生傳輸。 2. 切換至 IP Security Monitor,應該會顯示 OWA 前端伺服器與後端伺服器之間的資料傳輸已經過加密。 **請注意**:如需有關 IPSec 的詳細資訊,請參閱〈Step-by-Step Guide to Internet Protocol Security (IPSec)〉,請參閱〈其他資訊〉一節取得詳細資訊。 [](#mainsection)[回到頁首](#mainsection)