Обзор сессии
Внедрение Exchange Server
Организация защиты сервисов Exchange Server и протоколов передачи сообщений
Обеспечение безопасности Exchange Server
Конфигурация Exchange для защиты от нежелательной электронной почты
Внедрение Exchange Server
Внедрение Exchange Server
Организация защиты сервисов Exchange Server и протоколов передачи сообщений
Обеспечение безопасности Exchange Server
Конфигурация Exchange для защиты от нежелательной электронной почты
Обзор безопасности Exchange Server 2003
Безопасность разработкиБезопасность разработкиБезопасность по умолчанию
Поддержка для Отправителя, Получателя и Фильтрации соединений включает сервис блокировок (Block List services)
Безопасность по умолчанию
Поддержка для Отправителя, Получателя и Фильтрации соединений включает сервис блокировок (Block List services)
Безопасность по умолчаниюБезопасность по умолчанию
Исключен локальный вход в систему пользователей
Ограничения размера передачи сообщений в 10MB
Исключен локальный вход в систему пользователей
Ограничения размера передачи сообщений в 10MB
Усиление безопасности Microsoft Exchange Server 2003: http://www.microsoft.com/exchange/evaluation/security_E2k3.mspx
Усиление безопасности Microsoft Exchange Server 2003: http://www.microsoft.com/exchange/evaluation/security_E2k3.mspx
Сценарии развертывания Exchange Server
Интеграция с ISA ServerИнтеграция с ISA Server
Базовое развертывание Базовое развертывание FE/BE развертываниеFE/BE развертывание
Exchangeserver
Exchangeserver
ИнтернетИнтернет
Front-endExchange
server
Front-endExchange
server
Back-end Exchange
servers
Back-end Exchange
servers
ISA serverISA server
Exchangeserver
Exchangeserver
Сценарии клиента Exchange Server
Основной клиент:Основной клиент:
Microsoft OutlookMicrosoft Outlook
Мобильный клиент:Мобильный клиент:
Outlook Web Access
Outlook Mobile Access
Exchange Server ActiveSync
Outlook Web Access
Outlook Mobile Access
Exchange Server ActiveSync
Сценарии клиента Exchange Server 2003 включают следующее:Сценарии клиента Exchange Server 2003 включают следующее:
Рекомендации по конфигурации и обновлениям безопасности для and Exchange Server
Компонент Конфигурация
Операционная система и программа
Microsoft Windows Server 2003 с последними обновлениями безопасностиExchange Server 2003 с Service Pack 1 (или выше) Microsoft Exchange Intelligent Message Filter
ОбозревательInternet Explorer 6 с последними обновлениями безопасности
Управление обновлениями безопасности
Microsoft Baseline Security Analyzer
Внедрение защиты высокого уровня для Exchange Server Security
Использование многоэтапной защиты:Увеличение возможности обнаружения атакующегоУменьшает шансы атакующего
Политики безопасности, процедуры и обучениеПолитики, процедуры и информированностьПолитики, процедуры и информированность
Охрана, замки, устройства слеженияФизическая безопасностьФизическая безопасность
Улучшение приложенийApplication
Улучшение ОС, аутентификация, управление обновлениями, обновление антивирусов, аудит
Host
Сегментирование сети, NIDSInternal network
Межсетевой экран, VPN с процедурой карантина.Perimeter
Сложный пароль, ACLs, -стратегия резервного копирования и восстановления
Data
Организация защиты сервисов Exchange Server и протоколов передачи сообщений
Внедрение Exchange Server
Организация защиты сервисов Exchange Server и протоколов передачи сообщений
Обеспечение безопасности Exchange Server
Конфигурация Exchange для защиты от нежелательной электронной почты
Организация защиты Exchange Servers: Насколько сложная задача?
Задачи по обеспечению безопасности Exchange server следующие:Задачи по обеспечению безопасности Exchange server следующие:
Поддержание безопасности, лежащей в основе инфраструктуры Windows
Поддержание базовой безопасности, подкрепленной специфическими инструкциями
Понимание опций безопасности в зависимости от сценарий развертывания
Поддержание безопасности, лежащей в основе инфраструктуры Windows
Поддержание базовой безопасности, подкрепленной специфическими инструкциями
Понимание опций безопасности в зависимости от сценарий развертывания
Улучшение безопасности среды передачи сообщений
Улучшить безопасность вашей среды обмена сообщениями можно используя следующее:Улучшить безопасность вашей среды обмена сообщениями можно используя следующее:
Среда Конфигурация
Серверов
Соответствующие базовые шаблоны политик для Домена, Контроллера Домена и Рядового Сервера Домена Windows Server 2003 Инструкция по безопасности http://go.microsoft.com/fwlink/?LinkId=21638
Обмена сообщениями
Базовый шаблон политики для Exchange Домен Контроллер Exchange Server 2003 Инструкция по улучшению безопасности http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/exsecure.mspx
Улучшение безопасности Back-End Exchange серверов
Задачи по улучшению безопасности back-end Exchange серверов включают:Задачи по улучшению безопасности back-end Exchange серверов включают:
Улучшение безопасности сервисов
Улучшение безопасности контроля доступа (ACLs) к файлам
Изменение привилегий
Дополнительные сервисы (необязательно)
Улучшение безопасности сервисов
Улучшение безопасности контроля доступа (ACLs) к файлам
Изменение привилегий
Дополнительные сервисы (необязательно)
Внедрите для вашего Exchange 2003 back-end сервера Backend.inf шаблон безопасности Внедрите для вашего Exchange 2003 back-end сервера Backend.inf шаблон безопасности
Улучшение безопасности Front-End Exchange серверов
Задачи по улучшению безопасности front-end Exchange серверов включают:Задачи по улучшению безопасности front-end Exchange серверов включают:
Улучшение безопасности сервисов
Улучшение безопасности контроля доступа (ACLs) к файлам
Дополнительные сервисы (необязательно)
Запуск URLScan (необязательно, но рекомендуемо)
Удаление хранилища почтовых ящиков и удаление хранилища публичных папок (необязательно, но рекомендуемо)
Улучшение безопасности сервисов
Улучшение безопасности контроля доступа (ACLs) к файлам
Дополнительные сервисы (необязательно)
Запуск URLScan (необязательно, но рекомендуемо)
Удаление хранилища почтовых ящиков и удаление хранилища публичных папок (необязательно, но рекомендуемо)
Внедрите для вашего Exchange 2003 front-end сервера Frontend.inf шаблон безопасности
Внедрите для вашего Exchange 2003 front-end сервера Frontend.inf шаблон безопасности
Понимание SMTP ретрансляции
SMTP Ретрансляция: Когда SMTP сервер принимает почту с одного DNS домена, адресованного почтовым ящикам другого домена, ни тех, для которых этот сервер является хозяином
SMTP Ретрансляция: Когда SMTP сервер принимает почту с одного DNS домена, адресованного почтовым ящикам другого домена, ни тех, для которых этот сервер является хозяином
Ретрансляция может быть необходима когда: Ретрансляция может быть необходима когда:
Принимается почта для другой организации
Поддержка клиентов, использующих POP3 или IMAP4
Поддержка приложений, которые генерируют SMTP сообщения
Принимается почта для другой организации
Поддержка клиентов, использующих POP3 или IMAP4
Поддержка приложений, которые генерируют SMTP сообщения
Ограничить открытую ретрансляцию можно: Ограничить открытую ретрансляцию можно: Разрешением только аутентифицированным компьютерам производить ретрансляцию
Ограничить ретрансляцию специфическим компьютерам или пользователям
Использовать SMTP конектор для ретрансляции сообщений определенным доменам
Разрешением только аутентифицированным компьютерам производить ретрансляцию
Ограничить ретрансляцию специфическим компьютерам или пользователям
Использовать SMTP конектор для ретрансляции сообщений определенным доменам
Обеспечение безопасности SMTP соединений между почтовыми серверами
Обеспечить безопасность SMTP соединений между серверами можно: Обеспечить безопасность SMTP соединений между серверами можно:
Установка и конфигурация X.509 сертификата на SMTP сервер 11
• Включение и конфигурация TLS шифрования для входящей почты
22
Включение и конфигурация TLS шифрования для исходящей почты к специфическим доменам
33
Обеспечение безопасности Exchange серверов: Полезные советы
Ограничить выполняемые функции Exchange сервера для клиентов если в этих функциях нет безусловной необходимости
Ограничить выполняемые функции Exchange сервера для клиентов если в этих функциях нет безусловной необходимости
Осуществлять постоянное обновление как Exchange Server 2003 так, и операционной системы
Осуществлять постоянное обновление как Exchange Server 2003 так, и операционной системы
Использование SSL/TLS и базовой аутентификации для Outlook Web AccessИспользование SSL/TLS и базовой аутентификации для Outlook Web Access
Использовать ISA Server 2004 для предоставления доступа по протоколам HTTP, RPC поверх HTTPS, POP3, и IMAP4
Использовать ISA Server 2004 для предоставления доступа по протоколам HTTP, RPC поверх HTTPS, POP3, и IMAP4
Обеспечение безопасности Exchange Server
Внедрение Exchange Server
Организация защиты сервисов Exchange Server и протоколов передачи сообщений
Обеспечение безопасности Exchange Server
Конфигурация Exchange для защиты от нежелательной электронной почты
Обеспечение безопасности Exchange Server : Насколько сложная задача?
Задачи по обеспечению безопасности Exchange server следующие:Задачи по обеспечению безопасности Exchange server следующие:
Быть с последними обновлениями безопасности
Следовать рекомендациями полезных советов
Понимать влияние конфигурации различных опций Exchange Server
Документировать изменения в конфигурации и установкам безопасности
Быть с последними обновлениями безопасности
Следовать рекомендациями полезных советов
Понимать влияние конфигурации различных опций Exchange Server
Документировать изменения в конфигурации и установкам безопасности
Для анализа Exchange Server 2003 используется MBSA
MBSA используется для проверки следующего: MBSA используется для проверки следующего: Известных Windows и Internet Explorer проблем безопасности Известных Windows и Internet Explorer проблем безопасности
Отсутствие обновлений безопасности Отсутствие обновлений безопасности
Слабость учетных записей и паролей Слабость учетных записей и паролей
Проблем безопасности Internet Information Services (IIS) Проблем безопасности Internet Information Services (IIS)
Проблем безопасности Exchange ServerПроблем безопасности Exchange Server
Проблем безопасности SQL ServerПроблем безопасности SQL Server
Обоснование установок конфигурации Exchange Server
ExBPA проверяет ваш Exchange servers:ExBPA проверяет ваш Exchange servers:
Создает лист проблем, таких как неправильная конфигурация или включение нерекомендованных опций
Создает лист проблем, таких как неправильная конфигурация или включение нерекомендованных опций
Дает экспертную оценку основному состоянию системы Дает экспертную оценку основному состоянию системы
Помогает разрешить специфические проблемы Помогает разрешить специфические проблемы
Обеспечение Антивирусной защиты в Exchange Server
Рассмотреть следующее при планировании и внедрении антивирусного решения: Рассмотреть следующее при планировании и внедрении антивирусного решения:
Планирование высокого уровня защиты как для серверов, так и для рабочих станций.
Внедрение антивирусного сканера, поддерживающего AVAPI 2.5
Избежать использование файловых антивирусных сканеров для папок Exchange Server
Планирование высокого уровня защиты как для серверов, так и для рабочих станций.
Внедрение антивирусного сканера, поддерживающего AVAPI 2.5
Избежать использование файловых антивирусных сканеров для папок Exchange Server
Конфигурация Exchange для защиты от нежелательной электронной почты
Внедрение Exchange Server
Организация защиты сервисов Exchange Server и протоколов передачи сообщений
Обеспечение безопасности Exchange Server
Конфигурация Exchange для защиты от нежелательной электронной почты
Какие опции Exchange служат для ограничения нежелательной почты ?
Опции для ограничения нежелательной почты включают: Опции для ограничения нежелательной почты включают:
Фильтрация получателя
Фильтрация отправителя
Фильтрация соединений
Microsoft Exchange Intelligent Message Filter
Фильтрация получателя
Фильтрация отправителя
Фильтрация соединений
Microsoft Exchange Intelligent Message Filter
Конфигурация фильтра по адресам получателя
Фильтрация получателя блокирует почту с
специфическим адресом вашего домена и фильтрирует
почту, обращенную к пользователям не вашей Active
Directory
Фильтрация получателя блокирует почту с
специфическим адресом вашего домена и фильтрирует
почту, обращенную к пользователям не вашей Active
Directory
Конфигурация фильтра по адресам отравителя или домена
Фильтрация отправителя
блокирует почту от специфических
отправителей или доменов
Фильтрация отправителя
блокирует почту от специфических
отправителей или доменов
Внедрение поддержки блокировочных листов реального времени используя фильтрацию соединений
Фильтрация соединений
используется для конфигурации
Exchange Server и контакта с
поставщиками блокировочных таблиц
реального времени (RBL)
Фильтрация соединений
используется для конфигурации
Exchange Server и контакта с
поставщиками блокировочных таблиц
реального времени (RBL)
Обзор Exchange Intelligent Message Filter
Exchange Intelligent Message Filter – дополнительный
продукт, помогающий компаниям уменьшить
количество нежелательной почты,
приходящей пользователям
Exchange Intelligent Message Filter – дополнительный
продукт, помогающий компаниям уменьшить
количество нежелательной почты,
приходящей пользователям
Развертывание Intelligent Message Filter
ШлюзExchange Серверов
ШлюзExchange Серверов
Intelligent Message
Filter
Intelligent Message
Filter FirewallFirewall
InternetInternet
Внутренние Сервера Exchange
Внутренние Сервера Exchange
Intelligent Message Filter – инструмент, имеющий два порога срабатывания:Intelligent Message Filter – инструмент, имеющий два порога срабатывания:
Конфигурация блокировки на шлюзе
Резервная конфигурация нежелательной почты
Конфигурация блокировки на шлюзе
Резервная конфигурация нежелательной почты
Как Intelligent Message Filter работает с Exchange и Outlook
Exchange Server 2003 Gateway Server
Exchange Server 2003 Gateway Server
Connection filtering
Connection filtering
Recipient filtering Recipient filtering
Sender filtering Sender filtering
Intelligent Message Filter
(GatewayThreshold)
Intelligent Message Filter
(GatewayThreshold)
Exchange Server 2003 Back-endExchange Server 2003 Back-end
Store threshold Store threshold
User mailboxUser mailbox
InboxInbox JunkJunk InboxInbox
Y N Y N
InternetInternet
Safe senderSafe
senderBlocked sender
Blocked sender
YesYes NoNo
SpamSpam
Managing IMF Archived Messages Using the Archive Manager
Archive Manager C# tool released with source on GotDotNet
http://workspaces.gotdotnet.com/imfarchive
Supports the following features:
Tree view of the Archive directory of messages View of RFC2822 decoded headers and raw message Resubmission of message to pickup directory Deletion of messages Forwarding of message as attachment to third-party
address
Итог сессии
Развертывание Exchange Server 2003 и Microsoft Office Outlook 2003 для того, чтобы иметь последние достижения в безопасности
Развертывание Exchange Server 2003 и Microsoft Office Outlook 2003 для того, чтобы иметь последние достижения в безопасности
Внедрение соответствующих базовых и улучшенных шаблонов безопасности для Exchange Server Внедрение соответствующих базовых и улучшенных шаблонов безопасности для Exchange Server
Установка Exchange-совместимых антивирусов и поддержание безопасности, используя инструментов MBSA и ExBPA Установка Exchange-совместимых антивирусов и поддержание безопасности, используя инструментов MBSA и ExBPA
Защита от нежелательной почты возможностями фильтрации и утилиты Intelligent Message Filter Защита от нежелательной почты возможностями фильтрации и утилиты Intelligent Message Filter
Следующие шаги
Поиск дополнительных тренингов по безопасности:
http://www.microsoft.com/seminar/events/security.mspxЗапись в объединения безопасности:
http://www.microsoft.com/technet/security/signup/default.mspx
Поиск дополнительных курсов:
https://www.microsoftelearning.com/security
Получение дополнительной информации по Exchange Server 2003:
http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/default.mspx
Top Related