保护Exchange Server 2010的安全需要做出一些关键决定,但是这些决定可能会对软件的功能访问和易用性产生不利影响。对于企业来说,Exchange管理员往往会被看成是做正确事情的坏家伙—就安全而言。 对于管理员来说这里有个好消息。Exchange Server 2010比它的前辈们更加安全,即装即用的功能更加丰富。
本文介绍了Exchange Server 2010的几个主要安全漏洞,以及该软件应该如何保护自己不受这些漏洞影响。 Exchange 2010的传输安全性 SMTP协议是Exchange 2010安全性的第一项挑战。SMTP是一个非常开放的协议,使用明……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
保护Exchange Server 2010的安全需要做出一些关键决定,但是这些决定可能会对软件的功能访问和易用性产生不利影响。对于企业来说,Exchange管理员往往会被看成是做正确事情的坏家伙---就安全而言。
对于管理员来说这里有个好消息。Exchange Server 2010比它的前辈们更加安全,即装即用的功能更加丰富。本文介绍了Exchange Server 2010的几个主要安全漏洞,以及该软件应该如何保护自己不受这些漏洞影响。
Exchange 2010的传输安全性
SMTP协议是Exchange 2010安全性的第一项挑战。SMTP是一个非常开放的协议,使用明文方式发送信息,这使它很容易遭到窃听。
Exchange 2010使用自签名证书来提高SMTP的安全性。默认情况下,中心传输角色利用自签名证书来加密企业中传输服务器之间的通讯,无需额外的行政干预(图1)。
图1. Exchange Server 2010中自签名证书举例
面向企业外部的传输服务器在连接远程SMTP主机时使用条件性的传输层安全协议。如果远程服务器有值得信任的证书,那么传输服务器可以向他们发送加密的通讯信息。管理员也可以为合作方的SMTP域(互相TLS加密)开启域安全功能(图2)。
那些由于规则遵从(比如 HIPAA)而需要加密的企业可以受益于这个功能。当使用边缘传输服务器角色的时候,外部连接局限在周边网络时企业就会多了一个额外的安全层。
图2. 在Exchange 2010中的Send连接器上选中互动TLS设置
保护Exchange 2010的用户远离电子欺骗
该软件另外一个潜在的漏洞就是用SMTP传送的消息可能会被别人轻松地暗中操纵。其中一种操纵消息的方式就是电子欺骗,它带来的后果可能是灾难性的。
电子欺骗就是在电子邮件消息中伪装一个你并不存在的身份。在许多情况下,欺骗消息的收件人无法识别出该消息是不是来自真正的发件人。下面是典型的电子欺骗例子:你收到了一封来自自己的推销快速致富计划的电子邮件。
图3. Exchange 2010中远程登录电子欺骗实例分析
多用途网络邮件延伸格式(S/MIME)证书有助于保护那些使用Exchange的企业不受虚假邮件地址的欺骗。S/MIME证书可以让用户对发送的邮件进行数字签名。如果收件人相信该证书的颁发机构,那么他可以核实发件人是否真正是发送消息的那个人。Outlook 2010 与Outlook Web App (OWA) 的客户端都支持S/MIME。
你还可以用S/MIME证书来加密用户之间相互传送的消息。S/MIME需要企业在公开密钥基础设施方案上进行投资。使用Active Directory Group Policy和Exchange Server 2010有利于S/MIME的实施。
图4. Exchange 2010中负责分配证书的组策略对象
Exchange Server 2010和Active Directory活动目录的集成
Exchange Server 2010与活动目录权限管理服务(AD RMS)的紧密联合是消息安全功能中最新的改进。如果一个企业使用了AD RMS,那么管理员可以用它来执行安全政策一些要求。
我们来看一个这方面的例子,企业中特定员工之间互相发送电子邮件消息的加密工作。AD RMS比S/MIME要好的多,这是因为它能够让Exchange 2010的传输服务器对消息进行加密、扫描可能的病毒附件以及安全地给目标发件人发送消息等等(图5)。
图5. 该消息已经应用了活动目录权限管理服务
Exchange 2010中基于角色的访问控制(RBAC)
采用Exchange Server 2010时,微软创建了11个原始的全局安全角色组。这些组都有各自明确的管理角色。你可以为这些角色组自定义管理角色---有60个内置角色可以选择。你还可以创建自己的自定义角色组以及管理角色,以符合你自己具体的安全模型。
微软删除了在Exchange管理控制台(EMC)中的授权能力。现在只有在使用内置角色组的成员改变以及使用你在活动目录用户和计算机中或在 Exchange命令行管理程序(EMS)中创建的自定义管理角色组的时候才会产生授权。
图6. Exchange Server 2010中的内置角色组
客户端访问服务器漏洞
就像传输服务器一样,客户端访问服务器(CAS)角色通常也要面向互联网。访问用户邮箱的互联网协议多种多样,这使得CAS比较脆弱。像HTTP (OWA/ActiveSync/Outlook Anywhere)、IMAP4 以及POP3这样的协议都存在潜在漏洞。然而,像SMTP一样,它们也可以利用证书来保护自己的安全。
用户必须要保证自定义证书来自权威的证书颁发机构,否则CAS角色不能使用那些自签名证书。来自权威证书颁发机构的额外证书必须从CAS服务器获得。
Exchange Server 2010在EMC中有一个新型的证书向导(图7),它简化了请求和导入的过程。安全对证书的依赖日益增加,这种情况有利于确保所有潜在的漏洞都能够创建新证书,以便保护软件的安全。你还不需要使用EMS,这对你的工作也有所帮助。
图7. Exchange Server 2010 的证书向导
用ForeFront保护Exchange Server 2010
就像边缘传输服务器为SMTP通讯要创建一个额外的安全保护层一样,我们需要对HTTP, IMAP4和POP3连接进行同等类型的保护。为了提供这种保护,应用层防火墙变成了使用这些协议的应用程序的反向代理。
微软强烈推荐使用应用程序防火墙,并且提供了两款相关产品,这两者都是新一代的ISA服务器,他们可以保护周边网络中的CAS角色。
相关推荐
-
Exchange Server 2010优缺点(下)
你打算迁移到Exchange Server 2010吗?一起来看看它的优缺点吧,这会帮助你做出更明智、正确的选择。
-
前瞻Exchange Server 2010优缺点(上)
Exchange Server 2010有哪些优缺点?它到底是否值得我们从原有的Exchange中向它迁移呢?看过本文你就会有明确的答案。
-
如何加强Exchange Server 2010的节省能力?
当众多用户发现Exchange Server 2010这个省钱的帮手,将目光纷纷投向它时,相信你也不会错过。那么,我们如何加强它的这种能力呢?
-
向Exchange Server 2010迁移物美价廉?
很多公司已经选择或正要选择走向向Exchange Server 2010迁移的道路,它的魅力究竟何在?是否真如用户所说的那样物美价廉呢?