Obsah V této knize 13 V každé kapitole..................................................13 Úspěch při správě dosáhnete, pokud..................................13 Kapitola 1 Úvod do zabezpečení serveru Exchange 2003 15 Exchange Server 2003: Počáteční nastavení zabezpečení..............15 Exchange Server 2003: Zabezpečení při vývoji..............................17 Exchange Server 2003: Zabezpečení při výchozím nastavení..................18 Zlepšení v zabezpečení u aplikace Outlook Web Access 2003..................19 Exchange Server 2003: Zabezpečení při upgradu?...........................20 Úspěch při správě dosáhnete, pokud.................................21 Kapitola 2 Postupy pro zabezpečení systému Windows a serveru Exchange 2003 23 V této kapitole..........................................................23 Zabezpečení systémů Windows 2000 a Windows 2003.................23 Správa oprav...........................................................24 Microsoft Baseline Security Analyzer.......................................24 Network Security Hotfix Checker (HFNetChk)...............................25 Poznámka pro Service Pack 2.............................................26 Windows Server Update Services..........................................26 Doporučené materiály o zabezpečení systému Windows 2003................27 Sledujte nové zprávy o zabezpečení.......................................27 Exchange Server 2003 a závislosti na systému Windows...............27 Součásti serveru Exchange 2003..........................................29 Doporučené postupy pro zabezpečení...............................31 Definice přijatelného používání............................................32 Postupy pro bezpečnou práci s počítači....................................33 Vhodné fyzické zabezpečení..............................................33 Zavedení doporučených postupů proexchange Server 2003............34 Kontrolní seznam instalace...............................................34 Vytvoření hardwarové platformy..........................................34 Instalace operačního systému.............................................35 Instalace serveru Exchange 2003..........................................35 Úspěch při správě dosáhnete, pokud........................................36
6 Obsah Kapitola 3 Delegování a řízení oprávnění v serveru Exchange 2003 37 V této kapitole..........................................................37 Delegování řízení správy v konzole System Manager...................37 Oprávnění v systému Exchange Server 2003...............................38 Zobrazení oprávnění serveru Exchange v konzole Exchange System Manager...39 Použití průvodce Exchange Administration Delegation Wizard.................41 Exchange Full Administator...............................................41 Exchange Administrator..................................................41 Exchange View Administrator.............................................42 Řízení oprávnění k poštovní schránce...............................44 Delegování přístupu k poštovní schránce prostřednictvím aplikace Outlook 2003....45 Přidělení oprávnění k poštovní schránce ke složkám bez použití funkce pro delegování....46 Otevření další poštovní schránky..........................................47 Přidělení oprávnění k poštovní schránce prostřednictvím služby Active Directory....49 Řízení oprávnění k veřejné složce...................................51 Vytvoření a nastavení oprávnění u veřejných složek v aplikaci Outlook 2003....51 Vytvoření a nastavení oprávnění u veřejných složek v konzole Exchange System Manager......................................................54 Poznámka pro Service Pack 2.............................................56 Průvodce nastavením veřejných složek (Public Folders Settings Wizard)........56 Volba synchronizace hierarchie (Synchronize Hierarchy)......................58 Přesunout všechny repliky (Move All Replicas)...............................58 Nastavení oprávnění u veřejných složek nejvyšší úrovně v konzole Exchange System Manager......................................................59 Kapitola 4 Zabezpečení protokolu SMTP 61 V této kapitole..........................................................61 Zabezpečení služby SMTP..........................................61 Základní údaje o protokolu SMTP..........................................62 Nastavení ověřování protokolu SMTP......................................64 Zabezpečení komunikace SMTP............................................65 Omezení přenosu zpráv..................................................66 Konektory SMTP a přenosy...............................................67 Omezení u poštovní schránky.............................................69 Globální omezení zpráv v poštovní schránce................................70 Konfigurace formátu zpráv sítě Internet...................................70 Omezení veřejných složek................................................71 Ochrana poštovních skupin...............................................71 Povolení protokolování protokolu SMTP....................................72 Úprava hlavičky SMTP zprávy.............................................74 Konfigurace právních podmínek společnosti................................77 Předávání SMTP zpráv.............................................78
Obsah 7 Metody testování režimu open relay.......................................79 Podvodná záměna e-mailových adres................................81 Ověřování a překlad e-mailových adres.....................................82 Zpětné vyhledávání DNS.................................................82 Záhlaví elektronické pošty.........................................83 Úspěch při správě dosáhnete, pokud........................................86 Kapitola 5 Zabezpečení serveru aplikace Outlook Web Access 87 V této kapitole..........................................................87 Ověřování aplikace OWA...........................................87 Virtuální adresáře aplikace OWA...........................................88 Metody ověřování.......................................................90 Oprávnění Read, Write, Browse a Execute..................................92 Omezení připojení.......................................................92 Povolení protokolu SSL u aplikace OWA..............................93 Instalace certifikační služby společnosti Microsoft...........................94 Vytvoření žádosti o certifikát.............................................96 Certifikáty od jiných výrobců............................................102 Omezení přístupu uživatelů.......................................102 Zakázání přístupu k aplikaci OWA určitým uživatelům.......................103 Zakázání přístupu k aplikaci OWA pro server...............................104 Segmentace OWA......................................................105 Poznámka pro Service Pack 2............................................105 Microsoft Exchange Server Outlook Web Access Web Administration.........105 Povolení změny hesla prostřednictvím aplikace OWA.................106 Vytvoření virtuálního adresáře IISADMPWD................................107 Zpřístupnění tlačítka Změnit heslo v aplikaci OWA...........................110 Test funkce Změnit heslo v aplikaci OWA..................................110 Přesměrování požadavků HTTP na požadavky SSL....................111 Kapitola 6 Scénáře zavedení klientských a koncových serverů aplikace OWA 115 V této kapitole.........................................................115 Zavedení scénáře s jedním serverem...............................115 Zavedení scénáře s klientskými a koncovými servery.................117 Ověřování HTTP........................................................117 Použití dvojího ověřování................................................118 Použití průběžného ověřování............................................119 Zabezpečení klientského serveru..................................119 Zakázání nadbytečných klientských služeb.................................120 Odpojení a odstranění úložiště poštovních schránek........................121 Odpojení a odstranění úložiště veřejných složek............................122
8 Obsah Klientské servery v demilitarizované zóně.................................123 Povolení přenosů RPC bezpečnostní bránou sítě intranet....................124 Zakázání přenosů RPC přes bezpečnostní bránu sítě intranet.................124 Použití protokolu IPSec..................................................126 Nástroj URLScan........................................................127 Klientské servery ve vnitřní síti...........................................127 Exchange Server 2003 chráněný Serverem ISA 2000.................129 Publikování služeb serveru Exchange 2003................................130 Funkce Message Screener...............................................131 Publikování aplikace OWA 2003...........................................131 Další informace k serveru ISA............................................131 Úspěch při správě dosáhnete, pokud.......................................132 Kapitola 7 Klientské funkce zabezpečení aplikace Outlook Web Access 133 V této kapitole.........................................................133 Podpora standardu S/MIME.......................................133 Filtr nevyžádané pošty..................................................136 Bezpeční odesílatelé....................................................137 Bezpeční příjemci......................................................137 Blokovaní odesílatelé....................................................138 Blokování webových majáků......................................138 Rozšířené blokování příloh........................................140 Ověřování na základě formulářů...................................141 Uživatelské jméno a heslo...............................................143 Klienti: Premium a Základní klient.........................................144 Zabezpečení: Veřejný nebo sdílený počítač a Osobní počítač.................144 Poznámka pro Service Pack 2............................................147 Podpora a zabezpečení mobilních zařízení.................................147 Mobilní funkce v SP2 pro Exchange Server 2003...........................147 Technologie Direct Push.................................................147 Vzdálené smazání (Remote Wipe).........................................147 Nastavení politik.......................................................148 Úspěch při správě dosáhnete, pokud.......................................148 Kapitola 8 Šifrování protokolů a komunikace s klienty serveru Exchange 149 V této kapitole.........................................................149 Šifrování přenosů SMTP zpráv....................................149 Konfigurace ověření TSL/SSL u služby SMTP..............................150 Zapnutí ověřování TLS/SSL u příchozí pošty...............................153 Zapnutí ověřování TLS/SSL u odchozí pošty...............................154 Zapnutí ověřování TLS/SSL pro jednu či více domén........................155
Obsah 9 Zapnutí používání protokolu IPSec mezi servery SMTP......................155 Šifrování informací rozhraní MAPI v síti....................................155 Poznámka pro Service Pack 2............................................156 MAPI přístup v SP2.....................................................156 Šifrování přenosů protokoly POP3 a IMAP4..........................157 Zabezpečení klientů pomocí standardu S/MIME......................159 Použití zabezpečení S/MIME.............................................159 Zapnutí funkce S/MIME u aplikace Outlook................................159 Konfigurace vzdáleného volání procedur přes protokol HTTP(S)........160 Požadavky.............................................................161 Konfigurace vzdáleného volání procedur přes protokol HTTP u klientského serveru..163 Nastavení portů serveru RPC Proxy.......................................165 Zákaz podpory služby DCOM u vzdáleného volání procedur přes protokol HTTP..167 Poznámka pro Service Pack 2............................................167 Záložka RPC-HTTP Topologie.............................................167 Konfigurace klienta.....................................................168 Úspěch při správě dosáhnete, pokud.......................................172 Kapitola 9 Boj se spamem 173 V této kapitole.........................................................173 Filtrování na straně klienta.......................................173 Bezpeční odesílatelé....................................................175 Bezpeční příjemci......................................................176 Blokovaní odesílatelé....................................................176 Filtrování na straně serveru.......................................178 Filtrování připojení.....................................................179 Zobrazovaný název.....................................................180 Přípona DNS poskytovatele..............................................180 Vlastní chybová zpráva..................................................181 Návratový stavový kód..................................................181 Zakázání pravidla......................................................182 Seznamy výjimek.......................................................182 Globální seznamy povolených a zamítnutých adres.........................183 Poznámka pro Service Pack 2............................................185 Změna konfiguračních voleb SMTP virtuálního serveru po instalaci SP2........185 Filtrování příjemců.....................................................185 Filtrování příjemců mimo službu Active Directory..........................185 Filtrování odesílatelů...................................................186 Intelligent Message Filter.........................................187 Důležité informace k filtru IMF...........................................188 Poznámka pro Service Pack 2............................................188 Intelligent Message Filter (IMF) verze 2 je integrován v SP2 na Exchange Server 2003...188 Zakázková váha Custom Weighting......................................190
10 Obsah Anti-Phishing..........................................................192 Poznámka pro Service Pack 2............................................192 Sender ID Filtering......................................................192 Úspěch při správě dosáhnete, pokud.......................................193 Kapitola 10 Ochrana před viry 195 V této kapitole.........................................................195 E-mailové viry...................................................195 Ochrana na straně serveru........................................197 Server Exchange.......................................................197 Brána SMTP...........................................................200 Ochrana na straně klienta........................................201 Poznámka pro Service Pack 2............................................202 Program Windows Defender (beta 2).....................................202 Školení uživatelů................................................202 Výchozí blokování příloh u aplikace Outlook 2003...........................202 Očista po napadení viry..........................................205 Úspěch při správě dosáhnete, pokud.......................................209 Kapitola 11 Auditování serveru Exchange 211 V této kapitole.........................................................211 Auditování systémů Windows 2000 a Windows 2003..................211 Auditování změn v konfiguraci serveru Exchange....................213 Poznámka pro Service Pack 2............................................214 EventCombMT.........................................................214 Protokolování diagnostiky serveru Exchange........................215 Nástroj Microsoft Operations Manager a Exchange Server 2003........217 Úspěch při správě dosáhnete, pokud.......................................218 Příloha Plánování rolí serveru a zabezpečení serveru 219 V této příloze..........................................................219 Principy rolí serverů.............................................219 Řadiče domény (Ověřovací servery)......................................222 Služba Active Directory.................................................222 Role hlavního operačního serveru........................................223 Hlavní server RID.......................................................224 Hlavní server pro emulaci primárního řadiče domény (PDC)..................224 Hlavní server infrastruktury.............................................224 Souborové a tiskové servery.............................................225
Obsah 11 Tiskové servery........................................................225 Souborové servery.....................................................225 Servery DHCP, DNS a WINS..............................................226 Servery DHCP.........................................................226 Servery DNS...........................................................226 Servery WINS..........................................................226 Webové servery.......................................................226 Protokoly webového serveru............................................226 Konfigurace webového serveru..........................................227 Databázové servery....................................................228 Poštovní servery.......................................................228 Certifikační úřady......................................................228 Aplikační servery a terminálové servery...................................228 Aplikační servery.......................................................228 Terminálové servery....................................................231 Plánování strategie zabezpečení serveru............................231 Volba operačního systému..............................................231 Stanovení minimálních požadavků organizace na zabezpečení................233 Určení konfigurací uspokojujících požadavky na zabezpečení.................235 Plánování základní úrovně zabezpečení............................235 Úpravy v zabezpečení serverů.....................................235 Zabezpečení serverů podle jejich rolí.....................................236 Poznámka pro Service Pack 2............................................244 Windows Server 2003 SP1 Security and Configuration Wizard a Exchange Server....244 Rejstřík 246