安装 Exchange
Exchange 2000 是架构修改应用程式。这意味着,当运行 setup /forestprep 时,将修改架构容器。随后,当安装每个 Exchange 2000 服务器时,配置容器将进行修改,以包括适当的 Exchange 2000 对象。实际上,这意味着运行 setup /forestprep 的帐户需要“架构管理”权限,而用来安装 Exchange 的任何帐户则需要“Exchange 管理员(完全控制)”权限。
中国网管联盟
注意:有关 Exchange 2000 权限的更多信息,请参阅“Microsoft Exchange 2000 Internals: Permissions Guide”(英文)。更多周详信息,请参阅本模块末尾的“更多信息”部分。 中国网管论坛
为了进行全面权限管理,您应该确保管理员只有进行工作所需的权限。高级权限尤其应该受到严密保护。您应该考虑让 Schema Admins 组在默认情况下为空,然后向此组明确添加用户,以运行 setup /forestprep。让 Schema Admins 组为空是很好的常规操作,因为他确保您在任何应用程式对架构进行修改之前始终能够得到警报。 www.bitsCN.com
作为 setup /forestprep 的一部分,架构管理员有机会指定 Exchange 2000 管理员帐户。此帐户是对整个 Exchange 组织具备“Exchange 管理员(完全控制)”权限,因此能够执行后续 Exchange 安装。在安装过程中最大程度地降低安全风险的一个方法是:创建特定的通用安全组,此组具备安装 Exchange 的权限。然后,您能够将此组定义为 Exchange 管理员(完全控制)。这使您能够通过控制组成员来严密控制 Exchange 的安装者。 中国网管论坛
Exchange 2000 修补程式管理
为了让 Exchange 随时间尽可能保持安全,需要确保通过最新修补程式保持最新状态。这包含两方面因素:确保操作系统最新和确保 Exchange 最新。假如操作系统易受攻击,则 Exchange 2000 也易受攻击,所以您应该认真看待 Exchange 服务器上操作系统的安全性。
有许多实用工具能够使您保持 Windows 2000 Service Pack、热修补程式和修补程式最新。Microsoft 提供了两个实用工具来帮助您完成此工作:Hfnetchk 和 Microsoft Baseline Security Analyzer。 DL.bitsCN.com网管软件下载
在 Windows 2000 Service Pack 2 之后,涌现出许多安全更新。幸运地是,其中的许多更新组合成了 Security Rollup Package for Windows 2000。有关周详信息,请参阅本模块结尾的“更多信息”部分。您还需要确保 IIS 漏洞和 Microsoft Internet Explorer 漏洞完全最新。
Exchange 2000 漏洞比 Windows 2000 漏洞少很多,本节中提到的工具当前没有报告 Exchange 2000 漏洞。您应该确保 Microsoft 能够在发布任何新修补程式时通知您。假如订阅 Microsoft 安全布告,您将会自动收到这些通知。
bbs.bitsCN.com
注意:有关接收 Microsoft 安全布告的周详信息,请参阅本模块末尾的“更多信息”部分。 bitsCN_com
注意:有关 Windows 2000 环境中的修补程式管理的周详信息,请参阅“Security Operations Guide for Microsoft Windows 2000 Server”(英文)。
www_bitscn_com
注意:有关 Exchange 2000 的推荐配置和更新的周详信息,请参阅本模块末尾的“更多信息”部分。
DL.bitsCN.com网管软件下载
确保客户端环境的安全
Exchange 2000 是客户端/服务器应用程式。因此,当考虑 Exchange 环境的总体安全时,对将要使用的客户端进行检查是很重要的。
bitscn.com
Exchange 支持大量不同的客户端。作为风险管理策略的一部分,您应该检查确实需要哪些客户端,并限制自己只使用这些客户端。确保使用最新的和经过修补的客户端软件版本,定期检查客户端安全更新,因为这些客户端和服务器同样重要。 DL.bitsCN.com网管软件下载
保持客户端安全的重要武器是用户。假如教育用户如何以负责的态度使用客户端,则会降低面临攻击的危险。例如,应该教育用户有关电子邮件病毒、病毒恶作剧、链式邮件和未经请求的邮件的知识。 www_bitscn_com
注意:有关确保客户端和服务器之间的通信安全的信息,请参阅模块确保 Exchange 通信的安全。
中国网管联盟
防范地址欺骗
攻击电子邮件系统的最常用方法之一是操纵电子邮件中的“发件人”字段。SMTP 并不验证用户的身份,但您能够在 Exchange 中执行某些操作,从而尝试最大程度地减少邮件欺骗。
www_bitscn_com
地址欺骗的最阴险方面之一是外部攻击者使用内部用户的电子邮件地址。能够通过许多方法(通常以社会工程的形式)使用内部用户的电子邮件地址,以便劝说另一用户放弃机密信息,从而引发进一步的攻击。
默认情况下,Exchange 2000 将其通讯簿中的电子邮件地址解析为全局地址列表中使用的名称。由于这一点,所以很难讲邮件是否实际从组织外发出。您能够更改默认行为,以便来自组织外部的邮件始终保持未解析状态。然后,假如需要用户对未解析的电子邮件地址进行查看,将有助您防范这种形式的地址欺骗。 中国.网管联盟
注意:有关确保来自 Exchange 组织外部的邮件保持未解析的周详信息,请参阅知识库文章 Q288635“XIMS: ResolveP2 Functionality in Exchange 2000 Server”(英文)。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
