当您安装Microsoft Exchange时,选择一个不明显服务账号名。例如,您能够选择一个混入任何其他用户账号的名字。您有一个不和您一起工作的亲密的朋友吗?假如有,能够考虑通过以他们的名字命名服务账号。例如,您可能分配这个服务账号一个像Kendall_Hensley或 HensleyK的名字,这依赖于您的其他用户账号名字的格式。
除非您确切知道您正在做什么,否则您不应该重新命名一个已有的服务账号,指出这一点很重要。这样做会使 Microsoft Exchange发生偶尔故障。
www_bitscn_com
您还应该为这个服务账号使用一个强壮的密码。在Internet上有许多程式能够用来解开密码。其中的一些程式,将您的口令的哈希(从注册表中提取)和一个字和名字的字典相比较。其他的程式强迫尝试任何可能的集合。因此,越长,越晦涩,并且编码优良的密码,就越好。密码最好将大小写字母和符号和数字混合起来。
Internet连接
迄今为止,我们已向您显示了能够用来在Windows NT层次上保护Microsoft Exchange的一些基本方法。然而,因为最大的威胁来自Internet,所以保护您的Internet连接是个好主意。
代理服务器
保护网络连接防止Internet用户破坏的一个好方法是通过使用微软代理服务器。代理服务器需要一个"multi-homed" Windows NT Server。这个意味着这个服务器必须有两个网络适配器。一个适配器连接到网络连接,而另一个是配器连接到网络的其他部分。任何通过Internet进出的业务必须通过这个代理服务器。使用代理服务器的长处是Internet用户只能在您的网络上看到一个IP地址--代理服务器的地址。任何其他IP地址都被这个代理服务器保护起来,永远不会通过Internet。从Internet外部用户的角度来看,来自您的网络的业务看起来都是从这个代理服务器产生的。由于任何的IP地址都被隐藏,假如某人想利用TCP/IP调用来进入您的网络就很困难了。利用微软代理服务器,您还拥有使各种TCP/IP端口和协议失效的能力。通过只使需要的端口和协议有效,您能够降低有人利用不明显得TCP/IP组件来破坏您的网络的风险。 www_bitscn_com
Microsoft Exchange结构
正如我们已解释的那样,保护您的Microsoft Exchange Server的最好方法是保护Windows NT并将您的网络从任何的Internet流氓屏蔽开来。然而,无论您封锁或过滤什么,总是存在机会,某些人将会采用迂回的办法破坏您的网络。幸运的是,有一个简单的办法来进一步保护您的Microsoft Exchange Server。
为此,您需要Microsoft Exchange Server的一个额外的拷贝,专门用于SMTP(simple mail transfer protocol,简单邮件传输协议)路由。将这个新的拷贝简单地调入一个空闲服务器。使这个服务器成为已有站点的一部分。这个新的服务器应该是个只带有Internet邮件连接器的服务器。任何的邮箱和公共文档夹应该位于站点中的其他服务器
这个新的服务器将自动将入站的SMTP业务传递到相应的邮箱。假如有人执行一个服务否认攻击,服务器将只是关闭保护服务器。这个攻击对包含邮箱和公共文档夹的服务器不会有任何影响。用这种方法配置Microsoft Exchange也是对信息窃取和哄骗的一个好的安全防卫,因为内部的办公室业务永远不会接触直接和外界连接的服务器。
中国网管论坛
您也许想知道这样的技术效果究竟怎样。保护服务器毕竟必须要运行TCP/IP连接到Internet。同样,您的其他服务器和工作站也必须运行TCP/IP连接到Internet。因此,假如一个黑客通过您的代理服务器进入保护服务器,他们就也可能进入其他Microsoft Exchange服务器,这是顺理成章的事。
我们刚才介绍的技术能够工作的原因是由于通信的类型,这些通信能够用于网络的各个部分。您的防火墙将封锁大部分TCP/IP端口。因此,一个人假如企图窃取电子邮件,哄骗账号,执行服务否认攻击,将可能会利用SMTP调用来企图获得到这个服务器的访问权。即使他们确实进入了这个服务器,Microsoft Exchange并不是利用SMTP在本地服务期间进行通信。而是利用RPC(remote procedure calls,远程过程调用)。因此,包含邮箱和公共文档夹的服务器将不承认SMTP通信。因此,您的数据就不会受到这样的攻击。图A 显示了一个框图,说明这样安排时您的网络看起来的样子。 www.bitsCN.com
图A能够设计网络的结构使进入您的Microsoft Exchange服务器很困难。
Microsoft Exchange中的安全性配置
在Microsoft Exchange中您还能够调节两个参数来帮助防止安全性破坏。例如,我们提到服务否认攻击是由于某人向您的服务器猛灌消息超过这服务器的处理能力。只是由于您孤立SMTP业务不意味着您想要保护服务器不断地由于这样的攻击而停机。防止这样的攻击的一个方法是在入站消息上放置一个尺寸限制。
为此,打开Microsoft Exchange Administrator并导航到Organization | Site | Configuration Servers | Server Recipients,如图B所示。接着,选择一个接收方并从File菜单选择Properties。当您看到用户的属性页时,选择Limits标签。正如您在图C中所能看到的,您能够利用Limits标签来为每个用户配置最大的如站消息尺寸。因此,您能够为大多数用户配置相对比较小的尺寸,而对于频繁接收大的附件的用户将尺寸配置为无限。 bitsCN.Com
图B打开Microsoft Exchange Administrator并导航到Organization | Site | Configuration Servers | Server Recipients。 中国.网管联盟
文章整理:西部数码--专业提供域名注册、虚拟主机服务
<
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
