DIY编程器网

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 972|回复: 0
打印 上一主题 下一主题

[待整理] 如何增强Exchange服务器的安全性

[复制链接]
跳转到指定楼层
楼主
发表于 2014-10-13 14:38:04 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
在许多公司中,email很快成为了重要的应用程序,不过邮件服务器必须连接Internet才能收发email。可能你也知道,Internet绝不安全。想破坏你服务器的人经常上Internet,所以安全运行Exchange服务器的秘诀之一就是不给那些人任何机会破坏你的服务器。本文讲述一些帮助你保护Exchange服务器安全的技术。

  我在防御什么?

  你可能想知道,通常Exchange服务器上没有保密数据,恶意用户想对邮件服务器造成什么样的损失呢?但是还是有很多攻击活动发生。最普通的攻击Exchange服务器的形式称为DoS攻击,它将大量邮件发给服务器,直到服务器超载、停止运行。

  安全被破坏之后,黑客就可以窃取信息了。黑客可以冲进服务器,获得进入保密数据文件夹的权限,黑客也可能用包检漏程序和截取包的方式窃取信息。

  最后,还要防止欺骗。欺骗就是黑客伪装成合法用户,虽然欺骗可以窃取信息,但是它也可以用来散布错误信息。例如,欺骗程序很容易以合法用户的名义发送邮件,这些邮件可能说,"我走了"、"公司总裁是个大笨蛋"、"如果没有满足我的要求,下午2点公司将会发生爆炸",可以看出,欺骗的危害相当大。还好,有防止这三种破坏的技术。

  基础

  一些用来保护Exchange服务器最有效的技术是最基本的,但是,你可能会发现,只有这些最基本的技术还不够。应该结合使用基本的和高级的安全技术。我们会回顾基本的技术,并讨论一些高级技术。

  Windows NT

  Exchange服务器是运行在Windows NT中的,因为Exchange使用很多Windows NT的安全功能,所以确保Windows NT尽可能安全很重要。 Windows NT复杂得足够用一本书来讲述安全问题,但是篇幅有限,只想让你记住几个问题。

  首先,确保所有的和Exchange文件相关的盘使用NTFS格式,好多黑客试图攻击NT服务器的时候会通过网络共享进入系统,虽然你不能阻止网络共享,但是要记住文件权限(通过NTFS指定)为服务器带来额外的安全。当文件权限和共享权限不同时,Windows NT会用更严格的权限管理。例如,如果有一个未授权用户获得了网络共享的权限,如果他对网络共享的权限是最高级别的,但是对文件只能读不能写,NT就能察觉出这个矛盾,只允许用户有只读权限,因为它是这两个权限中最严格的。
  服务包

  服务包更能增强安全性,Windows NT服务包发布之后,微软一直在寻找安全漏洞。这些安全漏洞是通过微软FTP站点提供的补丁弥补的,新补丁会包括以前的所有补丁,本文写作的时候,Windows NT服务包是Service Pack 5,最新的Exchange 5.5服务包是Service Pack2。

  加密

  不是所有的服务包都是平等的,TechNet的服务包是40位加密,这是美国政府允许的最大限度。不用说,40位密码很难破解。但是,如果你在美国或者加拿大的话,就可以获得128位加密。必须连接到在美国或加拿大登记的计算机才能下载128位加密服务包,因为有时美国和加拿大不能下载高加密服务包,可以直接向微软定购光盘,不贵的。

  病毒保护

  和保护其他程序一样要保护Exchange服务器不受病毒袭击,很多情况下,猖獗的病毒是email引起的。例如,收到笑话的人把邮件发给他的20个最好的朋友,你的朋友也可能把它转发给更多人。如果这封邮件的附件有病毒,几百个人几小时内就会被病毒感染。

  每个好的网络管理员都知道,每个工作站的病毒软件需要及时更新,但是这还是给人为的错误留有余地。例如,你要打开感染病毒的email附件,病毒程序会让你选择删除病毒、修复病毒、删除文件或根本不去管它。如果用户忽略了病毒警告,杀毒软件其实就没用了。

  幸好,有一个方法可以摆脱这种事情的发生,安装运行在Exchange服务器上的杀毒软件,在邮件到达接收者手中前扫描邮件病毒。如果软件发现了病毒,它就立刻隔离该文件。有些杀毒软件甚至警告发送病毒的人,如Symantec公司的Norton杀毒软件。
        服务帐号

  你可能知道,Exchange服务器使用服务帐号和Windows NT安全系统交互的,这个服务帐号有个巨大的安全漏洞,因为它有太多干预Exchange的权利。可惜,不能禁止服务帐号或减少它的权利,所以最好另想办法。

  安装Exchange的时候,选择不明显的用户名,例如,可以使用不和你一起工作好朋友的名字。

  除非你非常清楚在做什么,否则不要重命名现有的服务帐号。这么做会导致Exchange工作不正常。

  应该为帐号使用密码,Internet上有很多破解密码的程序,其中一些把你的密码(从登记中提取出来的)和字典中的词比较,有些用户尝试所有可能的组合。所以,越长、越晦涩、加密,密码就越好,最好的密码混用大写和小写符号和数字。Internet连接

  到现在为止,向你展示的都是基本的保护Exchange的技术,但是,因为最强的威胁来自Internet,保证Internet连接的安全也是不错的主意。

  代理服务器

  使用代理服务器是保护网络不受Internet用户袭击的好方法,代理服务器需要多个Windows NT服务器。就是说服务器必须有两个网卡,一个连接Internet,另一个连接你的网络。所有和Internet传送的数据都要通过代理服务器,使用代理服务器的优点就是Internet用户只能看见你的网络的IP地址--服务器的地址。所有其他的IP地址都被代理服务器屏蔽,不会传到Internet上。从Internet上的外部用户来看,从你的网络中发出的数据都像是从代理服务器中发出的一样,因为所有的IP地址都是隐藏的,使用TCP/IP调用进入网络就很难。有了代理服务器,就有了禁止不同的TCP/IP端口和协议的能力,只打开需要的端口和协议,减少了使用TCP/IP组件用户攻击网络的危险。

  Exchange体系结构

  我们已经解释过,最好的保护Exchange服务器的方法是保护NT,对Internet屏蔽你的网络。但是,无论你怎样阻止和过滤,总是有人溜进来的可能。还有另一种简单的保护Exchange的方法。

  首先,需要另一个Exchange服务器,只用来做SMTP路由。把这个Exchange放在另一台闲置服务器上,让新服务器成为网络的一部分。让它作为Internet邮件连接器,所有的邮箱和公共目录都在其他的服务器上。

  新服务器会把邮件发送到相应的邮箱中,如果有人发动DoS攻击,只需关闭保护服务器即可,攻击不会影响到其他的包括邮箱和公共目录的服务器。因为内部数据不和直接连接到Internet的服务器发生关系,所以这样配置Exchange也是防止信息盗窃和欺骗的好方法。

  你可能想知道这种技术到底有多有效,毕竟,安全服务器也是要通过TCP/IP协议连接到Internet的。同样地,其他服务器可能也使用TCP/IP。所以,你会怀疑黑客是否会通过代理服务器进入保护服务器,它们可能进入其他的Exchange服务器。

  我们刚讲的技术有用是因为它可以用在网络的不同段。防火墙堵住大部分TCP/IP端口,正因为如此,想偷邮件、欺骗帐号、发起DoS攻击可能通过SMTP调用获得进入服务器的权限。即使它们进入服务器,Exchange也不用SMTP在本地服务器之间通信。它们用RPC(远程过程调用),因为这样,你的服务器就可以有不承认SMTP通信的邮件箱和公共目录,因此数据就可以不受这样的攻击。

  Exchange内部的安全设置

  在Exchange内部也有好多参数需要调整,例如,DoS攻击向服务器发送大量邮件,阻塞服务器。虽然用保护服务器隔离了SMTP数据但也不能让保护服务器总受DoS攻击。阻止这种攻击的一种方法是设置进入的消息数量。

  打开Exchange管理器,"管理"→"站点"→"配置服务器"→"Server Recipients"(服务器接收者)。然后,在文件菜单中,选择接收者,单击Properties(属性)。在属性页中,选择"Limits"(限制)标签,可以设置每个用户的最大入站信息量。为大部分用户设置小一些,为经常接收大附件的用户设置大些。

  结论

  电子邮件系统通常是Internet用户的目标,所以保护Exchange服务器不受Internet攻击非常重要。本文解释了一些可以提高Exchange安全的技术。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友 微信微信
收藏收藏 分享分享 支持支持 反对反对
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|文字版|手机版|DIY编程器网 ( 桂ICP备14005565号-1 )

GMT+8, 2024-11-16 10:36 , 耗时 0.089117 秒, 19 个查询请求 , Gzip 开启.

各位嘉宾言论仅代表个人观点,非属DIY编程器网立场。

桂公网安备 45031202000115号

DIY编程器群(超员):41210778 DIY编程器

DIY编程器群1(满员):3044634 DIY编程器1

diy编程器群2:551025008 diy编程器群2

QQ:28000622;Email:libyoufer@sina.com

本站由桂林市临桂区技兴电子商务经营部独家赞助。旨在技术交流,请自觉遵守国家法律法规,一旦发现将做封号删号处理。

快速回复 返回顶部 返回列表