安全指南(范文).docxVIP

Exchange 2010 安全指南 适用于： Exchange Server 2010 SP3, Exchange Server 2010 SP2 上一次修改主题： 2012-03-08 本指南为负责保证 Microsoft?Exchange Server 2010 部署安全性的 IT 管理员而编写，专用于帮助 IT 管理员了解和管理 Exchange 所安装在的整体安全环境。 过去，Exchange 团队针对每个版本的 Microsoft Exchange 都发布了单独的安全性强化指南，用以提供有关权限和安全性的信息。 此方法对于在运行 Exchange 2010 安装程序后锁定服务和目录很有意义。 但是，从 Microsoft?Exchange Server 2007 起，Exchange 安装程序仅启用所安装服务器角色需要的服务，而不再先安装 Microsoft Exchange，然后再对其进行安全性强化。 这种设计旨在帮助您提高默认情况下的安全性。 因此，Exchange 2010 不需要进行任何锁定或强化，这与早期版本的 Microsoft Exchange 不同，在早期版本中，IT 管理员必须执行多个过程来锁定运行 Microsoft Exchange 的服务器。 \o 折叠 适用范围 Exchange 2010 遵循“Microsoft 安全开发生命周期 (SDL)”原则而开发。 针对每项功能和组件都进行了安全性审核。 经过慎重选择的默认设置可以确保部署更具安全性。 本指南旨在向管理员介绍与安全性相关的功能以及可能影响安全性考量因素的功能。 本指南链接到 Exchange 2010 文档中与安全性相关的主题。 这些主题列在“附录 1： 其他与安全性相关的文档”中。 本指南将不介绍任何与强化 Windows Server 操作系统相关的操作步骤。 目录 新增功能 Exchange 2010 安全开发生命周期 Getting Secure—Best Practices Staying Secure—Best Practices 网络端口的使用及防火墙的强化 限制参数和客户端限制策略 基于角色的访问控制 Active Directory Exchange 服务器帐户 文件系统 服务 证书 NTLM 注意事项 双重身份验证 联合 Secure/Multipurpose Internet Mail Extensions (S/MIME) 服务器角色注意事项 附录 1： 其他与安全性相关的文档 \o 折叠 新增功能 Exchange 2010 包括以下新增的安全性功能： 基于角色的访问控制???Exchange 2010 包含一个新的基于角色的访问控制模型，通过该模型，贵组织可以精细地管理分配给不同利益干系人（例如收件人管理员、服务器管理员、记录和发现管理员以及组织管理员）的权限。 限制策略???Exchange 2010 针对邮箱、客户端访问和传输服务器引入了限制机制，以保护贵组织免受拒绝服务攻击的侵害并减轻此类攻击的影响。 联合委派???Exchange 2010 引入了新的联合委派功能，您可以通过这些功能允许用户安全地与外部组织的用户进行协作。 通过联合委派，用户可以与外部联合组织的用户共享其日历和联系人信息。 该功能还使跨林协作成为可能，并且无需设置并管理 Active Directory 信任关系。 信息权限管理???Exchange 2010 引入了新的信息保护和控制功能，使您既可以在多个层次保护敏感的邮件内容，同时又保证组织能够对受保护的内容进行解密、搜索以及应用邮件策略。 无安全配置向导???在 Exchange 2010 中，安装程序会进行必要的配置更改，以便仅安装并启用特定 Exchange 服务器角色所需要的服务，同时将通信限定于每种服务器角色上运行的服务和进程所需要的端口。 这样，就无需再使用“安全配置向导”(SCW) 等工具来配置这些设置。 \o 折叠 Exchange 2010 安全开发生命周期 在 2002 年初，Microsoft 引入了可信任计算计划。 自引入可信任计算后，Microsoft 和 Microsoft Exchange 团队的开发流程始终致力于开发能帮助您获得更高安全性的软件。 有关详细信息，请参阅 可信任计算。 在 Exchange 2010 中，可信任计算是在以下四个核心领域中实现的： 设计安全?设计和开发 Exchange 2010 时要遵照? 可信任计算安全开发生命周期。 创建更加安全的邮件系统的第一步是设计威胁模型并在设计时测试每个功能。 多个与安全相关的改进功能内置在编