加固Exchange Server增强安全性

      在许多公司中，电子邮件已经很快就成为一个任务关键的应用程序。不幸的是，为了发送电子邮件和从外界接收它，你的Microsoft  Exchange Server必须与Internet相连接。正如你可能知道的那样，Internet经常为那些可能破坏你的服务器的人提供机会。因此，成功地运行Microsoft Exchange server的关键之一是决不要给那些人损害你的服务器的机会。在本文中，我将向你显示一些技术，可以用来帮助保护你的Microsoft Exchange Server。

　　我将针对什么进行保护?

　　你也许想要知道一个恶毒的人可能对一个电子邮件服务器产生什么样的损坏。毕竟Microsoft Exchange servers通常不是域控制器，不经常包含敏感应用程序数据。然而，这样的人可能进行大量的破坏行为。

　　攻击Microsoft Exchange Server的最常用的方式叫做"服务拒绝"攻击。服务拒绝攻击是通过向服务器充灌邮件消息直到服务器装不下而拒绝处理合法的邮件信息。

　　其他安全性破坏可能会使黑客窃取信息。黑客可以通过侵入服务器获得到包含敏感信息的文件夹的访问权来达到这一目的。黑客还可能通过使用包鼻探器(packet sniffer)，当包流过线路时进行截取来窃取信息。

　　最后，你将会想要保护你自己不被哄骗。哄骗是当一个黑客以合法用户的姿态出现时发生的。尽管哄骗可以用来窃取信息，但是他还可以用来散布错误信息。例如，一个骗子可以很容易地发送通知，就好象是来自一个合法用户。这些通知可能说像"我离开了"，"这个公司的经理是一个 大的，肥的，愚蠢的性情古怪的人"或"如果不满足我的要求，下午2：00在这栋楼里将有一个炸弹爆炸"之类的事情。正如你能看到的，哄骗可能是十分有害的。幸运的是，有一些技术你可以用来保护你的服务器防止这三种类型的破坏。

　　基本要素

　　一些你可以用来保护你的Microsoft Exchange servers的最有效的技术是最基本的。但是，正如你可能知道的那样，只有基本要素并不能足够地好。最佳的安全性来自使用基本和高级安全性技术的结合。在下面的部分中，我们将回顾一些基本内容并介绍一些更高级的技术。

　　Microsoft Windows NT

　　正如你已经知道的那样，Microsoft Exchange Server运行在Microsoft Windows NT%26reg;上。因为Microsoft Exchange利用许多Windows NT的安全特性，所以保证Microsoft Windows NT尽可能安全是很重要的。

　　Windows NT的复杂性已经使有关安全性的主题必须以整个一本书才能说清楚。尽管由于空间有限不允许我们深入地专研这个主题，你还是要记住几点。

　　首先，保证任何包含与Microsoft Exchange相关的文件的容量都被格式化为NTFS。当某人多次企图进入Windows NT Server时，他们将会试着通过网络共享进入。尽管你不可能去掉缺省的网络共享，记住文件容许(通过NTFS分配)向你的服务器加入一个额外的安全层。当文件容许和共享容许矛盾时，Microsoft Windows NT使用更严格的容许。例如，假设一个为授权的用户获得到一个网络共享的访问权。如果这个用户拥有对这个网络的完全控制，但是在文件层只有读容许，Microsoft Windows NT将会看到这个矛盾并赋予这个用户只读容许，因为它是两者之中更严格的一个。

　　微软服务包

　　微软服务包(Microsoft Service Packs)对提高安全性大有帮助。在Windows NT服务包发布以后，微软不断搜索安全性漏洞。这些安全性漏洞的补丁以hot fixes的形式发布，hot fixes发布在微软的FTP站点上。当发布一个新的微软服务包时，所有以前的hot fixes都被结合到这个新的微软服务包中。在写本文的时候，当前的Windows NT服务包是Service Pack 5。最新的Microsoft Exchange 5.5 服务包是Service Pack 2。

　　加密

　　并不是同等地创建所有的服务包。随 Microsoft TechNet而来得服务包提供40位的加密。这个美国政府允许出口的最大的加密长度。不用说，40位加密不是太难破解。

　　但是，如果生活在美国或加拿大，你可以在你的服务包中获得128位的加密。为此，在连接到一个拥有在美国或加拿大注册的域名的计算机时你必须下载这个服务包。因为许多美国人和加拿大人下载高加密服务包时有困难，你可以直接从美国以极其微小的费用在CD-ROM上订购他们。

    病毒保护

　　当使用任何其他应用程序时，你必须保护你的Microsoft Exchange Server防止病毒入侵。在许多环境中，病毒很猖獗，通过电子邮件而在记录时间内散布。例如，有谁没有在他们的电子邮件中收到一个好的笑话后把它转发到20个最亲近的朋友?你的每个朋友可能都会将这个消化传递给另外20多个人。如果这个消息碰巧有一个包含病毒的附件，在几个小时内，就可能有成百上千的人受到影响。

　　每个好的网络管理员都知道，你需要在每个工作站上都有最新的防病毒软件。然而，这样做仍然为人为错误留有空间。例如，假设你打开一个受病毒影响的电子邮件附件。许多防病毒程序将会让你选择，修复这个病毒，删除这个文件，或完全忽略这个消息。如果用户忽略病毒警告，那么防病毒软件基本上就没有什么用。

　　幸运的是，围绕这个问题有一个方法：运行在Microsoft Exchange Server上，并在到达目的接收者之前扫描所有的入站消息。如果这个软件探测到一个病毒，它立即隔离这个文件。甚至一些包将警告消息的发送者。一个这样的产品是Symantec公司的用于Microsoft Exchange的Norton Anti-Virus。