如何增強Exchange服務(wù)器的安全性

字號:

在許多公司中,email很快成為了重要的應(yīng)用程序,不過郵件服務(wù)器必須連接Internet才能收發(fā)email??赡苣阋仓?,Internet絕不安全。想破壞你服務(wù)器的人經(jīng)常上Internet,所以安全運行Exchange服務(wù)器的秘訣之一就是不給那些人任何機會破壞你的服務(wù)器。本文講述一些幫助你保護Exchange服務(wù)器安全的技術(shù)。
    我在防御什么?
    你可能想知道,通常Exchange服務(wù)器上沒有保密數(shù)據(jù),惡意用戶想對郵件服務(wù)器造成什么樣的損失呢?但是還是有很多攻擊活動發(fā)生。最普通的攻擊Exchange服務(wù)器的形式稱為DoS攻擊,它將大量郵件發(fā)給服務(wù)器,直到服務(wù)器超載、停止運行。
    安全被破壞之后,黑客就可以竊取信息了。黑客可以沖進服務(wù)器,獲得進入保密數(shù)據(jù)文件夾的權(quán)限,黑客也可能用包檢漏程序和截取包的方式竊取信息。
    最后,還要防止欺騙。欺騙就是黑客偽裝成合法用戶,雖然欺騙可以竊取信息,但是它也可以用來散布錯誤信息。例如,欺騙程序很容易以合法用戶的名義發(fā)送郵件,這些郵件可能說,"我走了"、"公司總裁是個大笨蛋"、"如果沒有滿足我的要求,下午2點公司將會發(fā)生爆炸",可以看出,欺騙的危害相當(dāng)大。還好,有防止這三種破壞的技術(shù)。
    基礎(chǔ)
    一些用來保護Exchange服務(wù)器的技術(shù)是最基本的,但是,你可能會發(fā)現(xiàn),只有這些最基本的技術(shù)還不夠。應(yīng)該結(jié)合使用基本的和高級的安全技術(shù)。我們會回顧基本的技術(shù),并討論一些高級技術(shù)。
    Windows NT
    Exchange服務(wù)器是運行在Windows NT中的,因為Exchange使用很多Windows NT的安全功能,所以確保Windows NT盡可能安全很重要。 Windows NT復(fù)雜得足夠用一本書來講述安全問題,但是篇幅有限,只想讓你記住幾個問題。
    首先,確保所有的和Exchange文件相關(guān)的盤使用NTFS格式,好多黑客試圖攻擊NT服務(wù)器的時候會通過網(wǎng)絡(luò)共享進入系統(tǒng),雖然你不能阻止網(wǎng)絡(luò)共享,但是要記住文件權(quán)限(通過NTFS指定)為服務(wù)器帶來額外的安全。當(dāng)文件權(quán)限和共享權(quán)限不同時,Windows NT會用更嚴(yán)格的權(quán)限管理。例如,如果有一個未授權(quán)用戶獲得了網(wǎng)絡(luò)共享的權(quán)限,如果他對網(wǎng)絡(luò)共享的權(quán)限是級別的,但是對文件只能讀不能寫,NT就能察覺出這個矛盾,只允許用戶有只讀權(quán)限,因為它是這兩個權(quán)限中最嚴(yán)格的。
    服務(wù)包
    服務(wù)包更能增強安全性,Windows NT服務(wù)包發(fā)布之后,微軟一直在尋找安全漏洞。這些安全漏洞是通過微軟FTP站點提供的補丁彌補的,新補丁會包括以前的所有補丁,本文寫作的時候,Windows NT服務(wù)包是Service Pack 5,最新的Exchange 5.5服務(wù)包是Service Pack2。
    加密
    不是所有的服務(wù)包都是平等的,TechNet的服務(wù)包是40位加密,這是美國政府允許的限度。不用說,40位密碼很難*。但是,如果你在美國或者加拿大的話,就可以獲得128位加密。必須連接到在美國或加拿大登記的計算機才能下載128位加密服務(wù)包,因為有時美國和加拿大不能下載高加密服務(wù)包,可以直接向微軟定購光盤,不貴的。
    病毒保護
    和保護其他程序一樣要保護Exchange服務(wù)器不受病毒襲擊,很多情況下,猖獗的病毒是email引起的。例如,收到笑話的人把郵件發(fā)給他的20個的朋友,你的朋友也可能把它轉(zhuǎn)發(fā)給更多人。如果這封郵件的附件有病毒,幾百個人幾小時內(nèi)就會被病毒感染。
    每個好的網(wǎng)絡(luò)管理員都知道,每個工作站的病毒軟件需要及時更新,但是這還是給人為的錯誤留有余地。例如,你要打開感染病毒的email附件,病毒程序會讓你選擇刪除病毒、修復(fù)病毒、刪除文件或根本不去管它。如果用戶忽略了病毒警告,殺毒軟件其實就沒用了。
    幸好,有一個方法可以擺脫這種事情的發(fā)生,安裝運行在Exchange服務(wù)器上的殺毒軟件,在郵件到達(dá)接收者手中前掃描郵件病毒。如果軟件發(fā)現(xiàn)了病毒,它就立刻隔離該文件。有些殺毒軟件甚至警告發(fā)送病毒的人,如Symantec公司的Norton殺毒軟件。