筆者認(rèn)為部署一臺(tái)對(duì)于各種敏感信息都足夠安全的Microsoft Exchange Server是完全可以實(shí)現(xiàn)的。本文將向你展示如何做到這一點(diǎn)。
在耳濡目染了各種有關(guān)信息泄露、黑客和加密等方面的新聞之后,信息安全管理人員時(shí)常會(huì)很自然地幻想去部署一臺(tái)超級(jí)安全的Microsoft Exchange Server,讓它服務(wù)于任何對(duì)外發(fā)出的絕密郵件。我會(huì)在此盡我所能向您展示如何在Hyper-V的虛擬機(jī)環(huán)境中部署一臺(tái)非常實(shí)用的Exchange Server 2016。我將和您討論信息的鎖定、靜態(tài)和傳輸信息的加密、安全的遠(yuǎn)程訪問、以及針對(duì)各種入侵的加固。
具體說(shuō)來(lái),我會(huì)按照以下的原則進(jìn)行搭建:
- Exchange Server。我相信很多人都認(rèn)為Microsoft Exchange是永遠(yuǎn)無(wú)法被恰當(dāng)?shù)匕踩庸痰模ㄓ蠸endmail或Postfix的定制化編譯方可實(shí)現(xiàn)。好吧,我暫且接受這個(gè)說(shuō)法。但是您要知道,如果您的團(tuán)隊(duì)只有您一個(gè)人或是少數(shù)幾個(gè)成員的話,這些定制的方案也許會(huì)奏效。但是Exchange卻有著它獨(dú)特的群組軟件的功能。
此外,信息存在于電子郵件、日歷和聯(lián)系人之中,而無(wú)論是Sendmail還是Postfix,都無(wú)法提供集成、統(tǒng)一的解決方案。如果您能成功地加固Exchange的話,那么您的日歷、聯(lián)系人、收件箱、日志條目、即時(shí)消息的對(duì)話歷史記錄等也都會(huì)得到安全保障。而且,大多數(shù)人在使用習(xí)慣上都會(huì)選擇Outlook,而Outlook恰好是Exchange的最佳使用拍檔。
- 一種在辦公室和路上都適用的解決方案。移動(dòng)安全非常重要,我會(huì)盡量把重點(diǎn)放在保護(hù)Exchange的移動(dòng)訪問接入之上。如果在設(shè)計(jì)的時(shí)候就存在缺陷的話,那么安全就只會(huì)流于形式,而無(wú)實(shí)際作用了。任何在這個(gè)領(lǐng)域有經(jīng)驗(yàn)的人都會(huì)告訴您:安全性和便利性永遠(yuǎn)是一對(duì)相愛相殺的兩方面。因此,我們?cè)诖罱ǖ倪^程中要作出明智且理智的選擇,在允許適當(dāng)?shù)谋憷缘耐瑫r(shí),盡量不去影響系統(tǒng)的整體完整性。
- 一個(gè)簡(jiǎn)單的一站式解決方案。我并不打算為了達(dá)到高可用性而部署多臺(tái)Exchange服務(wù)器;我也不打算實(shí)現(xiàn)Windows Server的群集;我更不會(huì)使用附加存儲(chǔ);或試圖去管理SAN的連接。相反,我只想保持一種簡(jiǎn)單模式:將存儲(chǔ)、服務(wù)器和Exchange都放置在一起。您可以搭建一臺(tái)單獨(dú)的虛擬機(jī),將它要么運(yùn)行在自己的網(wǎng)絡(luò)內(nèi),要么部署到像亞馬遜Web Services或是微軟Azure的服務(wù)環(huán)境基礎(chǔ)設(shè)施中。
因此,我的三步走操作順序是:首先部署Exchange。其次從Windows Server和Exchange兩方面出發(fā)進(jìn)行基礎(chǔ)加固。最后加固網(wǎng)絡(luò),并實(shí)施最新的加密和審計(jì)技術(shù),從而讓您獲得最為安全的Exchange Server的單機(jī)實(shí)現(xiàn)。事實(shí)上,我已經(jīng)著手將這個(gè)系統(tǒng)部署到我們組織的生產(chǎn)環(huán)境之中,我們組織的日常運(yùn)營(yíng)就是依賴于這個(gè)部署的架構(gòu)。
在您的服務(wù)器上安裝Exchange Server 2016
在安裝Exchange時(shí),我建議使用Michel de Rooij’s的卓越PowerShell腳本(譯者注:https://eightwone.com/2013/02/18/exchange-2013-unattended-installation-script/)來(lái)逐步在您的系統(tǒng)上搭建Exchange Server 2016。雖然也有許多其他的腳本可以被用到,但是這個(gè)腳本更勝一籌。因?yàn)樗軌蛏婕暗剿械南葲Q條件,包括各式各樣的過濾包。
根據(jù)您所要安裝到的操作系統(tǒng)的不同(鑒于該腳本支持從Windows Server 2008 R2的Service Pack 1一直到當(dāng)前最新的版本,我將使用的是Windows Server 2016,因?yàn)樗亲钚?ldquo;出爐”的系統(tǒng)版本,而且有著良好的技術(shù)支持),它會(huì)根據(jù)所處的架構(gòu)方案進(jìn)行調(diào)整,從而對(duì)Active Directory進(jìn)行安裝準(zhǔn)備。而且它會(huì)巧妙地處理各種錯(cuò)誤和異常。注意:該腳本的更新比較頻繁,在撰寫本文時(shí),它在2017年6月28日已有過一次最近的更新。
該腳本需要您在手邊具有Exchange ISO或者其他類型的源文件。Exchange 2013及其更高版本(當(dāng)然其中也包括2016版),都有一個(gè)不錯(cuò)的功能:每一次所有的累積更新實(shí)際上都是一套完整的Exchange副本。這就意味著您可以提取累積更新文件目錄中的各種文件,另放到一個(gè)文件夾中,然后從那里去運(yùn)行一個(gè)Exchange的全新安裝。這樣的方式可以幫助您節(jié)省對(duì)現(xiàn)有服務(wù)器進(jìn)行補(bǔ)丁和更新所花費(fèi)的額外時(shí)間和精力,同時(shí)也節(jié)省了對(duì)于已部署的服務(wù)器維護(hù)的各種工作量。截至發(fā)稿時(shí),Exchange 2016的最新版本是累積更新第7版,它于2017年9月19日發(fā)布。
以下是運(yùn)行PowerShell腳本的命令:
Install-Exchange15.ps1 -InstallBoth -SourcePath c:\exchange2016cu7 -Organization EightyTwoVentures -AutoPilot -Credentials
您一旦運(yùn)行了該命令,就會(huì)有一個(gè)提示您輸入管理員身份憑據(jù)的對(duì)話框彈出。注意:這些身份憑證會(huì)被一直保存到腳本運(yùn)行完畢才被刪除掉。也就是說(shuō),即使有系統(tǒng)的重新啟動(dòng),該腳本也會(huì)保留該身份憑據(jù)。在該腳本將Exchange以“逐位”的方式安裝到虛擬機(jī)的期間,您會(huì)碰到五到六次的系統(tǒng)重啟,并會(huì)花費(fèi)大約一個(gè)小時(shí)左右的時(shí)間。最終您將會(huì)得到一臺(tái)功能完備但尚未定制配置的Exchange,至此各項(xiàng)部署工作已經(jīng)準(zhǔn)備就緒了。
一、設(shè)置BitLocker加密
安全的一個(gè)重要部分就是加密,而且它意味著既要加密靜態(tài)的數(shù)據(jù)(即當(dāng)它們被存儲(chǔ)在磁盤上時(shí)),也要加密運(yùn)輸過程中的數(shù)據(jù)(比如當(dāng)它們通過網(wǎng)線進(jìn)行發(fā)送的時(shí)候)。既然我們正在討論的是Exchange,這就意味著我們已擁有Windows Server,而且上面具有Bitlocker。Bitlocker是一個(gè)工業(yè)級(jí)強(qiáng)度的驅(qū)動(dòng)器加密機(jī)制,它正好可以滿足我們的部署要求。
事實(shí)上,Bitlocker在Exchange首選體系結(jié)構(gòu)的指導(dǎo)中是這么被提到的:在微軟的“理想”部署情景中,如果你想使用到Exchange的所有優(yōu)勢(shì),并消減其所有的產(chǎn)品弱點(diǎn)的話,Exchange必須有一件“防彈衣”。您可以在Windows Server上開啟BitLocker,然后讓它完成對(duì)整個(gè)磁盤驅(qū)動(dòng)器的加密過程--就這么簡(jiǎn)單的兩步走的過程。(當(dāng)然,請(qǐng)不要丟失您的備份密鑰)。
二、用安全傳輸層協(xié)議創(chuàng)建傳輸規(guī)則(TLS)
安全的Exchange部署強(qiáng)制要求在傳輸過程中使用TLS。TLS與HTTPS和在郵件傳輸?shù)腟SL等效,它會(huì)對(duì)郵件服務(wù)器之間的任何SMTP會(huì)話的整體數(shù)據(jù)傳輸予以加密。當(dāng)一封電子郵件被發(fā)送的時(shí)候,參與該事務(wù)的雙方郵件服務(wù)器都會(huì)交換數(shù)字證書,然后對(duì)加密通道、以及郵件標(biāo)題、正文包括任何附件傳輸?shù)陌踩ǖ肋M(jìn)行統(tǒng)一地協(xié)商。
如今大多數(shù)的SMTP服務(wù)器都支持隨機(jī)傳輸層安全(opportunistic TLS),這就意味著它們會(huì)默認(rèn)使用TLS來(lái)聯(lián)系遠(yuǎn)程的郵件服務(wù)器,和接收從外部發(fā)向本組織內(nèi)用戶的各種入站郵件。但是如果對(duì)方不支持TLS的話,它們將自動(dòng)切換回傳統(tǒng)的SMTP--這種不安全的明文模式。
您必須用TLS來(lái)創(chuàng)建傳輸?shù)囊?guī)則。這里給大家列舉出Exchange 2016(和2013版)與其以前較早版本(如2007和2010版)的不同之處(如果您使用該規(guī)則的話,證書在此已不重要了,因此不必過分苛求之),因此就算您是Exchange的“老司機(jī)”,也請(qǐng)認(rèn)真閱讀下方的文字。
1. 在Exchange控制面板中創(chuàng)建一條傳輸規(guī)則:首先登錄,然后在左側(cè)點(diǎn)擊“郵件流(mail flow)”,之后在頂部選擇“規(guī)則”,并且點(diǎn)擊“+”圖標(biāo),最后選擇“創(chuàng)建一條新規(guī)則...”
2. 因?yàn)槟枰獙⒋艘?guī)則應(yīng)用于所有的消息,所以最好給它起一個(gè)容易理解的名稱。然后在“應(yīng)用此規(guī)則如果...”的下方找到并選中“[應(yīng)用于所有郵件]。”的選項(xiàng),之后在“執(zhí)行以下操作:”處,將鼠標(biāo)移到“修改消息的安全性...”并點(diǎn)擊“需要TLS加密”。
3. 確保在“為此規(guī)則選擇一種模式”下方的“強(qiáng)制(Enforce)”單選按鈕被選中,然后輸入任何更改信息,以便你在將來(lái)參考的時(shí)候能從注釋文字里找到提示。
4. 最后,單擊窗體底部的保存按鈕。在彈出一條“你想把該規(guī)則應(yīng)用于將來(lái)所有的消息嗎?”的警告時(shí),點(diǎn)擊“是”便可。
三、通過SSL VPN設(shè)置遠(yuǎn)程訪問
作為Exchange服務(wù)器安全部署的一個(gè)關(guān)鍵部分,我們應(yīng)該確認(rèn)任何與Exchange Server交互人員的身份、數(shù)量或物理位置(更高版本可以實(shí)現(xiàn))。SSL VPN通常被認(rèn)為是在任何服務(wù)的遠(yuǎn)程訪問中最為安全的可行方案。它不需要你在防火墻上開啟特殊的端口,卻可以用一個(gè)加密層對(duì)會(huì)話進(jìn)行封裝,它支持對(duì)發(fā)起服務(wù)連接的當(dāng)前狀態(tài)進(jìn)行評(píng)估,以確認(rèn)連接是否已被攻破。
SSL VPN的另一個(gè)優(yōu)勢(shì)是它可以將你的遠(yuǎn)程客戶端納入,作為本地的安全網(wǎng)絡(luò)的一部分,以便您可以安全放心地管理和處置它們。因此對(duì)于咱們所討論的超安全Exchange部署,我就是使用SSL VPN來(lái)作為唯一的遠(yuǎn)程系統(tǒng)的訪問方式。當(dāng)然在本地網(wǎng)絡(luò)中,我還是會(huì)允許各個(gè)Outlook的客戶端以標(biāo)準(zhǔn)的ActiveSync進(jìn)行連接。如今有許多廠商都能夠方便地提供各種各樣的SSL VPN設(shè)備。您手頭也許已經(jīng)有一個(gè)了,那就趕快部署它吧。
四、設(shè)置防火墻
安全的Exchange意味著您需要有一個(gè)安全的網(wǎng)絡(luò)。在Hyper-V上,您需要從物理主機(jī)的各個(gè)適配器上移除網(wǎng)絡(luò)綁定,從而消除你的主機(jī)操作系統(tǒng)受到威脅的可能性,并阻止各種其他的負(fù)載在主機(jī)上運(yùn)行。
在該安全郵件服務(wù)器的邊界上,您只需要開啟兩個(gè)端口:25號(hào)端口,用來(lái)進(jìn)行SMTP傳輸;和典型的443號(hào)端口,用于建立SSL VPN會(huì)話的各種HTTPS連接。為了增加安全效果,您可以適當(dāng)采用一些模糊的手法:比如可以變更您的SSL VPN端口號(hào)為一個(gè)隨機(jī)數(shù),不過其具體的實(shí)現(xiàn)過程還是取決于您的SSL VPN廠商。通常,您可以選取一個(gè)大于1024的數(shù)字作為備用端口號(hào)。您也需要培訓(xùn)您的用戶來(lái)使用該端口連接到SSL VPN進(jìn)行郵件的收發(fā)。
那么有沒有辦法能讓25號(hào)端口變得更加安全呢?這里介紹兩種不同的觀點(diǎn):
一種是“皮帶和背帶類型”(譯者注:背帶褲上的背帶為皮帶多提供了一種防止褲子掉下的保護(hù)):他們將各種風(fēng)險(xiǎn),即惡意軟件、病毒、垃圾郵件和本地郵件服務(wù)器的攻擊視為正常且不可避免的現(xiàn)象。因此他們會(huì)選擇使用第三方的郵件“保健服務(wù)”(hygiene service)。我偏向使用Mailprotector(譯者注:一種郵件安全、管理的運(yùn)營(yíng)服務(wù)平臺(tái)),當(dāng)然,微軟的Exchange在線保護(hù)(Exchange Online Protection)也是非常實(shí)用的。
如果您選擇使用第三方“保健服務(wù)”來(lái)阻斷垃圾郵件和病毒的話,那么您會(huì)進(jìn)一步在邊界防火墻上阻斷25號(hào)端口,以限制“保健服務(wù)”所用到的IP范圍。這樣一來(lái),你的防火墻就會(huì)悄悄地丟棄那些不明來(lái)源的數(shù)據(jù)包,以確保只有通過了“保健服務(wù)”的郵件才會(huì)傳到您的手上。此外,您要確保您的服務(wù)提供商支持所需的TLS,以便執(zhí)行傳輸加密,并且能夠?qū)⑺麄兊姆⻊?wù)用作一臺(tái)智能主機(jī)(相對(duì)于TLS的基本功能而言),進(jìn)而保證您能夠獲取出站方向的安全。
一些非常偏執(zhí)的人可能不愿意相信那種郵件經(jīng)歷了多個(gè)云服務(wù)節(jié)點(diǎn),才最終發(fā)到手中的方式,因此他們更崇尚所有的郵件能夠直接地發(fā)送過來(lái)。面對(duì)這種情況的要求,您肯定會(huì)強(qiáng)制要求在連接的全程進(jìn)行TLS加密。可是,它并不是一個(gè)絕對(duì)萬(wàn)無(wú)一失的加密機(jī)制。因?yàn)榇蠖鄶?shù)郵件服務(wù)器(包括Exchange在內(nèi))在傳輸開始的時(shí)候,并不會(huì)為了防止相互之間直接傳送明文,而進(jìn)行任何形式的交換證書的驗(yàn)證。由此可見,您會(huì)在這種情況下,隨著時(shí)間的推移而收到越來(lái)越多的垃圾郵件。
最后的想法
搭建和部署一臺(tái)安全的單機(jī)Exchange是一個(gè)探索過程,而不是一個(gè)既定的任務(wù)清單。在此,我給您提供了構(gòu)建和加固一臺(tái)郵件服務(wù)器的一些基本要點(diǎn),包括對(duì)靜態(tài)和傳輸中數(shù)據(jù)的加密,和如何盡量減少被攻擊的可能性。當(dāng)然,威脅的種類是在持續(xù)發(fā)展的,我這里所提到的知識(shí)只是一個(gè)良好的開端,管理好郵件服務(wù)器,乃至其他服務(wù)器是企業(yè)的一項(xiàng)長(zhǎng)治久安的工作。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標(biāo)題:四步幫你打造超級(jí)安全的Exchange Server
本文網(wǎng)址:http://www.guhuozai8.cn/html/support/11121521439.html
相關(guān)文章
