筆者認為部署一臺對于各種敏感信息都足夠安全的Microsoft Exchange Server是完全可以實現(xiàn)的。本文將向你展示如何做到這一點。
在耳濡目染了各種有關(guān)信息泄露、黑客和加密等方面的新聞之后,信息安全管理人員時常會很自然地幻想去部署一臺超級安全的Microsoft Exchange Server,讓它服務(wù)于任何對外發(fā)出的絕密郵件。我會在此盡我所能向您展示如何在Hyper-V的虛擬機環(huán)境中部署一臺非常實用的Exchange Server 2016。我將和您討論信息的鎖定、靜態(tài)和傳輸信息的加密、安全的遠程訪問、以及針對各種入侵的加固。
具體說來,我會按照以下的原則進行搭建:
-
Exchange Server。我相信很多人都認為Microsoft Exchange是永遠無法被恰當?shù)匕踩庸痰,唯有Sendmail或Postfix的定制化編譯方可實現(xiàn)。好吧,我暫且接受這個說法。但是您要知道,如果您的團隊只有您一個人或是少數(shù)幾個成員的話,這些定制的方案也許會奏效。但是Exchange卻有著它獨特的群組軟件的功能。
此外,信息存在于電子郵件、日歷和聯(lián)系人之中,而無論是Sendmail還是Postfix,都無法提供集成、統(tǒng)一的解決方案。如果您能成功地加固Exchange的話,那么您的日歷、聯(lián)系人、收件箱、日志條目、即時消息的對話歷史記錄等也都會得到安全保障。而且,大多數(shù)人在使用習慣上都會選擇Outlook,而Outlook恰好是Exchange的最佳使用拍檔。
-
一種在辦公室和路上都適用的解決方案。移動安全非常重要,我會盡量把重點放在保護Exchange的移動訪問接入之上。如果在設(shè)計的時候就存在缺陷的話,那么安全就只會流于形式,而無實際作用了。任何在這個領(lǐng)域有經(jīng)驗的人都會告訴您:安全性和便利性永遠是一對相愛相殺的兩方面。因此,我們在搭建的過程中要作出明智且理智的選擇,在允許適當?shù)谋憷缘耐瑫r,盡量不去影響系統(tǒng)的整體完整性。
-
一個簡單的一站式解決方案。我并不打算為了達到高可用性而部署多臺Exchange服務(wù)器;我也不打算實現(xiàn)Windows Server的群集;我更不會使用附加存儲;或試圖去管理SAN的連接。相反,我只想保持一種簡單模式:將存儲、服務(wù)器和Exchange都放置在一起。您可以搭建一臺單獨的虛擬機,將它要么運行在自己的網(wǎng)絡(luò)內(nèi),要么部署到像亞馬遜Web Services或是微軟Azure的服務(wù)環(huán)境基礎(chǔ)設(shè)施中。
因此,我的三步走操作順序是:首先部署Exchange。其次從Windows Server和Exchange兩方面出發(fā)進行基礎(chǔ)加固。最后加固網(wǎng)絡(luò),并實施最新的加密和審計技術(shù),從而讓您獲得最為安全的Exchange Server的單機實現(xiàn)。事實上,我已經(jīng)著手將這個系統(tǒng)部署到我們組織的生產(chǎn)環(huán)境之中,我們組織的日常運營就是依賴于這個部署的架構(gòu)。
在您的服務(wù)器上安裝Exchange Server 2016
在安裝Exchange時,我建議使用Michel de Rooij’s的卓越PowerShell腳本(譯者注:https://eightwone.com/2013/02/18/exchange-2013-unattended-installation-script/)來逐步在您的系統(tǒng)上搭建Exchange Server 2016。雖然也有許多其他的腳本可以被用到,但是這個腳本更勝一籌。因為它能夠涉及到所有的先決條件,包括各式各樣的過濾包。
根據(jù)您所要安裝到的操作系統(tǒng)的不同(鑒于該腳本支持從Windows Server 2008 R2的Service Pack 1一直到當前最新的版本,我將使用的是Windows Server 2016,因為它是最新“出爐”的系統(tǒng)版本,而且有著良好的技術(shù)支持),它會根據(jù)所處的架構(gòu)方案進行調(diào)整,從而對Active Directory進行安裝準備。而且它會巧妙地處理各種錯誤和異常。注意:該腳本的更新比較頻繁,在撰寫本文時,它在2017年6月28日已有過一次最近的更新。
該腳本需要您在手邊具有Exchange ISO或者其他類型的源文件。Exchange 2013及其更高版本(當然其中也包括2016版),都有一個不錯的功能:每一次所有的累積更新實際上都是一套完整的Exchange副本。這就意味著您可以提取累積更新文件目錄中的各種文件,另放到一個文件夾中,然后從那里去運行一個Exchange的全新安裝。這樣的方式可以幫助您節(jié)省對現(xiàn)有服務(wù)器進行補丁和更新所花費的額外時間和精力,同時也節(jié)省了對于已部署的服務(wù)器維護的各種工作量。截至發(fā)稿時,Exchange 2016的最新版本是累積更新第7版,它于2017年9月19日發(fā)布。
以下是運行PowerShell腳本的命令:
Install-Exchange15.ps1 -InstallBoth -SourcePath c:\exchange2016cu7 -Organization EightyTwoVentures -AutoPilot -Credentials
您一旦運行了該命令,就會有一個提示您輸入管理員身份憑據(jù)的對話框彈出。注意:這些身份憑證會被一直保存到腳本運行完畢才被刪除掉。也就是說,即使有系統(tǒng)的重新啟動,該腳本也會保留該身份憑據(jù)。在該腳本將Exchange以“逐位”的方式安裝到虛擬機的期間,您會碰到五到六次的系統(tǒng)重啟,并會花費大約一個小時左右的時間。最終您將會得到一臺功能完備但尚未定制配置的Exchange,至此各項部署工作已經(jīng)準備就緒了。
一、設(shè)置BitLocker加密
安全的一個重要部分就是加密,而且它意味著既要加密靜態(tài)的數(shù)據(jù)(即當它們被存儲在磁盤上時),也要加密運輸過程中的數(shù)據(jù)(比如當它們通過網(wǎng)線進行發(fā)送的時候)。既然我們正在討論的是Exchange,這就意味著我們已擁有Windows Server,而且上面具有Bitlocker。Bitlocker是一個工業(yè)級強度的驅(qū)動器加密機制,它正好可以滿足我們的部署要求。
事實上,Bitlocker在Exchange首選體系結(jié)構(gòu)的指導(dǎo)中是這么被提到的:在微軟的“理想”部署情景中,如果你想使用到Exchange的所有優(yōu)勢,并消減其所有的產(chǎn)品弱點的話,Exchange必須有一件“防彈衣”。您可以在Windows Server上開啟BitLocker,然后讓它完成對整個磁盤驅(qū)動器的加密過程--就這么簡單的兩步走的過程。(當然,請不要丟失您的備份密鑰)。
二、用安全傳輸層協(xié)議創(chuàng)建傳輸規(guī)則(TLS)
安全的Exchange部署強制要求在傳輸過程中使用TLS。TLS與HTTPS和在郵件傳輸?shù)腟SL等效,它會對郵件服務(wù)器之間的任何SMTP會話的整體數(shù)據(jù)傳輸予以加密。當一封電子郵件被發(fā)送的時候,參與該事務(wù)的雙方郵件服務(wù)器都會交換數(shù)字證書,然后對加密通道、以及郵件標題、正文包括任何附件傳輸?shù)陌踩ǖ肋M行統(tǒng)一地協(xié)商。
如今大多數(shù)的SMTP服務(wù)器都支持隨機傳輸層安全(opportunistic TLS),這就意味著它們會默認使用TLS來聯(lián)系遠程的郵件服務(wù)器,和接收從外部發(fā)向本組織內(nèi)用戶的各種入站郵件。但是如果對方不支持TLS的話,它們將自動切換回傳統(tǒng)的SMTP--這種不安全的明文模式。
您必須用TLS來創(chuàng)建傳輸?shù)囊?guī)則。這里給大家列舉出Exchange 2016(和2013版)與其以前較早版本(如2007和2010版)的不同之處(如果您使用該規(guī)則的話,證書在此已不重要了,因此不必過分苛求之),因此就算您是Exchange的“老司機”,也請認真閱讀下方的文字。
1. 在Exchange控制面板中創(chuàng)建一條傳輸規(guī)則:首先登錄,然后在左側(cè)點擊“郵件流(mail flow)”,之后在頂部選擇“規(guī)則”,并且點擊“+”圖標,最后選擇“創(chuàng)建一條新規(guī)則...”
2. 因為您需要將此規(guī)則應(yīng)用于所有的消息,所以最好給它起一個容易理解的名稱。然后在“應(yīng)用此規(guī)則如果...”的下方找到并選中“[應(yīng)用于所有郵件]。”的選項,之后在“執(zhí)行以下操作:”處,將鼠標移到“修改消息的安全性...”并點擊“需要TLS加密”。
3. 確保在“為此規(guī)則選擇一種模式”下方的“強制(Enforce)”單選按鈕被選中,然后輸入任何更改信息,以便你在將來參考的時候能從注釋文字里找到提示。
4. 最后,單擊窗體底部的保存按鈕。在彈出一條“你想把該規(guī)則應(yīng)用于將來所有的消息嗎?”的警告時,點擊“是”便可。
三、通過SSL VPN設(shè)置遠程訪問
作為Exchange服務(wù)器安全部署的一個關(guān)鍵部分,我們應(yīng)該確認任何與Exchange Server交互人員的身份、數(shù)量或物理位置(更高版本可以實現(xiàn))。SSL VPN通常被認為是在任何服務(wù)的遠程訪問中最為安全的可行方案。它不需要你在防火墻上開啟特殊的端口,卻可以用一個加密層對會話進行封裝,它支持對發(fā)起服務(wù)連接的當前狀態(tài)進行評估,以確認連接是否已被攻破。
SSL VPN的另一個優(yōu)勢是它可以將你的遠程客戶端納入,作為本地的安全網(wǎng)絡(luò)的一部分,以便您可以安全放心地管理和處置它們。因此對于咱們所討論的超安全Exchange部署,我就是使用SSL VPN來作為唯一的遠程系統(tǒng)的訪問方式。當然在本地網(wǎng)絡(luò)中,我還是會允許各個Outlook的客戶端以標準的ActiveSync進行連接。如今有許多廠商都能夠方便地提供各種各樣的SSL VPN設(shè)備。您手頭也許已經(jīng)有一個了,那就趕快部署它吧。
四、設(shè)置防火墻
安全的Exchange意味著您需要有一個安全的網(wǎng)絡(luò)。在Hyper-V上,您需要從物理主機的各個適配器上移除網(wǎng)絡(luò)綁定,從而消除你的主機操作系統(tǒng)受到威脅的可能性,并阻止各種其他的負載在主機上運行。
在該安全郵件服務(wù)器的邊界上,您只需要開啟兩個端口:25號端口,用來進行SMTP傳輸;和典型的443號端口,用于建立SSL VPN會話的各種HTTPS連接。為了增加安全效果,您可以適當采用一些模糊的手法:比如可以變更您的SSL VPN端口號為一個隨機數(shù),不過其具體的實現(xiàn)過程還是取決于您的SSL VPN廠商。通常,您可以選取一個大于1024的數(shù)字作為備用端口號。您也需要培訓您的用戶來使用該端口連接到SSL VPN進行郵件的收發(fā)。
那么有沒有辦法能讓25號端口變得更加安全呢?這里介紹兩種不同的觀點:
一種是“皮帶和背帶類型”(譯者注:背帶褲上的背帶為皮帶多提供了一種防止褲子掉下的保護):他們將各種風險,即惡意軟件、病毒、垃圾郵件和本地郵件服務(wù)器的攻擊視為正常且不可避免的現(xiàn)象。因此他們會選擇使用第三方的郵件“保健服務(wù)”(hygiene service)。我偏向使用Mailprotector(譯者注:一種郵件安全、管理的運營服務(wù)平臺),當然,微軟的Exchange在線保護(Exchange Online Protection)也是非常實用的。
如果您選擇使用第三方“保健服務(wù)”來阻斷垃圾郵件和病毒的話,那么您會進一步在邊界防火墻上阻斷25號端口,以限制“保健服務(wù)”所用到的IP范圍。這樣一來,你的防火墻就會悄悄地丟棄那些不明來源的數(shù)據(jù)包,以確保只有通過了“保健服務(wù)”的郵件才會傳到您的手上。此外,您要確保您的服務(wù)提供商支持所需的TLS,以便執(zhí)行傳輸加密,并且能夠?qū)⑺麄兊姆⻊?wù)用作一臺智能主機(相對于TLS的基本功能而言),進而保證您能夠獲取出站方向的安全。
一些非常偏執(zhí)的人可能不愿意相信那種郵件經(jīng)歷了多個云服務(wù)節(jié)點,才最終發(fā)到手中的方式,因此他們更崇尚所有的郵件能夠直接地發(fā)送過來。面對這種情況的要求,您肯定會強制要求在連接的全程進行TLS加密。可是,它并不是一個絕對萬無一失的加密機制。因為大多數(shù)郵件服務(wù)器(包括Exchange在內(nèi))在傳輸開始的時候,并不會為了防止相互之間直接傳送明文,而進行任何形式的交換證書的驗證。由此可見,您會在這種情況下,隨著時間的推移而收到越來越多的垃圾郵件。
最后的想法
搭建和部署一臺安全的單機Exchange是一個探索過程,而不是一個既定的任務(wù)清單。在此,我給您提供了構(gòu)建和加固一臺郵件服務(wù)器的一些基本要點,包括對靜態(tài)和傳輸中數(shù)據(jù)的加密,和如何盡量減少被攻擊的可能性。當然,威脅的種類是在持續(xù)發(fā)展的,我這里所提到的知識只是一個良好的開端,管理好郵件服務(wù)器,乃至其他服務(wù)器是企業(yè)的一項長治久安的工作。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:四步幫你打造超級安全的Exchange Server
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121521439.html