Опубликован: 08.12.2008 | Доступ: свободный | Студентов: 579 / 49 | Оценка: 4.63 / 4.37 | Длительность: 14:08:00
Лекция 4:

Безопасность Exchange Server

< Лекция 3 || Лекция 4: 1234 || Лекция 5 >

Физическая безопасность

Во многих книгах по безопасности часто упускаются вопросы физической безопасности, особенно в изданиях, посвященных Exchange; однако эта тема очень серьезна и требует внимания. Часто серверы функционируют в помещении, доступ в которое открыт. В любых обстоятельствах рекомендуем содержать серверы в безопасном месте, защищенном дверными замками, а в некоторых случаях детекторами движения и другими средствами физической защиты.

Если доступ к серверу закрыт, происходит ограничение круга пользователей, которые могут локально войти на сервер, использовать привод гибких дисков для внедрения нового вируса или вредоносной программы в сеть или напрямую получить информацию с сервера. Ограничение физического доступа к серверу - это один из самых простых и тривиальных методов защиты сервера от внутренних атак.

Мы понимаем, что большая часть администраторов, читающих эту книгу, уже обеспечила подобные меры физической защиты, и это только приветствуется. Тем же администраторам, которые еще не оградили свой сервер, настоятельно рекомендуем сделать это как можно скорее. Физическая безопасность сервера играет большую роль в защите информации от потенциальных злоумышленников.

Административная безопасность

Группа администрирования (AG) - это контейнер, содержащий другие объекты, для защиты этих объектов в контексте общей безопасности при выполнении задач администрирования. Административные группы включают серверы, группы маршрутизации, политики и иерархии общих папок.

Один из лучших способов защиты сервера Exchange - использование разрешения административных групп для ограничения круга пользователей, которым разрешено вносить изменения в конфигурацию на одном или нескольких серверах Exchange Server 2003. Exchange тесно интегрирован в Microsoft Windows Server 2003 Active Directory. Следовательно, учетные записи пользователей и/или групп в Active Directory могут использоваться для обеспечения безопасности административных групп в Exchange 2003, строго ограничивая круг пользователей, которым разрешено вносить изменения в конфигурацию объектов (включая серверы) в соответствующих группах администрирования.

Если в рассматриваемой среде более чем один набор серверов, то Exchange требует управления более чем одной группой лиц, и группы администрирования становятся просто незаменимыми. В данном случае можно использовать две административные группы для администрирования каждого набора серверов Exchange посредством делегирования разрешений каждой группе администраторов. Эта настройка выполняется в компоненте Exchange System Manager (ESM), однако делегирование разрешений происходит по отношению к учетным записям Active Directory. Это означает, что только авторизованный администратор определенного набора серверов может изменять конфигурационные значения на этих серверах. Независимо от используемой модели администрирования (централизованной, децентрализованной или смешанной), можно создать группы администрирования для поддержки нужной модели и обеспечения безопасности серверов.

Чтобы создать группу администрирования, откройте ESM и перейдите к объекту Administrative Groups (Административные группы). Щелкните правой кнопкой мыши на объекте, выберите пункт New\Administrative Group (Создать\Административная группа) (см. рис. 4.3).

Появится диалоговое окно Properties (Свойства) для новой группы администрирования. Единственным параметром конфигурации, настраиваемым для группы, является ее имя. Введите имя и нажмите ОК. Группа отобразится в ESM.

Создание новой группы администрирования в Exchange System Manager

Рис. 4.3. Создание новой группы администрирования в Exchange System Manager

После создания группы администрирования при желании ее можно переименовать. В нашем примере рассматриваются две группы администрирования: группа по умолчанию, переименованная в East Administrative Group, и новая группа с именем West Administrative Group (см. рис. 4.4).

Группы администрирования East и West в Exchange System Manager

Рис. 4.4. Группы администрирования East и West в Exchange System Manager

Предположим, что необходимо защитить эти группы администрирования и другие группы из Active Directory. Необходимо, чтобы обе группы администраторов управляли объектами в своей собственной группе администрирования, но могли только просматривать параметры объектов из другой административной группы. Для этого создайте две группы безопасности Active Directory. В нашем примере назовем первую группу ExchangeEast,а вторую - ExchangeWest.После создания групп используйте Exchange Administration Delegation Wizard для применения разрешений Exchange View Only (Только просмотр) к объекту организации относительно обеих групп. Такие разрешения присваиваются по той причине, что объекты в Exchange тесно интегрированы с моделью безопасности Active Directory и Windows Server 2003, и наследуемость разрешений является частью этой модели. Когда вы применяете разрешения Exchange View Only к объекту Organization этих групп, все объекты, расположенные под объектом Organization, включ ая группы администрирования, наследуют данное разрешение. Разрешения применяются к объекту Organization, так как Exchange Administration Delegation Wizard доступен только в объектах Organization и AG в компоненте ESM.

Для запуска мастера щелкните правой кнопкой мыши на объекте Organization (Организация) и выберите Delegate Control (Делегировать управление). Нажмите Next (Далее), чтобы закрыть приветственное окно. На странице Users Or Groups (Пользователи или группы) нажмите кнопку Add (Добавить) и выберите две группы безопасности Active Directory, созданные ранее. В рассматриваемом примере следует выбрать группы безопасности ExchangeWest и ExchangeEast (см. рис. 4.5).

Выбор групп безопасности ExchangeWest и ExchangeEast в мастере Exchange Administration Delegation

Рис. 4.5. Выбор групп безопасности ExchangeWest и ExchangeEast в мастере Exchange Administration Delegation

При добавлении группы с использованием мастера ролью безопасности по умолчанию является Exchange View Only Administrator (Администратор: только просмотр). Для изменения роли выделите каждую группу, затем нажмите кнопку Edit (Изменить). Отобразятся четыре опции:

  • Exchange View Only Administrator (Администратор: только просмотр).Эта роль позволяет просматривать конфигурацию объектов, однако запрещает вносить в их конфигурацию какие-либо изменения;
  • Exchange Administrator (Администратор Exchange).Эта роль позволяет администрировать объект в полной мере, за исключением изменения разрешений роли администратора для объекта;
  • Exchange Full Administrator (Полноправный администратор Exchange).Эта опция позволяет вести администрирование объекта в полной мере, включая возможность изменения разрешений, присвоенных роли администратора.

Присвоенные по умолчанию роли можно изменять, но в нашем случае мы будем использовать параметр по умолчанию Exchange View Only Administrator (Администратор: только просмотр), так как этот параметр должен наследоваться административными группами для обеспечения возможности просмотра каждой группой значений конфигурации в других объектах группы администрирования.

Следующим шагом является запуск мастера делегирования для каждой отдельной административной группы и присвоение разрешений Exchange Administrator.

  • ExchangeEast присваивается административной группе East Administrative Group;
  • ExchangeWest присваивается административной группе West Administrative Group.

После этого в свойствах каждой административной группы отобразится, что группа, ответственная за администрирование данной административной группы, обладает разрешениями Exchange Administrative, a другая группа имеет возможность просмотра конфигурационных значений в административной группе, администрирование которой этой группе запрещено. На рис. 4.6 показаны разрешения группы East Administrative Group; ExchangeWest обладает разрешением Exchange View Only Administrator, a ExchangeEast - разрешением Exchange Administrator.

Здесь необходимо рассмотреть два вопроса. Во-первых, чтобы группа безопасности обладала всеми возможностями администрирования, предоставляемыми ролью Exchange Administrator, эта группа должна также входить в группу безопасности Local Administrator. Во-вторых, нельзя изменить унаследованные разрешения для объекта. По этой причине группа ExchangeEast отображается дважды: один раз для унаследованных разрешений из объекта-организации, а второй раз для отдельных разрешений самой группы администрирования.

Просмотр разрешений административной группы East

Рис. 4.6. Просмотр разрешений административной группы East

Заметьте, что комбинация разрешений позволяет применять наиболее либеральные разрешения. Следовательно, поскольку одна и та же группа (Exchange East) имеет разрешения Exchange View Only Administrator и Exchange Administrator, будут применены администраторские разрешения.

Вторым способом ограничения административного доступа к серверам Exchange является ограничение пользователей, которым разрешен локальный вход на серверы Exchange. Это ограничение можно установить посредством назначения групповой политики Windows Server 2003 для организационной единицы (OU), содержащей все учетные записи сервера Exchange в Active Directory (см. рис. 4.7). Это выполняется посредством создания (или связывания) групповой политики, конфигурирующей следующую политику: Windows Settings\Security Settings\Local Policies\User Rights Assignments\Allow log on locally (Настройка Windows\IIapaMeTpbi безопасности\ Локальные политики\Права пользо-вателей\Разрешить локальный вход).

Третий метод защиты доступа к серверу Exchange - это ограничение числа пользователей, на компьютерах которых установлен ESM. По умолчанию при установке компонента ESM устанавливается оснастка Active Directory Users and Computers (Active Directory - пользователи и компьютеры). Установка этих оснасток на рабочих станциях администратора создает дополнительные возможности для серверов Exchange. В одних информационных средах этот метод приемлем, в других - нет. Убедитесь, что вам известны все компьютеры с установленным компонентом ESM, и удалите эти оснастки, когда администратор уволится из компании или перейдет на другую должность.

Разрешение политики локального входа, добавление групп безопасности ExchangeEast и ExchangeWest

Рис. 4.7. Разрешение политики локального входа, добавление групп безопасности ExchangeEast и ExchangeWest

Четвертый подход к ограничению доступа администратора к серверам Exchange заключается в использовании смарт-карт или биометрических методов аутентификации. Сканирование отпечатка пальца, радужной оболочки глаза или считывание индивидуальной карты доступа обеспечит легальность доступа администраторов к серверам Exchange.

< Лекция 3 || Лекция 4: 1234 || Лекция 5 >