Безопасность сообщений Exchange Server 2003

Интеграция Exchange Server 2003 со средствами безопасности Windows Server 2003

В этом разделе описывается, как Exchange Server 2003 использует средства безопасности Windows Server 2003. Средства безопасности Windows Server 2003 можно разделить на два широких класса: средства базовой операционной системы и дополнительные средства.

Средства базовой операционной системы являются основой защищенной реализации Windows Server 2003. Сюда входят следующие средства:

• служба Active Directory - унифицирует объекты Exchange Server 2003 и Windows Server 2003 в одном каталоге;
• аутентификация с помощью Kerberos;
• модель управления доступом - обеспечивает детальный контроль за объектами Exchange и записями Active Directory;
• служба Microsoft Certificate Services - используется другими приложениями для обеспечения безопасности на различных уровнях.
• К дополнительным приложениям, улучшающим возможности базовой операционной системы, относятся следующие средства:
• протокол IP Security (IPSec) - используется в сетях, при удаленном доступе и в виртуальных частных сетях;
• шифрующая файловая система (Encrypting File System, EFS) - обеспечивает дополнительную защиту для мобильных пользователей;
• анализатор конфигурации безопасности (Security Configuration Analyzer) -обеспечивает следование политикам безопасности.

Active Directory

Active Directory в Windows Server 2003 заменяет Security Accounts Manager (SAM) в Windows NT Server 4 как база данных безопасности. Однако, подобно объекту в SAM, каждому объекту Active Directory присваивается 96-разрядный псевдослучайный идентификатор безопасности (SID), который является глобально уникальным идентификатором.

Не всем объектам Active Directory присваивается идентификатор SID. Например, группа безопасности имеет SID, а группа рассылки - нет. Аналогичным образом пользователи с почтовой поддержкой имеют идентификаторы SID, но не имеют контакта с почтовой поддержкой. Только объекты, имеющие идентификаторы SID, могут быть добавлены в список контроля доступа (access control list, ACL) какого-либо ресурса. Если объект не имеет SID, его нельзя поместить в список ACL, и такие объекты не имеют доступа к ресурсам, защищенным списком ACL.

Аутентификация с помощью Kerberos

Kerberos рассматривает Exchange Server 2003 как службу. Если клиенту требуется обратиться к серверу Exchange, этот клиент запрашивает билет (ticket) службы Exchange от центра распространения ключей (key distribution center, KDC). Этот билет затем используется для аутентификации на сервере Exchange.

Службы Exchange тоже используют Kerberos для входа по служебной учетной записи на контроллер домена через локальную системную учетную запись. Эта учетная запись использует аутентификационные данные (имя и пароль) компьютера, которые изменяются каждые семь дней. Пользовательское имя сервера Exchange Server 2003 добавляется к группе Exchange Servers, которая включается в список ACL для базовых объектов.

Дополнительная информация.Детальное рассмотрение аутентификации Kerberos выходит за рамки данной книги. Чтобы более подробно ознакомиться с процедурой аутентификации Kerberos, узнать, что такое билет и как работает данный протокол, обратитесь к разделу "Microsoft Windows 2000 Server Distributed Systems Guide" в книге "Microsoft Windows 2003 Server Resource Kit" (Microsoft Press).

Модель управления доступом

Модель управления доступом в Exchange Server 2003 соответствует этой модели в Windows Server 2003, обеспечивая более детальный контроль для объектов Exchange Server 2003, чем для объектов Exchange Server 5.5. Например, вы можете предоставлять или отклонять доступ по контейнерам, по элементам и на уровне свойств. Кроме того, объекты Exchange Server 2003 базируются на файловой системе Windows Server 2003 NTFS и на объектах Active Directory. Например, если пользователь имеет доступ только к пяти элементам общей папки из десяти, то он увидит только эти пять элементов. Кроме того, если пользователь, не имеющий прав доступа к определенным атрибутам, выполняет поиск, то он получает только те результаты, которые может видеть.

Примечание.При миграции общих папок из Exchange 5.5 Server списки рассылки становятся группами рассылки, которые не имеют идентификаторов SID. В результате может потребоваться реализация новых установок безопасности. Кроме того, общие папки, создаваемые в Exchange Server 2003, будут иметь список ACL Windows Server 2003. Если такая папка должна реплицироваться в систему Exchange Server 5.5, не забудьте проверить эту папку на функции контроля доступа, поскольку в Windows NT Server 4 и Windows Server 2003 используются различные списки ACL.

IP Security

В то время как служба KMS обеспечивает безопасность на уровне приложений, IP Security (IPSec) обеспечивает безопасность на транспортном уровне IP - более высокий уровень безопасности. В среде с высоким уровнем защиты IPSec используется для шифрования информации, передаваемой клиентом на сервер и сервером клиенту. IPSec действует в паре с протоколом Layer 2 Tunneling Protocol (L2TP).

Имея эти средства безопасности, нужно продумать, какой тип безопасности вы хотели бы реализовать. В табл. 5.5 приводится список некоторых методов шифрования и аутентификации, наиболее распространенных в настоящее время.

Аутентификация между лесами

Так как Exchange Server 2003 не позволяет подменять и подделывать субъекты доступа, Microsoft обеспечила способ выполнения аутентификации между лесами (Cross-Forest Authentication) для соответствия требованиям, необходимым в некоторых ситуациях.

Одна из таких ситуаций имеет место, когда информационная система компании разделена на два леса, и необходимо обеспечить совместную работу с электронной почтой между лесами. Так как область Exchange ограничивается границами леса, неблагоразумно создавать два набора контактов в двух лесах, чтобы каждый сотрудник компании мог связываться по электронной почте с любым сотрудником, и чтобы при этом адреса электронной почты сотрудников преобразовывались в отображаемые имена.

Чтобы включить аутентификацию между лесами, необходимо создать коннекторы в каждом лесу, в котором используется учетная запись с аутентификацией из другого леса. Как только коннекторы будут настроены, электронная почта сможет отправляться в один лес из другого авторизованным пользователем, и при этом электронные адреса будут преобразовываться в отображаемые имена.

Чтобы настроить аутентификацию между лесами, выполните следующие шаги.

1. Создайте в каждом лесу учетную запись с разрешениями Send As (Отправлять как) в целевом лесу. Добавьте эту учетную запись в свойства каждого сервера Exchange, который будет принимать входящую электронную почту из другого леса.
2. Создайте коннектор SMTP Connector в исходном лесу, требующем аутентификации для отправки электронной почты, и настройте коннектор на использование учетной записи в целевом лесу для всей исходящей электронной почты. Убедитесь, что на коннекторе SMTP Connector настроено адресное пространство, в которое включен определенный целевой домен со стоимостью "1". Не включайте адресное пространство "*" или любого доменного имени. Посредством этого обеспечивается использование коннектора SMTP только в том случае, если электронная почта пересылается между указанными доменами. 3. Используйте для связи между двумя лесами только этот способ.
3. Теперь, когда электронная почта пересылается между доменами, отображаемые имена преобразуются в имена глобальной адресной книги, которые, как правило, более понятны пользователям по сравнению с внешними SMTP-адресами.

Заключение

В данной лекции был проведен обзор методов защиты сообщений в Exchange Server 2003. По мере того как технологии безопасности становятся все более важными и распространенными, все большее число компаний привлекают к сотрудничеству и нанимают на работу целые группы сотрудников только для обеспечения безопасности. В этой лекции вы научились устанавливать и использовать службу сертификатов, а также узнали, как выполнять некоторые наиболее общие административные задачи, связанные с этой службой.

В следующей части книги речь пойдет об обеспечении поддержки и управлении Exchange Server 2003. В первой из лекций рассматривается мониторинг системы Exchange Server 2003.