Exchange服务器的安全性增强方案

Exchange服务器的安全性增强方案

在许多公司中，email很快成为了重要的应用程序，不过邮件服务器必须连接Internet才能收发email。可能你也知道，Internet绝不安全。想破坏你服务器的人经常上Internet，所以安全运行Exchange服务器的秘诀之一就是不给那些人任何机会破坏你的服务器。本文讲述一些帮助你保护Exchange服务器安全的技术。

　　我在防御什么？

　　你可能想知道，通常Exchange服务器上没有保密数据，恶意用户想对邮件服务器造成什么样的损失呢？但是还是有很多攻击活动发生。最普通的攻击Exchange服务器的形式称为DoS攻击，它将大量邮件发给服务器，直到服务器超载、停止运行。

　　安全被破坏之后，黑客就可以窃取信息了。黑客可以冲进服务器，获得进入保密数据文件夹的权限，黑客也可能用包检漏程序和截取包的方式窃取信息。

　　最后，还要防止欺骗。欺骗就是黑客伪装成合法用户，虽然欺骗可以窃取信息，但是它也可以用来散布错误信息。例如，欺骗程序很容易以合法用户的名义发送邮件，这些邮件可能说，"我走了"、"公司总裁是个大笨蛋"、"如果没有满足我的要求，下午2点公司将会发生爆炸"，可以看出，欺骗的危害相当大。还好，有防止这三种破坏的技术。

　　基础

　　一些用来保护Exchange服务器最有效的技术是最基本的，但是，你可能会发现，只有这些最基本的技术还不够。应该结合使用基本的和高级的安全技术。我们会回顾基本的技术，并讨论一些高级技术。

　　Windows

　　Exchange服务器是运行在Windows中的，因为Exchange使用很多Windows的安全功能，所以确保Windows尽可能安全很重要。Windows复杂得足够用一本书来讲述安全问题，但是篇幅有限，只想让你记住几个问题。

　　首先，确保所有的和Exchange文件相关的盘使用NTFS格式，好多黑客试图攻击NT服务器的时候会通过网络共享进入系统，虽然你不能阻止网络共享，但是要记住文件权限（通过NTFS指定）为服务器带来额外的安全。当文件权限和共享权限不同时，WindowsNT会用更严格的权限管理。例如，如果有一个未授权用户获得了网络共享的权限，如果他对网络共享的权限是最高级别的，但是对文件只能读不能写，NT就能察觉出这个矛盾，只允许用户有只读权限，因为它是这两个权限中最严格的。

　　服务包

　　服务包更能增强安全性，WindowsNT服务包发布之后，微软一直在寻找安全漏洞。这些安全漏洞是通过微软FTP站点提供的补丁弥补的，新补丁会包括以前的所有补丁，本文写作的时候，WindowsNT服务包是ServicePack5，最新的Exchange5.5服务包是ServicePack2。

　　加密

　　不是所有的服务包都是平等的，TechNet的服务包是40位加密，这是美国政府允许的最大限度。不用说，40位密码很难破解。但是