中文名: 微軟 Exchange 2000 Server 企業版英文名: Microsoft Exchange 2000 Server EnterPrise資源格式: 光盤鏡像版本: 企業版發行時間: 2000年制作發行: 微軟
Microsoft地區: 美國簡介:



市場售價(引自中國企業網優惠報價):
Exchange 2000 Server 企業版 ￥89,000
Exchange 2000 Server 標準版 ￥24,807
在現在的商業環境中，企業要想獲得成功，必須擁有強大的信息創建、存儲和共享基礎結構，同時還應擁有可快速和智能地響應這些信息的工具。Exchange 2000 Server使這些問題迎刃而解--它可與Microsoft Windows? 2000無縫集成，其開發過程參照了兩年來客戶的反饋意見，最終將業界領先的可靠性和伸縮性與無與匹敵的易管理性組合在同一個産品--Exchange 2000 Server裏。我們可以自豪地說，Exchange 2000 Server爲各種規模的企業提供了下一代的消息和協作。
增強的消息和協作平台
數字經濟對無縫的信息交換提出了更高的要求。這一要求使消息系統成爲現今企業的任務關鍵型應用，同時也使建立和維護可靠的消息基礎結構成爲IT專家們最重要的工作。Exchange 2000可完全利用Windows 2000的強大功能，是第一個可統一管理全部消息、協作、網絡功能及網絡資源的應用軟件。Exchange 2000可以提供更高的可靠性、性能和伸縮性，以滿足企業不斷變化的需求。
Web存儲系統協作和應用
消息以前隻是一種通訊方式，與電話、傳真、表格、書面文檔等用來共享信息的信息載體沒有二樣。那時的消息隻表示電子郵件，現在，數字通訊已成爲企業活動的中心，許多大型企業發現，將信息的流動和管理合並到同一個消息平台中可以提供令人難以置信的效率和生産力。Exchange 2000以Microsoft Web存儲系統爲核心，並將之用作創建、存儲、訪問和共享企業全部知識的中心點。內建的Web標準協議支持（包括XML和HTTP支持）也使Exchange 2000成爲新一代應用的理想平台，這些應用將通過自動完成許多重要的商業事務來改造人們的工作環境。
隨時隨地的通訊
在一個信息無所不在的時代，僅爲桌面系統提供電子郵件和Internet肯定是不夠的。如果您的企業想快速而智能地響應不斷變化的市場需求，您必須能跨越時間、空間和技術的屏障，爲企業的所有知識工作者提供實時的信息訪問，而無論他們身處何方。Exchange 2000融入了大量最新的數字技術，這一綜合性通訊平台將讓企業中的所有員工通過各種設備保持聯系。
[/center]附微軟關於基於角色保護 Exchange 2000 服務器安全詳解[/center]
在上一章中，我們探討了一些保護 Exchange 2000 環境安全的一般性建議。現在，我們將基於服務器在 IT 環境中承擔的角色說明提高 Exchange 2000 服務器安全性的具體方法。
由於 Exchange 2000 是一個在 Windows 2000 環境中運行的應用程序，所以確保 Windows 2000 的安全性是實現 Exchange 2000 安全的基礎。《Microsoft Windows 2000 安全操作》給您提供了保護某些服務器角色的建議，而在本章中我們將擴大該指南中提出的安全建議的使用範圍，把 Exchange 2000 納入這一範圍。我們還將對 OWA 前端服務器和 Exchange 後端服務器進行專門分析。
注意：本章是對《Microsoft Windows 2000 Server 安全操作》第 3 和第 4 章提出的保護建議的補充。爲方便您了解，本書後面的附錄 A 和附錄 B 分別收錄了這兩章內容。有關該指南其他各章內容，請參見本章末尾的“更多信息”一節。
測試環境
在對生産環境進行任何更改之前，在測試環境中徹底評估這些對 IT 系統的安全性所做的更改非常重要。您的測試環境應盡可能模仿生産環境。它至少應包括將在生産環境中包括的多個域控制器和每種成員服務器角色。
測試對於以下兩點非常重要：在進行更改之後使環境仍然正常工作；確保按照預期提高了安全級別。您應當徹底驗證所有更改並在測試環境中執行漏洞評估。
注意：任何人在組織中執行漏洞評估之前，應確保他們已獲得執行評估的書面許可。
使用 OWA 前端和後端服務器
在默認情況下，每個 Exchange 2000 服務器都具有 OWA 功能，用戶可以利用該功能通過超文本傳輸協議 (HTTP) 連接到 Exchange 服務器。由於在默認安裝中組成 OWA 解決方案的組件安裝在 Exchange 服務器上，因此用戶可以實現上述目的。但是，在中到大型環境中，更好的辦法是通過實施前端/後端服務器解決方案來允許用戶訪問 OWA。在這種情況下，用戶連接到前端服務器，該服務器然後接受請求，在 Active Directory 中驗證用戶憑據，然後將請求轉發給適當的 Exchange 後端服務器。後端服務器可以訪問郵箱和公用文件夾。這種方法具有以下優點：
用戶無需知道本地 Exchange 服務器的名稱就可以訪問它。
容納郵箱的服務器的名稱可以隱藏起來。
前端服務器可以達到負載平衡。
安全套接字層 (SSL) 開銷可以卸載轉移到前端服務器。
可以增加防火牆進一步保護後端服務器。
注意：前端服務器還可以用於 POP3 和 IMAP4 上的連接。但是，在本指南中，我們假定您僅啓用 HTTP 和 MAPI 連接。
注意：有關Exchange 中的 OWA 前端/後端服務器環境的詳細論述，請參見本章末尾的“更多信息”一節。
保護 Exchange 2000 環境中的服務器角色安全
在本指南中，我們爲修改 Exchange 2000 服務器角色的安全性提供了安全模闆。您需要將這些模闆導入組策略設置中，才可以在 Exchange 中應用它們。
下表定義了服務器角色和用於提高角色安全性的模闆。
表 3.1：Exchange 2000 服務器角色 P 服務器角色 說明 安全模闆
OWA 服務器 Outlook Web Access 的專用 OWA 前端服務器 Baseline.inf 和 OWA front-end Incremental.inf
Exchange 2000 後端服務器 用於郵箱、公用文件夾訪問和路由的服務器 Baseline.inf 和 Exchange back-end Incremental.inf
除上述指定的模闆以外，您還需要在域控制器的基準組策略中應用一個附加的安全模闆。由於《Microsoft Windows 2000 Server 安全操作》中定義的設置並沒有假定 Exchange 是環境的一個組成部分，因此需要進行改動以便適應具有 Exchange 2000 這一情況。
爲幫助您修改域控制器設置以使它們支持 Exchange 操作，我們提供了一個模闆 Exchange DC Incremental.inf。該模闆應該被導入到域控制器組織單位 (OU) 的組策略對象 (GPO) 中。實際上隻有一個設置需要更改，下表說明了該安全選項。
表 3.2：支持 Exchange 2000 的域控制器安全選項
選項 Windows 2000 Server
安全操作 Exchange 2000 Server 安全操作
對匿名連接的附加限制 沒有顯式匿名連接就無法訪問 無，依賴默認權限
如果無法記錄安全審核則立即關閉系統 啓用 禁用
帳戶登錄事件審核 成功和失敗 失敗
登錄事件審核 成功和失敗 失敗
由於 Outlook 2000 和 Outlook 2002 客戶端爲獲得信息，需要匿名與全局目錄服務器聯系，因此必須對匿名限制設置進行更改。利用《Microsoft Windows 2000 Server 安全操作》中定義的設置，Outlook 用戶無法發送內部郵件，而且必須使用外部地址。
注意：有關該問題的詳細信息，請參閱知識庫文章Q309622：“XADM: Clients Cannot Browse the Global Address List After You Apply the Q299687 Windows 2000 Security Hotfix”（XADM：在應用 Q299687 中介紹的 Windows 2000 安全熱修補程序後，客戶程序無法浏覽全球通訊簿）。
由於 Exchange 2000 生成的成功登錄事件數量巨大，所以還需要修改其他設置。如果爲登錄事件啓用成功審核，那麽安全日志將會很快被填滿。
注意：有關該問題的詳細信息，請參閱知識庫文章 Q316685：“Active Directory-Integrated Domain Name Is Not Displayed in DNS Snap-in with Event ID 4000 and 4013 Messages”（在包含事件 ID 4000 和 4013 消息的 DNS 管理單元中沒有顯示集成 Active Directory 的域名）。
支持 Exchange 2000 服務器角色的 Active Directory 結構
《Microsoft Windows 2000 Server 安全操作》推薦一個 OU 結構，您可以通過該結構輕松采用提供的安全模闆。該指南推薦的 OU 結構還很容易進行擴展，可以輕松包括此處定義的兩個新的服務器角色。由於 Exchange 2000 是一個應用程序，因此我們在應用服務器 OU 下創建一個 Exchange 服務器 OU，然後在 Exchange 服務器 OU 下爲這些服務器角色添加更多的 OU。
下圖顯示爲了包含兩個新的服務器角色，而推薦使用的 OU 結構：
圖1 包含添加的 Exchange 服務器和應用服務器 OU 的 OU 結構
導入安全模闆
下面說明的安全模闆包含在本指南附帶的 ExSecurityOps.exe 文件中。在導入安全模闆前，您需要對該文件進行解壓縮。如果您使用的是 Windows 2000 Service Pack 2，那麽還必須確保您應用了在以下知識庫文章中詳細說明的熱修補程序：
Q295444：SCE Cannot Alter a Service s SACL Entry in the Registry（SCE 不能修改服務在注冊表中的 SACL 項）。
Q272560：Race Condition May Lead to Loss of Group Policy Changes（競爭狀態可以導緻組策略更改丟失）
注意：您需要與 Microsoft 産品支持服務 (PSS) 聯系才能獲得上述知識庫文章論述的熱修補程序。有關如何與 PSS 聯系的詳細信息，可以訪問站點：http://support.microsoft.com。
警告：本指南中的安全模闆旨在提高您的環境安全。通過安裝本指南附帶的模闆，您很有可能會失去環境中的某些功能。這可能包括導緻任務關鍵的應用程序失敗。因此，一定要在將這些模闆部署到生産環境之前徹底進行測試，並針對您的環境相應地更改它們。在應用新的安全設置之前，請備份每個域控制器和服務器。確保備份中包括系統狀態，這是由於系統狀態中包括注冊表數據，而且在域控制器上系統狀態還包含 Active Directory 中的所有對象。
注意：《Microsoft Windows 2000 安全操作》中論述的域控制器基準策略和成員服務器基準策略僅用於設置 NTLMv2 的 LAN 管理器身份驗證級別。如果要保證 Outlook 客戶端與 Exchange 服務器和域控制器成功通信，還必須對它們進行配置以便它們僅使用 NTLMv2。
通過執行以下步驟，將本指南附帶的安全模闆導入到本章建議的 OU 結構中。
若要創建域控制器組策略對象並導入安全模闆，請執行以下步驟：
在“Active Directory 用戶和計算機”中，右鍵單擊“域控制器”，然後單擊“屬性”。
在“組策略”選項卡上，單擊“新建”以添加新的組策略對象。
鍵入“Exchange DC Policy”，然後按 Enter 鍵。
單擊向上按鈕，直到“Exchange DC Policy”顯示在列表頂部。
單擊“編輯”。
展開“Windows 設置”，右鍵單擊“安全設置”，然後選擇“導入策略”。
注意：如果“導入策略”未出現在菜單上，請關閉“組策略”窗口，然後重複第 4 步和第 5 步。
在“策略導入來源”對話框中，浏覽“C: SecurityOps Templates”，然後雙擊 Exchange DC Incremental.inf。
關閉“組策略”，然後單擊“確定”。
強制在域控制器之間進行複制，以便所有的域控制器都具有策略。
在“事件日志”中驗證策略是否已成功下載，並驗證服務器能否與域中的其他域控制器成功進行通訊。
一次重新啓動一個域控制器以確保它能夠成功地重新啓動。
若要創建 Exchange 服務器組策略對象並導入安全模闆，請執行以下步驟：
在“Active Directory 用戶和計算機”中，依次展開“成員服務器”、“應用服務器”和“Exchange 服務器”，右鍵單擊“OWA 前端服務器”，然後選擇“屬性”。
在“組策略”選項卡上，單擊“新建”以添加新的組策略對象。
鍵入“OWA Policy”，然後按 Enter 鍵。
單擊“編輯”。
展開“Windows 設置”，右鍵單擊“安全設置”，然後選擇“導入策略”。
注意：如果“導入策略”未出現在菜單上，請關閉“組策略”窗口，然後重複第 4 步和第 5 步。
在“策略導入來源”對話框中，浏覽“C: SecurityOps Templates”，然後雙擊 OWA Front-end Incremental.inf。
關閉“組策略”，然後單擊“確定”。
對於“後端服務器 OU”，用 Exchange Back-end Incremental.inf 重複第 1 步到第 7 步。
強制在域控制器之間進行複制，以便所有的域控制器都具有策略。
將每個角色的服務器移到適當的 OU 中。
在服務器上，利用 secedit /refreshpolicy machine_policy /enforce 命令下載該策略。
在“事件日志”中驗證策略是否已成功下載，並驗證服務器能否與域控制器和域中的其他服務器進行通訊。在該 OU 中成功測試一個服務器之後，將其餘服務器移到該 OU 中，然後應用安全性。
注意：有關驗證組策略是否下載成功的詳細信息，請參見附錄A：《Microsoft Windows 2000 Server 安全操作》的“第 3 章：運用 Windows 2000 組策略管理安全”。
重新啓動每個服務器以確保它們能成功地重新啓動。
Exchange 服務器策略
在 Windows 2000 中可以定義大量的安全設置，包括審核、安全選項、注冊表設置、文件權限和服務。我們在《Microsoft Windows 2000 Server 安全操作》中推薦了許多設置，並且這些設置在 Exchange 2000 中不需要進行更改就可使用。雖然我們進行一些文件權限更改，但是應用附加設置的主要方面是服務。
由於 Exchange 服務器駐留在成員服務器 OU 下的 OU 中，因此這些服務器繼承在成員服務器基準策略中定義的設置。Exchange 策略以兩種方式修改設置。首先，基本 Windows 2000 功能不需要的一些服務是 Exchange 2000 成功操作所必需的。其次，雖然 Exchange 2000 引入許多附加服務，但是 Exchange 服務器執行它們特定的角色並不需要所有的服務。
注意：雖然在 Exchange 增量策略中沒有明確提到，但必須注意到的是 Windows 2000 成員服務器基準策略禁用網絡新聞傳輸協議 (NNTP)。該服務是安裝 Exchange 所需要的，但 Exchange 操作並不需要它，除非您需要新聞組功能。
Exchange 後端服務器策略
Exchange 後端服務器策略定義兩個方面的設置 - 服務和文件訪問控制列表。
Exchange 後端服務器服務策略
下表說明了在 Exchange 2000 後端策略中指定的服務：
服務名稱 啓動模式 理由
Microsoft Exchange IMAP4 禁用 服務器沒有配置 IMAP4
Microsoft Exchange 信息存儲 自動 訪問郵箱和公用文件夾存儲所需要
Microsoft Exchange POP3 禁用 服務器沒有配置 POP3
Microsoft 搜索 禁用 核心功能不需要
Microsoft Exchange 事件服務 禁用 僅向後兼容性需要
Microsoft Exchange 站點複制服務 禁用 僅向後兼容性需要
Microsoft Exchange 管理 自動 運行郵件跟蹤所需要
Windows 管理規範 自動 Microsoft Exchange 管理需要
Microsoft Exchange MTA 堆棧 禁用 僅向後兼容性需要或者在有 X.400 連接器時需要
Microsoft Exchange 系統助理 自動 Exchange 維護和其他任務需要
Microsoft Exchange 路由引擎 自動 協調 Exchange 服務器之間的郵件傳輸需要
IPSEC 策略代理 自動 實施服務器的 IPSec 策略需要
RPC 定位器 自動 與域控制器和客戶端通信需要
IIS 管理服務 自動 Exchange 路由引擎需要
NTLM 安全支持提供程序 自動 系統助理依賴該服務
SMTP 自動 Exchange 傳輸需要
萬維網發布服務 自動 與 OWA 前端服務器通信需要
注意：Exchange 系統助理依靠以下服務來啓動和運行系統：
事件日志
NTLM 安全支持提供程序
RPC
RPC 定位器
服務器
工作站
禁用的關鍵服務
出於本指南的需要，我們禁用了不屬於 Exchange 2000 核心功能基本要求的所有服務。在某些情況下，您需要重新啓用服務，以便爲您提供環境需要的功能。以下是被後端服務器增量策略禁用的關鍵服務的說明。
事件服務
Exchange 服務器事件服務最先在 Exchange Server 5.5 中推出，它支持公用文件夾或個人郵箱中的文件夾事件觸發的服務器端腳本。Exchange 2000 提供的 Exchange 事件服務向後兼容 Exchange 5.5 事件腳本。專門爲 Exchange 2000 編寫的新應用程序應該使用本機的 Web 存儲系統事件而不是 Exchange 事件服務，這在 MSDN 提供的 Exchange 2000 軟件開發工具包中有說明。請參見“更多信息”一節以了解更多信息。
Microsoft 搜索
信息存儲過程創建和管理常用關鍵字字段的索引，以便快速查找和搜索保存在存儲區的文檔。Outlook 用戶使用索引能夠更容易地搜索文檔。利用全文索引，可以在客戶端搜索前創建索引，因此支持更快速的搜索。文本附件可以包含在全文索引中。
Microsoft 搜索服務提供索引服務。必須運行信息存儲服務和搜索服務才可以創建、更新或刪除索引。
Microsoft Exchange 站點複制服務
當 Exchange 2000 屬於已有的 Exchange 5.5 站點時，該服務負責將 Exchange 5.x 站點和配置信息複制到 Active Directory 的配置命名分區。
Microsoft Exchange MTA 堆棧
這是一個附加組件，用於連接 Exchange 2000 Server 與外部系統。郵件傳輸代理負責將郵件通過 X.400 和網關連接器傳送到外部環境。該服務在 Program Files Exchsrvr Mtadata 目錄中的信息存儲服務之外維護自己特定的郵件隊列。
Exchange 後端服務器文件訪問控制列表策略
Exchange 後端服務器策略用於修改幾個目錄中的訪問控制列表 (ACL)。下表說明已定義的設置。
目錄 舊 ACL 新 ACL 是否應用於子目錄？
%systremdrive% Inetpub mailroot 所有人：完全訪問 域管理員：完全訪問
本地系統：完全訪問 是
%systremdrive% Inetpub nntpfile 所有人：完全訪問 域管理員：完全訪問
本地系統：完全訪問 是
%systremdrive% Inetpub nntpfile root 所有人：完全訪問 所有人：完全訪問 是
注意：由於 NNTP 並不在服務器上運行，因此在 nntpfile 目錄及其子目錄中定義的設置並沒有嚴格要求。但是，我們之所以定義該設置是因爲它增加對文件系統的限制，並且準備在您以後決定啓用 NNTP 時投入使用。
OWA 前端服務器策略
OWA 前端服務器策略定義兩個方面的設置 - 服務和文件訪問控制列表。
OWA 前端服務器服務策略
由於該服務器的角色僅支持基於 Web 的電子郵件，因此可以禁用默認配置安裝的許多 Exchange 服務。下表說明在 OWA 前端服務器策略中配置的服務。
表 3.5：在 OWA 前端服務器策略中配置的服務 服務名稱 啓動模式 理由
Microsoft Exchange IMAP4 禁用 OWA 服務器沒有配置 IMAP4
Microsoft Exchange 信息存儲 禁用 由於沒有郵箱存儲或公用文件夾存儲因此不需要
Microsoft Exchange POP3 禁用 OWA 服務器沒有配置 POP3
Microsoft 搜索 禁用 沒有要搜索的存儲
Microsoft Exchange 事件 禁用 僅向後兼容性需要
Microsoft Exchange 站點複制服務 禁用 僅向後兼容性需要
Microsoft Exchange 管理 禁用 郵件跟蹤需要
Microsoft Exchange MTA 禁用 僅向後兼容性需要或者在有 X.400 連接器時需要
Microsoft Exchange 路由引擎 自動 提供 Exchange 路由功能
IPSEC 策略代理 自動 在 OWA 服務器上實施 IPSec 過濾需要
RPC 定位器 自動 與域控制器通信需要，並且系統助理啓動時需要
IIS 管理服務 自動 MSExchange 路由引擎需要
萬維網發布服務 自動 客戶端與 OWA 前端服務器通信需要
2.
在 OWA 前端服務器策略中禁用的關鍵服務
利用後端配置時，您需要重新啓用一些服務，爲您提供環境需要的功能。以下是對 OWA 前端服務器增量策略禁用的關鍵服務的說明。
Microsoft Exchange POP3 和 Microsoft Exchange IMAP4
在第 2 章中已經提到過，您應該確定是否在環境中需要 Exchange 的全部功能。在許多情況下，由於您沒有 POP3 或 IMAP4 客戶程序，所以您可以通過組策略確保禁用這些服務。在禁用前，您還應該確認沒有任何自定義程序運行在需要該功能的環境中。
系統助理
在前端服務器上，系統助理隻有在您希望更改服務器的配置時才需要。因此，我們在模闆中禁用系統助理。這意味著要對使用 OWA 前端服務器策略的服務器進行任何更改（包括使該服務器成爲 OWA 前端服務器），都首先需要臨時啓動系統助理和相關服務。
若要更改應用 OWA 前端服務器組策略的服務器配置，請執行以下操作：
啓動“服務”管理工具。
右鍵單擊“NTLM 安全支持提供程序”並選擇“屬性”。
在“啓動類型”下拉列表框中選擇“自動”。
單擊“應用”。
單擊“啓動”。
單擊“確定”。
在“系統助理”中重複第 2 步到第 6 步。
完成需要的任何配置更改。
啓動“服務”管理工具。
右鍵單擊“系統助理”並選擇“屬性”。
在“啓動類型”下拉列表框中選擇“禁用”。
單擊“應用”。
單擊“停止”。
單擊“確定”。
對“NTLM 安全支持提供程序”重複第 2 步到第 6 步。
信息存儲
由於沒有向該服務器發送過郵件，所以不需要信息存儲服務。由於沒有信息存儲服務，所以在所有 Exchange 2000 服務器上一般都可以找到的 M: 映射驅動器將被刪除。這是意料之中的，因爲 Exchange 可安裝文件系統沒有要映射的對象。
Microsoft Exchange 管理
該服務首先作爲 Exchange 2000 Server Service Pack 2 的組成部分推出。您可以利用它通過用戶界面指定在訪問目錄時 Exchange 2000 將使用哪一個域控制器或全局目錄服務器。郵件跟蹤也需要該服務。您可以禁用該服務，而不會影響 Exchange 的核心功能。但是，您可能需要使用郵件跟蹤作爲審核 Exchange 功能的一部分。在這種情況下，OWA 前端服務器用於訪問郵件而不是傳送郵件，所以您會發現在 OWA 前端服務器上並不需要運行 Microsoft Exchange 管理服務。
SMTP 服務
OWA 前端服務器僅用作 OWA 服務器，在這種情況下，它並不需要 SMTP。如果您將前端服務器配置爲網關或配置爲 IMAP4 或 POP3 的前端服務器，用以接收 SMTP 郵件，那麽您就需要啓用 SMTP 服務。如果該服務器還將用作 SMTP 網關，那麽還需要信息存儲和系統助理服務。
OWA 前端服務器文件訪問控制列表策略
該策略定義文件訪問控制列表的方法與後端服務器策略的定義方法完全相同。有關詳細信息，請參閱本章前面的“Exchange 後端服務器文件訪問控制列表策略”一節。
在安全性提高的環境中安裝和更新 Exchange
如果您已經采取了本章目前爲止說明的步驟，那麽將已有的 Exchange 服務器轉移到適當的 OU 中就會提高環境的安全水平。爲最大程度地提高安全性，新的服務器必須在安裝 Exchange 之前移到適當的 OU 中。不過，雖然環境將允許運行 Exchange 核心服務，但在默認情況下，它不允許安裝 Exchange，也不允許將 Exchange 升級爲將來的服務軟件包。若要在鎖定的服務器上安裝 Exchange 或 Exchange Service Pack（Exchange 服務軟件包），請執行以下步驟。
注意：在已經保護起來的服務器上安裝 Exchange 2000 時，您會收到“沒有找到數字簽名”的錯誤消息。這是服務器安全性得到提高的結果，您可以繞過去。
若要在鎖定的服務器上安裝 Exchange 或 Exchange Service Pack，請執行以下步驟：
啓動“服務”管理工具。
右鍵單擊“分布式事務處理協調器”並選擇“屬性”。
在“啓動類型”下拉列表框中選擇“自動”。
單擊“應用”。
單擊“啓動”。
單擊“確定”。
對“網絡新聞傳輸協議 (NNTP)”和“Windows 安裝程序”重複第 2 步到第 6 步。
注意：如果您在 OWA 前端 OU 中的服務器上執行這些步驟，則需要對“Windows 管理規範”重複第 2 步到第 6 步。
安裝 Exchange 2000 或最新的 Exchange 2000 Service Pack。
注意：安裝 Exchange 2000 時，在安裝結束前會出現一個對話框，指明由於Microsoft 搜索服務沒有啓動因此出現了一個非緻命的安裝錯誤。這是在安裝已保護的服務器時必然出現的情況，可以放心地將其忽略。
啓動“服務”管理工具。
右鍵單擊“分布式事務處理協調器”並選擇“屬性”。
在“啓動類型”下拉列表框中選擇“禁用”。
單擊“應用”。
單擊“停止”。
單擊“確定”。
對“網絡新聞傳輸協議 (NNTP)”和“Windows 安裝程序”重複第 2 步到第 6 步。
注意：如果您在 OWA 前端 OU 中的服務器上執行這些步驟，則需要對“Windows 管理規範”重複第 9 步到第 14 步。
注意：OWA 前端服務器和 Exchange 後端服務器的增量策略都啓用 NTLMv2。這允許 Exchange 服務器與受保護的域控制器進行通信。如果您在安裝 Exchange 前沒有把服務器放置在適當的 OU 中，那麽服務器將無法與域控制器聯系。
其他安全方法
除組策略模闆提供增強的安全性外，在 Exchange 2000 服務器上還可以實施其他的安全措施。本節講述這些方法措施。
IIS 鎖定工具
在 Exchange 2000 服務器上應用安全模闆後，您還需要在 IIS，尤其是在 OWA 前端服務器上應用其他的安全控制。若要自動執行對 IIS 的許多更改，可以使用 IIS 鎖定工具。IIS 鎖定工具指定加強 IIS 所需要的設置，但它仍然允許將 Exchange 2000 作爲後端服務器或 OWA 前端服務器運行。
注意：IIS 鎖定工具可以從以下站點獲得：http://www.microsoft.com/technet/security/tools/tools/locktool.asp
IIS 鎖定工具有兩種模式：適合大多數基本 Web 服務器的快速模式和管理員可以用來挑選服務器支持的技術的高級模式。該工具提供了撤銷操作功能，從而使最近執行的鎖定操作所起的作用能夠被撤銷。
IIS 鎖定工具還應用 URLScan 來篩選向 IIS 服務器傳入的所有請求，並且隻允許那些符合特定規則集的請求通過。這極大地提高了服務器的安全性，有助於確保服務器隻響應有效請求。您可以使用 URLScan 並根據長度、字符集、內容以及其他因素來過濾請求。您還可以自定義所提供的默認規則集，以便滿足特定服務器的需要。
若要鎖定 Exchange 2000 OWA 前端服務器，請執行以下步驟：
在服務器上安裝並啓動 IISLockd.exe。
單擊“下一步”。
閱讀許可協議，選擇“我同意”然後單擊“下一步”。
依次選擇服務器模闆“Exchange 2000 (OWA, PF Management, IM, SMTP, NNTP)”和“查看模闆”複選框，然後單擊“下一步”。
在“Internet 服務”對話框中，顯示四項服務（Web 服務 (HTTP)、FTP、SMTP 和 NNTP）。如果某項服務的複選框呈灰色，那麽表明該項服務沒有安裝或者已經被禁用。確保隻啓用“Web 服務”，然後單擊“下一步”以繼續進行。
注意：如果在通過組策略對象應用 OWA 前端安全模闆後執行 IIS 鎖定工具，那麽 Web 服務 (HTTP) 應是唯一顯示啓用的服務，而其他服務都被禁用。
您可以使用“腳本映射”對話框來禁用對特定 ISAPI 應用程序的支持，方法是刪除它們的關聯腳本映射。下表說明在 Exchange 2000 模闆內應用的默認設置。隻有 Active Server Pages 將被啓用。所有其他的腳本映射都被禁用。單擊“下一步”。
表 3.6：Exchange 2000 模闆中用於 IIS 鎖定的默認腳本映射設置
類型 項目 狀態
Active Server Pages .asp 啓用
索引服務器 Web 接口 .htw、ide、idq 禁用
服務器端包括 .stm、.shtm 和 .shtml 禁用
Internet 數據連接器 .idc 禁用
HTR 腳本撰寫 .htr 禁用
Internet 打印 .printer 禁用
注意：如果您禁用對 .htr 腳本映射的支持，那麽 OWA 更改密碼功能將不起作用。默認情況下，IIS 鎖定工具禁用該 OWA 功能。
您可以使用“附加安全性”對話框中的選項來刪除默認的 IIS 安裝創建的默認虛擬目錄，然後在指定目錄和所有 system32 可執行文件上應用文件訪問控制列表。單擊“下一步”以繼續進行。 下表顯示將要刪除的虛擬目錄。
表 3.7：IIS 鎖定工具刪除的虛擬目錄
名稱 虛擬目錄 默認位置
IIS 示例 IISSamples c: inetpub iissamples
IISHelp IISHelp c: winnt help iishelp
MSADC MSADC c: program files common files system msadc
腳本 Scripts c: inetpub scripts
IISAdmin IISAdmin c: winnt system32 inetsrv iisadmin
爲限制對文件系統的訪問，IIS 鎖定工具將在 OWA 服務器上新建兩個本地組，名稱分別爲“Web 匿名用戶”和“Web 應用程序”。它將在適當的組中放置匿名用戶或匿名應用程序的帳戶。一般情況下，IUSR_ 將放置在 Web 匿名用戶組，而 IWAM_ 放在 Web 應用程序組。IIS 鎖定工具然後將設置權限，拒絕這些組對以下特定目錄的寫訪問：
C: inetpub wwwroot
C: Program Files Exchsrvr ExchWeb
並且還拒絕執行對 c: winnt system32 文件夾中的所有系統實用程序（比如，cmd.exe）的訪問。注意，基準模闆的組策略將對系統目錄中的可執行文件應用特定的訪問控制條目，這些訪問控制條目隻允許具有管理員完全控制權限的用戶訪問文件，並且不允許定義其他的用戶或組。這些設置在重新應用組策略時將替代 IIS 鎖定設置。
現在提示您安裝 URLScan。默認情況下，它已經被選中要進行安裝。單擊“下一步”。
審查要執行的任務，然後單擊“下一步”。
由於安全性提高的原因，會出現“安裝未知軟件程序包”對話框，單擊“是”。
IIS 鎖定工具將生成一個詳細記錄所做更改的報表，並報告是否有錯誤。您將在報表中看到錯誤，IIS 鎖定工具將 ACL 寫入某些 NTFS 目錄失敗。這些目錄是已經作爲 OWA 服務器配置組成部分而被刪除的郵箱和公用文件夾。單擊“下一步”。
單擊“完成”。
注意：若要在 Exchange 2000 後端服務器上運行 IIS 鎖定工具，請重複上述步驟並在第 5 步中確保啓用 HTTP 和 SMTP。
修改 OWA 前端服務器的 IIS 鎖定和 URLScan 設置
您需要爲環境修改默認的 IIS 鎖定和 URLScan 設置。URLScan 設置保存在位於 System32 Inetsrv Urlscan 目錄下的 URLScan.ini 文件中。如果您遇到有關 OWA 的任何問題並且 UrlScan 已經啓用，請檢查 System32 Inetsrv Urlscan 中的 Urlscan.log 文件，查看被拒絕請求的列表。
注意：有關 IIS 鎖定和 URLScan 疑難解答和配置的信息，請參閱知識庫文章 Q309677：“XADM: Known Issues and Fine Tuning When You Use the IIS Lockdown Wizard in an Exchange 2000 Environment”（XADM：在 Exchange 2000 環境中使用 IIS 鎖定向導時的已知問題和調整方法）。
更改 OWA 中的密碼支持
默認情況下，IIS 鎖定工具禁用 .htr 文件。當禁用該文件類型時，OWA 更改密碼功能將不起作用。如果禁用 .htr 文件，那麽您還應當隱藏 OWA 中的“更改密碼”按鈕，避免給用戶帶來混亂，從而避免用戶爲此打電話尋求幫助。
注意：有關禁用 OWA 中的“更改密碼”按鈕的信息，請參閱知識庫文章 Q297121：“XWEB: How to Hide the Change Password Button on the Outlook Web Access Options Page”（XWEB：如何隱藏 Outlook Web Access 選項頁上的“更改密碼”按鈕）。
阻擋電子郵件
URLScan.ini 文件的 [DenyUrlSequences] 部分列出了明確阻止的字符，這可能會影響對 OWA 的訪問。包含以下任何一個字符序列的電子郵件主題或郵件文件夾名稱都將被阻止：
? ..
? ./
?
? %
?
注意：URLScan.ini 文件中的“..”將阻止主題行以句點字符結尾的電子郵件。
取消安裝郵箱存儲並刪除公用文件夾存儲
由於OWA 前端服務器的作用是把請求轉發給後端服務器，所以在 OWA 前端服務器上並不需要安裝 Exchange Server 郵箱或公用文件夾。Exchange 後端服務器將對它們進行管理。因此您可以取消安裝和刪除這些存儲。
若要取消安裝並刪除郵箱和公用文件夾數據庫，請執行以下操作：
啓動“服務”管理工具。
右鍵單擊“NTLM 安全支持提供程序”並選擇“屬性”。
在“啓動類型”下拉列表框中選擇“自動”。
單擊“應用”。
單擊“啓動”。
單擊“確定”。
在“系統助理”中重複第 2 步到第 6 步。
在 OWA 前端服務器上啓動“Exchange 系統管理器”。
依次展開“服務器”、“OWA 前端服務器”和“First Storage Group”（第一個存儲組）。
如果已經安裝了郵箱，則右鍵單擊“郵箱存儲”，選擇“Dismount Store”（卸除存儲），然後單擊“是”以卸除郵箱存儲。
右鍵單擊“郵箱存儲”並選擇“屬性”。
選擇“數據庫”選項卡，單擊“Do not mount this store at start-up”（不要在啓動時安裝此存儲）複選框，然後單擊“確定”。
如果已經安裝了公用文件夾，則右鍵單擊“公用文件夾存儲”，選擇“卸除存儲”，然後單擊“是”以卸除公用文件夾存儲。
右鍵單擊“公用文件夾存儲”並選擇“刪除”。
依次單擊“是”和“確定”，選擇一個後端服務器，然後單擊“確定”。
單擊“是”以刪除公用文件夾存儲，然後單擊“確定”關閉消息。
重新啓動 OWA 服務器。
注意：您不需要重新禁用 NTLM 安全支持提供程序和系統助理，因爲在服務器重新啓動時就自動恢複禁用了。
注意：如果要在前端服務器上運行 SMTP，則需要安裝專用存儲區。
注意：一旦卸除郵箱存儲和公用文件夾存儲，則在所有 Exchange 2000 服務器上一般都可以看到的 M: 映射驅動器將被刪除。這是意料之中的，因爲 Exchange 可安裝文件系統沒有要映射的對象。
您需要注意系統日志中的事件錯誤（事件 ID 101），該錯誤指明特定虛擬目錄的路徑無效。這些虛擬目錄（即“public、Exchange 和 Exadmin”）將在 Internet 服務管理器的控制台上顯示“停止”狀態。在 IIS 服務器上安裝 Exchange Server 並重新啓動服務器後將會生成這些錯誤。在重新啓動後，IIS (W3SVC) 服務將在 Exchange 信息存儲服務啓動前啓動。信息存儲服務負責創建將分配這三個虛擬目錄的映射虛擬驅動器 (M:)，由於在 IIS 啓動時該映射驅動器尚未創建，因此 IIS 將生成錯誤消息。由於在通過組策略應用安全性時禁用信息存儲服務，因此將永遠不會安裝映射虛擬驅動器，因此這些錯誤會繼續在事件日志中出現。但是，它們完全沒有危害。
注意：有關事件日志 ID 101 的詳細信息，請參閱知識庫文章 Q259373：“XADM: W3SVC Logs Event ID 101 in the System Event Log”（XADM：系統事件日志中的 W3SVC Logs Event ID 101）。
更改 SMTP 標題
您暴露給攻擊者的信息越少，那麽您的系統就越不容易遭到攻擊。攻擊者試圖獲得有關正在運行的 Exchange 版本信息的一個方法是使用 Telnet 來連接 SMTP 服務。在默認情況下，當您連接 Exchange 服務器上的 SMTP 服務時，將顯示以下標題：
220 hostname . domain .com Microsoft ESMTP MAIL Service, Version: 5.0.2195.1600 ready at current date and time。
您應該考慮在所有的 Exchange 後端服務器上都更改該標題，以便標題不顯示具體的版本信息。您最好添加一條禁止未經授權擅自使用 SMTP 服務的法律聲明。
若要修改 Windows 2000 SMTP 標題，請執行以下步驟：
使用元數據庫編輯工具（比如 MetaEdit），查找：
Lm Smtpsvc virtual server number。
依次單擊“編輯”、“新建”和“字符串”。
驗證 ID 框中的項目是“其他”，然後在 ID 框的右邊鍵入“36907 (decimal)”。
在“數據”框中，輸入您要顯示的標題。
完成後重新啓動 SMTP 虛擬服務器或 SMTP 服務。
若要確認標題已經更改，可使用 Telnet 連接虛擬服務器的端口 25（默認設置）。“ESMTP MAIL Service, Version: 5.0.2195.1600”標題將不再顯示。但是還會顯示完全限定域名（因爲它已經輸入 SMTP 服務屬性中）以及日期和時間。
Exchange 域服務器的組鎖定
作爲默認安裝的一部分，需要爲目錄林中的每個域創建 Exchange 域服務器組。該組包含特定域中的每個 Exchange 服務器的計算機帳戶。在默認情況下，Exchange 域服務器組被授予訪問林中所有 Exchange 公用文件夾和郵箱存儲的權限。您可以通過運行 EDSLock 腳本限制隻有托管存儲的本地服務器才可以訪問郵箱存儲。
注意：有關 EDSLock 腳本的詳細信息，請參閱知識庫文章 Q313807：“XADM: Enhancing the Security of Exchange 2000 for the Exchange Domain Servers Group”（XADM：爲 Exchange 域服務器組增強 Exchange 2000 的安全性）。
Exchange 群集因素
在群集中使用 Exchange 2000 不在本指南的討論範圍內。然而，很顯然，您需要對這裏說明的安全設置做某些更改，才能在群集環境中使用 Exchange 2000。這些更改包括：
由於 Windows 2000 群集不支持 NTLMv2，因此在群集服務器和域控制器上啓用 NTLM，請參閱知識庫文章 Q272129：“Cluster Service Does Not Start on Joining Node in Windows 2000”（群集服務無法在 Windows 2000 中的“連接”節點上啓動）。
在 Exchange 後端服務器的安全模闆中修改 NTLM 安全支持提供程序 (NTLMSSP) 的設置。NTLMSSP 必須設置爲 0：
MACHINE System CurrentControlSet Control LSA MSV1_0 NtlmMinServerSec =4,0
在 Exchange 後端服務器的安全模闆中啓用群集服務。
由於群集不支持 IPSec，所以不要在 OWA 前端/後端通信中應用 IPSec，請參閱知識庫文章 Q306677：“IPSec Is Not Designed for Failover”（IPSec 不可用於故障轉移）。
總結
提高 Exchange 服務器的安全性是企業安全保護的重要組成部分。如果您遵循本章和前一章的建議，並著手加強 Windows 2000 環境的安全保護，那麽就會極大地減少您的 Exchange 環境被攻擊的風險。