強化Exchange安全設定與應用 精誠恆逸資訊 講師 趙驚人.

Slides:



Advertisements
Similar presentations
深度解析 --- 云安全 申鹤 产品技术顾问 电话: (010) 手机:
Advertisements

1 Chapter 6 網際網路安全協定 Internet Security Protocols.
3.0 企業雲端應用 用 聽見消費者的聲音.
6.1 区域委派与域名转发 6.2 虚拟主机技术 6.3 架设FTP服务器 6.4 动态主机分配协议 6.5 架设Mail服务器
校園資訊安全與防火牆架設 嘉義市育人國小 黃士騰.
动态网站开发 【HTTP与网络基础】 李博杰
南亞技術學院行政人員資訊安全訓練教材 資訊安全基本認知
第13章:电子邮件系统 TCP/IP互联网上的电子邮件传输过程; 电子邮件的地址表示; 电子邮件传输协议SMTP和POP3;
计算机网络应用 崇信电大工作站 高进喜
3.0 企業雲端應用 用 聽見消費者的聲音.
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
第3章 网上邮政—— 3.1 基本概念 Internet上最古老、最基本、最重要的服务。
企业邮件私有云 各位尊敬的领导与来宾,大家下午好,很荣幸能有这样一次机会向各位展示我们公司的产品与服务
计算机网络(第 6 版) 第 6 章 应用层 青岛理工大学通信与电子工程学院.
吴峻 软件设计工程师组长 Exchange Server 微软有限公司
第三章 網際網路和全球資訊網 : 電子商務基礎建設
第8章 电子邮件 电子邮件的基础知识 电子邮件账号的设置 电子邮件的收与发 复杂电子邮件的处理 通讯簿 电子贺卡 免费邮箱
BOTNET Detection and Prevention
UBLink集團 裕笠科技股份有限公司 遠豐科技股份有限公司 鉅創科技股份有限公司
精誠公司 恆逸資訊教育訓練中心 資深講師 唐任威 MCT/MCSE:Security/CISSP/SSCP
企業如何建置安全的作業系統 Windows XP 網路安全
Module 10-2:網路銀行應用範例.
伺服器網路檢測與管理 資訊中心網路管理組 王裕仁 2006/06/29.
大專院校校園e 化 PKI、智慧卡應用與整合.
计算机系统安全 第10章 常用攻击手段.
研究生入学教育 网络中心
Microsoft Application Center Test
第07章 Web服务器的组建与 安全管理 本章将重点讲解如何通过IIS、Apache架设、设置Web服务器。
第7章 计算机网络基础.
Lab312.
第 19 章 遠端管理.
12.2 使用Outlook Express收发电子邮件
利用 ISA Server 2004 建置應用層防護機制
計中「多媒體與網路應用」短期訓練課程 FTP server 架設 (in Windows)
Mail Spam 學號:m 姓名:邱清鴻.
計資中心教學研究組唐瑤瑤 電腦與網路 計資中心教學研究組唐瑤瑤
郵件伺服器 MS 系列.
Windows 2003 Server IIS網站的架設
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
(C) Active Network CO., Ltd
第 16 章 Internet架構.
6.2.
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
DNS y2k/security 相關問題 剖析及對策
电子邮件系统基本协议介绍 北京春笛信息技术有限公司.
TCP/IP Protocol Suite TCP/IP協定 第二組 投影片製作by簡嘉宏 綦凱宏 林睿敏 滕孟哲.
第 15 章 網路安全.
第8章 網路實例應用.
班級:四子二甲 姓名:孫培修 學號: 指導教授:謝欽旭老師
《电子商务概论》高等教育出版社 2003版 市场营销系
網路概論 第11章 SMTP、POP3與IMAP通訊協定.
《计算机网络 --基于因特网的信息服务平台》 (第2版)
本章要点: 计算机网络的基本概念 Internet基础 Internet服务
Westmont College 互联网应用软件 第二讲 (DNS, , TELNET, FTP)
顧武雄 Jovi Ku Microsoft特約資深講師
第二章 防火墙基础技术.
7.7 Internet的基本服务功能 随着Internet的飞速发展,目前Internet上的各种服务已多达上万种,其中大多数服务是免费的。随着Internet商业化的发展趋势,它所能提供的服务将会进一步增多。 7.7.1 WWW服务 WWW(World Wide Web)的中文名为万维网,它的出现是Internet发展中的一个里程碑。WWW服务是Internet上最方便与最受用户欢迎的信息服务类型,它的影响力已远远超出了专业技术范畴,并已进入电子商务、远程教育、远程医疗与信息服务等领域。
網路應用 電子郵件系統 & 廣告信件攔截系統.
第4章 TCP/IP应用层常用协议 4.1 Telnet 协 议 4.2 文件传输协议FTP 4.3 电子邮件的工作原理及其协议
第八章 电子邮件安全.
Network Application Programming(3rd Edition)
Wireshark DNS&HTTP封包分析
個人電腦與網路 1.個人電腦IP設定 自動取得IP與固定IP IP登錄系統與IP自動分配系統 固定IP申請 IP衝突處理
橫跨電腦、手機與軟體的全方位端點管控解決方案
電子郵件 Chapter 認識電子郵件 10-2 認識 Windows Mail 10-3 郵件的傳送與接收 10-4 回信
第10讲 Web服务.
Internet课程设计 教师:陈 妍 朱海萍 西安交通大学计算机系
第1章 WWW和LAMP基本觀念.
第7章 Internet的应用.
進階應用層防火牆實務 謝長明 技術總監 長成資訊顧問股份有限公司.
Presentation transcript:

強化Exchange安全設定與應用 精誠恆逸資訊 講師 趙驚人

大綱 Exchange 2003的安全性管理設定 Exchange 2003如何拒絕垃圾郵件 Exchange Server的防毒程式介面

Exchange 2003的安全性管理設定

企業憑證伺服器的部署(一) 憑證伺服器的用途 網頁伺服器憑證、使用者憑證… 數位簽章和加密 以下服務必須有憑證 RPC over HTTP OWA +SSL OMA +SSL Exchange Server ActiveSync +SSL

企業憑證伺服器的部署(二) 建立企業根憑證伺服器的步驟 安裝網際網路服務(IIS) 安裝Certificate Services 憑證服務網頁註冊支援 在憑證授權單位管理程式中加入『Exchange使用者憑證範本』 憑證處理要求 企業憑證伺服器允許自動發行憑證 人工審核憑證請求

如何安裝與設定企業的 『根憑證伺服器』

SMTP伺服器的安全管制 轉送限制 存取控制的驗證 安全通訊 提交權限 轉送權限 匿名存取 基本驗證 整合式基本驗證 申請SMTP伺服器憑證 安全通道

SMTP 閘道之安全規劃實例(一) SMTP 閘道伺服器已設定為『允許所有通過驗證的電腦轉送』,但仍然發現許多轉送的現象 解決方案 被字典攻擊法、暴力破解法、等破解帳戶和密碼 解決方案 供收外面郵件的SMTP 只使用匿名存取,避免駭客破解帳號、密碼 僅可提交,完全禁止轉寄 僅供員工使用的SMTP 使用整合式基本驗證 (內部) 基本驗證加TLS (外部) 帳戶、密碼應符合複雜性需求 絕對不可帳戶和密碼相同或者無密碼

SMTP 閘道之安全規劃實例(二) 若一台電腦欲規劃為一內一外的SMTP閘道,且一片網卡Bind兩個以上IP或兩片網卡,則應Disable SMTP Socket Pooling IIS 6.0 Resource Kit Tools Metabas Explorer IIS 5.0 或IIS 4.0 http://download.microsoft.com/download/iis50/Utility/5.0/NT45/EN-US/MtaEdt22.exe

SMTP閘道的安全性

POP3/IMAP4的安全性設定 存取控制 安全通訊 數位簽章與加密 連線控制 基本驗證 簡單驗證及安全性階層 POP3 SSL 使用TCP 995 port IMAP4 SSL使用TCP 993 port 數位簽章與加密 Exchange 2003的POP3伺服器必須安裝憑證 Exchange 2003的IMAP4伺服器必須安裝憑證 用戶端必須安裝憑證 連線控制

POP3/IMAP4的安全性

OWA的安全性設定(一) 通訊傳輸層加密 表單型驗證機制 https://<FQDN>/exchange 要求128 bits加密 表單型驗證機制 Cookie 驗證逾時 『公用或公共電腦 』:預設的Timeout值是15 分鐘 『私人電腦 』:預設的Timeout值是24小時 ESM系統管理群組預設系統管理群組伺服器通訊協定HTTPExchange虛擬伺服器內容啟用表單型驗證

OWA的安全性設定(二) 數位簽章與加密 限制附件檔下載 身份識別與資料傳送加密 安裝個人數位憑證 安裝OWA的S/MIME 控制元件 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA 數值:DisableAttachments 數值內容為DWORD:0 所有附件檔均允許 數值內容為DWORD:1 所有附件檔均不允許 數值內容為DWORD:2 則直接連接Back-End時,允許存取附件檔

OWA的安全性 OWA+SSL加密

OWA的安全性 表單式登入驗證

OWA的安全性 數位簽章與加密

OWA的安全性設定(三) 下載OWAadmin OWA Admin工具可設定所有OWA相關的安全性 管理者一定要使用SSL進行連線 https://伺服器的FQDN/OWAadmin

MAPI用戶端的安全性設定 RPC over HTTP 快取模式 數位簽章與加密

RPC over HTTP 後端伺服器 ROH 前端及 RPC 代理伺服器 GC/DC TCP:593,6001-6002,6004 ISA Server 後端伺服器 ROH 前端及 RPC 代理伺服器 TCP:593,6004 TCP:443 伺服器 埠號 (服務) 後端伺服器 593 (end point mapper) 6001 (Store) 6002 (DS referral) 6004 (DS proxy) DC 593 and 6004 GC GC/DC

GC或DC的設定 必須是Windows Server 2003 通用類別目錄伺服器(GC)及網域控制站(DC) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters 數值名稱:NSPI interface protocol sequences 數值資料:ncacn_http:6004 重新開機 

ROH代理伺服器的部署(一) 只要作業平台是Windows 2003,就能擔任Exchange Server 2003的『RPC over HTTP』的RPC代理伺服器 必須安裝『RPC OVER HTTP元件』 申請及安裝網頁伺服器憑證 RPC代理伺服器存取驗證的方法 基本驗證(使用純文字傳送密碼)』

ROH代理伺服器的部署(二) HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\RpcProxy 數值名稱:ValidPorts 數值資料: Exchange Server的電腦名稱:593;Exchange Server電腦名稱:6001-6002;Exchange Server電腦名稱:6004;GC電腦名稱:593;GC電腦名稱:6004;DC電腦名稱:593;DC電腦名稱:6004; Exchange Server的FQDN:593;Exchange Server的FQDN:6001-6002;Exchange Server的FQDN:6004;GC的FQDN:593;GC的FQDN:6004;DC的FQDN:593;DC的FQDN:6004

ROH Server端的設定 ROH元件安裝

ROH Server端的設定 GC、DC設定

ROH Server端的設定 ROH憑證申請

ROH Server端的設定 ROH機碼設定

ROH Server端的設定 ROH安全設定

ROH的用戶端的部署(一) 必須為Outlook 2003 必須為 設定Outlook 2003的『郵件設定檔』 Windows XP SP1以上版本+Q331320 Windows XP SP2 Windows Server 2003 設定Outlook 2003的『郵件設定檔』 在其他設定中連線透過網際網路連線Exchange選取『使用HTTP連線到我的Exchange信箱』 連線設定 使用這個URL連線到我的Exchange Proxy伺服器輸入RPC 代理伺服器的FQDN 驗證設定為『基本驗證』 預設上被系統強制使用SSL的連結(HTTPS)

ROH的用戶端的部署(二) 必須申請及安裝『使用者憑證』!!!!!!!!!!!!! 可用於『數位簽章』『加密』 『ROH』 申請及安裝『使用者憑證』的步驟 https://<憑證伺服器的FQDN>/CertSrv 憑證範本— 使用者 安裝這個憑證

ROH用戶端的設定 使用者憑證的申請與安裝

ROH用戶端的設定 Outlook 2003的設定程序

Outlook 2003的數位簽章及加密

OMA的安全性設定 伺服器端 手機 PPC 安裝憑證 要求SSL 128Bits加密 PIN密碼 支援WAP 2.0 https://<FQDN>/oma PPC 可以直接使用web的方式安裝憑證 支援HTML

Exchange ActiveSync的安全性 SSL PPC在執行Exchange Activesync SSL傳送時,會自動檢查是否有憑證,若沒有則將使連線失敗 DisableCertChk.exe 可以使系統忽略此檢查http://download.microsoft.com/download/b/7/2/b72862f9-946e-489b-b8ea-1234a6eb597c/DisableCertChk.EXE 若是PPC 2002 則必須使用AddRootCert.exe http://download.microsoft.com/download/2/d/7/2d7b95ca-6329-45a2-a248-bff51bd7650b/AddRootCert.EXE 若是Windows Mobile 2003的系統,則使用標準的申請方式 https://or http://<公司的CA FQDN>/CertSrv PIN

OMA連線

通訊群組寄件者的限制 可限制僅來自驗證的使用者 可限制僅相自某些指定的寄件者 限制郵件大小

通訊群組寄件者的限制

阻絕拒絕服務攻擊 限制SMTP Gateway的輸入連接數 限制每次連線的郵件數目 限制每封郵件的收件者數目

如何防止郵件炸彈 SMTP 虛擬伺服器 SMTP 連結器 通用設定 使用者 將郵件大小限制為(KB): 允許的大小 此設定僅針對出去此SMTP的郵件之限制 通用設定 傳送的郵件大小 接收的郵件大小 收件者限制 使用者 此設定將覆寫通用設定

阻絕網址假冒 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ MsExchangeTransport/Parameters/1 Value name:ResolveP2 Data type:REG_DWORD Demo 欄位 值 (十進位) from: (寄件者) 2 To: 和 CC: (收件者和複本收件者) 16 REPLY TO: 32 Demo

MIME 的限制 名稱 限制大小 描述 Nesting Levels 30 每一封信的MIME part之巢狀數 Body parts 250 Maximum number of body parts in any given message. Message ID header Size 1877bytes Message-ID header的最大值 Subject header size 2000 bytes 信件標頭的主旨大小限制 MIME header size 2000bytes Content-Type、Content-Description、Content-Disposition、Content-Transfer-Encoding、Content-ID、Content-Base、Content-Location

如何防止阻絕式攻擊

Exchange 2003如何拒絕垃圾郵件

何謂SPAM? 不請自來的電子郵件 不請自來的商業郵件 大量的廣告色情郵件 新聞群組的重複張貼 標題與內容均相同

SPAM對企業日常運作所造成的影響力 影響公司網路的頻寬與效能 降低使用電子郵件的滿意度 降低大家對電腦之可信賴度 帶來惱人的電腦病毒和駭客 PROBLEM ~50% of all email now, up from 8% in 2001 Growing substantially month to month Cost to business $10B/yr in US (2002) Massive attention from the public, industry groups, & legislators Upshot Huge and growing cost to business & consumers Internal pain highest at Hotmail Major threat to trustworthy computing At Risk: Trusted use of email by consumers & businesses At Risk: The future of email for e-commerce Messenger SPAM Control Stop at the Source: Scripts hunt down SPAM offenders so that Operations can turn off spam abusing accounts Has reduced SPAM support calls dramatically Get users to use existing Privacy settings to control SPAM: UI in MSN Messenger and Windows Messenger guides users to learn about and set Privacy Settings Hotmail SPAM Control FY03 Timeframe: Deployed Brightmail server-side in Oct ’02 Brightmail optimizations throughout the year Image blocking of unknown senders implemented “Report As Spam” program (125k users opted in) MSN9 Timeframe: Add’l MSR Server-side Filters Deployed “Report As Spam” button in HM & MSN UI’s To empower MSN users with the ability to report spam To decrease Spam by distributing user complaints to spam-fighting systems Manual filter updates Mail Icons? Others? Post MSN9 Timeframe: Automated filter updates HM Direct Challenge/Response System MS Block List to prevent namespace mining & stop spam abuse through open proxies Others?

SPAM的基本運作和作業流程 1.Spammer取得你的Email地址: 使用 Web Spider或 Troller / Crawler * 購買郵件名單(mailing list) 進行字典攻擊取得名單 Embedded Web-Beacons 2.Spammer 寄出全球百萬封垃圾信 使用『open proxies』 或暑『open relays』 使用錯誤的主旨和身份識別 同時從多個位址寄出垃圾信 DO IT AGAIN – Some Work Only 15 Hrs Month 4.部份垃圾郵件傳送至使用者的信箱中 SPAMMER低成本,賺大錢 3.大部份的ISP和企業嘗試拒絕垃圾信 利用過濾SPAM軟體 安全清單和拒絕名單 Challenge和 Response 成功地減少 80%以上的SPAM

Exchange 2003的Anti-SPAM技術 連線篩選 收件者篩選 寄件者篩選 智慧型郵件篩選 Outlook 2003垃圾郵件的篩選

過濾垃圾郵件的基本流程 Exchange Server 2003 閘道伺服器 Exchange Server 2003 後端伺服器 儲存區閾值 使用者 信箱 垃圾郵件 連線篩選 網際網路 收件者篩選 是 否 寄件者篩選 安全的 寄件者 封鎖的 寄件者 智慧型郵件 篩選器 (閘道閾值) 是 否 是 否 收件匣 垃圾 收件匣

連線篩選

連線篩選

如何自行建立DNS-Base RBL 參考RBL (Real-Time Block List) Provider 自行建立RBL EMS通用設定郵件傳遞內容 顯示名稱 提供者的DNS尾碼 要傳回的自訂錯誤訊息 傳回狀態碼 自行建立RBL 將欲拒絕的IP加至DNS A記錄裡,例如192.168.1.80 DNS裡的設定為 80.1.168.192.cms.com.tw A 127.0.0.2

收件者篩選

寄件者篩選

智慧型郵件過濾器的作業模式 1 2 3 4 成千上萬個Hotmail 用戶自願和微軟公司對SPAM作鬥爭 垃圾郵件 正常的信件 1 成千上萬個Hotmail 用戶自願和微軟公司對SPAM作鬥爭 2 Feedback Loop Servers 這些用戶提供服務中心數百萬封垃圾信做處理 3 011001 微軟的智慧垃圾信過濾器 這些信件教導智慧過濾器如何去過濾這些信件 依據世界主要的信箱提供業者的垃圾信樣本 超過 100K以上的垃圾信特性作為判斷是否為垃圾信 4 在信件到達個人收件匣之前,智慧型郵件過濾器針對每一封信的『垃圾信可能性』評等(1~9等級)

Exchange智慧型郵件篩選器 採用啟發式分析法(Heuristics-based)判斷郵件為 未經請求的商業郵件(unsolicited commercial e-mail) 垃圾郵件(junk e-mail) 合法的郵件(legitimate e-mail) 每一封信均經過SPAM信賴評等(SCL;SPAM Confidence Level) 0表示較不可能為垃圾郵件 若為1~9,則數字越大,垃圾郵件的可能性就越高 具有適應環境的能力 能夠減少誤判率 增加過濾的能力

Exchange智慧型郵件篩選器 資料參考 IMF軟體安裝後 http://www.microsoft.com/exchange/techinfo/security/imfoverview.asp IMF軟體安裝後 套用至SMTP虛擬伺服器 ESM系統管理群組…伺服器通訊協定SMTP智慧型郵件篩選『選取欲套用的SMTP虛擬伺服器』 若設封存,則預設路徑為 ..\Exchsrvr\Mailroot\VSI n\UceArchive 上列中的小寫n,為虛擬伺服器的代號

Exchange智慧型郵件篩選器

Exchange智慧型郵件篩選器 閘道封鎖組態 資訊儲存庫垃圾郵件組態 管制門檻可設為 1~9 超過或等於門檻則可刪除、封存、拒絕 管制門檻可設為1~9 超過或等於門檻且未在Outlook 2003的『安全寄件者名單』則放入『垃圾郵件』資料夾 低於門檻,但是在拒絕者名單中,則放入『垃圾郵件』資料夾 若是使用非Outlook 2003,則要放入『垃圾郵件』資料夾的郵件,將直接放入收件匣

安裝智慧型郵件篩選器

Outlook 2003垃圾郵件的篩選

智慧型郵件篩選器的運作實況

智慧郵件篩選比率分析(一) 總數:10,019封垃圾信 期間:60天

智慧郵件篩選比率分析(二)

Exchange Server的防毒程式介面

File Level Scanner 應排除的掃瞄管制範圍 Exchange Server 的IFS M磁碟 預設的路徑為 Exchsrvr\Mdbdata Exchange MTA 檔案目錄 預設為 Exchsrvr\Mtadata Exchsrvr\server_name.log Exchsrvr\Mailroot virtual server 資料夾 SRS(Site Replication Service ) Exchsrvr\Srsdata IIS的系統檔目錄 %SystemRoot%\System32\Inetsrv

File Level Scanner on-demand或者memory resident應排除 edb .stm (on Exchange 2000 Server) .log 包含Checkpoint (.chk) 的目錄

MAPI VS. File Level Scanner MAPI Scanner的優點 能夠防止郵件型病毒如 Melissa、So-Big、Klez… 不會直接掃瞄Exchange資料庫和交易檔,因此不會影響它們 MAPI Scanner的缺點 信件在使用者打開之前無法確保已被掃瞄過 無法掃瞄outbound的郵件 無法提供Exchange Single Instance的好處

病毒應用程式介面(一) Virus Application Programming Interface VAPI 1.0 VAPI 2.0 Virus API (VAPI) 、Antivirus API (AVAPI)、 Virus Scanning API (VSAPI) 對MAPI、POP3、IMAP4、OWA等用戶端均有效 VAPI 1.0 Exchange 5.5 SP3 On-Demand:打開信件前掃瞄 VAPI 2.0 Exchange 2000 SP1 proactive-based:在存入mailbox store前掃瞄 On-Demand

病毒應用程式介面(二) VAPI 2.5 Front-End Server Exchange 2003 Proactive-Base On-Demand 沒有mailbox store,可掃瞄 可以回覆寄件者且表明病毒的種類和特性 可以直接刪除病毒檔案 Front-End Server 可充當防毒牆,在進入Back-End Server的mailbox Store前先掃瞄過濾病毒信 可與Exchange智慧型郵件篩選整合