Exchange2003安全:基于角色保护服务器

     【IT168 专稿】当EXCHANGE服务器部署完毕以后，每个服务器应该履行的职责都已经比较明确。剩下应该考虑的就是如何加强内部企业的服务器安全，以及有效合理利用服务器资源。也就是要明确这个服务器在整个企业内部到底处于一个什么样的角色。比如exchange邮件服务器，能够提供多项服务器功能，比如OWA、OMA、POP3、SMTP、HTTP等多项服务，而有些时候只需要用到其中的一项服务。不需要里面其他的服务，这样就需要关闭一些完全没有必要的服务，来明确这个服务器所担当的角色。这样做有很多好处：

    一、便于在企业内部检查故障，如果一个企业组织比较庞大，一旦发生故障，要进行故障检查是一件非常繁琐的事情。因此，如果服务器的角色比较明确，比如这台服务器对内对外都只提供HTTP服务，你绝对不会考虑它是否提供有DHCP服务。

    二，进一步加强安全性，对外提供的服务越多，安全隐患也就越大。减少完全没有必要运行的服务，能够更好的加强企业内部安全。

    三，合理的利用服务器资源，停止不必要的服务，减少了服务器的资源浪费，更加合理有效的利用服务器的现有资源。

    从上面看到明确服务器角色是十分重要的，那有没有一种简单的方法来明确服务器角色呢？微软在考虑邮件服务器安全的时候也想到了这个问题，exchange2003安全加强子栏已经为大家预定义了一系列的安全模板，来帮助我们更加明确服务器角色。

    下面就是如何利用安全模板来明确服务器角色以加强服务器安全，这个具体思路就是通过在Active Directory用户和计算机里面根据服务器角色来建立不同的OU，然后在OU里面套用预定义的安全模板，最后把企业的服务器移到对应的OU里面。

    我们以两台前后端服务器为例，来讲解exchange服务器如何通过安全模板来明确服务器角色以加强服务器安全的。

    首先在Active Directory用户和计算机里面查看企业内部部署了两台的exchange服务器.如图1所示

图1

1、 为这两台exchange服务器以及域控制服务器建立特定的OU。分别建立BACKEND SERVER和FRONTEND SERVER两个OU。如图2所示

图2

2、 给OU套用安全模板

    点击域控制器OU的属性——》组策略标签——》新建组策略——》输入组策略名——》编辑。如图3所示

图3

    单击计算机配置——》安全配置——》导入策略。如图4所示，导入exchange2003预定义的安全模板。要根据不同角色来选择不同的模板，图4所示的是域控制器，选择域控制器的安全模版，下面有很多其他的安全模板。有前端服务器、后端服务器、POP3、SMTP、IMAP4、NNTP等其他的安全模板。

图4

    以此类推，把其他新建的OU根据各自的服务器角色来套上服务器安全模板。剩下就是把服务器移动到相应的OU里面去，就基本上设置完毕了。

    但是这个服务器模板只是规定了单一的服务器角色，看上面给提供的模板，都是单一的服务器角色模版。比如POP3安全模板，它就只是规定了作为单一POP3服务器的应用的模板，其他的应用都关了，只能适用于POP3。如果有一台服务器既要向外提供POP3服务也要提供SMTP服务，这里的模板就不能适用了，所以需要在这个基础上根据自己的需求来修改模板。

    所以要查看这个模板里面到底提供什么样的具体服务。比如一台服务器要对外提供POP3和SMTP服务，首先应用POP3模板。如图5、图6所示，在编辑模板的时候查看模板里面的系统服务和文件系统。然后应用SMTP安全模板，再查看里面的系统服务和文件系统。找出两者的差异，再进行中和，把POP3的服务增加上去。

图5

 图6

小结

    通过给exchange服务器安全模板，更加明确了服务器的角色，最大限度的节约了服务器资源，而且一旦服务器角色发生改变，你可以直接更改安全策略来改变服务器角色，通过这种方式，进一步加强了邮件服务的安全性，而且依然可以结合第三方所提供的服务，比如病毒防护、防火墙、邮件过滤等。