企业级Exchange Server 2010邮件服务安全管理控制要点及措施剖析
程序员文章站
2022-04-26 15:18:06
Exchange Server 2010服务器自发布以来,被各大中型企业所选用。对于邮件的安全管理,在当前,企业都加强了对邮件的全面管控和安全管控,比如数字版权保护、垃圾邮件过滤、邮件发送控制...
Exchange Server 2010服务器自发布以来,被各大中型企业所选用。对于邮件的安全管理,在当前,企业都加强了对邮件的全面管控和安全管控,比如数字版权保护、垃圾邮件过滤、邮件发送控制、邮件归档及审计等等,旨在满足外部的合规管理要求和内部人员使用电子邮件的规范和管理要求。基于此,本文将指出企业使用Exchange Server 2010进行安全管控需要关注的重点问题,并详细介绍几种Exchange Server 2010的管控技术。
1、企业Exchange server 2010邮件管控的要点分析
企业Exchange Server 2010邮件管控的要点主要包括如下几个方面:
(1)邮件内容安全管理:企业邮件涉及的用户多,范围广,且很多邮件数据非常重要和机密,因此,邮件安全管理非常重要。具体又包括邮件传输安全以及邮件数字版权安全。在具体实施中,邮件传输安全在Exchange server 2010中可以通过使用加密的SMTP传输协议来确保邮件通信安全;而邮件数字版权安全则需要控制邮件为合法的用户接受,意味着非法用户无法获取或者使用(或者受限使用)邮件的内容,这在后文将详细介绍相关技术;
(2)邮件合规安全管理:目前,*和企业都加大了对邮件合规的管理要求。也就是说,邮件的发送必须要留痕,以便日后的审计和追踪之用。这就对邮件的归档、追踪、审计提出了较高的要求,也就是对整个邮件周期管理需要进行细粒度、全面的控制和管理。在具体实施中,可以使用传输规则、邮件记录管理等以及一些第三方的系统和措施来保证。
2、使用RMS保证Exchange Server 2010数字版权
RMS技术是一个文件级别的安全技术,允许用户定义谁有权利访问和使用文档或电子邮件并保护数字化资产不受非法的打印、转发或复制。例如:可以使用IRM防止电子邮件中的word文档被未授权的用户访问。使用Active Directory 权限管理服务(AD RMS) 和AD RMS 客户端,可通过永久使用策略(始终随信息一同存在,无论是否移动信息)保护信息,从而增强组织的安全策略。可以使用AD RMS 来帮助防止敏感信息(如财务报表、产品说明、客户数据及机密电子邮件)被有意或无意地用于不当用途。
与权限管理服务(Rights Management Services/RMS)集成是Exchange Server 2010 的新功能,也是一大亮点。Exchange Server 2010 与RMS 集成通过IRM,即:信息权限管理(Information Rights Management)来具体实现。安装RMS 之后,才可以使用IRM。在Exchange Server 2010 中,可使用信息权限管理(IRM) 功能对邮件和附件应用持久保护。通过与RMS 的集成,Exchange 邮件用户可以控制收件人对电子邮件拥有的权限,允许或限制某些收件人的操作,例如向其他收件人转发邮件、打印邮件或附件,或者是通过复制和粘贴提取邮件或附件内容。
用户可在Microsoft Outlook 或Outlook Web App (OWA)中应用IRM 保护,或者可以根据组织的邮件策略并使用传输保护规则或Outlook 保护规规则应用IRM 保护。与其他电子邮件加密解决方案不同,IRM 还允许组织解密受保护的内容,以强制执行策略遵从性。
IRM 可以实现如下几项功能:
1)防止受IRM 保护的内容的授权收件人转发、修改、打印、传真、保存或剪切和粘贴该内容;
2)用与邮件相同的保护级别保护所支持的附件文件格式;
3)支持受IRM 保护的邮件和附件的过期,使其在指定时间段之后,无法再进行查看。
要使用RMS,特别是进行解密工作,需要特殊的权限。Exchange 为了简化管理,并且减少Exchange 与RMS 直接的访问请求(用于获得RMS 授权),在安装Exchange Server 2010 时,会在活动目录中创建一个专门的用户帐号,显示名称为FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042。将这个帐号加入到RMS 的Super Users 组中即可获得相应的权限。
第一步:安装Rights Management Services
在Windows Server 2008/R2 中,RMS 是作为操作系统的组件直接提供的,不再像Windows Server 2003 中需要额外下载并安装。要实现Exchange Server 2010 与RMS 的集成,运行RMS 的操作系统需要是Windows Server 2008 R2,或者Windows Server 2008 SP2,并且安装了KB973247 补丁。通过Windows Server 2008/R2 的服务器管理控制台,通过添加角色菜单,启动RMS 的安装向导。按照提示进行配置,如下图:
需要注意的是,不在实际生产环境中,不建议将RMS 与Exchange 安装在同一台服务器上。
第二步:配置RMS 的访问连接点SCP
安装好RMS 后,打开管理工具中的RMS 管理控制台,打开服务器,鼠标右键点击选择属性,进入属性页面,切换到SCP页面,可以看到SCP的值,这是一个URL,RMS 的用户将使用这个URL来进行访问,如下图所示:
第三步:设置RMS 的访问控制权限
RMS 通过Web Service 方式来提供服务。默认情况下,这些Web Service 的权限(Discretionary Access Control List /DACL)是受到限制的,Exchange 服务器没有足够的权限来实现对RMS 的调用。需要手动指定正确的权限,才能够实现Exchange 与RMS 的集成。
步骤如下:在安装了RMS的服务器上,打开资源管理器;浏览到%systemdrive%\Inetpub\wwwroot\_wmcs\Certification;选中ServerCertification.asmx,打开其属性页面,切换到安全,然后点击编辑;添加活动目录中的Exchange Servers组,并设置为允许“读取”和“读取及运行”。如下图:
第四步: 设置RMS Super Users 组
RMS 的Super Users 组中成员,可以不受限制地访问所有被IRM 保护的数据,也就是说,该组的成员可以进行解密工作。默认情况下,Super Users 组是禁用状态,需要手动进行启用。同时,这个组需要是一个启用了邮件功能的通用组(universal group )。前面提到的FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042 用户帐号需要加入到这个组中,这个帐号是系统邮箱,从Exchange Management Console 中是看不到的,需要使用Exchange Management Shell 命令行工具,通过Add-DistributionGroupMember 进行添加。
添加的步骤如下:
1)在Exchange Management Console 中,展开收件人配置,并创建一个名为SuperRMSUsers 的安全通讯组;
2)在AD 域服务器中,点击开始菜单,选择管理工具,选择Active Directory 用户和计算机,展开contoso.com—users,找到用户;FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e04,将该用户加入到SuperRMSUsers 组中;
3)以用户contoso\rms 登陆到AD 域服务器,打开RMS 管理控制台,展开安全策略,右键单击Super Users,选择启用Super Users,并将前面创建的SuperRMSUsers 组加入到超级用户组中。
本文将要继续深入了解邮件管控,包括使用传输规则协助邮件合规安全管理,Exchange Server自带的其它管控技术,其它一些第三方软件提供的管控技术/系统。
1、使用传输规则协助邮件合规安全管理
通过配置Exchange邮件策略,可以在邮件传输过程中对邮件进行过滤限制、跟踪、归档。例如:可设定传输规则,过滤匹配特定关键字(出现在主题或者正文中)的邮件。
具体的步骤如下:
1)在Exchange管理控制台中,展开组织配置,单击集线器传输-〉传输规则,右键再空白处单击选择新建传输规则。在简介页面,输入规则名称“仲裁邮箱策略”并保持启用规则勾选,单击下一步。
2)随后进入条件界面,这里根据用途指定应用规则的对象,可以是单个用户、单个组或是某个经过筛选的用户属性。我在这里选择收件人为用户选项。如下图:
3)在操作步骤中,选择“将邮件转发到地址以供裁决”并输入转发到的邮件地址Administrator@contoso.com。
4)在例子中我们将转发邮箱本身也就是Administrator@contoso.com排除出去。同样,我们也可以将某个高级管理人员邮箱或者特殊的用户排除出去。因此仲裁策略在实施的过程中是非常灵活和方便的。
2、Exchange Server自带的其它管控技术
(1)日记功能(Journaling):通过记录入站和出站电子邮件通信,日记功能可以帮助组织对法律、法规和组织遵从性要求做出响应。例如:可以通过Journaling rule的设置,对符合条件(如匹配特定关键字、接收者、发送者、邮件主题)的邮件信息进行归档,以便事后进行检索和检查。
(2)邮件记录功能:通过邮件记录管理(MRM,Mail Record Management) 可以更方便地保留遵守公司策略、*法规或法律要求所必需的邮件。MRM 还有助于删除没有任何法律价值或商业价值的旧内容。这可通过使用保留策略或托管文件夹完成。例如:可设置用户的邮箱保留包含需要保留的关键邮件,如与商务策略、事务、产品开发或客户交互有关的邮件。但是,像时事通讯订阅或个人电子邮件这样的邮件可能并无任何保留价值,因此不需要将其保留一段时间。
(3)邮箱审核日志记录:邮箱审核日志记录允许审核由邮箱所有者、代理人和管理员进行的邮箱访问。还可以使用审核日志记录审核操作,如删除和访问邮件和文件夹等操作。例如:可审核邮箱所有者一定时间内的邮件操作,包括删除、读取等访问。
(4)多邮箱搜索:可以帮助对Exchange邮箱内的相关内容执行发现搜索。例如:可以搜索来自一个或多个Exchange 2010 服务器的多个邮箱中存储的大量电子邮件,并且这些服务器很可能位于不同的位置。
(5)个人存档管控:使用个人存档可以获得对组织邮件数据的控制。例如:可以为邮箱配置个人存档配额,当用户数据临近配额值时,系统将会发出警告。
(6)创建邮件分类:使用邮件分类可以使组织遵从电子邮件策略和法规要求。例如:可以根据法规要求对邮件进行分类,以便于后期查询和检查。
3、其它一些第三方软件提供的管控技术/系统
业界流行的主要有如下几种:
(1)Adobe DRM(Digital Right Management,数字版权管理)进行信息权限管控:Adobe LiveCycle Rights Management ES2是基于PDF、Word、Excel、PowerPoint文档的信息控制加密解决方案,能有效地对电子邮件系统中流转的各种文档数据进行信息权限管控;例如:可对邮件中包含的PDF格式的文档进行信息权限控制,防止未授权阅读。
(2)邮件归档及检索:主要是通过第三方邮件归档及查询系统对信息进行集中存储、归档,执行内容搜索,通过信息过滤达到追溯的目的,满足合规要求。如Symantec的Enterprise Vault数据归档系统、Autonomy、Mirapoint、Inboxer等产品。
(3)邮件统计及审计:可以使用MessageStats report工具来对邮件收发信息进行多角度地统计以及内容审计,还可以使用SafeNext产品的邮件归档和审计模块来完成相应的功能
作者:羽扇纶巾 来源:TechTarget中国
1、企业Exchange server 2010邮件管控的要点分析
企业Exchange Server 2010邮件管控的要点主要包括如下几个方面:
(1)邮件内容安全管理:企业邮件涉及的用户多,范围广,且很多邮件数据非常重要和机密,因此,邮件安全管理非常重要。具体又包括邮件传输安全以及邮件数字版权安全。在具体实施中,邮件传输安全在Exchange server 2010中可以通过使用加密的SMTP传输协议来确保邮件通信安全;而邮件数字版权安全则需要控制邮件为合法的用户接受,意味着非法用户无法获取或者使用(或者受限使用)邮件的内容,这在后文将详细介绍相关技术;
(2)邮件合规安全管理:目前,*和企业都加大了对邮件合规的管理要求。也就是说,邮件的发送必须要留痕,以便日后的审计和追踪之用。这就对邮件的归档、追踪、审计提出了较高的要求,也就是对整个邮件周期管理需要进行细粒度、全面的控制和管理。在具体实施中,可以使用传输规则、邮件记录管理等以及一些第三方的系统和措施来保证。
2、使用RMS保证Exchange Server 2010数字版权
RMS技术是一个文件级别的安全技术,允许用户定义谁有权利访问和使用文档或电子邮件并保护数字化资产不受非法的打印、转发或复制。例如:可以使用IRM防止电子邮件中的word文档被未授权的用户访问。使用Active Directory 权限管理服务(AD RMS) 和AD RMS 客户端,可通过永久使用策略(始终随信息一同存在,无论是否移动信息)保护信息,从而增强组织的安全策略。可以使用AD RMS 来帮助防止敏感信息(如财务报表、产品说明、客户数据及机密电子邮件)被有意或无意地用于不当用途。
与权限管理服务(Rights Management Services/RMS)集成是Exchange Server 2010 的新功能,也是一大亮点。Exchange Server 2010 与RMS 集成通过IRM,即:信息权限管理(Information Rights Management)来具体实现。安装RMS 之后,才可以使用IRM。在Exchange Server 2010 中,可使用信息权限管理(IRM) 功能对邮件和附件应用持久保护。通过与RMS 的集成,Exchange 邮件用户可以控制收件人对电子邮件拥有的权限,允许或限制某些收件人的操作,例如向其他收件人转发邮件、打印邮件或附件,或者是通过复制和粘贴提取邮件或附件内容。
用户可在Microsoft Outlook 或Outlook Web App (OWA)中应用IRM 保护,或者可以根据组织的邮件策略并使用传输保护规则或Outlook 保护规规则应用IRM 保护。与其他电子邮件加密解决方案不同,IRM 还允许组织解密受保护的内容,以强制执行策略遵从性。
IRM 可以实现如下几项功能:
1)防止受IRM 保护的内容的授权收件人转发、修改、打印、传真、保存或剪切和粘贴该内容;
2)用与邮件相同的保护级别保护所支持的附件文件格式;
3)支持受IRM 保护的邮件和附件的过期,使其在指定时间段之后,无法再进行查看。
要使用RMS,特别是进行解密工作,需要特殊的权限。Exchange 为了简化管理,并且减少Exchange 与RMS 直接的访问请求(用于获得RMS 授权),在安装Exchange Server 2010 时,会在活动目录中创建一个专门的用户帐号,显示名称为FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042。将这个帐号加入到RMS 的Super Users 组中即可获得相应的权限。
第一步:安装Rights Management Services
在Windows Server 2008/R2 中,RMS 是作为操作系统的组件直接提供的,不再像Windows Server 2003 中需要额外下载并安装。要实现Exchange Server 2010 与RMS 的集成,运行RMS 的操作系统需要是Windows Server 2008 R2,或者Windows Server 2008 SP2,并且安装了KB973247 补丁。通过Windows Server 2008/R2 的服务器管理控制台,通过添加角色菜单,启动RMS 的安装向导。按照提示进行配置,如下图:
需要注意的是,不在实际生产环境中,不建议将RMS 与Exchange 安装在同一台服务器上。
第二步:配置RMS 的访问连接点SCP
安装好RMS 后,打开管理工具中的RMS 管理控制台,打开服务器,鼠标右键点击选择属性,进入属性页面,切换到SCP页面,可以看到SCP的值,这是一个URL,RMS 的用户将使用这个URL来进行访问,如下图所示:
第三步:设置RMS 的访问控制权限
RMS 通过Web Service 方式来提供服务。默认情况下,这些Web Service 的权限(Discretionary Access Control List /DACL)是受到限制的,Exchange 服务器没有足够的权限来实现对RMS 的调用。需要手动指定正确的权限,才能够实现Exchange 与RMS 的集成。
步骤如下:在安装了RMS的服务器上,打开资源管理器;浏览到%systemdrive%\Inetpub\wwwroot\_wmcs\Certification;选中ServerCertification.asmx,打开其属性页面,切换到安全,然后点击编辑;添加活动目录中的Exchange Servers组,并设置为允许“读取”和“读取及运行”。如下图:
第四步: 设置RMS Super Users 组
RMS 的Super Users 组中成员,可以不受限制地访问所有被IRM 保护的数据,也就是说,该组的成员可以进行解密工作。默认情况下,Super Users 组是禁用状态,需要手动进行启用。同时,这个组需要是一个启用了邮件功能的通用组(universal group )。前面提到的FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042 用户帐号需要加入到这个组中,这个帐号是系统邮箱,从Exchange Management Console 中是看不到的,需要使用Exchange Management Shell 命令行工具,通过Add-DistributionGroupMember 进行添加。
添加的步骤如下:
1)在Exchange Management Console 中,展开收件人配置,并创建一个名为SuperRMSUsers 的安全通讯组;
2)在AD 域服务器中,点击开始菜单,选择管理工具,选择Active Directory 用户和计算机,展开contoso.com—users,找到用户;FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e04,将该用户加入到SuperRMSUsers 组中;
3)以用户contoso\rms 登陆到AD 域服务器,打开RMS 管理控制台,展开安全策略,右键单击Super Users,选择启用Super Users,并将前面创建的SuperRMSUsers 组加入到超级用户组中。
本文将要继续深入了解邮件管控,包括使用传输规则协助邮件合规安全管理,Exchange Server自带的其它管控技术,其它一些第三方软件提供的管控技术/系统。
1、使用传输规则协助邮件合规安全管理
通过配置Exchange邮件策略,可以在邮件传输过程中对邮件进行过滤限制、跟踪、归档。例如:可设定传输规则,过滤匹配特定关键字(出现在主题或者正文中)的邮件。
具体的步骤如下:
1)在Exchange管理控制台中,展开组织配置,单击集线器传输-〉传输规则,右键再空白处单击选择新建传输规则。在简介页面,输入规则名称“仲裁邮箱策略”并保持启用规则勾选,单击下一步。
2)随后进入条件界面,这里根据用途指定应用规则的对象,可以是单个用户、单个组或是某个经过筛选的用户属性。我在这里选择收件人为用户选项。如下图:
3)在操作步骤中,选择“将邮件转发到地址以供裁决”并输入转发到的邮件地址Administrator@contoso.com。
4)在例子中我们将转发邮箱本身也就是Administrator@contoso.com排除出去。同样,我们也可以将某个高级管理人员邮箱或者特殊的用户排除出去。因此仲裁策略在实施的过程中是非常灵活和方便的。
2、Exchange Server自带的其它管控技术
(1)日记功能(Journaling):通过记录入站和出站电子邮件通信,日记功能可以帮助组织对法律、法规和组织遵从性要求做出响应。例如:可以通过Journaling rule的设置,对符合条件(如匹配特定关键字、接收者、发送者、邮件主题)的邮件信息进行归档,以便事后进行检索和检查。
(2)邮件记录功能:通过邮件记录管理(MRM,Mail Record Management) 可以更方便地保留遵守公司策略、*法规或法律要求所必需的邮件。MRM 还有助于删除没有任何法律价值或商业价值的旧内容。这可通过使用保留策略或托管文件夹完成。例如:可设置用户的邮箱保留包含需要保留的关键邮件,如与商务策略、事务、产品开发或客户交互有关的邮件。但是,像时事通讯订阅或个人电子邮件这样的邮件可能并无任何保留价值,因此不需要将其保留一段时间。
(3)邮箱审核日志记录:邮箱审核日志记录允许审核由邮箱所有者、代理人和管理员进行的邮箱访问。还可以使用审核日志记录审核操作,如删除和访问邮件和文件夹等操作。例如:可审核邮箱所有者一定时间内的邮件操作,包括删除、读取等访问。
(4)多邮箱搜索:可以帮助对Exchange邮箱内的相关内容执行发现搜索。例如:可以搜索来自一个或多个Exchange 2010 服务器的多个邮箱中存储的大量电子邮件,并且这些服务器很可能位于不同的位置。
(5)个人存档管控:使用个人存档可以获得对组织邮件数据的控制。例如:可以为邮箱配置个人存档配额,当用户数据临近配额值时,系统将会发出警告。
(6)创建邮件分类:使用邮件分类可以使组织遵从电子邮件策略和法规要求。例如:可以根据法规要求对邮件进行分类,以便于后期查询和检查。
3、其它一些第三方软件提供的管控技术/系统
业界流行的主要有如下几种:
(1)Adobe DRM(Digital Right Management,数字版权管理)进行信息权限管控:Adobe LiveCycle Rights Management ES2是基于PDF、Word、Excel、PowerPoint文档的信息控制加密解决方案,能有效地对电子邮件系统中流转的各种文档数据进行信息权限管控;例如:可对邮件中包含的PDF格式的文档进行信息权限控制,防止未授权阅读。
(2)邮件归档及检索:主要是通过第三方邮件归档及查询系统对信息进行集中存储、归档,执行内容搜索,通过信息过滤达到追溯的目的,满足合规要求。如Symantec的Enterprise Vault数据归档系统、Autonomy、Mirapoint、Inboxer等产品。
(3)邮件统计及审计:可以使用MessageStats report工具来对邮件收发信息进行多角度地统计以及内容审计,还可以使用SafeNext产品的邮件归档和审计模块来完成相应的功能
作者:羽扇纶巾 来源:TechTarget中国