Захист Exchange Server 2007 за допомогою Windows IT Pro
Одне з найважливіших завдань, яке доводиться вирішувати адміністраторам багатьох мереж, – доступ віддалених та мобільних користувачів до внутрішніх ресурсів, особливо до служб електронної пошти. У Microsoft Exchange Server 2007 є кілька служб, доступних користувачам через Internet, і при неправильному налаштуванні вони можуть становити загрозу для системи.
ISA Server, Exchange 2007 Client Access та Edge Transport
ISA Server забезпечує функціональність proxy-сервера для вхідних та вихідних з'єднань, фільтрацію прикладного рівня та розпізнавання несанкціонованого доступу, щоб захистити служби Exchange 2007 від зловмисників та надати корпоративним користувачам оптимальний рівень доступу.
Примірник Exchange 2007 може мати кілька серверних ролей. У цій статті описано, як ISA Server забезпечує доступність серверних ролей клієнтського доступу Client Access та прикордонної обробки, або транспорту, Edge Transport користувачам Internet та інших серверів SMTP. Серверна роль Client Access використовує протоколи HTTP, HTTP Secure (HTTPS) та додатково POP3 та IMAP; серверна роль Edge Transport використовує лише SMTP та DNS для перетворення імен. Ці протоколи застосовуються у службах, пов'язаних з Exchange 2007, — Outlook Web Access (OWA), Outlook Anywhere (у минулому відома як RPC over HTTP), Exchange ActiveSync, Autodiscover — і таких додатках, як Outlook Express та програма Windows Mail, яка змінила Outlook Express у Windows Vista.
Підготовка сертифікатів
Щоб організувати зашифровані з'єднання між клієнтами, ISA Server та сервером Exchange 2007 з роллю Client Access, необхідно встановити сертифікат SSL на ISA Server та на серверіклієнтський доступ. ISA Server видаватиме себе за сервер клієнтського доступу, тому його сертифікат повинен мати таке саме ім'я, як сертифікат сервера клієнтського доступу.
Один із способів отримати сертифікат з однаковим ім'ям на обох серверах - експортувати його із сервера клієнтського доступу та встановити на ISA Server. За замовчуванням сервер клієнтського доступу матиме самопідписаний сертифікат, але його слід замінити на сертифікат, виданий корпоративним центром сертифікації (CA) або, ще краще, комерційним CA. Замінити самопідписаний сертифікат потрібно тому, що додатки користувача не довіряють йому і видають попереджувальні повідомлення, хоча з'єднання буде шифруватися.
New-ExchangeCertificate –generaterequest –subjectname «dc=local, dc=domain1, o=Organization Name, cn=exchange.domain1.local» –domainname CAS01, CAS01.exchange.domain1.com, exchange.domain1.local, autodiscover.domain1.com – path c:certrequest_cas01.txt
Ця команда готує текстовий файл, який можна використовувати для запиту сертифіката для сервера з ім'ям exchange.domain1.local з domain1.local, з іменами суб'єкта, вказаними після ключа -domainname.
Встановити сертифікат легко. Якщо сертифікат запитується через оснастку Certificates або за допомогою Web Enrollment з корпоративного CA, установка виконується автоматично, якщо адміністратор не заборонив автоматичне видання сертифікатів. Якщо надіслано запит, створений з використанням EMS, запитаний сертифікат з автономного CA всередині компанії або куплений комерційний сертифікат, то потрібно імпортувати сертифікат у сховище сертифікатів облікового запису локального комп'ютера в оснастці Certificates. Імпорт сертифіката на ISA Server описаний нижче.
Післяустановки сертифіката можна використовувати оснастку IIS консолі MMC, щоб призначити сертифікат веб-сайту за промовчанням. Для цього потрібно запустити оснастку IIS, розгорнути вузол Web Sites, клацнути правою кнопкою миші на Default Web Site, вибрати пункт Properties і перейти на вкладку Directory Security. Натисніть кнопку Server certificate, щоб запустити майстер для керування сертифікатами. Виберіть параметри для заміни поточного (самопідписаного) сертифіката та вкажіть новий сертифікат для заміни.
Потім потрібно експортувати новий сертифікат до ISA Server. Відкрийте оснастку IIS на сервері клієнтського доступу, розгорніть вузол Web Sites та клацніть правою кнопкою миші на Default Web Site. Виберіть Properties, перейдіть на вкладку Directory Security та натисніть кнопку View Certificate. На вкладці Details клацніть Copy to file, щоб запустити майстер для експорту сертифіката. Виберіть режим експорту закритого ключа, увімкніть надійний захист ключа та експортуйте повний шлях сертифіката. Збережіть сертифікат у форматі pfx та скопіюйте файл у папку на ISA Server.
На ISA Server клацніть кнопку Start, виберіть Run, введіть mmc.exe, щоб відкрити MMC, і додайте оснастку Certificates. На екрані, який з'являється після додавання оснастки, виберіть обліковий запис Computer; натисніть Next та виберіть Local Computer. Поверніться на основний екран оснастки Certificates і розгорніть Certificates — Personal. Клацніть правою кнопкою миші Personal і виберіть All Tasks, Import для запуску майстра Certificate Import. Знайдіть pfx-файл, скопійований із сервера клієнтського доступу, введіть пароль для надійного захисту та завершіть роботу майстра, не позначаючи ключ як експортований. Сертифікат із сервера клієнтського доступу встановлено на ISA Server.
Щоб отримати додаткові відомості про встановлення та використання сертифікатів в Exchange, зверніться до «Managing SSL for Client Access Server» (http://technet.microsoft.com/en-us/library/bb310795.aspx).
Публікація OWA
На сторінці Authentication Settings майстра New Web Listener Definition потрібно розгорнути список варіантів автентифікації, що розкривається (екран 4). Перший варіант, HTML Form Authentication, налаштовує ISA Server на надання клієнтам Web-сторінки автентифікації. Якщо вибрати цей режим, необхідно вимкнути автентифікацію на основі форм на сервері Exchange 2007 Client Access.
Рекомендується використовувати автентифікацію на основі форм ISA Server. Під час перевірки на основі форм контролю сеансу клієнта використовуються cookie-файли браузера клієнта. Крім того, залежно від вибору користувачем приватного або загальнодоступного комп'ютера на сторінці автентифікації, перевірка на основі форм завершує сеанс більш тривалий або короткий період бездіяльності і по-різному обробляє вкладені файли в повідомленнях електронної пошти. Перевірку автентичності на основі форм можна використовувати для всіх веб-служб Exchange; це дуже надійне рішення, і воно не потребує додаткового налаштування на клієнта. Однак, щоб повністю задіяти функціональність OWA, слід використовувати Microsoft Internet Explorer (IE) 6.0 або пізнішу версію браузера клієнта. Додаткова перевага автентифікації на основі форм ISA Server — можливість організувати єдину процедуру реєстрації (SSO) для клієнтів, чого не можна зробити під час перевірки на основі форм Exchange.
Також на сторінці Authentication Settings потрібно вибрати метод автентифікаціїWindows (Active Directory), якщо ISA Server входить до складу домену, LDAP (Active Directory) або RADIUS, якщо ні.
Після завершення роботи майстра New Web Listener Definition на екрані виводиться сторінка Authentication Delegation майстра New Exchange Publishing Rule. Необхідно налаштувати метод, який використовується ISA Server для делегування облікових даних клієнтів на сервер клієнтського доступу. Оскільки на веб-слухачі вибрано автентифікацію на основі форми, слід вибрати перевірку Basic (насправді це Basic with SSL). Це означає, що ISA Server шифруватиме облікові дані з використанням SSL, перш ніж передати їх на сервер Exchange.
Потім необхідно вибрати групу користувачів, яким дозволяється використовувати службу OWA. Якщо немає вагомих причин щось змінювати, краще залишити стандартний режим Authenticated users.
Наприкінці майстра New Exchange Publishing Rule від ISA Server надходить попередження про необхідність забезпечити сумісність автентифікації сервера Exchange з автентичністю ISA Server (екран 5). На сервері клієнтського доступу потрібно відкрити консоль Exchange Management, розгорнути вузол Server Configuration, вибрати Client Access, перейти на вкладку Outlook Web Access, клацнути правою кнопкою миші папку OWA virtual та вибрати пункт Properties. Потім слід перейти на вкладку Authentication, вибрати режим Use one or more standard authentication methods і встановити прапорець Basic authentication (password is sent in clear text), як показано на екрані 6. У результаті сервер Exchange прийматиме делеговані облікові дані користувача з ISA Server формі Basic-with-SSL. Можна також вибрати Integrated Windows authentication для клієнтів із внутрішньої мережі, які звертаються до OWA. Варто зазначити, щодіалогове вікно OWA Properties також дозволяє налаштувати спільний доступ до папок та SharePoint через OWA. Це дуже вдале нововведення Exchange 2007.
На вкладці Listener правила натисніть кнопку Properties і перейдіть до вкладки Forms з додатковими параметрами для автентифікації ISA Server на основі форм (екран 7). Можна дозволити користувачам змінювати паролі після реєстрації на ISA Server з автентифікацією на основі форм (корисно для служб, які не вдається інтегрувати так само, як OWA) і застосовувати форму користувача замість стандартної. Натисніть кнопку Advanced, щоб налаштувати параметри cookie, як показано на екрані 8.
Також у діалоговому вікні Microsoft Exchange Proxy Settings можна налаштувати клієнта на вибір між з'єднанням Messaging API (MAPI) та HTTPS залежно від швидкодії мережі. Зазвичай Outlook використовує з'єднання RPC-over-HTTPS, коли користувач підключається через повільний Інтернет, і класичний протокол TCP/IP MAPI, коли користувач знаходиться в одній мережі з сервером Exchange.
Робота з кількома сайтами
Публікація інших служб Exchange
Публікація Edge Transport Server
Залишається лише забезпечити з'єднання SMTP між ISA Server і сервером прикордонної обробки Edge Transport. Ця проста операція складається із двох етапів.
Необхідно також підготувати на ISA Server правило доступу, яке дозволяє лише протоколам SMTP та DNS із сервера прикордонної обробки звертатися до зовнішньої мережі та задає групу All users на сторінці User sets майстра New Access Rule. Останній параметр необхідний, оскільки клієнт Secure NAT ISA Server не може надати облікові дані.
Поділітьсяматеріалом з колегами та друзями