企业级Exchange Server 2010邮件服务安全管理控制要点及措施剖析

 邮箱网  0条评论  7812次浏览  2013年01月27日 星期日 18:28

分享到: 更多
【中国邮箱网 电子邮件频道】1月27日,Exchange Server 2010服务器自发布以来,被各大中型企业所选用。对于邮件的安全管理,在当前,企业都加强了对邮件的全面管控和安全管控,比如数字版权保护、垃圾邮件过滤、邮件发送控制、邮件归档及审计等等,旨在满足外部的合规管理要求和内部人员使用电子邮件的规范和管理要求。基于此,本文将指出企业使用Exchange Server 2010进行安全管控需要关注的重点问题,并详细介绍几种Exchange Server 2010的管控技术。

1、企业Exchange server 2010邮件管控的要点分析

企业Exchange Server 2010邮件管控的要点主要包括如下几个方面:

(1)邮件内容安全管理:企业邮件涉及的用户多,范围广,且很多邮件数据非常重要和机密,因此,邮件安全管理非常重要。具体又包括邮件传输安全以及邮件数字版权安全。在具体实施中,邮件传输安全在Exchange server 2010中可以通过使用加密的SMTP传输协议来确保邮件通信安全;而邮件数字版权安全则需要控制邮件为合法的用户接受,意味着非法用户无法获取或者使用(或者受限使用)邮件的内容,这在后文将详细介绍相关技术;

(2)邮件合规安全管理:目前,政府和企业都加大了对邮件合规的管理要求。也就是说,邮件的发送必须要留痕,以便日后的审计和追踪之用。这就对邮件的归档、追踪、审计提出了较高的要求,也就是对整个邮件周期管理需要进行细粒度、全面的控制和管理。在具体实施中,可以使用传输规则、邮件记录管理等以及一些第三方的系统和措施来保证。

2、使用RMS保证Exchange Server 2010数字版权

RMS技术是一个文件级别的安全技术,允许用户定义谁有权利访问和使用文档或电子邮件并保护数字化资产不受非法的打印、转发或复制。例如:可以使用IRM防止电子邮件中的word文档被未授权的用户访问。使用 Active Directory 权限管理服务 (AD RMS) 和 AD RMS 客户端,可通过永久使用策略(始终随信息一同存在,无论是否移动信息)保护信息,从而增强组织的安全策略。可以使用 AD RMS 来帮助防止敏感信息(如财务报表、产品说明、客户数据及机密电子邮件)被有意或无意地用于不当用途。

与权限管理服务(Rights Management Services/RMS)集成是 Exchange Server 2010 的新功能,也是一大亮点。Exchange Server 2010 与 RMS 集成通过 IRM,即:信息权限管理(Information Rights Management)来具体实现。安装 RMS 之后,才可以使用 IRM。在 Exchange Server 2010 中,可使用信息权限管理 (IRM) 功能对邮件和附件应用持久保护。通过与 RMS 的集成,Exchange 邮件用户可以控制收件人对电子邮件拥有的权限,允许或限制某些收件人的操作,例如向其他收件人转发邮件、打印邮件或附件,或者是通过复制和粘贴提取邮件或附件内容。

用户可在 Microsoft Outlook 或 Outlook Web App (OWA)中应用 IRM 保护,或者可以根据组织的邮件策略并使用传输保护规则或 Outlook 保护规规则应用 IRM 保护。与其他电子邮件加密解决方案不同,IRM 还允许组织解密受保护的内容,以强制执行策略遵从性。

IRM 可以实现如下几项功能:

1)防止受 IRM 保护的内容的授权收件人转发、修改、打印、传真、保存或剪切和粘贴该内容;

2)用与邮件相同的保护级别保护所支持的附件文件格式;

3)支持受 IRM 保护的邮件和附件的过期,使其在指定时间段之后,无法再进行查看。

要使用 RMS,特别是进行解密工作,需要特殊的权限。Exchange 为了简化管理,并且减少 Exchange 与 RMS 直接的访问请求(用于获得 RMS 授权),在安装Exchange Server 2010 时,会在活动目录中创建一个专门的用户帐号,显示名称为 FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042。将这个帐号加入到 RMS 的 Super Users 组中即可获得相应的权限。

第一步:安装 Rights Management Services

在 Windows Server 2008/R2 中,RMS 是作为操作系统的组件直接提供的,不再像 Windows Server 2003 中需要额外下载并安装。要实现 Exchange Server 2010 与 RMS 的集成,运行 RMS 的操作系统需要是 Windows Server 2008 R2,或者 Windows Server 2008 SP2,并且安装了 KB973247 补丁。通过 Windows Server 2008/R2 的服务器管理控制台,通过添加角色菜单,启动 RMS 的安装向导。按照提示进行配置,如下图:

需要注意的是,不在实际生产环境中,不建议将 RMS 与 Exchange 安装在同一台服务器上。

第二步:配置 RMS 的访问连接点 SCP

安装好 RMS 后,打开管理工具中的 RMS 管理控制台,打开服务器,鼠标右键点击选择属性,进入属性页面,切换到SCP页面,可以看到SCP的值,这是一个URL,RMS 的用户将使用这个URL来进行访问,如下图所示:


第三步:设置 RMS 的访问控制权限

RMS 通过 Web Service 方式来提供服务。默认情况下,这些 Web Service 的权限(Discretionary Access Control List /DACL)是受到限制的,Exchange 服务器没有足够的权限来实现对 RMS 的调用。需要手动指定正确的权限,才能够实现 Exchange 与 RMS 的集成。

步骤如下:在安装了RMS的服务器上,打开资源管理器;浏览到%systemdrive%Inetpubwwwroot_wmcsCertification;选中ServerCertification.asmx,打开其属性页面,切换到安全,然后点击编辑;添加活动目录中的Exchange Servers组,并设置为允许“读取”和“读取及运行”。如下图:


第四步: 设置 RMS Super Users 组

RMS 的 Super Users 组中成员,可以不受限制地访问所有被 IRM 保护的数据,也就是说,该组的成员可以进行解密工作。默认情况下,Super Users 组是禁用状态,需要手动进行启用。同时,这个组需要是一个启用了邮件功能的通用组(universal group )。前面提到的 FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042 用户帐号需要加入到这个组中,这个帐号是系统邮箱,从 Exchange Management Console 中是看不到的,需要使用 Exchange Management Shell 命令行工具,通过 Add-DistributionGroupMember 进行添加。

添加的步骤如下:

1)在 Exchange Management Console 中,展开收件人配置,并创建一个名为 SuperRMSUsers 的安全通讯组;

2)在 AD 域服务器中,点击开始菜单,选择管理工具,选择 Active Directory 用户和计算机,展开 contoso.com—users,找到用户; FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e04,将该用户加入到 SuperRMSUsers 组中;

3)以用户 contosorms 登陆到 AD 域服务器,打开 RMS 管理控制台,展开安全策略,右键单击 Super Users,选择启用 Super Users,并将前面创建的 SuperRMSUsers 组加入到超级用户组中。 

我们继续深入了解邮件管控,包括使用传输规则协助邮件合规安全管理,Exchange Server自带的其它管控技术,其它一些第三方软件提供的管控技术/系统。

1、使用传输规则协助邮件合规安全管理

通过配置Exchange邮件策略,可以在邮件传输过程中对邮件进行过滤限制、跟踪、归档。例如:可设定传输规则,过滤匹配特定关键字(出现在主题或者正文中)的邮件。

具体的步骤如下:

1)在Exchange管理控制台中,展开组织配置,单击集线器传输-〉传输规则,右键再空白处单击选择新建传输规则。在简介页面,输入规则名称“仲裁邮箱策略”并保持启用规则勾选,单击下一步。

2)随后进入条件界面,这里根据用途指定应用规则的对象,可以是单个用户、单个组或是某个经过筛选的用户属性。我在这里选择收件人为用户选项。如下图:


3)在操作步骤中,选择“将邮件转发到地址以供裁决”并输入转发到的邮件地址Administrator@contoso.com。


4)在例子中我们将转发邮箱本身也就是Administrator@contoso.com排除出去。同样,我们也可以将某个高级管理人员邮箱或者特殊的用户排除出去。因此仲裁策略在实施的过程中是非常灵活和方便的。


2、Exchange Server自带的其它管控技术

(1)日记功能(Journaling):通过记录入站和出站电子邮件通信,日记功能可以帮助组织对法律、法规和组织遵从性要求做出响应。例如:可以通过Journaling rule的设置,对符合条件(如匹配特定关键字、接收者、发送者、邮件主题)的邮件信息进行归档,以便事后进行检索和检查。

(2)邮件记录功能:通过邮件记录管理 (MRM,Mail Record Management) 可以更方便地保留遵守公司策略、政府法规或法律要求所必需的邮件。MRM 还有助于删除没有任何法律价值或商业价值的旧内容。这可通过使用保留策略或托管文件夹完成。例如:可设置用户的邮箱保留包含需要保留的关键邮件,如与商务策略、事务、产品开发或客户交互有关的邮件。但是,像时事通讯订阅或个人电子邮件这样的邮件可能并无任何保留价值,因此不需要将其保留一段时间。

(3)邮箱审核日志记录:邮箱审核日志记录允许审核由邮箱所有者、代理人和管理员进行的邮箱访问。还可以使用审核日志记录审核操作,如删除和访问邮件和文件夹等操作。例如:可审核邮箱所有者一定时间内的邮件操作,包括删除、读取等访问。

(4)多邮箱搜索:可以帮助对Exchange邮箱内的相关内容执行发现搜索。例如:可以搜索来自一个或多个 Exchange 2010 服务器的多个邮箱中存储的大量电子邮件,并且这些服务器很可能位于不同的位置。

(5)个人存档管控:使用个人存档可以获得对组织邮件数据的控制。例如:可以为邮箱配置个人存档配额,当用户数据临近配额值时,系统将会发出警告。

(6)创建邮件分类:使用邮件分类可以使组织遵从电子邮件策略和法规要求。例如:可以根据法规要求对邮件进行分类,以便于后期查询和检查。

3、其它一些第三方软件提供的管控技术/系统

业界流行的主要有如下几种:

(1)Adobe DRM(Digital Right Management,数字版权管理)进行信息权限管控:Adobe LiveCycle Rights Management ES2是基于PDF、Word、Excel、PowerPoint文档的信息控制加密解决方案,能有效地对电子邮件系统中流转的各种文档数据进行信息权限管控;例如:可对邮件中包含的PDF格式的文档进行信息权限控制,防止未授权阅读。

(2)邮件归档及检索:主要是通过第三方邮件归档及查询系统对信息进行集中存储、归档,执行内容搜索,通过信息过滤达到追溯的目的,满足合规要求。如Symantec的Enterprise Vault数据归档系统、Autonomy、Mirapoint、Inboxer等产品。

(3)邮件统计及审计:可以使用MessageStats report工具来对邮件收发信息进行多角度地统计以及内容审计,还可以使用SafeNext产品的邮件归档和审计模块来完成相应的功能。

文章来源:TechTarget中国(编辑:YY)

标签:Exchange邮件安全微软

我的评论:

请  后发表评论。