Lista de verificação de segurança de implantação

 

Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Tópico modificado em: 2007-12-11

O Microsoft Exchange Server 2007 é projetado para ser seguro por padrão para a maioria dos cenários de cliente. Geralmente, para o Exchange 2007, seguro por padrão significa que as seguintes condições são verdadeiras:

  • As contas que são usadas pelo Exchange 2007 possuem os direitos mínimos necessários para executar os conjuntos de tarefas determinados.

  • Por padrão, os serviços são iniciados apenas quando solicitados.

  • Os direitos da ACL (lista de controle de acesso) dos objetos do Exchange estão minimizados.

  • As permissões administrativas são definidas de acordo com o escopo da alteração no objeto que uma determinada modificação exige.

  • Todos os caminhos de mensagem padrão internos são criptografados.

  • Muitos outros recursos foram projetados para oferecer um ambiente de sistema de mensagens seguro após a instalação inicial.

Esse tópico descreve algumas etapas recomendadas que você pode adotar para dar mais segurança ao ambiente de sistema de mensagens antes e depois de instalar o Microsoft Exchange. Recomendamos que você consulte essa lista de verificação sempre que instalar uma nova função de servidor do Exchange.

Assim como acontece com todo o conteúdo do arquivo da Ajuda do Exchange 2007, o conteúdo mais atualizado pode ser encontrado no Exchange Server TechCenter.

Pré-instalação

Antes de instalar o Exchange 2007, execute os procedimentos a seguir.

Procedimentos Verificar

Executar o Microsoft Update.

 

Executar a Microsoft Malicious Software Removal Tool. A ferramenta Malicious Software Removal Tool está incluída na Atualização do Microsoft. Mais informações sobre a ferramenta podem ser encontradas em Malicious Software Removal Tool.

 

Executar o Microsoft Baseline Security Analyzer.

 

Pós-instalação

Recomendamos que você execute o ACS (Assistente de Configuração de Segurança) em todas as funções de servidor do Exchange 2007. Recomendamos também que você modifique o nível de autenticação do LAN Manager nos servidores que estão executando o Windows Server 2003.

Assistente de Configuração de Segurança

O ACS é uma ferramenta que foi apresentada no Microsoft Windows Server 2003 Service Pack 1 (SP1). Você pode usar o ACS para minimizar a superfície de ataque em servidores, desabilitando funcionalidades do Windows que não são necessárias para as funções de servidor do Exchange 2007. O ACS automatiza as práticas recomendadas de segurança para a redução da superfície de ataque de um servidor. O ACS usa uma metáfora baseada em função para solicitar serviços que são necessários para os aplicativos em um servidor. Essa ferramenta reduz a suscetibilidade dos ambientes Windows à exploração de vulnerabilidades de segurança. Para mais informações, consulte Usando o Assistente de Configuração de Segurança para Proteger o Windows para Funções do Exchange Server.

Nível de Autenticação do LAN Manager

Para cada servidor Exchange que esteja executando o Windows Server 2003, recomendamos que você defina o nível de autenticação do LAN Manager como o nível recomendado para o seu ambiente pelo Guia de Segurança do Windows Server 2003. Essa configuração determina qual protocolo de autenticação de desafio/resposta é usado para logons de rede. Essa opção afeta o nível do protocolo de autenticação que é usado por computadores clientes, o nível de segurança que é negociado e o nível de autenticação que é aceito pelos servidores. Para modificar o nível de autenticação do LAN Manager, você deve modificar a entrada LmCompatibilityLevel no registro.

Aviso

UNRESOLVED_TOKEN_VAL(exRegistry)

A seguir, estão os níveis de autenticação do LAN Manager recomendados peloGuia de Segurança do Windows Server 2003**:**

  • Ambiente de cliente herdado   O Guia de Segurança do Windows Server 2003 define um ambiente de cliente herdado que consiste em um domínio do serviço de diretório do Active Directory com servidores membros e controladores de domínio que executam Windows Server 2003 e alguns computadores clientes que executam Microsoft Windows 98 e Windows NT 4.0. Computadores que executam Windows 98 devem ter o Active Directory Client Extension (DSCLient) instalado. Para mais informações sobre como instalar o DSClient, consulte o artigo 288358 da Base de Dados de Conhecimento Microsoft, Como instalar a extensão cliente do Active Directory. Se você tiver um ambiente cliente herdado, o Guia de Segurança do Windows Server 2003 recomenda definir a entrada LmCompatibilityLevel como 3.

  • Ambiente de cliente corporativo   O Guia de Segurança do Windows Server 2003 define um ambiente de cliente corporativo que consiste em um domínio do Active Directory com servidores membros e controladores de domínio que executam Windows Server 2003 com SP1 e computadores clientes que executam Windows 2000 Server e Windows XP. Em um ambiente cliente corporativo, o Guia de Segurança do Windows Server 2003 recomenda definir a entrada LmCompatibilityLevel como 4.

Além disso, os ambientes de cluster têm também requisitos relacionados ao nível de autenticação do LAN Manager.Em um ambiente de CCR (replicação contínua em cluster), você deve definir a entrada LmCompatibilityLevel de cada controlador de domínio da organização como o mesmo valor da entrada LmCompatibilityLevel em seus servidores Exchange. Se a entrada LmCompatibilityLevel em um controlador de domínio não for igual à entrada LmCompatibilityLevel em um servidor Exchange, poderão surgir erros na replicação. Recomendamos que você defina primeiro a entrada LmCompatibilityLevel em todos os controladores de domínio em um domínio e, em seguida, defina a entrada LmCompatibilityLevel em cada cluster.

Para definir a entrada LmCompatibilityLevel em um cluster, você deve primeiro alterar o valor em todos os nós do cluster ao mesmo tempo e, em seguida, reiniciar cada nó do cluster. Recomendamos que você modifique a entrada do Registro e reinicie cada computador em um cluster manualmente, em vez de usar um GPO (objeto Diretiva de Grupo), a fim de garantir que todos os nós do cluster sejam reiniciados ao mesmo tempo.

Dica

Por padrão, o LmCompatibilityLevel nos computadores que estão executando o Windows Server 2008 é 3 ou superior.

Para mais informações sobre os níveis de autenticação do LAN Manager, consulte o "Capítulo 4: Diretiva da linha de base do servidor membro" no Guia de Segurança do Windows Server 2003. Para mais informações sobre como modificar a entrada do Registro LmCompatibilityLevel para definir o nível de autenticação do LAN Manager, consulte How to Configure the LAN Manager Authentication Level. Você pode usar um GPO para definir a entrada do Registro LmCompatibilityLevel em todos os computadores em sua organização. Para obter etapas detalhadas, consulte How to Configure the LAN Manager Authentication Level.