guia de segurança do exchange 2010
TRANSCRIPT
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 1/56
Guia de segurança do Exchange 2010Exchange 2010
Outras versões
Este tópico ainda não foi avaliado como - Avalie este tópico
Aplica-se a: Exchange Server 2010 SP3, Exchange Server 2010 SP2
Tópico modificado em: 2012-03-08
Este guia foi escrito para o administrador de TI responsável por proteger a implantação
do Microsoft Exchange Server 2010 e foi projetado para ajudá-lo a compreender egerenciar o ambiente de segurança geral no qual o Exchange está instalado.
Antigamente, para cada versão do Microsoft Exchange, a equipe do Exchange publicavaguias de segurança independentes com informações sobre segurança e permissões. Essaabordagem funcionava para bloquear serviços e diretórios depois da execução daInstalação do Exchange 2010. No entanto, desde o Microsoft Exchange Server 2007, aInstalação do Exchange só permite os serviços exigidos pela função de servidor instalada. O Microsoft Exchange deixou de ser instalado e teve a segurança reforçada.Ele foi projetado para ajudar você a estar mais protegido por padrão.
Portanto, diferentemente de versões anteriores do Microsoft Exchange, nas quais osadministradores de TI tinham que executar vários procedimentos para bloquear seusservidores que executavam o Microsoft Exchange, o Exchange 2010 não precisa de
bloqueio o reforço de segurança.
Escopo
O Exchange 2010 foi desenvolvido usando-se os princípios do Microsoft Ciclo de Vidado Desenvolvimento de Segurança (SDL). Uma revisão de segurança foi realizada paracada recurso e componente. Configurações padrão escolhidas com cuidado garantemuma implantação mais segura. O escopo deste guia é informar administradores sobrerecursos relacionados à segurança e recursos que podem afetar considerações desegurança. Este guia está relacionado a tópicos referentes à segurança na documentaçãodo Exchange 2010. Estes tópicos estão listados no Apêndice 1: Documentação adicionalrelacionada à segurança. Esse guia não aborda nenhuma etapa para reforçar o sistemaoperacional Windows Server.
Conteúdo
O que é há de novo
O Ciclo de Vida do Desenvolvimento de Segurança do Exchange 2010
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 2/56
Proteção – Práticas recomendadas
Mantendo a segurança – Práticas recomendadas
Uso da porta de rede e proteção de firewall
Parâmetros de limitação e políticas de limitação do cliente
Controle de Acesso Baseado em Função
Active Directory
Contas do Exchange Server
Sistema de arquivos
Services
Certificados
Considerações de NTLM
Autenticação de Fator Duplo
Federação
Secure/Multipurpose Internet Mail Extensions (S/MIME)Considerações da função de servidor
Apêndice 1: Documentação adicional relacionada à segurança
O que é há de novo
O Exchange 2010 inclui os seguintes recursos de segurança novos:
• Controle de Acesso Baseado na Função O Exchange 2010 inclui um novo
controle de acesso baseado na função que permite à organização gerenciar demaneira granular as permissões atribuídas a participantes diferentes, comoadministradores de destinatário, administradores de servidor, registros e gerentesde descoberta e administradores de organização.
• Políticas de Limitação O Exchange 2010 apresenta mecanismos de limitaçãoem servidores de Caixa de Correio, de Acesso do Cliente e de Transporte para
proteger a organização contra ataques de negação de serviço e reduzir o impactodesses ataques.
• Delegação Federada O Exchange 2010 apresenta novos recursos de delegaçãofederada que possibilitam permitir aos usuários colaborar com usuários de
maneira segura em organizações externas. Usando a delegação federada, osusuários podem compartilhar calendários e contatos com usuários em
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 3/56
organizações federadas externas. A colaboração entre florestas também é possível, sem a necessidade de configurar e gerenciar relações de confiança doActive Directory.
• Gerenciamento de Direitos de Informação O Exchange 2010 inclui novos
recursos de proteção e controle de informações que permitem proteger conteúdode mensagem confidencial em vários níveis enquanto mantêm a possibilidade daorganização de descriptografar, pesquisar e aplicar políticas do sistema demensagens a conteúdo protegido.
• Sem Assistente de Configuração de Segurança No Exchange 2010, aInstalação torna as alterações feitas na configuração necessárias à instalação e só
permite os serviços obrigatórios para uma determinada função de servidor doExchange, além de limitar a comunicação apenas às portas necessárias aosserviços e aos processos em execução em cada função de servidor. Isso remove anecessidade de ferramentas como o Assistente de Configuração de Segurança
(ACS) de definirem essas configurações.O Ciclo de Vida do Desenvolvimento de Segurança do Exchange 2010
No começo de 2002, a Microsoft apresentou a iniciativa Trustworthy Computing(Computação Confiável). Desde então, o processo de desenvolvimento na Microsoft ena equipe do Microsoft Exchange se concentrou em desenvolver softwares queajudassem você a ter mais segurança. Para obter mais informações, consulteTrustworthy Computing (em inglês).
No Exchange 2010, o Trustworthy Computing foi implementado nas áreas
fundamentais a seguir:
• Design seguro O Exchange 2010 foi projetado e desenvolvido de acordo comO ciclo de vida do desenvolvimento de segurança de Trustworthy Computing (em inglês). A primeira etapa na criação de um sistema de mensagens maisseguro foi projetar modelos de ameaças e testar todos os recursos conforme eramdesenvolvidos. Vários aprimoramentos relacionados à segurança foramincorporados às práticas e processos de codificação. As ferramentas do tempo decompilação detectam estouros de buffer e outras ameaças à segurança em
potencial. Nenhum sistema pode garantir a segurança completa. No entanto, coma inclusão de princípios de design seguros no projeto geral de desenvolvimento,o Exchange 2010 é mais seguro do que as versões anteriores.
• Seguro por padrão Um objetivo do Exchange 2010 era desenvolver umsistema no qual a maior parte das comunicações de rede fossem criptografadas
por padrão. Com exceção de comunicações SMB (bloco de mensagens doservidor) e de algumas comunicações da UM (Unificação de Mensagens), oobjetivo foi alcançado. Usando certificados auto-assinados, o protocoloKerberos, SSL e outras técnicas de criptografia padronizadas, quase todos osdados do Exchange 2010 são protegidos na rede. Além disso, a instalação com
base em funções possibilita a instalação do Exchange 2010 de modo que apenasos serviços e as permissões relacionadas a estes sejam instaladas com uma
função de servidor específica e adequada. Em versões anteriores do MicrosoftExchange, todos os serviços para todas as funcionalidades tinham que ser instalados.
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 4/56
• Funcionalidade anti-spam e antivírus O Exchange 2010 inclui um pacote deaplicativos de agentes antispam executados na rede de perímetro na função deservidor Transporte de Borda e que também podem ser instalados na função deservidor Transporte de Hub residente na rede interna. A funcionalidade antivírusfoi aprimorada com a adição do Microsoft Forefront Protection 2010 para
Exchange Server como uma solução da Microsoft.• Seguro na implantação Durante o desenvolvimento do Exchange 2010, a
versão pré-lançamento foi implantada no ambiente de produção de TI daMicrosoft. Com base nos dados dessa implantação, o Microsoft ExchangeServer Best Practices Analyzer foi atualizado para analisar configurações desegurança reais, e foram documentadas práticas recomendadas pré e pós-implantação na Ajuda do Exchange 2010.Antes, o gerenciamento de permissões era documentado e entregue depois que adocumentação principal era concluída. No entanto, sabemos que ogerenciamento de permissões não é um processo suplementar. Ele deve ser
incorporado no planejamento e na implantação geral da sua instalação doExchange 2010. Por isso, simplificamos nossa documentação de permissão e aintegramos à documentação básica para fornecer contexto remoto aadministradores enquanto eles se planejam para e implantam o modeloadministrativo. O Exchange 2010 inclui um novo modelo de permissões
baseadas na função que permite conceder permissões granulares aadministradores e usuários para permitir que eles realizem tarefas com o mínimode permissões exigidas.
• Comunicações Agora que o Exchange 2010 foi lançado, a equipe do Exchangese dedica a manter o software atualizado e você bem informado. Mantendo o
sistema atualizado com o Microsoft Update, você pode garantir que asatualizações de segurança mais recentes sejam instaladas em sua organização. OExchange 2010 também inclui atualizações anti-spam. Além disso, ao assinar
Notificações Técnicas de Segurança da Microsoft, você pode acompanhar osúltimos problemas de segurança no Exchange 2010.
Proteção – Práticas recomendadas
Algumas práticas recomendadas básicas ajudarão a criar e a manter um ambiente maisseguro. Normalmente, a execução periódica de ferramentas de análise e a manutençãode software e de arquivos antivírus atualizados são as formas mais eficientes de otimizar
o ambiente do Exchange 2010 em termos de segurança.
Recomendações de configuração e instalação
Estas práticas recomendadas ajudarão a criar um ambiente do Exchange 2010 maisseguro:
• Instalação Delegada O primeiro servidor do Exchange 2010 instalado naorganização exige que a conta usada na execução da Instalação deva ser membrodo grupo Administradores de Empresas. A conta usada é adicionada ao grupo de
funções Gerenciamento da Organização criado pela Instalação do Exchange2010. É possível usar a instalação delegada para permitir que os administradores
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 5/56
que não sejam membros do grupo de funções Gerenciamento da Organizaçãoconfigurem servidores subsequentes. Para mais detalhes, consulte Provisionar ainstalação do representante e do servidor Exchange 2010.
• Permissões do sistema de arquivos A Instalação do Exchange 2010 atribui omínimo de permissões obrigatórias no sistema de arquivos no qual os binários e
os dados do Exchange são armazenados. Você não deve fazer nenhuma alteraçãonas listas de controle de acesso (ACLs) nas pastas raiz e na pasta Arquivos dePrograma no sistema de arquivos.
• Caminhos de instalação Recomendamos a instalação dos binários doExchange 2010 em uma unidade de não sistema (um volume diferente de onde osistema operacional está instalado). Os bancos de dados e os logs de transaçãodo Exchange podem crescer rapidamente, devendo estar localizados em volumesde não sistema dimensionados para a capacidade e o desempenho. Muitos outroslogs gerados por componentes do Exchange diferentes, como logs de transporte,também são armazenados no mesmo caminho de instalação dos binários do
Exchange, podendo crescer de maneira significativa, dependendo daconfiguração e do ambiente do sistema de mensagens. No Exchange 2010, otamanho máximo de muitos arquivos de log e o espaço de armazenamentomáximo que uma pasta de arquivo de log podem ocupar são configuráveis,sendo definidos como um padrão de 250 Megabytes. Para evitar umainterrupção do sistema em potencial por conta de pouco espaço em disco,recomendamos avaliar os requisitos de registro em log para cada função deservidor e configurar as opções do registro em log, além dos locais dearmazenamento de arquivo de log, de acordo com os requisitos.
• Bloqueando clientes do Outlook herdados Com base nos requisitos, é
possível configurar o bloqueio do cliente Outlook para bloquear versões docliente Outlook herdados. Determinados recursos do Exchange 2010, comoRegras de Proteção e Arquivos Pessoais do Outlook, não oferecem suporte aclientes do Outlook herdados. Para obter mais informações sobre o bloqueio docliente Outlook, consulte Configurar o bloqueio do cliente Outlook para ogerenciamento de registros de mensagens.
• Desvinculando endereços SMTP de nomes de usuário Por padrão, oExchange gera endereços de email e aliases com base no nome do usuário dacaixa de correio. Muitas organizações criam uma política de endereço de emailadicional para desvincular endereços de email do usuário de nomes de usuário
tendo em vista uma segurança ainda maior. Por exemplo, caso o nome deusuário Ben Smith seja bsmith e o domínio seja contoso.com, o endereço deemail primário gerado pela política de endereço de email padrão é
[email protected]. É possível criar uma política de endereço de emailadicional para gerar endereços de email que não usam o alias ou o nome deusuário. Por exemplo, a criação de uma política de endereço de email para usar omodelo %g.%s@domain gera endereços de email no formato
Nome.Sobrenome@domínio. Para o usuário Ben Smith, a política gerará oendereço [email protected]. Ou será possível desvincular endereços deemail de nomes de usuário especificando-se um alias diferente do nome deusuário quando você criar ou habilitar uma caixa de correio.
Observação:
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 6/56
Se o endereço SMTP primário de um usuário não corresponder ao UPN da conta,o usuário não poderá utilizar o endereço de email para entrar noMicrosoft Escritório Outlook Web App e deverá fornecer um nome de usuáriousando o formato DOMÍNIO\nome_de_usuário. Ao utilizar o Microsoft Outlook,o usuário deve fornecer o nome de usuário no formato
DOMÍNIO\nome_de_usuário caso credenciais sejam solicitadas quando oOutlook se conectar ao serviço Descoberta Automática.Microsoft Update
O Microsoft Update é um serviço que oferece os mesmos downloads que oMicrosoft Windows Update – mais as atualizações mais recentes para outros programasda Microsoft. Ele pode ajudar a manter o servidor mais seguro e com melhor desempenho.
Um recurso fundamental do Microsoft Update é a Atualização Automática do Windows.Esse recurso instala automaticamente as atualizações de alta prioridade fundamentais
para a segurança e confiabilidade do computador. Sem essas atualizações de segurança,seu computador fica mais vulnerável a ataques de criminosos da Internet ou desoftwares mal intencionados (malware).
O modo mais confiável de usar o Microsoft Update é receber as atualizaçõesautomaticamente no computador com a Atualização Automática do Windows. Você
pode ligar as Atualizações Automáticas quando se inscrever no Microsoft Update.
O Windows então analisará o software Microsoft instalado em seu computador e verá sehá atualizações de alta prioridade atuais ou antigas que sejam necessárias e em seguida
fará o download e instalação automaticamente. Depois disso, quando você se conectar àInternet, o Windows repetirá o processo de atualização se houver novas atualizações dealta prioridade.
Para habilitar o Microsoft Update, consulte Microsoft Update (em inglês).
O modo padrão do Microsoft Update exige que todos os servidores do Exchangeestejam conectados à Internet para receber atualizações automáticas. Se você estiver executando servidores sem conexão à Internet, poderá instalar o WSUS (WindowsServer Update Services) para gerenciar a distribuição de atualizações para oscomputadores da organização. Você poderá então configurar o Microsoft Update nos
computadores internos do Microsoft Exchange para que entre em contato com oservidor WSUS interno para fazer atualizações. Para obter mais informações, consulteMicrosoft Windows Server Update Services 3.0 (em inglês).
O WSUS não é a única solução disponível para gerenciamento do Microsoft Update.Para obter mais informações sobre as versões de segurança, os processos, ascomunicações e as ferramentas da Microsoft, consulte Microsoft Security UpdateGuide.
Tarefas que Deixaram de ser Obrigatórias no Exchange 2010
Não é mais necessário instalar ou executar as seguintes ferramentas:
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 7/56
• A ferramenta de segurança URLScan não é obrigatória para o IIS 7. Em versõesanteriores do Microsoft Exchange, era uma prática comum instalar ferramentasdo IIS, como URLScan para proteger uma instalação do IIS. O Exchange 2010exige o Windows Server 2008, que inclui o IIS 7. Muitos dos recursos desegurança originalmente disponíveis na UrlScan agora estão disponíveis nos
recursos de Filtragem de Solicitações do IIS 7.• Não é mais necessário instalar o Analisador de Práticas Recomendadas do
Exchange. Em versões anteriores do Microsoft Exchange, era uma práticacomum instalar e executar o Analisador de Práticas Recomendadas do Exchangeantes da instalação e regularmente depois disso. A Instalação do Exchange 2010inclui os componentes do Analisador de Práticas Recomendadas do Exchange eos executa durante a instalação. Não é necessário executar o Analisador dePráticas Recomendadas do Exchange antes da instalação.
• Você não precisa mais usar o Assistente de Configuração de Segurança (ACS)ou os modelos do Exchange para ACS. A Instalação do Exchange 2010 só
instala os serviços necessários a uma determinada função de servidor doExchange e cria regras do Firewall do Windows Segurança Avançada para abrir apenas as portas necessárias aos serviços e aos processos para essa função deservidor. Não é mais necessário executar o Assistente de Configuração deSegurança (ACS) para isso. Diferentemente do Exchange Server 2007, oExchange 2010 não está incluído nos modelos do ACS.
Mantendo a segurança – Práticas recomendadas
Essas práticas recomendadas ajudarão a manter o ambiente do Exchange 2010 protegido.
Mantendo o software atualizado
Como mencionado anteriormente, executar o Microsoft Update é uma práticarecomendada. Além de executar o Microsoft Update em todos os servidores, também émuito importante manter todos os computadores clientes atualizados e manter atualizações antivírus em todos os computadores da organização.
Além dos softwares da Microsoft, verifique se você está executando as atualizaçõesmais recentes de todos os softwares executados na organização.
Atualizações de antispam
O Exchange 2010 também usa a infra-estrutura do Microsoft Update para atualizar osfiltros anti-spam. Por padrão, com atualizações manuais, o administrador deve visitar oMicrosoft Update para baixar e instalar as atualizações de filtro de conteúdo. Os dadosde atualização do filtro de conteúdo são atualizados e disponibilizados a cada duassemanas.
Atualizações manuais do Microsoft Update incluem o Serviço de Reputação de IP daMicrosoft ou dados de assinatura de spam. O Serviço de Reputação de IP da Microsoft e
dados de assinatura de spam estão disponíveis somente com o Forefront Security paraatualizações automáticas anti-spam do Exchange Server.
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 8/56
Para obter mais informações sobre como habilitar as atualizações automáticas anti-spamdo Forefront, consulte Noções Básicas Sobre Atualizações de Antispam.
Executando software antivírus
Vírus, worms e outros conteúdos mal intencionados transmitidos por sistemas de emailsão uma realidade destrutiva enfrentada por muitos administradores do MicrosoftExchange. Portanto, você precisa desenvolver uma implantação de antivírus defensiva
para todos os sistemas de mensagens. Esta seção fornece práticas recomendadas para aimplantação de software antivírus para o Exchange 2010.
Você deve dar atenção adicional a duas alterações importantes no Exchange2010 quando você selecionar um fornecedor de software antivírus:
• Desde o Exchange Server 2007, o Microsoft Exchange é baseado em umaarquitetura de 64 bits.
• O Exchange 2010 inclui funcionalidade do agente de transporte.
Essas duas alterações significam que os fornecedores de antivírus devem fornecer softwares específicos do Exchange 2010. Qualquer software antivírus desenvolvido paraversões anteriores do Exchange provavelmente não funcionará corretamente com oExchange 2010.
Para usar abordagem de defesa em profundidade, recomendamos que você implante umsoftware antivírus projetado para sistemas de mensagens no gateway do protocoloSMTP ou nos servidores Exchange que hospedam caixas de correio, além de softwares
antivírus no computador do usuário.Você decide quais tipos de software antivírus usar e onde o software é implantadodeterminando o equilíbrio apropriado entre o custo e o risco que está disposto a assumir.Por exemplo, algumas organizações executam software antivírus para mensagens nogateway SMTP, varredura antivírus no nível dos arquivos no servidor Exchange esoftware de cliente antivírus no computador do usuário. Essa abordagem fornece
proteção específica do sistema de mensagens no cliente. Outras organizações podemtolerar custos mais altos e melhorar a segurança, executando softwares antivírus paramensagens no gateway SMTP, varredura antivírus no nível dos arquivos no servidor Exchange e software cliente antivírus no computador do usuário, juntamente com um
software antivírus compatível com o VSAPI 2.5 (Virus Scanning ApplicationProgramming Interface) do Exchange no servidor de Caixa de Correio do Exchange.
Executando software antivírus em Servidores de Transporte de Hub e de Transporte deBorda
O software antivírus baseado no transporte é implementado como ou inclui agentes detransporte. Os agentes de transporte agem em eventos de transporte, semelhantes aoscoletores de eventos em versões anteriores do Microsoft Exchange. Para mais detalhes,consulte Noções Básicas Sobre Agentes de Transporte.
Observação:
Mensagens que não são roteadas por transporte, como itens em postas públicas, Itens
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 9/56
enviados e itens de calendário, que só podem ser analisadas em um servidor de Caixa deCorreio, não são protegidas por análise de vírus somente em transporte.
Os desenvolvedores de terceiros podem gravar agentes de transporte personalizados para tirar proveito do mecanismo subjacente de análise de MIME do para verificação
robusta antivírus no nível de transporte. Para uma lista dos parceiros de antispam ouantivírus do Exchange, consulte Fornecedores de Software Independentes.
Além disso, o Forefront Protection for Exchange Server é um pacote de softwareantivírus altamente integrado com o Exchange 2010 e oferece proteção antivírusadicional para o seu ambiente do Exchange. Para obter mais informações, consulteMicrosoft Forefront Protection 2010 para Exchange Server .
O local mais importante para executar o software antivírus de mensagens seja na primeira linha de defesa de sua organização. Este é o gateway SMTP por meio do qualas mensagens externas entram no ambiente do sistema de mensagens. No Exchange
2010, a primeira linha de defesa é o servidor Transporte de Borda.
Se usar um servidor SMTP ou gateway do Exchange para receber email de entrada antesdo Exchange, você deverá implementar funcionalidade anti-spam e antivírus suficientenos hosts SMTP do Exchange.
No Exchange 2010, todas as mensagens são roteadas por meio de um servidor Transporte de Hub. Isso inclui mensagens enviadas ou recebidas fora da organização doExchange e mensagens enviadas dentro da organização do Exchange. Mensagensenviadas para uma caixa de correio localizada no mesmo servidor Caixa de Correio do
remetente. Para se proteger bem contra epidemias de vírus de dentro da organização e para fornecer uma segunda linha de defesa, também recomendamos que você execute osoftware antivírus com base em transporte no servidor de Transporte de Hub.
Executando software antivírus em servidores Caixa de Correio
Além da verificação de vírus em servidores de transporte, uma solução de verificaçãoAPI de Verificação de Vírus do Microsoft Exchange (VSAPI) em execução nosservidores Caixa de Correio pode ser uma camada importante de defesa em muitasorganizações. Você deve considerar a possibilidade de usar uma solução antivírusVSAPI se alguma das seguintes condições for verdadeira:
• Sua organização não possui produtos antivírus de área de trabalho completos econfiáveis implantados.
• Sua organização deseja a proteção adicional que a verificação dos bancos dedados de caixa de correio pode oferecer.
• Sua organização desenvolver aplicativos personalizados com acesso programático a um banco de dados do Exchange.
• Sua comunidade de usuários costuma postar mensagens em pastas públicas.
Soluções antivírus que usam o VSAPI do Exchange são executadas diretamente do processo do repositório de informações do Exchange. As soluções VSAPI são
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 10/56
provavelmente as únicas que podem proteger contra vetores de ataque que colocamconteúdo infectado dentro do repositório de informações do Exchange, ignorando averificação de transporte e no cliente padrão. Por exemplo, VSAPI é a única soluçãoque verifica dados enviados a um banco de dados por CDO (objetos de colaboração dedados), WebDAV e Serviços Web do Exchange (EWS). Além disso, quando ocorre
uma epidemia de vírus, freqüentemente uma solução VSAPI fornece o modo maisrápido de remover e eliminar vírus de um banco de dados de email infectado.
Exchange Server e antivírus do sistema de arquivos
Se você implantar o software antivírus do sistema de arquivos para proteger osservidores do Exchange, considere o seguinte:
• Você deve excluir diretórios de servidor do Exchange nos quais as caixas decorreio e os bancos de dados de pastas públicas do Exchange estão armazenadosdos verificadores de vírus. Para detalhes, consulte Verificação Antivírus em
Nível de Arquivo no Exchange 2010.• Verificadores antivírus do sistema de arquivos só protegem arquivos. Para
proteger mensagens de email, você também deve considerar a implementação doantivírus com suporte ao Exchange ou produtos de segurança do sistema demensagens, como incluir o Microsoft Forefront ou produtos apropriados deterceiros ou de parceiros. Para obter detalhes sobre a proteção anti-spam eantivírus, consulte Noções Básicas Sobre a Funcionalidade Antispam eAntivírus. Para obter detalhes, consulte Forefront Protection 2010 for ExchangeServer: Visão geral.
• Você deve manter assinaturas de antivírus e anti-spam atualizadas para obter uma proteção efetiva.
• Os relatórios de software ou serviços de antivírus e anti-spam devem ser revisados regularmente para assegurar que a proteção esteja habilitada efuncionando conforme desejado, detectar incidentes rapidamente e realizar qualquer ação necessária.
Usando o Exchange Hosted Services
A filtragem de spam e vírus é aprimorada por ou também está disponível como umserviço dos Serviços Hospedados pelo Microsoft Exchange. O Exchange HostedServices representa um conjunto de quatro serviços hospedados distintos:
• Filtragem Hospedada, que ajuda as organizações a se protegerem contramalware proveniente de email
• Arquivo Hospedado, que ajuda organizações a atender aos requisitos de retençãoe conformidade
• Criptografia Hospedada, que ajuda as organizações a criptografar dados para preservar a confidencialidade
• Continuidade Hospedada, que ajuda organizações a preservar o acesso ao email
durante e após interrupções
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 11/56
Esses serviços se integram a todos os servidores do Exchange locais gerenciadosinternamente. Para mais informações, consulte Forefront Online Protection paraExchange.
Usando filtragem de anexos
No Exchange 2010, a filtragem de anexos permite aplicar filtros nos servidoresTransporte de Borda para controlar os anexos que os usuários recebem. A filtragem deanexos é muito importante no ambiente atual, em que vários tipos de anexo contêmvírus perigosos ou materiais inadequados que podem causar danos significativos aocomputador do usuário ou à organização como um todo, danificando documentaçõesimportantes ou liberando informações confidenciais ao público.
Você pode usar os seguintes tipos de filtragem de anexos para controlar anexos queentram ou saem da organização por meio de um servidor Transporte de Borda:
Filtragem baseada no nome do arquivo ou na extensão do nome do arquivo Você pode filtrar anexos especificando o nome exato do arquivo ou a extensão do nome doarquivo a ser filtrado. Um exemplo de um nome de arquivo exato é BadFilename.exe.Um exemplo de um filtro de extensão de nome de arquivo é *.exe.
Filtragem baseada no tipo de conteúdo MIME do arquivo Também é possívelfiltrar anexos especificando o tipo de conteúdo MIME a ser filtrado. Os tipos deconteúdo MIME indicam o que é o anexo, uma imagem JPEG, um arquivo executável,um arquivo do Microsoft Escritório Excel 2010 ou algum outro tipo de arquivo. Ostipos de conteúdo são expressados como tipo/subtipo. Por exemplo, o tipo de conteúdo
de imagem JPEG é expressado como image/jpeg.Se um anexo corresponder a um desses critérios de filtragem, você poderá configurar asseguintes ações a serem executadas no anexo:
• Bloquear mensagem inteira e anexo• Remover anexo, mas permitir mensagem
• Excluir mensagem e anexo de maneira silenciosa
Para mais detalhes, consulte Noções Básicas Sobre Filtragem de Anexos.
Observação:
Não é possível usar o agente Filtro de Anexos para filtrar anexos com base no conteúdo.É possível usar regras de transporte para inspecionar a mensagem e o conteúdo doanexo, além de realizar ações, como excluir ou rejeitar a mensagem ou proteger amensagem e os anexos do IRM. Para detalhes, consulte Noções Básicas Sobre Regras deTransporte.Filtragem de Arquivos Usando o Forefront Protection para Exchange Server
A funcionalidade de filtragem de arquivos fornecida pelo Forefront Protection for Exchange Server inclui recursos avançados não disponíveis no agente Filtro de Anexos
incluído no Exchange 2010.
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 12/56
Por exemplo, é possível verificar nos arquivos de contêiner, que são arquivos quecontem outros arquivos, a presença de tipos de arquivo ofensivos. Forefront A filtragemdo Exchange Protection para Server pode verificar os seguintes arquivos de contêiner eagir sobre os arquivos incorporados:
• PKZip (.zip)• GNU Zip (.gzip)
• Arquivo compactado de extração automática (.zip)
• Arquivos compactados (.zip)
• Arquivo Java (.jar)
• TNEF (winmail.dat)
• repositório estruturado (.doc, .xls, .ppt, etc.)
• MIME (.eml0)
• SMIME (.eml)
• UUEncode (.uue)
• Arquivo de fita Unix (.tar)
• Arquivo RAR (.rar)
• MACBinary (.bin)
Observação:
O agente Filtro de Anexos incluído no Exchange 2010 detecta tipos de arquivo, mesmoque tenham sido renomeados. A Filtragem de Anexo também assegura que os arquivosZip e LZH compactados não contenham anexos bloqueados, comparando uma extensãode nome de arquivo com os arquivos contidos no Zip ou no LZH compactado. Afiltragem de arquivos do Forefront Protection for Exchange Server tem o recursoadicional de determinar se um anexo bloqueado foi renomeado dentro de um arquivo decontêiner.
Também é possível filtrar arquivos pelo tamanho. Além disso, é possível configurar o
Forefront Protection for Exchange para colocar os arquivos filtrados em quarentena ou para enviar notificações de email com base nas correspondências do filtro de arquivosdo Exchange.
Para obter mais informações, consulte Protegendo sua organização do MicrosoftExchange com o Microsoft Forefront Security para Exchange Server (em inglês).
Executando o Exchange Best Practices Analyzer
O Best Practices Analyzer do Exchange é um das ferramentas mais eficazes que você
pode executar regularmente para ajudar a verificar se seu ambiente do Exchange estáseguro. O Best Practices Analyzer do Exchange examina automaticamente umaimplantação do Microsoft Exchange Server e determina se está configurada de acordo
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 13/56
com as práticas recomendadas do Microsoft. No Exchange 2010, o Analisador dePráticas Recomendadas do Exchange é instalado como parte da Instalação do Exchangee pode ser executado na seção Ferramentas do Console de Gerenciamento Exchange(EMC). Com o acesso de rede apropriado, o Analisador de Práticas Recomendadas doExchange examina todos os servidores dos Serviços de Domínio Active Directory (AD
DS) e os servidores do Exchange. O Analisador de Práticas Recomendadas doExchange inclui verificações de herança das permissões. Além disso, ele testa avalidação das permissões RBAC. Isso inclui testes para garantir que todos os usuários
possam acessar o Painel de Controle do Exchange (ECP), se todas as funções RBAC padrão criadas pela Instalação do Exchange estão configuradas corretamente e se há pelo menos uma conta administrativa presente na organização do Exchange.
Uso da porta de rede e proteção de firewall
O Windows Server 2008 inclui o Firewall do Windows com Segurança Avançada, umfirewall de inspeção do pacote com estado habilitado por padrão. O Firewall do
Windows com Segurança Avançada fornece a seguinte funcionalidade:
• Filtragem de todo o tráfego IP versão 4 (IPv4) e IP versão 6 (IPv6) que entra ousai do computador. Por padrão, todo o tráfego de entrada é bloqueado, a menosque seja uma resposta a uma solicitação de saída anterior no computador (tráfego solicitado), ou seja especificamente permitido por uma regra criada para
permitir esse tráfego. Por padrão, todo o tráfego de saída é permitido, exceto por regras de proteção do serviço que impeçam serviços padrão de se comunicaremde maneiras inesperadas. É possível optar por permitir tráfego com base emnúmeros de porta, endereços IPv4 ou IPv6, caminho e nome de um aplicativo,
ou o nome de um serviço em execução no computador, ou outros critérios.• Proteção do tráfego de rede ou que deixa o computador usando o protocoloIPsec para verificar a integridade do tráfego de rede, autenticar a identidade doscomputadores ou usuários de envio e recebimento, além de criptografar comoopção para fornecer confidencialidade.
O Exchange 2010 foi projetado para ser executado com o Firewall do Windows Server com Segurança Avançada habilitado. A Instalação do Exchange cria as regras defirewall obrigatórias para permitir a comunicação dos serviços e dos processos doExchange. Ela só cria as regras obrigatórias para os serviços e os processos instaladosem uma determinada função de servidor. Para obter mais detalhes sobre o uso da porta
de rede e as regras de firewall criadas para cada função de servidor do Exchange 2010,consulte Referência de porta de rede do Exchange.
No Windows Server 2008 e no Windows Server 2008 R2, o Firewall do Windows comSegurança Avançada permite especificar o processo ou serviço para o qual a porta éaberta. Isso é mais seguro porque restringe o uso da porta para o processo ou serviçoespecificado na regra. A Instalação do Exchange 2010 cria regras de firewall com onome do processo especificado. Em alguns casos, uma regra adicional que não é restritaao processo também é criada para fins de compatibilidade. É possível desabilitar ouremover as regras que não são restritas aos processos e manter as regrascorrespondentes também criadas pela Instalação do Exchange 2010 e restritas aos
processos se a implantação oferece suporte para elas. Regras não restritas a processossão diferenciadas pela palavra (GFW) no nome da regra. Recomendamos realizar testes
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 14/56
das regras o suficiente no ambiente para ser possível desabilitar as regras restritas a um processo.
Esta tabela lista as regras do Firewall do Windows criadas pela Instalação Exchange,incluindo as portas abertas em cada função de servidor.
Regras do Firewall do Windows
Nome da regra Funções de servidor Porta
MSExchangeRPCEPMap (GFW)(TCP-In)
Todas as funções RPC-EPMap
MSExchangeRPC (GFW) (TCP-In)Acesso para Cliente, Transportede Hub, Caixa de Correio eUnificação de Mensagens
RPC dinâmico
MSExchange - IMAP4 (GFW) (TCP-
In)
Acesso para cliente 143, 993 (TCP)
MSExchange - POP3 (GFW) (TCP-In) Acesso para cliente 110, 995 (TCP)MSExchange - OWA (GFW) (TCP-In)
Acesso para cliente5075, 5076,5077 (TCP)
MSExchangeMailboxReplication(GFW) (TCP-In)
Acesso para cliente 808 (TCP)
MSExchangeIS (GFW) (TCP-In) Caixa de Correio6001, 6002,6003, 6004(TCP)
MSExchangeTransportWorker (GFW)(TCP-In)
Transporte de Hub 25, 587 (TCP)
SESWorker (GFW) (TCP-In) Unificação de Mensagens qualquer um
UMService (GFW) (TCP-In) Unificação de Mensagens5060, 5061(TCP)
UMWorkerProcess (GFW) (TCP-In) Unificação de Mensagens5065, 5066,5067, 5068
Importante:
Ao modificar a porta padrão usada por um serviço do Exchange 2010, você tambémdeve modificar a regra de firewall do Firewall do Windows com Segurança Avançada
para permitir a comunicação na porta não padrão que optou por usar. O Exchange 2010não altera regras de firewall quando você altera portas padrão usadas para um serviço.
Parâmetros de limitação e políticas de limitação do cliente
O Exchange 2010 inclui parâmetros de limitação em funções de servidor Transporte,servidor de Acesso do Cliente e Caixa de Correio para controlar parâmetros diferentesde conexões relacionadas a cada protocolo. O Exchange 2010 também inclui políticasde limitação do cliente para controlar a carga em servidores de Acesso do Cliente. Esses
parâmetros e políticas de limitação ajudam a controlar a carga e proteger servidores doExchange 2010 de ataques de negação de serviço direcionados a protocolos diferentes.
Parâmetros de limitação em servidores de transporte
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 15/56
Em servidores de Transporte do Exchange 2010, os parâmetros de limitação demensagem são implementados no servidor e nos conectores Enviar e Receber paracontrolar taxas de processamento da mensagem, taxas de conexão SMTP e valores detempo limite da sessão SMTP. Juntos, esses parâmetros de limitação protegemservidores de transporte de serem sobrecarregados aceitando e entregando muitas
mensagens, oferecendo proteção contra clientes não autorizados SMTP e ataques denegação de serviço.
É possível configurar as políticas de limitação a seguir em servidores Transporte doExchange 2010 usando-se o cmdlet Set-TransportServer .
Parâmetros de limitação do servidor de transporte
Parameter Descrição
MaxConcurrentMailboxDeliveries
O parâmetro MaxConcurrentMailboxDeliveries especifica onúmero máximo de threads de entrega que oservidor de Transporte de Hub pode ter abertos ao mesmo tempo para entregar mensagens a caixas de correio. O driver derepositório no servidor de Transporte de Hub éresponsável pela entrega de mensagens de e
para servidores de Caixa de Correio. Esselimite se aplica à entrega de mensagens aqualquer caixa de correio na organização doExchange.
Padrão 20 entregas
MaxConcurrentMailboxSubmissions
O parâmetro MaxConcurrentMailboxSubmissions especifica o número máximo de threads deentrega que o servidor de Transporte de Hub
pode ter abertos ao mesmo tempo para aceitar mensagens de caixas de correio. O driver derepositório no servidor de Transporte de Hub éresponsável pela entrega de mensagens de e
para servidores de Caixa de Correio. Esse
limite se aplica à aceitação de novasmensagens de qualquer caixa de correio naorganização do Exchange.
Padrão 20 envios MaxConnectionRatePerMinute O parâmetro MaxConnectionRatePerMinute
especifica a taxa máxima em que novasconexões de entrada podem ser abertas noservidor de Transporte de Hub ou servidor deTransporte de Borda. Essas conexões sãoabertas para qualquer Conector de
recebimento que existe no servidor.
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 16/56
Padrão 1.200 conexões por minuto.
MaxOutboundConnections
O parâmetro MaxOutboundConnections especifica o número máximo de conexões desaída simultâneas que o servidor de Transportede Hub ou o servidor de Transporte de Borda
pode ter abertas ao mesmo tempo. Asconexões de saída ocorrem usando osConectores de envio existentes no servidor. Ovalor que é especificado pelo parâmetro
MaxOutboundConnections se aplica a todos osConectores de envio existentes no servidor detransporte.
Padrão 1.000 conexões.
Se você inserir um valor ilimitado, não seráimposto um limite para o número de conexõesde saída.
Esse valor pode ser configurado com a EMC.
MaxPerDomainOutboundConnections
O parâmetro MaxPerDomainOutboundConnections especifica o número máximo de conexões queum servidor de Transporte de Hub ou servidor de Transporte de Borda voltado para a Internet
pode ter abertas para qualquer domínio remoto
único. As conexões de saída com domíniosremotos ocorrem usando os Conectores deenvio existentes no servidor.
Padrão 20 conexões por domínio
Se você inserir um valor ilimitado, não seráimposto um limite para o número de conexõesde saída por domínio.
Esse valor pode ser configurado com a EMC.
PickupDirectoryMaxMessagesPerMinute O parâmetro MaxPerDomainOutboundConnections especifica a taxa de processamento demensagens para os diretórios Retirada eRepetição. Cada diretório pode processar arquivos de mensagem independentemente navelocidade que é especificada pelo parâmetro
PickupDirectoryMaxMessagesPerMinute.Padrões Por padrão, o Diretório derecebimento pode processar 100 mensagens
por minuto, e o Diretório de repetição pode processar 100 mensagens por minuto
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 17/56
simultaneamente.
O Diretório de recebimento e o Diretório derepetição verificam novos arquivos demensagem a cada 5 segundos ou 12 vezes por
minuto. Esse intervalo de sondagem de 5segundos não é configurável. Isso significaque o número máximo de mensagens que
podem ser processadas durante cada intervalode sondagem é o valor atribuído ao parâmetro
PickupDirectoryMaxMessagesPerMinute dividido por 12(PickupDirectoryMaxMessagesPerMinute/12).Por padrão, só podem ser processadasaproximadamente oito mensagens por intervalo de sondagem de 5 segundos.
Parâmetros de limitação em conectores de envio
Os parâmetros de limitação a seguir estão disponíveis em conectores de envio. Use ocmdlet Send-Connector para configurar esses parâmetros.
Parâmetros de limitação do conector de envio
Parameter Descrição
ConnectionInactivityTimeOut
O parâmetro ConnectionInactivityTimeOut especificao tempo máximo que uma conexão SMTP aberta com
um servidor de mensagem de destino pode permanecer ociosa antes que a conexão seja fechada.
Padrão 10 minutos.
SmtpMaxMessagesPerConnection
O parâmetro SmtpMaxMessagesPerConnection especifica o número máximo de mensagens que esseservidor do conector de envio pode enviar por conexão.
Padrão 20 mensagensParâmetros de limitação em conectores de recebimento
É possível configurar os parâmetros de limitação a seguir em conectores de recebimentonos servidores Transporte do Exchange 2010 para controlar parâmetros de conexão,como tempos limite de inatividade, número máximo de conexões e número de erros do
protocolo SMTP permitidos durante uma conexão. Use o cmdlet Set-ReceiveConnector para configurar esses parâmetros.
Parâmetros de limitação do conector de recebimento
Parameter Descrição
ConnectionInactivityTimeOut O parâmetro ConnectionInactivityTimeOut
especifica o tempo máximo que umaconexão SMTP aberta com um servidor de
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 18/56
mensagem de origem pode permanecer ociosa antes que a conexão seja fechada.
Padrão em servidores Transporte de
Hub 5 minutos.
Padrão em servidores Transporte de
Borda 1 minuto.
ConnectionTimeOut
O parâmetro ConnectionTimeOut especificao tempo máximo que uma conexão SMTPaberta com um servidor de mensagem deorigem pode permanecer aberta, mesmo seo servidor de mensagem de origem estiver transmitindo dados.
Padrão em servidores Transporte deHub 10 minutos
Padrão em servidores Transporte de
Borda 5 minutos.
O valor especificado pelo parâmetroConnectionTimeout deve ser maior que ovalor especificado pelo parâmetroConnectionInactivityTimeout.
MaxInboundConnection
O parâmetro MaxInboundConnection
especifica o número máximo de conexõesSMTP de entrada que esse Conector derecebimento permite simultaneamente.
Padrão 5.000
MaxInboundConnectionPercentagePerSour ce
O parâmetro MaxInboundConnectionPercentagePerSour
ce especifica o número máximo deconexões SMTP que um Conector derecebimento permite simultaneamente a
partir de um único servidor de mensagens
de origem. O valor é expresso como a porcentagem de conexões restantesdisponíveis em um conector derecebimento. O número máximo deconexões permitidas pelo Conector derecebimento é definido pelo parâmetro
MaxInboundConnection. Padrão 2 por cento
MaxInboundConnectionPerSource O parâmetro MaxInboundConnectionPerSource especifica o número máximo de conexões
SMTP que um Conector de recebimento permite simultaneamente a partir de um
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 19/56
único servidor de mensagens de origem.
Padrão 100 conexões
MaxProtocolErrors
O parâmetro MaxProtocolErrors especificao número máximo de erros de protocolo
SMTP que um Conector de Recebimento permite antes de fechar a conexão com oservidor de mensagens de origem.
Padrão 5 errosParâmetros de limitação para o serviço POP3
Os parâmetros de limitação a seguir estão disponíveis para o serviço POP3 doMicrosoft Exchange em servidores Acesso do Cliente. Use o cmdlet Set-POPSettings
para configurar esses parâmetros. Para detalhes, consulte Definir Limites de Conexão para POP3.
Parâmetros de limitação do serviço POP3
Parameter Descrição
MaxCommandSize
O parâmetro MaxCommandSize especifica otamanho máximo de um único comando. Osvalores possíveis são de 40 a 1.024 bytes.
Padrão 40 bytes.
MaxConnectonFromSingleIP
O parâmetro MaxConnectionFromSingleIP especifica o número de conexões que o servidor especificado aceita de um único endereço IP. Osvalores possíveis são de 1 a 25.000.
Padrão 2.000 conexões
MaxConnections
O parâmetro MaxConnections especifica onúmero total de conexões que o servidor especificado aceita. Isso inclui conexõesautenticadas e não autenticadas. Os valores
possíveis são de 1 a 25.000.
Padrão 2,000 conexões.
MaxConnectionsPerUser
O parâmetro MaxConnectionsPerUser especificao número máximo de conexões que o servidor deAcesso do Cliente aceita de um determinadousuário. Os valores possíveis são de 1 a 25.000.
Padrão 16 conexões.
PreAuthenticationConnectionTimeOut
O parâmetro PreAuthenticatedConnectionTimeout especifica o tempo a aguardar antes de encerrar uma conexão ociosa que não seja autenticada. Osvalores possíveis são de 10 a 3,600 segundos.
Padrão 60 segundos.
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 20/56
Parâmetros de limitação para o serviço IMAP4
Os parâmetros de limitação a seguir estão disponíveis para o serviço IMAP4 doMicrosoft Exchange em servidores Acesso do Cliente. Use o cmdlet Set-IMAPSettings
para configurar esses parâmetros. Para detalhes, consulte Definir os Limites de Conexão
para IMAP4.
Parâmetros de limitação do serviço IMAP4
Parameter Descrição
AuthenticationConnectionTimeOut
O parâmetro AuthenticatedConnectionTimeout especifica o período para aguardar antes deencerrar uma conexão autenticada ociosa. Os
valores possíveis são de 30 a 86.400 segundos.Padrão 1.800 segundos
MaxCommandSize
O parâmetro MaxCommandSize especifica otamanho máximo de um único comando. Otamanho padrão é de 40 bytes. Os valores
possíveis são de 40 a 1.024 bytes.
Padrão 40 bytes.
MaxConnectionFromSingleIP
O parâmetro MaxConnectionFromSingleIP especifica o número de conexões que o servidor especificado aceita de um único endereço IP. Osvalores possíveis são de 1 a 25.000.
Padrão 2.000 conexões
MaxConnections
O parâmetro MaxConnections especifica onúmero total de conexões que o servidor especificado aceita. Isso inclui conexõesautenticadas e não autenticadas. Os valores
possíveis são de 1 a 25.000.
Padrão 2.000 conexões
MaxConnectionsPerUser
O parâmetro MaxConnectionsPerUser especificao número máximo de conexões que o servidor deAcesso do Cliente aceita de um determinadousuário. Os valores possíveis são de 1 a 25.000.
Padrão 16 conexões.
PreAuthenticatedConnectionTimeOut
O parâmetro PreAuthenticatedConnectionTimeout especifica o tempo a aguardar antes de encerrar uma conexão ociosa que não seja autenticada. Osvalores possíveis são de 10 a 3600 segundos.
Padrão 60 segundos
Diretivas de Aceleração de Cliente
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 21/56
No Exchange 2010, é possível usar políticas de limitação do cliente para gerenciar odesempenho do servidor Acesso do Cliente controlando-se parâmetros, como o númerode conexões simultâneas para cada protocolo de acesso do cliente, a porcentagem detempo que uma sessão do cliente pode usar para executar operações LDAP, RPC eoperações de acesso do cliente. Existe uma política de limitação do cliente padrão que
costuma ser suficiente para gerenciar a carga colocada em servidores Acesso do Cliente.É possível modificar os parâmetros de política padrão ou criar políticas personalizadas para atender aos requisitos da implantação.
Há políticas de limitação disponíveis para os seguintes grupos de usuários e os métodosde acesso:
• Acesso anônimo• Acesso na instalação (CPA)
• Exchange ActiveSync (EAS)
• Serviços Web do Exchange (EWS)
• IMAP
• POP
• Outlook Web App (OWA)
• Acesso para Cliente do RPC (RCA)
As configurações de limitação a seguir estão disponíveis em políticas de limitação do
cliente para cada um destes grupos de usuários (EAS, EWS, IMAP, OWA, POP, eRCA).
Configurações de política de limitação do cliente
Configuração de limitaçãoAcesso
anônimoCPA EAS EWS IMAP OWA POP RCA
Simultaneidade máxima Sim Sim Sim Sim Sim Sim Sim SimPorcentagem de tempo no AD Sim N. D. Sim Sim Sim Sim Sim SimPorcentagem de tempo no CAS Sim Sim Sim Sim Sim Sim Sim Sim
Porcentagem de tempo na RPCda caixa de correio Sim Sim Sim Sim Sim Sim Sim Sim
CPA Acesso na instalação
EAS Exchange ActiveSync
EWS Serviços Web do Exchange
OWA Outlook Web App
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 22/56
Além dessas configurações de limitação baseadas em grupos de usuários e métodos deacesso, as configurações de limitação a seguir estão disponíveis em uma política delimitação do cliente.
Parâmetros de política de limitação do cliente
Parameter Descrição
CPUStartPercent
O parâmetro CPUStartPercent especifica a porcentagem da CPU da base por processo com queos usuários governados por esta diretiva começam aser retirados. Os valores válidos são de 0 a 100. Use$null para desativar a limitação com base na
porcentagem da CPU para esta diretiva.
EASMaxDeviceDeletesPerMonth
O parâmetro EASMaxDeviceDeletesPerMonth especifica um limite do número de sociedade do
Exchange ActiveSync que um usuário pode excluir por mês. Por padrão, cada usuário pode excluir ummáximo de 20 sociedades por mês corrido. Quandoo limite é atingido, a tentativa de eliminação desociedade falha e uma mensagem de erro é exibidaao usuário.
EASMaxDevices
O parâmetro EASMaxDevices especifica um limitedo número de sociedade do Exchange ActiveSyncque um usuário pode ter por vez. Por padrão, cadausuário pode criar 10 Exchange ActiveSync
parcerias com suas contas do Exchange. Após os
usuários excederem este limite, eles devem excluir uma de suas parcerias existentes antes de criar quaisquer parcerias novas. Uma mensagem de errode email que descreve a limitação é enviada aousuário quando o limite é excedido. Além disso, umevento é registrado em log no log do Aplicativoquando um usuário excede o limite.
EWSFastSearchTimeOutInSeconds
O parâmetro EWSFastSearchTimeoutInSeconds especifica o tempo que as pesquisas usando osServiços Web do Exchange continuam antes queatinjam o tempo limite. Se a pesquisa dura mais que
o tempo indicado pelo valor da diretiva, a pesquisa para e é retornado um erro. O valor padrão dessaconfiguração é de 60 segundos.
EWSFindCountLimit O parâmetro EWSFindCountLimit especifica otamanho máximo do resultado das chamadasFindItem ou FindFolder que podem existir namemória no servidor Acesso para Cliente ao mesmotempo para este usuário nesse processo atual. Seuma tentativa é feita para localizar mais itens ou
pastas que seu limite de diretiva permite, é
retornado um erro. No entanto, o limite não seráreforçado exclusivamente se a chamada for feita
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 23/56
dentro do contexto de uma visualização de páginaindexada. Especificamente, neste cenário, osresultados da pesquisa são truncados para incluir onúmero de itens e pastas que se encaixa dentro dolimite da política. Você pode então continuar
paginando em seus resultados definidos viachamadas FindItem ou FindFolder adicionais.
EWSMaxSubscriptions
O parâmetro EWSMaxSubscriptions especifica onúmero máximo de inscrições push and pull ativasque um usuário pode ter em um servidor de Acesso
para Cliente específico simultaneamente. Se umusuário tentar criar mais inscrições que a máximaconfigurada, a inscrição falhará e um evento seráregistrado no Visualizador de Eventos.
ExchangeMaxCmdlets
O parâmetro ExchangeMaxCmdlets especifica onúmero de cmdlets que podem ser executadosdentro de um período de tempo específico antes quesua execução diminua a velocidade. O valor especificado por este parâmetro deve ser menor queo valor especificado por PowerShellMaxCmdlets
parameter .
O período de tempo usado para este limite éespecificado pelo parâmetro
PowerShellMaxCmdletsTimePeriod .Recomendamos que você defina valores para ambosos parâmetros ao mesmo tempo.
ForwardeeLimit
O parâmetro ForwardeeLimit especifica os limites para o número de destinatários que podem ser configurados nas Regras de caixa de entrada ao usar a ação encaminhar ou redirecionar. Este parâmetronão limita o número de mensagens que podem ser encaminhadas ou redirecionadas para destinatáriosque são configurados.
MessageRateLimit O parâmetro MessageRateLimit especifica onúmero de mensagens por minuto que pode ser enviado para transportar. Para mensagens enviadas
através da função de servidor da Caixa de Correio(Outlook Web App, Exchange ActiveSync ouServiços Web do Exchange), isto resulta noadiamento de mensagens até que a cota para ousuário esteja disponível. Especificamente,mensagens aparecem na pasta Caixa de Saída ouRascunhos para períodos mais longos de tempoquando usuários enviam mensagens em uma taxamaior que o parâmetro MessageRateLimit.
Para clientes POP ou IMAP enviarem mensagens
diretamente para transporte usando SMTP, osclientes receberão um erro transitório se eles
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 24/56
fizerem o envio em uma taxa que exceder o parâmetro MessageRateLimit. O Exchange tentaconectar e enviar as mensagens mais tarde.
PowerShellMaxCmdletQueueDepth
O parâmetro PowerShellMaxCmdletQueueDepth especifica o número de operações permitidas serem
executadas pelo usuário. Esse valor afetadiretamente o comportamento dos parâmetros
PowerShellMaxCmdlets e PowerShellMaxConcurrency. Por exemplo, o parâmetro PowerShellMaxConcurrency consome pelo menos duas operações definidas pelo parâmetro PowerShellMaxCmdletQueueDepth, masas operações adicionais também são consumidas
por execução Cmdlet. O número de operaçõesdepende dos cmdlets executados. Recomendamosque o valor para o parâmetro
PowerShellMaxCmdletQueueDepth seja pelo menostrês vezes maior que o valor de
PowerShellMaxConcurrency parameter . Esse parâmetro não afetará as operações do Painel deControle do Exchange ou dos Serviços Web doExchange.
PowerShellMaxCmdlets
O parâmetro PowerShellMaxCmdlets especifica onúmero de cmdlets que podem ser executadosdentro de um período de tempo específico antes quesua execução pare. O valor especificado por este
parâmetro deve ser maior que o valor especificado pelo parâmetro ExchangeMaxCmdlets. O períodode tempo usado para este limite é especificado pelo
parâmetro PowerShellMaxCmdletsTimePeriod .Ambos os valores devem ser definidos ao mesmotempo.
PowerShellMaxCmdletsTimePeriod
O parâmetro PowerShellMaxCmdletsTimePeriod especifica o período de tempo, em segundos, que adiretiva de otimização usa para determinar se onúmero de cmdlets a serem executados excede oslimites especificados pelos parâmetros
PowerShellMaxCmdlets e ExchangeMaxCmdlets. PowerShellMaxConcurrency O parâmetro PowerShellMaxConcurrency
especifica informações diferentes dependendo decontexto:
No contexto do Remote PowerShell, o parâmetro PowerShellMaxConcurrency especifica o númeromáximo de sessões do Remote PowerShell que umusuário Remote PowerShell pode abrir ao mesmotempo.
No contexto dos Serviços Web do Exchange, o parâmetro PowerShellMaxConcurrency especifica o
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 25/56
número de execuções simultâneas cmdlet que umusuário pode ter ao mesmo tempo.
Este valor de parâmetro não se relaciona
necessariamente com o número de navegadoresabertos pelo usuário
RecipientRateLimit O parâmetro RecipientRateLimit especifica oslimites no número de destinatários que um usuário
pode endereçar em um período de 24 horas.
Para obter mais detalhes sobre políticas de limitação do Exchange 2010, consulte Noções Básicas Sobre Diretivas de Limitação de Cliente.
Controle de Acesso Baseado em Função
Controle de Acesso Baseado na Função (RBAC) é o novo modelo de permissões doExchange 2010 que permite controlar, em níveis ampliados e granulares, o queadministradores e usuários podem fazer. Com o RBAC, não é mais necessário modificar Listas de Controle de Acesso (ACLs) em objetos do Active Directory como UnidadesOrganizacionais e contêineres para permitir a delegação granular de permissões agrupos como operadores de assistência técnica ou para funções como o gerenciamentode destinatários. Active Directory
Para mais detalhes, consulte Noções Básicas Sobre Controle de Acesso Baseado emFunção. Para obter uma lista das funções de gerenciamento RBAC padrão incluídas no
Exchange 2010, consulte Funções de Gerenciamento Integradas. Para obter uma listados grupos de funções válidas, consulte Grupos de Função Integrados.
Grupos de funções criadas pela Instalação do Exchange 2010 ou por você são criadas noActive Directory como grupos de segurança universal na UO Grupos de Segurança doMicrosoft Exchange. É possível adicionar membros a um grupo de funções usando-se ocmdlet New-RoleGroupMember ou o Painel de Controle do Exchange (ECP). Quandovocê adiciona um membro a um grupo de funções, o usuário ou o grupo é adicionado aogrupo de segurança do Active Directory correspondente. É possível usar uma políticaGrupo Restrito para restringir a associação para grupos de funções RBAC críticos,como o Gerenciamento de Descoberta. Quando você implementa uma política Grupo
Restrito, a associação do grupo é monitorada por controladores de domínio do ActiveDirectory e todos os usuários não incluídos na política são automaticamente removidos.
Importante:
Se você usar Grupos Restritos para restringir a associação do grupo para grupos defunções RBAC, todas as alterações feitas em um grupo de funções que use ferramentasdo Exchange 2010 também deverão ser feitas na política Grupo Restrito do ActiveDirectory. Para obter detalhes, consulte Group Policy Security Settings.Active Directory
O Exchange Server armazena dados de configuração na partição Configuração e dadosdo destinatário na partição Domínio do Serviços de Domínio Active Directory (AD
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 26/56
DS). Para obter detalhes sobre permissões necessárias à configuração de umaorganização do Exchange 2010, consulte Referência de permissões de implantação doExchange 2010. A comunicação com os controladores de domínio do Active Directoryé protegida usando-se autenticação e criptografia Kerberos.
O Exchange 2010 fornece uma nova camada de autorização dentro do Exchange,conhecida como Controle de Acesso Baseado na Função (RBAC), em vez de contar com a aplicação de entradas de controle de acesso (ACEs) para cada conta que exija as
permissões apropriadas. Em versões anteriores do Microsoft Exchange, a Instalação doExchange contava com ACEs dentro do Active Directory para que administradores doExchange pudessem gerenciar objetos dentro da partição do domínio. Osadministradores do Exchange têm a possibilidade de realizar determinadas operaçõesdentro de um escopo específico por meio do RBAC . O servidor do Exchange executaas ações autorizadas em nome do administrador ou dos usuários utilizando as
permissões concedidas dentro do Active Directory por meio dos grupos de segurançaPermissões do Exchange Windows e Subsistema de Confiança do Exchange. Para obter
mais informações sobre o RBAC, consulte Noções Básicas Sobre Controle de AcessoBaseado em Função.
No Exchange 2010, /PrepapareDomain não aplica nenhuma ACE para o grupo desegurança universal Permissões do Exchange Windows ao contêiner AdminSDHolder no Active Directory. Se /PrepareDomain detectar alguma ACE concedida ao grupo desegurança universal Permissões do Exchange Windows, as ACEs serão removidas. Issotem as seguintes implicações:
• Os membros do grupo de segurança universal Permissões doExchange Windows não podem modificar a associação de grupos de segurança
protegidos, como Administradores de Empresa e Administradores de Domínio.Isso tem as implicações a seguir.
• Os membros do grupo de segurança universal Permissões doExchange Windows não podem forçar a redefinição de senha de uma conta
protegida por AdminSDHolder.
• Os membros do grupo de segurança universal Permissões doExchange Windows não podem alterar as permissões de nenhum grupo ou conta
protegida pelo AdminSDHolder.
Como uma prática recomendada, sugerimos que você não habilite a caixa de correio emcontas protegidas pelo AdminSDHolder e mantenha contas separadas paraadministradores do Active Directory: uma conta para administração do Active Directorye uma conta para uso diário regular, inclusive email. Para obter informações detalhadas,consulte os seguintes tópicos:
• Descrição e atualização do objeto do Active Directory AdminSDHolder • Exchange 2010 e resolução do problema de elevação de AdminSDHolder
Contas do Exchange Server
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 27/56
A Instalação do Exchange 2010 cria uma nova unidade organizacional (UO) no domínioraiz chamada Grupos de Segurança do Microsoft Exchange. A tabela a seguir mostra osnovos grupos de segurança universais.
Grupos de segurança do Microsoft Exchange
Grupo de segurança Descrição
Todas as OrganizaçõesHospedadas do Exchange
Esse grupo contém todos os grupos Caixas de CorreioHospedadas pela Organização do Exchange. Ele é usado naaplicação de Objetos de Configuração de Senha a todas ascaixas de correio hospedadas. Esse grupo não deve ser excluído.
Servidores ExchangeEsse grupo contém todos os servidores do Exchange. Essegrupo não deve ser excluído. Desaconselhamos qualquer alteração feita na associação desse grupo.
Subsistema confiável doExchange
Esse grupo contém servidores do Exchange. O Exchangeexecuta cmdlets do Exchange em nome dos usuários por meio do serviço Gerenciamento. Os membros terão
permissão para ler e modificar todas as configurações doExchange, além de contas e grupos de usuários. Esse gruponão deve ser excluído.
Exchange Permissões doWindows
Esse grupo contém servidores do Exchange que executamcmdlets do Exchange em nome dos usuários por meio doserviço Gerenciamento. Os membros terão permissão paraler e modificar todas as contas e grupos do Windows. Essegrupo não deve ser excluído. Desaconselhamos qualquer
alteração feita na associação desse grupo, e sugerimos omonitoramento da associação do grupo.
ExchangeLegacyInteropEsse grupo se destina à interoperabilidade com servidoresdo Exchange 2003 dentro da mesma floresta. Esse gruponão deve ser excluído.
Além desses grupos de segurança, a instalação também cria os grupos de segurança aseguir que correspondem a grupos de funções RBAC com o mesmo nome.
Grupos de segurança que correspondem a grupos de funções RBAC
Grupo de segurança Grupo de seguranças RBAC
Instalação Representada Instalação Representada Gerenciamento de descoberta Gerenciamento de Descoberta Assistência técnica Suporte técnico Gerenciamento de Higienização Gerenciamento de Higienização Gerenciamento da Organização Gerenciamento da Organização Gerenciamento de Pasta Pública Gerenciamento de Pasta Pública Gerenciamento de Destinatários Gerenciamento de Destinatários Gerenciamento de Registros Gerenciamento de Registros
Gerenciamento do Servidor Gerenciamento do Servidor Gerenciamento da UM Gerenciamento da UM
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 28/56
Gerenciamento da Organização Somente para Exibição
Gerenciamento da Organização Somente para Exibição
Além disso, quando você cria um novo grupo de funções, o Exchange 2010 cria umgrupo de segurança com o mesmo nome do grupo de funções. Para obter informações
detalhadas, consulte os seguintes tópicos:
• Grupos de Função Integrados• Criar um Grupo de Função
Os usuários são adicionados ou removidos desses grupos de segurança quando vocêadiciona ou remove usuários de grupos de funções usando os cmdlets Add-
RoleGroupMember ou Remove-RoleGroupMember, ou usando o Editor de Usuáriodo Controle de Acesso Baseado em Função (RBAC) no ECP.
Sistema de arquivos
A Instalação do Exchange 2010 cria diretórios com o mínimo de permissões necessário para que o Exchange 2010 funcione. Não recomendamos nenhuma proteção adicionalde permissões para as listas de controle de acesso (ACLs) padrão em diretórios criados
pela instalação.
Services
A Instalação do Exchange 2010 não desabilita nenhum serviço do Windows por padrão.A tabela a seguir lista serviços habilitados por padrão em cada função de servidor.
Apenas os serviços obrigatórios para a operação de uma determinada função de servidor do Exchange 2010 são habilitados por padrão.
Serviços instalados pela Instalação do Exchange
Nome doserviço
Nome abreviado doserviço
Contex
to desegura
nça
Descrição edependências
Tipo de
inicialização
padrão
Funçõe
s deservido
r
Necessário
(N) ou
opcional (O)
MicrosoftExchangeTopologia doActiveDirectory
MSExchangeADTopology
Sistema local
Forneceinformações detopologia doActiveDirectory paraos serviços doExchange. Seesse serviço for
parado, amaior parte dosserviços do
Exchange não poderão ser
Automática
CaixadeCorreio,Transporte deHub,Acesso
paraCliente,Unifica
ção deMensag
N
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 29/56
iniciados. Esseserviço nãotemdependências.
ens
MicrosoftExchangeADAM
ADAM_MSExchangeServiçodeRede
Armazena
dados deconfiguração ede destinatáriono servidor deTransporte deBorda. Esseserviçorepresenta ainstâncianomeada doActiveDirectory LightweightDirectoryService (ADLDS) que écriadaautomaticamente pelo
programa deinstalaçãodurante ainstalação doservidor deTransporte deBorda. Esseserviçodepende doserviçoSistema deEventosCOM+.
Automática
Transporte deBorda
N
Catálogo deEndereços doMicrosoftExchange
MSExchangeABSistema local
Gerenciaconexões decatálogo deendereço docliente. Esseserviçodepende doserviço deTopologia doMicrosoftExchange Acti
ve Directory.
Automática
Acesso paracliente
N
Atualização MSExchangeAntispam Sistem Fornece o Automát Transp O
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 30/56
do MicrosoftExchangeAnti-spam
Update a local
Microsoft ForefrontProtection2010 para oserviço de
atualização deanti-spam doExchangeServer. Emservidores deTransporte deHub, esseserviçodepende doserviço deTopologia do
MicrosoftExchange Active Directory.Em servidoresde Transportede Borda, esseserviço édependente doserviçoMicrosoftExchangeADAM.
ica
orte deHub,Transporte de
Borda
Serviço deCredencial doMicrosoftExchange
MSExchangeEdgeCredential
Sistema local
Monitoraalterações decredencial nosserviços ADLDS e instalaas alteraçõesno servidor deTransporte deBorda. Esse
serviçodepende doserviçoMicrosoftExchangeADAM.
Automática
Transporte deBorda
N
MicrosoftExchange EdgeSync
MSExchangeEdgeSync Sistema local
Estabelececonexão com ainstância dosserviços ADLDS nos
servidores deTransporte de
Automática
Transporte deHub
O
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 31/56
Bordaassinados, por meio de umcanal LDAPseguro, para
sincronizar dados entre umservidor deTransporte deHub e umservidor deTransporte deBorda. Esseserviçodepende doserviço de
Topologia doMicrosoftExchange Active Directory.Se a Inscriçãode Borda nãoestiver configurada, oserviço poderáser desabilitado.
Distribuiçãode Arquivosdo MicrosoftExchange
MSExchangeFDSSistema local
Distribui prompts deOAB (catálogode endereçosoffline) e deUnificação deMensagens
personalizada.O serviçodepende dos
serviçosTopologia eEstação deTrabalho doMicrosoftExchange Active Directory.
Automática
Acesso paraCliente,Unificação de
Mensagens
N
AutenticaçãoBaseada emFormuláriosdo Microsoft
Exchange
MSExchangeFBA Sistema local
Forneceautenticação
baseada emformulários ao
Outlook WebApp e ao
Automática
Acesso paracliente
N
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 32/56
Painel deControle doExchange. Se oserviço for interrompido,
o Outlook WebApp e o Painelde Controle doExchange nãoautenticarãousuários. Esseserviço nãotemdependências.
MicrosoftExchangeIMAP4
MSExchangeIMAP4ServiçodeRede
ForneceserviçosIMAP4 aclientes. Seesse serviço for
parado, osclientes nãoconseguirão seconectar aocomputador utilizando o
protocoloIMAP4. Esseserviçodepende doserviço deTopologia doMicrosoftExchange Active Directory.
ManualAcesso
paracliente
O
repositório deInformaçõesdo Microsoft
Exchange
MSExchangeIS Sistema local
Gerencia oArmazenamento de
Informaçõesdo Exchange.Isso inclui
bancos dedados decaixas decorreio e de
pastas públicas. Se oserviço for interrompido,
os bancos dedados de
Automática
CaixadeCorreio
N
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 33/56
caixas decorreio e de
pastas públicasnestecomputador
não ficarãodisponíveis. Seesse serviçoestiver desabilitado,qualquer serviço quedependa delediretamentefalhará aoiniciar. Esse
serviçodepende dosserviços deRPC, Servidor,Log deEventos doWindows eEstação deTrabalho.
Serviço deEnvio deEmail doMicrosoftExchange
MSExchangeMailSubmission
Sistema local
Enviamensagens doservidor Caixade Correio paraos servidoresTransporte deHub doExchange2010. Esseserviçodepende doserviço de
Topologia doMicrosoftExchange Active Directory.
Automática
CaixadeCorreio
N
Assistentes deCaixa deCorreio doMicrosoftExchange
MSExchangeMailboxAssistants
Sistema local
Executa o processamentoem segundo
plano de caixasde correio norepositório doExchange.
Esse serviçodepende do
Automática
CaixadeCorreio
N
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 34/56
serviço deTopologia doMicrosoftExchange Active Directory.
Serviço deReplicação deCaixa deCorreio doMicrosoftExchange
MSExchangeMailboxR eplication
Sistema local
Processamovimentações de caixa decorreio esolicitações demovimentação.Esse serviçodepende dosserviços deCompartilhamento de Porta
Net.Tcp e deTopologia doMicrosoftExchange Active Directory.
Automática
Acesso paracliente
O
Monitoramento doMicrosoft
Exchange
MSExchangeMonitoring
Sistema local
Permite aosaplicativoschamar oscmdlets dediagnóstico do
Exchange.Esse serviçonão temdependências.
Manual All O
MicrosoftExchangePOP3
MSExchangePOP3ServiçodeRede
Fornece oserviço POP3
para clientes.Se esse serviçofor parado, osclientes nãoconseguirão se
conectar aocomputador utilizando o
protocoloPOP3. Esseserviçodepende doserviço deTopologia doMicrosoftExchange Acti
ve Directory.
ManualAcesso
paracliente
O
Host de MSExchangeProtected Sistem Fornece um Automát Transp N
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 35/56
ServiçoProtegido doMicrosoftExchange
ServiceHost a local
host paravários serviçosdo Exchangeque devem ser
protegidos de
outrosserviços. Esseserviçodepende doserviço deTopologia doMicrosoftExchange Active Directory.
ica
orte deHub,Acesso
paraCliente
Serviço deReplicação doMicrosoftExchange
MSExchangeReplSistema local
Oferece afuncionalidadede replicação
para bancos dedados de caixade correio emservidores deCaixa deCorreio em umDAG (grupodedisponibilidadede banco dedados). Esseserviçodepende doserviço deTopologia doMicrosoftExchange Active Directory.
Automática
CaixadeCorreio
O
Acesso paraCliente RPCdo MicrosoftExchange
MSExchangeRPCServiçodeRede
Gerenciaconexões RPC
do cliente parao Exchange.Esse serviçodepende doserviço deTopologia doMicrosoftExchange Active Directory.
Automática
CaixadeCorreio,Acesso
paraCliente
O(CaixadeCorreio), R (Acesso
paraCliente)
Indexador dePesquisa do
MicrosoftExchange
MSExchangeSearch Sistema local
Conduz aindexação de
conteúdo decaixa de
Automática
Caixade
Correio
O
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 36/56
correio, quemelhora odesempenho da
pesquisa deconteúdo. O
serviçodepende dosserviçosTopologia doMicrosoftExchange Active Directory ePesquisa doMicrosoft(ExchangeServer).
MicrosoftExchangeServer Extension
para Backupdo WindowsServer
WSBExchangeSistema local
Permite que osusuários deBackup doServidor doWindowsfaçam backupe recuperemdados deaplicativo doMicrosoftExchange.Esse serviçonão temdependências.
ManualCaixadeCorreio
O
Host deServiço doMicrosoftExchange
MSExchangeServiceHost
Sistema local
Proporcionaum host paravários serviçosdo Exchange.Em funções deservidor internas, esse
serviçodepende doserviço deTopologia doMicrosoftExchange Active Directory.Em servidoresde Transportede Borda, esseserviço é
dependente doserviço
Automática
All N
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 37/56
MicrosoftExchangeADAM.
Mecanismode Fala doMicrosoftExchange
MSSpeechServiceServiçodeRede
Forneceserviços de
processamentode fala paraUnificação deMensagens.Esse serviçodepende doserviço deWMI(Instrumentação deGerenciamentodo Windows).
Automática
Unificação deMensagens
N
Atendedor doSistema doMicrosoftExchange
MSExchangeSA Sistema local
Encaminha pesquisas dediretório paraum servidor decatálogo global
para clientesherdados doOutlook, geraendereços de
email e OABs,atualizainformações dedisponibilidade
para clientesherdados emantém
permissões eassociações degrupo para oservidor. Se
esse serviçoestiver desabilitado,qualquer serviço quedependa delediretamentefalhará aoiniciar. Esseserviçodepende dos
serviços deRPC, Servidor,
Automática
CaixadeCorreio
N
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 38/56
Log deEventos doWindows eEstação deTrabalho.
Limitação doMicrosoftExchange
MSExchangeThrottlingServiçodeRede
Limita a taxade operaçõesde usuário.Esse serviçodepende doserviço deTopologia doMicrosoftExchange Active Directory.
Automática
CaixadeCorreio
N
Transporte do
MicrosoftExchange MSExchangeTransport
Serviço
deRede
Fornece oservidor SMTPe pilha detransporte. Emservidores deTransporte deHub, esseserviçodepende doserviço deTopologia do
MicrosoftExchange Active Directory.Em servidoresde Transportede Borda, esseserviço édependente doserviçoMicrosoftExchange
ADAM.
Automát
ica
Transporte deHub,
Transporte deBorda
N
Pesquisa deLog deTransporte doMicrosoftExchange
MSExchangeTransportLogSearch
Sistema local
Fornececapacidade de
pesquisaremota paraarquivos de logdo Transportedo MicrosoftExchange. Emservidores deTransporte de
Hub, esseserviço
Automática
Transporte deHub,CaixadeCorreio,Transporte deBorda
O
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 39/56
depende doserviço deTopologia doMicrosoftExchange Acti
ve Directory.Em servidoresde Transportede Borda, esseserviço édependente doserviçoMicrosoftExchangeADAM.
Unificação deMensagens doMicrosoftExchange
MSExchangeUM Sistema local
Habilitarecursos deUnificação deMensagens doMicrosoftExchange. Isso
permite quemensagens devoz e de faxsejamarmazenadasno Exchange econcede aosusuários acesso
por telefone aemail, caixa
postal,calendário,contatos ou umatendedor automático. Seo serviço for
parado, aUnificação deMensagensficaráindisponível.Esse serviçodepende doserviço deTopologia doMicrosoftExchange Acti
ve Directory edo serviço de
Automática
Unificação deMensagens
N
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 40/56
Mecanismo deFala doMicrosoftExchange.
Pesquisa doMicrosoft(ExchangeServer)
msftesql-ExchangeSistema local
Essa é uma
versão personalizada pelo MicrosoftExchange doMicrosoftSearch. Esseserviçodepende doserviço deRPC.
Manual
Transporte deHub,CaixadeCorreio
O
Certificados
A Instalação do Exchange 2010 cria certificados autoassinados para proteger acomunicação em protocolos diferentes como HTTP, SMTP, POP3 e IMAP4. Oscertificados autoassinados criados pela Instalação são válidos por cinco anos. Issogarante que os certificados autoassinados não precisem ser renovados para uma partesignificativa de uma implantação do Exchange 2010 e que serviços do sistema demensagens não sejam afetados pela expiração de certificados autoassinados.
Para mecanismos e protocolos de acesso do cliente, como Outlook Web App, POP3,IMAP4, Outlook Anywhere e Descoberta Automática, recomendamos que você:
• Use certificados assinados por uma autoridade de certificação (CA) comercialconfiável por clientes que acessam esses serviços.
• Use o assistente Novo Certificado do Exchange ou o cmdlet New-ExchangeCertificate para criar solicitações de assinatura de certificado para CAscomerciais. As solicitações de certificado geradas usando-se essas ferramentasgarantem que todos os requisitos de certificado do Exchange sejam atendidos.
• Considere os requisitos de certificado de cada protocolo ou serviço para o qualvocê deseja permitir o acesso do cliente externo.
o Em servidores Acesso do Cliente, os certificados são usados para proteger tráfego HTTP (Outlook Anywhere, Outlook Web App,Descoberta Automática, Exchange ActiveSync e Serviços Web doExchange) usando protocolo SSL, além de tráfego POP3 e IMAP4usando SSL ou protocolo TLS. Para detalhes, consulte Gerenciando SSL
para um Servidor de Acesso para Cliente.
o Em servidores de transporte, os certificados são usados para proteger otráfego SMTP usando TLS. Para detalhes, consulte Noções BásicasSobre Certificados TLS.
o Em servidores Unificação de Mensagens, os certificados são usados para
proteger o tráfego do protocolo VoIP. Para detalhes, consulte NoçõesBásicas Sobre a Segurança VoIP da Unificação de Mensagens.
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 41/56
o Para Federação, os certificados são usados para criptografar tokensSAML trocados com o Microsoft Federation Gateway (MFG) e comorganizações de parceiro federadas. Para detalhes, consulte NoçõesBásicas Sobre Federação.
•
Monitore datas de validade do certificado e renove certificados de CAs emtempo hábil para evitar a interrupção do serviço.
• Ao armazenar certificados exportados com a chave privada associada, proteja oarquivo exportado usando controles de acesso apropriados na pasta/arquivo ondeele está armazenado. Dependendo dos requisitos de segurança da organização,considere a habilitação da auditoria do acesso do arquivo para pastas nas quaisarquivos de certificado com chaves privadas estão armazenados.
Considerações de NTLM
O protocolo de NTLM é significativamente menos seguro do que o protocolo Kerberos. No Exchange 2010, os protocolos POP3 e IMAP4 não oferecem suporte à autenticação NTLM quando SecureLogin está especificado como LoginType. Para obter detalhes,consulte Configurando a Autenticação para POP3 e IMAP4. Os serviços do Exchange2010 que usam a Autenticação Integrada do Windows podem usar protocolos NTLM ouKerberos. Kerberos é usado para comunicação de servidor Acesso do Cliente com umservidor Caixa de Correio do Exchange 2010 e entre servidores Acesso do Cliente paraOutlook Web App, Exchange ActiveSync e Serviços Web do Exchange. Para obter detalhes sobre serviços que usem NTLM na autenticação, consulte Referência de portade rede do Exchange.
Autenticação de Fator Duplo
Os mecanismos de autenticação de fator duplo usam outro autenticador além dascredenciais de logon do usuário (nome de usuário e senha), como tokens geradosaleatoriamente ou um certificado digital em um cartão inteligente com um PIN. Muitasorganizações implantam autenticação de fator duplo para permitir o acesso seguro àrede da organização.
O Exchange 2010 não inclui suporte nativo para autenticação de fator duplo. OExchange 2010 usa o Internet Information Server (IIS) 7 para acesso cliente por meio deHTTP (Descoberta Automática, Outlook Web App, Outlook Anywhere, ExchangeActiveSync e Serviços Web do Exchange). Muitos produtos de autenticação de fator duplo que se integram ao IIS são disponibilizados por parceiros e terceiros, além defuncionarem com serviços de acesso cliente do Exchange como o Outlook Web App.Antes de implantar produtos de autenticação de fator duplo para serviços do Exchange,recomendamos que você os teste corretamente para garantir que eles atendam aosrequisitos de segurança da organização e forneçam a funcionalidade desejada.
Federação
O Exchange 2010 apresenta novos recursos de federação para permitir uma colaboração
segura entre organizações do Exchange federadas. As organizações do Exchange 2010 podem criar uma confiança de federação com o Microsoft Federation Gateway e, em
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 42/56
seguida, estabelecer relacionamentos de organização com outras organizações federadas para compartilhar informações de disponibilidade e calendários. As organizaçõestambém podem permitir que os usuários compartilhem informações de disponibilidade,calendários e contatos com usuários em organizações federadas externas usandoPolíticas de Compartilhamento. Para obter mais detalhes sobre confianças de federação
e compartilhamento federado, consulte Noções Básicas Sobre Federação e Noções básicas sobre delegação federada.
Depois de estabelecer uma confiança de federação com MFG, o compartilhamento entreduas organizações federadas não ocorre, a menos que você crie um relacionamento deorganização. Porém, por padrão, o compartilhamento entre os usuários e os usuários emorganizações federadas externas é habilitado usando-se a Política de CompartilhamentoPadrão atribuída a usuários. A política permite o compartilhamento de calendário cominformações de disponibilidade apenas com usuários em todas as organizaçõesfederadas externas. Se não quiser permitir que os usuários compartilhem informações decalendário e disponibilidade com usuários em todos os domínios federados externos,
você deverá desabilitar a Política de Compartilhamento Padrão ou alterar o nome dedomínio especificado na política apenas para os domínios com os quais você deseja
permitir o compartilhamento. Você deve fazer essa alteração antes de criar umaconfiança de federação com MFG. Para mais detalhes, consulte Desabilitar uma diretivade compartilhamento e Configurar as Propriedades da Diretiva de Compartilhamento.
É possível desabilitar todos os recursos de federação para uma organização, inclusiveDelegação Federada, removendo-se a confiança de federação da organização com MFG.Para mais detalhes, consulte Remover uma Confiança de Federação.
S/MIME (Secure/Multipurpose Internet Mail Extensions)
Secure/Multipurpose Internet Mail Extensions (S/MIME) é um padrão para criptografiade chave pública e assinatura de dados MIME que fornece autenticação, integridade demensagem, não repúdio e privacidade de dados para dados do sistema de mensagens. Osusuários podem assinar ou criptografar mensagens, ou ambos, usando certificadosS/MIME. Para obter mais informações sobre o S/MIME, consulte CompreendendoS/MIME.
S/MIME é uma tecnologia do lado do cliente sem nenhum requisito deinteroperabilidade para servidores de email. De uma perspectiva da transferência de
mensagem, as mensagens assinadas ou criptografadas S/MIME são transferidas damesma forma como mensagens em texto não criptografado. A renderização real damensagem é feita no lado do cliente depois das verificações de validação de certificadoe mensagem. Para o Outlook Web App, o suporte a S/MIME é fornecido usando-se umcontrole ActiveX. Muito embora o Outlook Web App ofereça suporte à maioria dosnavegadores mais populares, como o Microsoft Internet Explorer, o Mozilla FireFox e oSafari, os controles ActiveX são um recurso do Internet Explorer. Os usuários doOutlook Web App que utilizam outros navegadores não podem acessar recursosS/MIME e talvez precisem usar outro cliente de email com suporte a S/MIME. Paraobter mais detalhes sobre o suporte a S/MIME no Outlook Web App, consulte Outlook Web App e S/MIME.
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 43/56
Para obter mais detalhes sobre o suporte oferecido para S/MIME no Outlook, consulteVisão geral de certificados e mensagens de emails criptigrafados no Outlook .
Enquanto S/MIME oferece benefícios de segurança a uma organização, ao avaliar atecnologia, você deve considerar o seguinte:
• As mensagens criptografadas S/MIME são opacas à organização. Um softwarede segurança do sistema de mensagens, como antivírus e anti-spam, não podeinspecionar o conteúdo da mensagem, inclusive o corpo da mensagens e todosos anexos.
• Como o conteúdo da mensagem e os anexos são criptografados, as políticas dosistema de mensagens da organização, inclusive regras de transporte, não podemser aplicadas a mensagens criptografadas por S/MIME.
• A modificação de mensagens assinadas por S/MIME de acordo com as políticasdo sistema de mensagens da organização, por exemplo, para aplicar um aviso de
isenção de responsabilidade ou assinatura personalizada, invalida a mensagem.
• O conteúdo do sistema de mensagens criptografadas não pode ser inspecionado para nenhuma violação de conteúdo, e a organização não pode proteger informações confidenciais. Isso inclui todas as informações de identificação
pessoal (PII) que deixam a organização.
• As mensagens criptografadas por S/MIME não podem ser indexadas pelaPesquisa do Exchange e, assim, não são pesquisáveis por descoberta.
• Para atender aos regulamentos locais ou aos requisitos de descoberta durante olitígio, a organização pode precisar produzir cópias de todas as mensagenscriptografadas não criptografadas.
O Exchange 2010 oferece recursos do Gerenciamento de Direitos de Informação (IRM)que permitem à organização aplicar proteção persistente ao conteúdo do sistema demensagens confidenciais para que apenas os destinatários especificados possam acessar mensagens protegidas por IRM. A organização também pode implementar controlessobre como esse conteúdo é usado depois de entregue aos destinatários. Por exemplo, é
possível impedir que as mensagens sejam impressas, respondidas ou encaminhadasdentro ou fora da organização. Além disso, a organização ainda pode descriptografar oconteúdo protegido por IRM para verificação pelo software antivírus ou anti-spam e
outros agentes de transporte, aplicando políticas do sistema de mensagens usando regrasde transporte e permite o arquivamento e a descoberta de mensagens protegidas por IRM. Os recursos do IRM também estão disponíveis em todos os navegadores da Websuportados pelo Outlook Web App e em dispositivos do Windows Mobile. Para obter mais detalhes sobre o IRM, consulte Noções Básicas Sobre o Gerenciamento deDireitos de Informação.
Considerações da função de servidor
Esta seção lista considerações relacionadas à segurança para a função de servidor doExchange 2010.
Considerações do servidor Caixa de Correio
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 44/56
No Exchange 2010, as alterações arquitetônicas foram feitas no repositório do Exchangee na conectividade dos clientes MAPI, como o Outlook. Os clientes MAPI se conectamao servidor Acesso do Cliente, que isolam o servidor Caixa de Correio do tráfego docliente. Os servidores Caixa de Correio só se comunicam com servidores Acesso doCliente que usem RPCSec e com servidores Serviços de Domínio Active Directory (AD
DS) na organização. Os servidores Caixa de Correio não exigem conectividade com aInternet.
Armazenamento
O armazenamento é um componente crítico de servidores Caixa de Correio. Você deve planejar o subsistema de armazenamento do servidor Caixa de Correio para garantir odesempenho satisfatório e a disponibilidade do espaço de armazenamento para aimplantação. Para obter mais detalhes sobre como se planejar para o armazenamento doservidor Caixa de Correio, consulte Design do Armazenamento do Servidor de Caixa deCorreio.
Após a implantação do servidor Caixa de Correio, você deve monitorar o seguinte:
• Disponibilidade do subsistema de armazenamento.• Disponibilidade de espaço livre em disco suficiente que contenha logs do banco
de dados e da transação da caixa de correio. Um banco de dados de caixa decorreio ou Pasta Pública é desmontado quando o volume que armazena os logsdo banco de dados ou da transação ficam sem espaço livre em disco.
É possível usar o Microsoft Federation Gateway Systems Center Operations Manager
para monitorar a disponibilidade do armazenamento e o espaço livre em disco. Paraobter mais detalhes, consulte Systems Center Operations Manager 2007.
Ao se planejar para e monitorar o armazenamento, se pretender usar os recursos aseguir, você deverá considerar os requisitos de armazenamento:
• Registro no diário Quando você usar o registro no diário para manter mensagens para um arquivamento por longo tempo, dependendo do uso doregistro no diário padrão (por banco de dados da caixa de correio) ou premium(regras de diário), as mensagens enviadas para e de todos os destinatários em um
banco de dados da caixa de correio ou os destinatários especificados em uma
regra de diário são entregues em um relatório de diário para a caixa de correiodo registro no diário ou o destinatário especificado. O resultado pode ser umnúmero grande de relatórios de diário entregues para uma caixa de correio doregistro no diário. Ao planejar o armazenamento para servidores Caixa deCorreio, você deve considerar tamanhos da caixa de correio do registro nodiário. É possível controlar tamanhos da caixa de correio do registro no diárioconfigurando-se cotas de caixa de correio suficientes para uma caixa de correiode registro no diário. Para obter mais detalhes sobre registro no diário e cotas dacaixa de correio, consulte os seguintes tópicos:
o Noções Básicas Sobre Registro no Diário
o Configurar cotas de armazenamento para uma caixa de correio
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 45/56
• Retenção de litígio Quando você coloca uma caixa de correio em retenção delitígio, os itens excluídos pelo usuário utilizando a funcionalidade Recuperar Itens Excluídos no Outlook e no Outlook Web App e as mensagens excluídas
por processos automatizados, como MRM, são mantidos até a retenção de litígioser removida. No Exchange 2010, a cota de aviso de itens recuperáveis e a cota
de itens recuperáveis são definidas como 20 GB e 30 GB. Para obter maisdetalhes, consulte os seguintes tópicos:
o Noções Básicas Sobre Armazenamento Legal
o Informações sobre itens recuperáveis
Alta Disponibilidade
A alta disponibilidade dos servidores Caixa de Correio é essencial na garantia dadisponibilidade do serviço do sistema de mensagens. O Exchange 2010 inclui grupos de
disponibilidade do banco de dados (DAGs) para alta disponibilidade dos servidoresCaixa de Correio. Os DAGs podem fornecer disponibilidade quando a implantação doExchange apresenta uma falha do subsistema de armazenamento, do servidor, daconectividade de rede ou uma interrupção de um datacenter inteiro. Para obter maisdetalhes sobre como se planejar e implementar uma implantação do Exchange 2010altamente disponível, consulte Alta disponibilidade e resiliência do site.
Por padrão, no Exchange 2010, o tráfego de replicação (envio de logs) entre membrosDAG localizados em locais do Active Directory diferentes é criptografado. É possívelcriptografar o tráfego de replicação entre servidores no mesmo local do ActiveDirectory definindo-se a propriedade NetworkEncryption do DAG como Habilitada.
Use o cmdlet Set-DatabaseAvailabilityGroup para modificar a propriedade de umDAG.
A replicação ocorre em uma única porta TCP, por padrão, porta TCP 64327. É possívelmodificar a porta usada na replicação. Para detalhes, consulte Configurar asPropriedades do Grupo de Disponibilidade do Banco de Dados.
Parâmetros para alta disponibilidade
Parameter Descrição
NetworkEncryption
O parâmetro NetworkEncryption especifica se a criptografia de redeestá habilitada. Os valores válidos incluem:
• Disabled desabilitada em todas as redes• Enabled habilitada em todas as redes
• InterSubnetOnly Habilitada apenas para comunicaçãoentre sub-redes
• SeedOnly habilitada apenas para propagação
Padrão InterSubnetOnly
ReplicationPort O parâmetro ReplicationPort especifica uma porta TCP para
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 46/56
atividade de replicação (envio de logs e propagação).
Padrão Se o parâmetro não for especificado, a porta padrão parareplicação é a TCP 64327.
Permissões e acesso da caixa de correio
Por padrão, o Exchange 2010 não permite que os administradores acessem caixas decorreio. Se a organização usar aplicativos ou serviços que exijam acesso a uma caixa decorreio, você deverá atribuir permissões de caixa de correio apropriadas a contas usadas
por esses aplicativos ou serviços. Recomendamos que você não configure essesaplicativos ou serviços para usarem credenciais de administrador.
Muito embora todas as caixas de correio possam conter informações confidenciaisimportantes para uma organização, todas as caixas de correio merecem atenção especialde um ponto de vista da segurança, e as permissões para acessar essas caixas de correiodevem ser controladas e monitoradas para atender aos requisitos de segurança daorganização.
• Caixas de correio de descoberta As caixas de correio de descoberta sãousadas pelo recurso Procura nas Várias Caixas de Correio do Exchange 2010.Isso permite que gerentes de descoberta membros do grupo de funçõesGerenciamento de Descoberta pesquisem mensagens em todas as caixas decorreio em uma organização do Exchange 2010. As mensagens retornadas por uma pesquisa de descoberta são copiadas para a caixa de correio Descobertaespecificada. A instalação do Exchange 2010 cria uma caixa de correio de
pesquisa de descoberta. Para mais detalhes, consulte Noções Básicas Sobre
Pesquisa em Várias Caixas de Correio.• Caixas de correio de registro no diário Quando você configura registro no
diário para um banco de dados de caixa de correio ou cria regras de diário paramensagens de diário para e de destinatários especificados, relatórios de diáriosão entregues na caixa de correio de registro no diário especificada. Para obter mais detalhes, consulte os seguintes tópicos:
o Noções Básicas Sobre Registro no Diário
o Criar e configurar uma caixa de correio de registro no diário
Além de proteger essas caixas de correio, observe que um administrador pode usar regras de transporte para inspecionar o conteúdo da mensagem e também entregar umacópia da mensagem em outro destinatário, mesmo como um destinatário Cco. As
permissões obrigatórias para gerenciar regras de transporte são listadas na entrada deregras de transporte no tópico Permissões de diretivas e conformidade no envio erecebimento de mensagens. Recomendamos que você use controles adequados paramonitorar e controlar a criação e a modificação das regras de transporte e tambémaudite regularmente ações de regra de transporte para todas as regras.
Considerações do servidor de Acesso do Cliente
No Exchange 2010, os seguintes clientes se conectam a servidores de Acesso do Cliente para acessar caixas de correio:
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 47/56
• Clientes do Outlook que usam MAPI• Clientes do Outlook que usam o Outlook Anywhere
• Navegadores da Web que usam o Outlook Web App,
• Dispositivos móveis que usam o Exchange ActiveSync
• Clientes do POP3 & IMAP4
• Aplicativos que usam os Serviços Web do Exchange (EWS)
Por padrão, esses métodos de acesso do cliente são protegidos usando-se caminhos dedados criptografados. Também por padrão, os clientes do Outlook que se conectam aoservidor de Acesso do Cliente usando MAPI utilizam a criptografia RPC. O acesso doOutlook Web App, Outlook Anywhere e Exchange ActiveSync é protegido usando-se o
protocolo SSL.
Para o acesso do cliente externo, você deve obter e instalar certificados assinados por uma autoridade de certificação (CA) confiável do cliente. Para mais detalhes, consulteGerenciando SSL para um Servidor de Acesso para Cliente.
Por padrão, os serviços POP3 e IMAP4 são desabilitados em servidores de Acesso doCliente do Exchange 2010. Se você habilitá-los, recomendamos usar os protocolos TLSou SSL para ajudar a proteger a comunicação usando esses protocolos. Para obter maisdetalhes, consulte os seguintes tópicos:
• Noções Básicas Sobre POP3 e IMAP4• Configurando TLS e SSL para Acesso POP3 e IMAP
recomendamos que você use os firewalls apropriados e os controles de acesso ao publicar servidores de Acesso para Cliente para acesso externo. Microsoft O ForefrontThreat Management Gateway (TMG) 2010 inclui assistentes de publicação para
publicar com facilidade e segurança servidores de Acesso do Cliente do Exchange 2010 para acesso externo. Para obter mais detalhes, consulte Forefront Threat ManagementGateway (TMG) 2010.
Importante:
A localização dos servidores de Acesso do Cliente em redes de perímetro não é
suportada.
Nos servidores de Acesso do Cliente, o Internet Information Server (IIS) é usado parafornecer ao protocolo HTTP acesso a serviços como o Outlook Web App, o ExchangeActiveSync, o Outlook Anywhere, a Descoberta Automática, o Painel de Controle doExchange (ECP), os Serviços Web do Exchange e o catálogo de endereços offline(OAB). O PowerShell Remoto também usa o IIS, e todas as solicitações RPS, inclusivesolicitações feitas pelo Console de Gerenciamento do Exchange(EMC), são registradasem logs do IIS. Os logs do IIS podem crescer para consumir uma grande quantidade deespaço em disco. O IIS, um componente Windows Server, não inclui um mecanismo
para limpar logs anteriores com base no tamanho do diretório no qual os arquivos de log
residem. Como prática recomendada, os logs do IIS devem ser movidos para umvolume que não seja do sistema, para que o crescimento dos arquivos de log não resulte
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 48/56
na falta de espaço em disco do volume do sistema, o que pode causar uma interrupçãodo serviço. Você deve monitorar o crescimento do arquivo de log e implementar ummecanismo para arquivar manualmente ou excluir logs conforme necessário. Para obter detalhes, consulte Configurando o log no IIS 7.
Considerações do servidor de transporte
O Exchange 2010 oferece duas funções de servidor de transporte projetadas para finsdiferentes.
• Transporte de Borda A função de servidor Transporte de Borda é um servidor de transporte ingressado de não domínio, normalmente localizado em redes de
perímetro, que transfere mensagens entre a organização do Exchange e os hostsSMTP externos. Muito embora projetado para redes de perímetro, também é
possível localizar servidores Transporte de Borda na rede interna e ingressar oservidor em um domínio do Active Directory como um servidor membro.
• Transporte de Hub A função de servidor Transporte de Hub transferemensagens dentro da organização, inclusive mensagens entre servidores doExchange, mensagens de clientes SMTP, como usuários que utilizam POP3 eIMAP4, além de servidores de aplicativos e dispositivos.
Por padrão, no Exchange 2010, a comunicação SMTP é protegida usando-se TLS.
Comunicação SMTP entre servidores Transporte de Hub Os servidores Transportede Hub em uma organização do Exchange usam TLS para ajudar a proteger acomunicação SMTP dentro da organização. Recomendamos que você mantenha o
protocolo TLS habilitado em servidores Transporte de Hub. No Exchange 2010, asorganizações que usam dispositivos ou aplicativos que não sejam do Exchange narealização da criptografia TLS podem descarregar TLS a partir de servidores Transportede Hub nesses dispositivos. Para mais detalhes, consulte Desabilitando TLS entre sitesdo Active Directory para otimização de WAN de suporte.
Comunicação SMTP entre servidores Transporte de Hub e Transporte de
Borda Todo o tráfego entre servidores Transporte de Hub e Transporte de Borda éautenticado e criptografado. O mecanismo subjacente de autenticação e criptografia éTLS mútuo. Em vez de usar a validação de X.509 para validar certificados, o Exchange2010 usa a confiança direta para autenticar os certificados. Confiança direta significa
que a presença do certificado no Active Directory ou no Active Directory LightweightDirectory Services (AD LDS) valida o certificado. O Active Directory é consideradoum mecanismo de armazenamento confiável. Quando a confiança direta é usada, nãoimporta se o certificado é autoassinado ou assinado por uma autoridade de certificação(CA). Quando você inscreve um servidor Transporte de Hub em um local do ActiveDirectory, a Inscrição de Borda publica o certificado do servidor Transporte de Bordano Active Directory. Os servidores Transporte de Borda consideram o certificado
publicado válido. O serviço EdgeSync do Microsoft atualiza AD LDS em servidoresTransporte de Borda que tenham certificados de servidor Transporte de Hub,considerados válidos pelo servidor Transporte de Borda.
Comunicação SMTP entre servidores Transporte de Borda e hosts externos NoExchange 2010, a comunicação SMTP entre servidores Transporte de Borda e hosts
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 49/56
externos anônimos é protegida, por padrão, usando-se TLS oportunista. Você não precisa de um certificado emitido por uma CA confiável e nenhuma etapa deconfiguração é necessária. Os conectores de recebimento oferecem negociação TLS
para conexões SMTP de entrada. Os conectores de envio também tentam a negociaçãoTLS para todas as conexões SMTP de saída. O TLS oportunista não realiza a validação
de certificado, o que permite o uso de certificados autoassinados. Para detalhes, consulteFuncionalidade do TLS e terminologia relacionada no Exchange 2010.
Observação:
Por padrão, os servidores Transporte de Hub não podem se comunicar com hosts SMTPexternos porque não há nenhum conector de recebimento em servidores Transporte deHub que permita a comunicação de hosts anônimos. É possível configurar servidoresTransporte de Hub para se comunicarem com hosts anônimos. Para detalhes, consulteConfigurar o Fluxo de Mensagens da Internet Diretamente por meio de um Servidor deTransporte de Hub. Não recomendamos essa topologia porque ela aumenta os riscos desegurança ao expor à Internet o servidor Exchange 2010 e todas as funções instaladasnele. Recomendamos implementar um gateway SMTP baseado em rede de perímetro,como o servidor de Transporte de Borda.
Comunicação SMTP entre servidores Transporte de Hub ou de Borda e hostsinteligentes No Exchange 2010, é possível configurar um conector de envio a fim derotear email para domínios remotos, inclusive Internet mail, até um gateway SMTPnormalmente residente na rede de perímetro. Embora seja possível criar um conector deenvio para rotear um email para um host inteligente sem usar nenhuma autenticação,recomendamos que você use uma autenticação apropriada a esses conectores. Se vocêusar autenticação Básica, recomendaremos usar autenticação Básica em TLS. Se você
selecionar a opção protegida externamente, será pressuposto que a autenticação sejarealizada usando-se um mecanismo que não seja do Exchange como IPsec. Aoconfigurar o conector com o endereço de um host inteligente, você pode usar o endereçoIP do host inteligente ou seu fqdn. Recomendamos o uso do endereço IP do hostinteligente porque ele oferece proteção contra o envenenamento DNS, em comparaçãocom a praticidade de usar o FQDN.
Usando segurança de domínio para comunicação SMTP com parceiros NoExchange 2010, é possível usar Segurança de Domínio para ajudar a proteger oscaminhos de comunicação da mensagem com domínios de parceiro. A Segurança deDomínio usa TLS mútuo para fornecer criptografia baseada em sessão e autenticação.
Para autenticação TLS mútua, os hosts de origem e de destino verificam a conexãorealizando a validação do certificado X.509. Os servidores de transporte que secomunicam com domínios de parceiro configurados para Segurança de Domínio exigemum certificado assinado por um terceiro confiável ou uma autoridade de certificaçãointerna. Se você estiver usando uma CA interna, a lista de certificados revogados (CRL)deverá ser publicada e alcançável pelo host de parceiro. Para obter informaçõesdetalhadas, consulte os seguintes tópicos:
• Noções Básicas Sobre Segurança de Domínio• White Paper: Domain Security in Exchange 2007
O Exchange 2010 usa a porta SMTP padrão (porta TCP 25) para a comunicação SMTP.A Instalação do Exchange cria as regras de firewall obrigatórias no Firewall do
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 50/56
Windows com Segurança Avançada para permitir a comunicação em portas padrão. Sevocê especificar uma porta diferente para um conector, o Exchange não modificaráregras de firewall ou criará automaticamente uma nova regra para permitir acomunicação por uma porta não padrão. Você deve modificar manualmente aconfiguração do firewall para permitir a comunicação em portas não padrão. Quando
você configura um conector de recebimento para uma porta não padrão, os clientesSMTP que enviam mensagens para o conector também devem ser configurados parausar a porta não padrão.
No Exchange 2010, é possível localizar a função de servidor Transporte de Hub em umservidor Caixa de Correio do Exchange 2010. Isso inclui um servidor Caixa de Correiomembro de um grupo de disponibilidade do banco de dados (DAG). Recomendamosque você não localize a função de servidor Transporte de Hub em um servidor Caixa deCorreio, especialmente em topologias nas quais nenhum servidor Transporte de Bordaseja implantado, para isolar servidores Caixa de Correio da Internet. É possível localizar a função de servidor Transporte de Hub em servidores de acesso do cliente. Você deve
seguir as diretrizes de dimensionamento para cada função de servidor ao colocar funções de servidor no mesmo servidor.
Ao especificar um host inteligente para um conector de saída em um servidor Transporte de Hub ou Transporte de Borda, recomendamos que você use endereços IPem lugar do nome de domínio totalmente qualificado (FQDN) de um host inteligente
para se proteger do envenenamento e da falsificação do DNS. Isso também minimiza oefeito de qualquer interrupção de DNS na infraestrutura de transporte. Os servidoresDNS usados em redes de perímetros só devem ser usados na resolução de saída. Osservidores DNS do perímetro podem conter registros para servidores Transporte deHub. Também é possível usar arquivos de hosts em servidores Transporte de Borda paraevitar a criação de registros para servidores Transporte de Hub em servidores DNSlocalizados em redes de perímetro.
Além das etapas abordadas nesta seção, você também deve considerar o uso derestrições quanto ao tamanho da mensagem suficiente em conectores, além deconfigurações de limitação de mensagem sem servidores de transporte. Para obter maisdetalhes, consulte os seguintes tópicos:
• Noções Básicas Sobre Limites de Tamanho de Mensagem• Noções Básicas Sobre Otimização de Mensagens
Considerações de unificação de mensagens
Ao se planejar para implantar uma função de servidor Unificação de Mensagens (UM),você deve considerar os canais de comunicação diferentes usados na comunicação comgateways IP ou IP PBX.
Por padrão, quando você criar um plano de discagem de UM, ele executa suacomunicação em modo não seguro. Além disso, os servidores Unificação de Mensagensassociados ao plano de discagem UM irão enviar e receber dados de gateways IP, PBXsIP e outros computadores do Exchange 2010 não usando nenhuma criptografia. No
modo não seguro, tanto o canal de mídia RTP (Protocolo de Transporte em TempoReal) e as informações de sinalização SIP não são criptografadas.
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 51/56
Você pode configurar um servidor de Unificação de Mensagens para usar TLS mútuo para criptografar o tráfego SIP e RTP que é enviado e recebido de outros dispositivos eservidores. Ao adicionar um servidor de Unificação de Mensagens em um plano dediscagem da UM e configurar o plano de discagem para usar o modo SIP seguro, apenaso tráfego de sinalização SIP será criptografado e os canais de mídia de RTP continuarão
a usar TCP. O TCP não é criptografado. Entretanto, se você adicionar um servidor deUnificação de Mensagens a um plano de discagem da UM e configurar o plano dediscagem para usar modo seguro, o tráfego de sinalização SIP e os canais de mídia deRTP serão criptografados. Um canal de mídia de sinalização seguro que usa o SRTP(Protocolo de Transporte em Tempo Real Seguro) usa também TLS mútua paracriptografar os dados VoIP.
Se o gateway IP ou o PBX IP usado oferecer suporte a IPSec, também será possível usar IPSec para ajudar a proteger a comunicação entre um servidor UM e o gateway IP ouPBX IP.
Para mais detalhes, consulte Noções Básicas Sobre a Segurança VoIP da Unificação deMensagens.
O UM também envia mensagens como notificações de chamada perdida e mensagens decorreio de voz para servidores Transporte de Hub. Por padrão, essa comunicação ocorreem SMTP que utiliza a criptografia TLS.
É possível configurar uma política de caixa de correio UM para acesso com menos PIN.Isso permite que um chamador acesso correio de voz sem precisar inserir um PIN, com
base no ID de Chamador da chamada. A falsificação do ID de Chamador éinsignificante. Também recomendamos que você não habilite acesso com menos PIN aocorreio de voz. Além disso, recomendamos que você revise as configurações de PIN
padrão e as defina de acordo com os requisitos de segurança da organização. Asconfigurações a seguir podem ser definidas para uma política de caixa de correio UMusando o cmdlet Set-UMMailboxPolicy.
Parâmetros para controlar o PIN de usuário para acesso ao correio de
voz
Parameter Descrição
AllowCommonPatterns
O parâmetro AllowCommonPatterns especifica se PINs
óbvios devem ser permitidos. Exemplos de PINs óbviosincluem os subconjuntos do número de telefone ou denúmeros sequenciais ou repetidos. Se esse parâmetroestiver definido como $false, os números sequenciais erepetidos e o sufixo do ramal de caixa de correio sãorejeitados. Se definido como $true, apenas o sufixo doramal de caixa de correio é rejeitado.
AllowPinlessVoiceMailAccess O parâmetro AllowPinlessVoiceMailAccess especificase usuários associados à diretiva de caixa de correio doUM são necessárias para usar um PIN para acessar suamensagem de voz. Ainda é necessário usar um PIN paraacessar o email e o calendário.
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 52/56
Padrão desabilitado ($false).
LogonFailusresBeforePINReset
O parâmetro LogonFailuresBeforePINReset especificao número de tentativas sequenciais de logonmalsucedidas antes de o PIN da caixa de correio ser automaticamente redefinido. Para desabilitar esse
recurso, defina esse parâmetro como Unlimited. Se esse parâmetro não estiver definido como Unlimited, eledeve ser definido como menor que o valor do parâmetro
MaxLogonAttempts. O intervalo varia de 0 a 999.
Padrão 5 falhas.
MaxLogonAttempts
O parâmetro MaxLogonAttempts especifica o númerode vezes que usuários possam tentar fazer logon semêxito, em sequência, antes de a caixa de correio do UMser bloqueada. O intervalo varia de 1 a 999.
Padrão 15 tentativas.
MinPINLength
O parâmetro MinPINLength especifica o númeromínimo de dígitos necessários em um PIN para usuárioshabilitados para UM. O intervalo varia de 4 a 24.
Padrão 6 dígitos
PINHistoryCount
O parâmetro PINHistoryCount especifica o número dePINs anteriores que são lembrados e não são permitidosdurante uma redefinição de PIN. Esse número inclui a
primeira vez em que o PIN foi definido. O intervalovaria de 1 a 20.
Padrão 5 PINs
PINLifetime
O parâmetro PINLifetime especifica o número de diasaté que uma nova senha seja exigida. O intervalo é de 1a 999. Se você especificar Unlimited, o PIN do usuárionão expirará.
Padrão 60 dias
No Exchange 2010, as mensagens de correio de voz podem ser marcadas como protegidas. As mensagens do correio de voz são protegidas usando-se o Gerenciamento
de Direitos de Informação (IRM). É possível definir as configurações de proteção docorreio de voz determinando o parâmetro a seguir em uma política da caixa de correioUM. Para obter mais detalhes, consulte os seguintes tópicos:
• Noções Básicas Sobre a Caixa Postal Protegida• Noções Básicas Sobre o Gerenciamento de Direitos de Informação
Parâmetros de correio de voz protegidos
Parameter Descrição
ProtectAuthenticatedVoicemail O parâmetro ProtectAuthenticatedVoiceMail especifica se os servidores de Unificação de
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 53/56
Mensagens que atende as chamadas de Acesso deVoz do Outlook para usuários habilitados para UMassociados à diretiva de caixa de correio do UMcriarem mensagens de email protegidas. Se o valor édefinido como Private, apenas mensagens marcadas
como privadas são protegidas. Se o valor é definidocomo All, todas as mensagem de correio de voz são protegidas.
Padrão Nenhum (Nenhuma proteção é aplicada amensagens de correio de voz)
ProtectUnauthenticatedVoiceMail
O parâmetro ProtectUnauthenticatedVoiceMail especifica se os servidores de Unificação deMensagens que atende as chamadas para usuárioshabilitados para UM associados à diretiva de caixa decorreio do UM criarem mensagens de voz protegidas.
Isto também se aplica quando uma mensagem éenviada de um atendedor automático de UM para umusuário habilitado para UM associado à diretiva decaixa de correio do UM. Se o valor é definido comoPrivate, apenas mensagens marcadas como privadassão protegidas. Se o valor é definido como All, todasas mensagem de correio de voz são protegidas.
Padrão Nenhum (Nenhuma proteção é aplicada amensagens de correio de voz)
RequireProtectedPlayOnPhone
O parâmetro RequireProtectedPlayOnPhone
especifica se usuários associados à diretiva de caixade correio do UM podem apenas usar o recurso Tocar no Telefone para mensagens de voz protegidas ou seos usuários podem usar software multimídia paratocar a mensagem protegida.
Padrão $false. Os usuários podem usar ambos osmétodos para ouvir as mensagens de voz protegidas.
Importante:
Para servidores UM continuarem atendendo chamadas, é fundamental que eles tenhamacesso ao Active Directory. Recomendamos que você monitore a disponibilidade doActive DirectoryApêndice 1: Documentação adicional relacionada à segurança
Esta seção contém links para outros documentos do Exchange relacionados à segurança.
Funcionalidade anti-spam e antivírus• Noções Básicas Sobre a Funcionalidade Antispam e Antivírus• Gerenciando recursos anti-spam e antivírus
• Cmdlets antispam
Certificados
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 54/56
• Noções Básicas Sobre Certificados TLS• Gerenciando SSL para um Servidor de Acesso para Cliente
• Configurar SSL para o ActiveSync do Exchange
• Configurar SSL para o Outlook Anywhere
• Configurando TLS e SSL para Acesso POP3 e IMAP
• Configurar os Diretórios Virtuais do Outlook Web App para que Usem SSL
• Criar um Novo Certificado do Exchange
• Importar um Certificado do Exchange
• Exibir Propriedades de Certificado do Exchange
• Atribuir Serviços a um Certificado
Autenticação de cliente e segurança• Configurando autenticação para o ActiveSync do Exchange• Configurando a Autenticação para POP3 e IMAP4
• Configurando a Autenticação Baseada em Formulários para o Outlook Web App
• Configurando Métodos de Autenticação Padrão para o Outlook Web App
Outlook Web App• Gerenciando a Segurança do Outlook Web App• Configurar os Diretórios Virtuais do Outlook Web App para que Usem SSL
• Configurando a Autenticação Baseada em Formulários para o Outlook Web App
• Configurando Métodos de Autenticação Padrão para o Outlook Web App
• Configurar o Outlook Web App para Trabalhar com os Serviços de Federaçãodo Active Directory
• Outlook Web App e S/MIME
Outlook Anywhere• Gerenciando a segurança do Outlook em Qualquer Lugar
POP3 e IMAP• Gerenciando a segurança POP3 e IMAP4• Configurar a Autenticação para POP3
• Configurar Autenticação para IMAP4
• Configurando TLS e SSL para Acesso POP3 e IMAP
Permissions• Referência de permissões de implantação do Exchange 2010
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 55/56
• Noções Básicas Sobre Controle de Acesso Baseado em Função
• Noções Básicas sobre Permissão de Divisão
• Noções Básicas Sobre a Coexistência de Permissões com o Exchange 2003
• Entendendo a coexistência de permissões com o Exchange 2007
• Noções Básicas Sobre Permissões de Várias Florestas
• Permissões de Recurso
• Gerenciando Usuários Administradores e Especialistas
• Gerenciando Usuários Finais
• Funções de Gerenciamento e Entradas de Função
• Escopos de Função de Gerenciamento• Atribuições de Função de Gerenciamento
• Gerenciando Permissões Divididas
• Permissões para Gerenciar Servidores de Caixa de Correio
• Protegendo Servidores da Unificação de Mensagens
Protegendo o fluxo de mensagens• Noções Básicas Sobre Segurança de Domínio• Usando PKI no servidor de transporte de borda para a segurança de domínio
• Usando a segurança de domínio: Configurando TLS mútuo
• Testar a configuração de PKI e proxy
Diretiva e conformidade de mensagens• Noções Básicas Sobre o Gerenciamento de Direitos de Informação• Noções Básicas Sobre Registro no Diário
• Protegendo Relatórios de Diário
• Noções Básicas Sobre o Gerenciamento de Registros de Mensagens
• Noções Básicas Sobre Marcas e Diretivas de Retenção
• Noções Básicas Sobre Pesquisa em Várias Caixas de Correio
• Informações sobre o registro em log de auditoria de caixa de correio
• Gerenciando o Registro em Log de Auditoria de Caixa de Correio
Federação• Noções Básicas Sobre Federação• Autoridades de certificação raiz confiáveis para confianças de federação
7/22/2019 Guia de segurança do Exchange 2010
http://slidepdf.com/reader/full/guia-de-seguranca-do-exchange-2010 56/56