2004年11月19日

概要
本文讨论了 Microsoft Exchange Server 2003 中引入的一些安全设置更改。Exchange 2003 包括了许多与安全有关的更新和更改,目的是为了使它比以前的 Microsoft Exchange Server 版本更安全。
更多信息

组织级设置
• 禁用了 Microsoft Outlook Mobile Access 浏览功能
启用或禁用该 Microsoft 浏览功能的设置是在 Exchange 2003 目录林准备操作(当运行 setup /forestprep 命令时)过程中在整个 Exchange Server 组织中设置的。默认情况下,在安装 ForestPrep 部分期间,Outlook Mobile Access 浏览功能处于禁用状态。但是,如果以前启用了 Outlook Mobile Access 浏览功能,Exchange 2003 的 forestprep/reinstall 命令可使其保持启用状态。

这意味着,在您运行 setup /forestprep 从 Microsoft Exchange 2000 Server 升级时,不会启用 Outlook Mobile Access 浏览功能。但是,如果已经启用了该浏览功能,在您运行 setup /forestprep 从 Exchange 2003 的旧版本或 beta 版进行升级时,该功能会保持启用状态。

确定是否已启用 Outlook Mobile Access 浏览功能:1. 启动“Exchange 系统管理器”。
2. 在您的组织下,展开“全局设置”,右键单击“移动服务”,然后单击“属性”。
3. 在“Outlook Mobile Access”下,如果“启用 Outlook Mobile Access”复选框处于选中状态,说明已启用 Outlook Mobile Access 浏览功能。如果此复选框处于未选中状态,说明未启用 Outlook Mobile Access 浏览功能。
注意:默认情况下,在安装过程中不禁用“Exchange ActiveSync”和“始终使用最新通知”设置。

• 整个 Exchange 组织中最大邮件大小限制设置为 10 兆字节
在组织中安装第一台 Exchange 2003 计算机时,如果以前没有配置“发送邮件大小”和“接收邮件大小”选项的值,这两个选项都会被设置为最大 10,240 千字节(10 兆字节)。这意味着,在从 Microsoft Exchange 2000 Server 升级到 Exchange 2003 或在重新安装 Exchange 2003 时,如果尚未配置另一设置,全局邮件大小限制就会被设置为 10 兆字节。如果已经配置了邮件大小限制,则会保留该值。查看邮件大小限制:1. 启动“Exchange 系统管理器”。
2. 在您的组织下,展开“全局设置”,右键单击“邮件传递”,然后单击“属性”。
3. 单击“默认”选项卡。
有关在配置邮件大小限制时可能遇到的问题的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中的相应文章:
298572 XADM:An E-Mail Message That Is Larger Than the Outgoing or the Incoming Message Size Limit Is Not Delivered
如果您将邮件大小限制配置得过大,则可能会遇到很大的电子邮件导致 Exchange 2003 暂时停止响应的问题。例如,如果发送一封 81 兆字节的电子邮件,则 Exchange 2003 可能会暂时停止响应。
• 删除了“任何人”和“匿名登录”安全组的创建顶级公用文件夹的权限
Exchange 2003 目录林准备操作(在运行 setup /forestprep 命令时)会从 Exchange 组织容器中删除“任何人”和“匿名登录”组的“创建顶级公用文件夹”的“允许”权限。其他访问控制项 (ACE) 没有变化。有关在组织中安装 Exchange 2000 Server 时可能出现的问题的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中的相应文章:
822576 “Allow Create Top Level Public Folder” Access Control Entry for the Exchange Organization Container Unexpectedly Includes the Everyone and the Anonymous Logon Groups  

服务器级设置
• 在创建新的 Exchange 虚拟服务器时不自动创建 POP3、IMAP4 和 NNTP 群集资源

在旧版本的 Microsoft Exchange 中,当创建 Exchange 虚拟服务器时,会同时创建“邮局协议 3”(POP3)、“Internet 邮件访问协议 4”(IMAP4) 和“网络新闻传输协议”(NNTP) 群集资源。由于在默认 Exchange 2003 安装中不启用这些服务,因此这些服务不会自动创建。要创建这些资源,您必须手动启用它们,然后在群集节点上启动相应的服务。然后,您可以通过使用“群集管理器”实用工具来创建资源。

注意 升级现有的 Exchange 虚拟服务器不会更改这些群集资源。

• 在 Exchange 2003 计算机上拒绝“Domain Users”安全组成员的“允许在本地登录”权限

默认情况下,在安装 Exchange 2003 时,拒绝“Domain Users”组的成员对该计算机的“允许在本地登录”权限。默认情况下,“Domain Users”组的成员不能在本地登录到域控制器。但是,此限制的范围会扩大,从而包括安装了 Exchange 2003 的成员服务器。此更改适用于 Exchange 2003 的新安装、升级和重新安装。“Backup Operators”组、“Administrators”组和那些权限高于其他组的其他安全组的成员仍然可以在本地进行登录。此更改是通过在 Exchange 2003 安装过程中从“允许在本地登录”策略中删除本地(内置)“Users”安全组完成的。查看此策略:1. 单击“开始”,单击“运行”,在“打开”框中键入 gpedit.msc,然后单击“确定”。
2. 在“计算机配置”下,依次展开“Windows 设置”、“安全设置”、“本地策略”,然后单击“用户权限分配”。
3. 在右窗格中,双击“允许在本地登录”。
4. 查看在“允许在本地登录”框中显示的用户和组。
 
• 在安装 Exchange Server 2003 时会从 Program Files 文件夹复制访问控制项

在安装 Exchange 2003 作为独立服务器或在群集节点上安装 Exchange 2003 时,系统会从父级 Program Files 文件夹复制对 Exchange 安装文件夹(默认情况下,它们位于 C:\Program Files\Exchsrvr 文件夹中)的操作权限。如果将 Exchange 2003 安装到 Program Files 文件夹以外的位置,这些权限会被从 Program Files 文件夹复制到 Exchange 安装文件夹。因此,如果将“允许在本地登录”权限授予非管理员组的用户(例如“Domain Users”安全组的成员),这些用户就可以访问 Exchsrvr 安装文件夹中的敏感信息。例如,他们也许能够查看 Mailroot\vsi 1\BadMail、PickUp 或 Queue 文件夹中的敏感信息。

注意 在安装 Microsoft Mobile Information Server (MIS) 时也存在此问题。服务器上允许在本地登录并且已通过身份验证的用户可以查看 PickUp 文件夹中的信息。

• 全局事件对象具有空的自由访问控制列表

安全描述符是使用空的自由访问控制列表创建的;一个安全属性类被配置为指向所创建的安全描述符。然后,将使用这些安全属性创建事件。由于使用了空的自由访问控制列表,因此如果将“允许在本地登录”权限授予非管理员组的用户(例如“Domain Users”安全组的成员),则恶意用户有可能更改对象的自由访问控制列表并干涉对它的使用。
 
• 服务器上的 POP3、IMAP4 和 NNTP 服务被禁用

默认情况下,在新安装的 Exchange 2003 中,Exchange POP3 服务、IMAP4 服务和“网络新闻传输协议”(NNTP) 服务被设置为“禁用”。在升级到 Exchange 2003 或重新安装 Exchange 2003 时,将保留这些服务的原有状态。  

存储组级设置

• 每个公用文件夹存储的最大公用文件夹项目大小限制设置为 10 兆字节

在安装 Exchange 2003 时,“项目大小最大值 (KB)”选项设置为 10,240 千字节(10 兆字节)。如果您升级到 Exchange 2003 或重新安装 Exchange 2003,则仅当没有为此选项分配其他值时,才将其设置为 10,240。如果在升级到或重新安装 Exchange 2003 之前配置了此选项,则不更改以前的值。此设置还会影响通过使用“Exchange 系统管理器”新建的 MAPI 和应用程序公用文件夹存储区。“项目大小最大值 (KB)”存储在 Microsoft Active Directory 目录服务中每个公用文件夹存储对象的“messageSizeLimit”属性中。  

协议级设置
• POP3 和 IMAP4 Exchange 虚拟服务器的基本身份验证被启用


默认情况下,在新安装中会为 POP3 和 IMAP4 Exchange 虚拟服务器实例启用基本身份验证 (Basic_Auth)。但是,在升级到 Exchange 2003 时,会遇到以下问题:• 在 Exchange 后端服务器上,Exchange POP3 和 IMAP4 虚拟服务器实例中的可用身份验证方法不发生变化。

• 在 Exchange 前端服务器上,Exchange POP3 和 IMAP4 虚拟服务器实例中的身份验证方法配置如下:• 匿名身份验证 (Anon_Auth):禁用
• 基本身份验证 (Basic_Auth):启用
• 集成 Windows 身份验证 (NT_Auth):禁用

 
这种配置适用于默认的 Exchange 虚拟服务器实例以及使用“Exchange 系统管理器”实用工具创建的虚拟服务器实例。但是,升级到 Exchange 2003 之前创建的 Exchange 虚拟服务器实例或在重新安装 Exchange 2003 之前创建的虚拟服务器实例不会被修改。如前所述,Exchange 前端服务器是一个例外。

• Exchange NNTP 虚拟服务器的基本身份验证被启用

默认情况下,在新安装中为 Exchange NNTP 虚拟服务器实例启用基本身份验证 (Basic_Auth)。默认 Exchange NNTP 虚拟服务器的身份验证方法如下:• 匿名身份验证 (Anon_Auth):禁用
• 基本身份验证 (Basic_Auth):启用
• 集成 Windows 身份验证 (NT_Auth):启用
当升级到 Exchange 2003 或重新安装 Exchange 2003 时,将始终修改默认的 NNTP 虚拟服务器实例。在升级到或重新安装 Exchange 2003 的过程中不修改创建的其他 Exchange NNTP 虚拟服务器实例。此外,如果删除 Exchange 2003,则将禁用集成的 Windows 身份验证 (NT_Auth)。之所以如此是因为“网络新闻传输协议”(NNTP) 是一个 Windows 组件,而不是 Exchange 2003 的一部分。