引言:笔者认为部署一台对于各种敏感信息都足够安全的Microsoft Exchange Server是完全可以实现的。下面我将向你展示如何做到这一点。
在耳濡目染了各种有关信息泄露、黑客和加密等方面的新闻之后,信息安全管理人员时常会很自然地幻想去部署一台超级安全的Microsoft Exchange Server,让它服务于任何向外发出的绝密邮件。我会在此尽我所能向您展示如何在Hyper-V的虚拟机环境中部署一台非常实用的Exchange Server 2016。我将和您讨论信息的锁定、静态和传输信息的加密、安全的远程访问、以及针对各种入侵的加固。
具体说来,我会按照以下的原则进行搭建的:
· Exchange Server。我相信很多人都转动着眼睛说:Microsoft Exchange是永远无法被恰当地安全加固的,唯有Sendmail或Postfix的定制化编译方可实现。好吧,我暂且接受这个说法。但是您要知道,如果您的团队只有您一个人或是少数几个成员的话,这些定制的方案也许会奏效。但是Exchange却有着它独特的群组软件的功能。
此外,众所周知信息存在于电子邮件、日历和联系人之中,而无论是Sendmail还是Postfix,都无法提供集成、统一的解决方案。如果您能成功地加固Exchange的话,那么您的日历、联系人、收件箱、日志条目、即时消息的对话历史记录等也都会得到安全保障。再者,大多数人在使用习惯上都会选择Outlook,而Outlook恰好是Exchange的最佳使用拍档。
· 一种在办公室和在路上都适用的解决方案。我会尽量把重点放在保护Exchange的移动访问接入之上。如今移动安全是非常重要的。如果在设计的时候就存在缺陷的话,那么安全就只会流于名字,而无实际作用了。任何在这个领域有经验的人都会告诉您:安全性和便利性永远是一对相爱相杀的两方面。因此我在搭建的过程中要作出明智且理智的选择,在允许适当的便利性的同时,尽量不去影响系统的整体完整性。
· 一个简单的一站式解决方案。我并不打算为了达到高可用性而部署多台Exchange服务器;我也不打算实现Windows Server的群集;我更不会使用附加存储;或试图去管理SAN的连接。相反,我只想保持一种简单模式:将存储、服务器和Exchange都放置在一起。您可以搭建一台单独的虚拟机,将它要么运行在自己的网络内,要么部署到像亚马逊Web Services或是微软Azure的服务环境基础设施中。
因此,我的三步走操作顺序便是:首先:部署Exchange。其次:从Windows Server和Exchange两方面出发进行基础加固。最后:加固网络,并实施最新的加密和审计技术,从而让您获得最为安全的Exchange Server的单机实现。事实上,我已经着手将这个系统部署到了我们组织的生产环境之中。可见这并非只是纸上谈兵,我们组织的日常运营就是依赖着这个部署的架构。
在您的服务器上安装Exchange Server 2016
在安装Exchange时,我建议使用Michel de Rooij’s的卓越PowerShell脚本(译者注:https://eightwone.com/2013/02/18/exchange-2013-unattended-installation-script/)来逐步在您的系统上搭建Exchange Server 2016。虽然也有许多其他的脚本可以被用到,但是这个脚本更胜一筹。因为它能够涉及到所有的先决条件,包括各式各样的过滤包。根据您所要安装到的操作系统的不同(鉴于该脚本支持从Windows Server 2008 R2的Service Pack 1一直到当前最新的版本,我将使用的是Windows Server 2016,因为它是最新“出炉”的系统版本,而且有着良好的技术支持),它会根据所处的架构方案进行调整,从而对Active Directory进行安装准备。而且它会巧妙地处理各种错误和异常。注意:该脚本的更新比较频繁,在撰写本文时,它在2017年6月28日已有过一次最近的更新。
该脚本需要您在手边具有Exchange ISO或其他类型的源文件。Exchange 2013及其更高版本(当然也其中包括2016版),都有一个不错的功能:每一次所有的累积更新都实际上是一套完整的Exchange副本。这就意味着您可以提取累积更新文件目录中的各种文件,另放到一个文件夹中,然后从那里去运行一个Exchange的全新安装。这样的方式可以帮助您节省对现有服务器进行补丁和更新所花费的额外时间和精力,同时也节省了对于已部署的服务器维护的各种工作量。截至发稿时,Exchange 2016的最新版本是累积更新第7版,它于2017年9月19日所发布。
以下是运行PowerShell脚本的命令:
Install-Exchange15.ps1-InstallBoth -SourcePath c:\exchange2016cu7 -Organization EightyTwoVentures-AutoPilot -Credentials
您一旦运行了上述该命令,就会有一个提示您输入管理员身份凭据的对话框弹出。注意:这些身份凭证会被一直保存到脚本运行完毕才被删除掉。也就是说,即使有系统的重新启动,该脚本也会保留该身份凭据。在该脚本将Exchange以“逐位”的方式安装到虚拟机的期间,您会碰到五到六次的系统重启,并会花费大约一个小时左右的时间。最终您将就得到一台功能完备但尚未定制配置的Exchange,至此各项部署工作已经准备就绪了。
设置BitLocker加密
安全的一个重要部分就是加密,而且它意味着既要加密静态的数据(即当它们被存储在磁盘上时),也要加密运输过程中的数据(比如当它们通过网线进行发送的时候)。既然我们正在讨论的是Exchange,这就意味着我们已拥有Windows Server,而且上面具有Bitlocker。Bitlocker是一个工业级强度的驱动器加密机制,它正好能够满足我们的部署要求。
事实上,Bitlocker在Exchange首选体系结构的指导中是这么被提到的:在微软的“理想”部署情景中,如果你想使用到Exchange的所有优势,并消减其所有的产品弱点的话,Exchange必须有一件“防弹衣”。您可以在Windows Server上开启BitLocker,然后让它完成对整个磁盘驱动器的加密过程--就这么简单的两步走的过程。(当然,请不要丢失您的备份密钥)。
