Обеспечение безопасности серверной части Exchange Server 2003 включает в себя совокупность политик, настроек и практических приемов. Для систем любого типа эти аспекты требуют тщательного планирования, конструкторского проектирования и тестирования. Они включают разработку политики безопасности при обмене сообщениями, стандартизацию механизмов безопасности Windows Server 2003 и Exchange Server 2003 и применение других мер, принятых в качестве промышленных стандартов.
Обеспечение безопасности серверной части является одним из важнейших условий эффективной защиты среды обмена сообщениями, поскольку Exchange Server 2003 не только хранит передаваемые данные, но и служит ответственным средством организации коммуникаций. В этой связи важно составить план организации защиты серверной части и достичь полного понимания всех средств безопасности, представляемых операционной системой и самим Exchange Server 2003.
Инициатива безопасных вычислений Microsoft
Компания Microsoft претерпевает значительную трансформацию в соответствии с требованиями безопасности. Она добивается возможности поставлять серверные продукты, подобные Exchange Server 2003, которые были бы "безопасными в дизайне, безопасными по умолчанию и безопасными в разворачивании". Каждый аспект безопасности всех серверных продуктов тщательно исследуется. Специфические средства, уязвимые места и исходный код были тщательно проанализированы с тем, чтобы сделать Exchange Server 2003 защищенным настолько, насколько это возможно.
Безопасность в дизайне
Инициатива безопасных вычислений Microsoft (Secured Computing Initiative -SCI) - это, по сути, краеугольный камень разработки Exchange Server 2003. Данная инициатива началась с того, что для всей команды разработчиков Exchange Server 2003 были организованы занятия по мерам безопасности, а также были специально созданы группы поддержки межкомпонентной безопасности. Эти группы использовали передовой опыт разработчиков для повышения качества и сужении поля потенциальных атак в отношении разрабатываемых продуктов. Компания Microsoft постоянно осуществляет ревизию исходного кода для проверки того, что изменения, вносимые в одну часть системы, не приводят к повышению риска нарушения безопасности других частей. Этот процесс в компании идет постоянно.
В дополнение к постоянным ревизиям кода, группы экспертов по безопасности, называемые "красными командами" (Red Teams), выполняют тестирование продуктов и оценку потенциальных угроз. Эти группы фактически действуют как хакеры, постоянно пытаясь взломать системы и используя их слабые места.
Безопасность по умолчанию
Другая составляющая инициативы безопасных вычислений направлена на то, чтобы сузить поле возможных атак на Exchange Server 2003. Это означает стремление сделать установки по умолчанию более защищенными. Уменьшение количества служб и функций, включенных по умолчанию, снижает риск нарушения защиты за счет использования неконтролируемых свойств работающей системы. Например, часто применяемые сетевые протоколы теперь по умолчанию не доступны. Среди них POP3, IMAP4, NNTP и Outlook Mobile Access (OMA). Для снижения вероятности того, что установка по умолчанию может оказаться незащищенной, были добавлены другие средства, такие как ограничение прав новых пользователей и ограничения сообщений.
Безопасность разворачивания
Компания Microsoft снабжает IT-персонал необходимым набором инструментов и документацией, которая нужна для успешного и безопасного развертывания Exchange Server 2003. Средства развертывания и документация гарантируют то, что сетевая среда исправна, корректно настроена и готова принять установку Exchange Server
2003.
Сочетание упомянутых инструментов и документации с соответствующими учебными занятиями позволяют подготовить администраторов Exchange Server 2003. Это обеспечивает им необходимые возможности и знания для защиты среды обмена сообщениями в соответствии с требованиями безопасности, которые приняты в конкретной организации.
Организация общения и сообщества профессионалов
Другим важным аспектом инициативы безопасных вычислений является организация общения профессионалов о серверных продуктах. Это система отношений, стимулирующая совместный доступ к информации, аналогична группам профессионалов, разделяющих общий опыт, понимание и знания предмета. Сообщества подобного рода могут быть созданы через группы новостей, дискуссионные группы, группы пользователей и Web-сайты, посвященные вопросам безопасности.