Службы Software Update Services (SUS) минимизируют администрирование, управление и поддержку для средних и крупных предприятий, взаимодействуя непосредственно с Microsoft для сборки последних обновлений системы безопасности и пакетов обновлений (для Windows XP SP1 и Windows 2000 SP4 и выше).
Обновления системы безопасности, полученные SUS, могут быть пересланы на тестовый сервер, что настоятельно рекомендуется, либо на рабочий сервер для последующего распределения по сети. После того, как эти обновления будут тщательно протестированы, службы SUS могут автоматически обновить все системы в сети.

Дополнительную информацию о службах SUS, а также необходимые файлы доступны по адресу http://www.microsoft.com/windows2000/windowsupdate/sus/.

Укрепление IIS
IIS - интегрированная часть Windows Server 2003, прошедшая значительный путь от своих предшественников, особенно в части развития средств безопасности. Ряд ключевых усовершенствований, такие как уменьшение поля возможных атак и большая степень изоляции приложений, обеспечивают возможность построения устойчивой и безопасной Web-платформы.
IIS устанавливает только те средства, которые абсолютно необходимы для его функционирования. Средства, не являющиеся таковыми, отключаются утилитой IIS-LockDown, таким образом, уменьшая возможное поле атак. В предыдущей версии Windows инструмент IISLockDown был доступен как отдельная программа, которую нужно было загружать дополнительно. Теперь он является встроенным. IIS поддерживает файл UrlScan.ini со специальным разделом DenyUrlSequences в нем, с помощью которого можно ограничивать длину специфических полей и запросов. Эта функция заменяет некоторые средства URLScan, дополнительного компонента IISLockDown.
Мероприятия по укреплению защиты IIS
Несмотря на то что IIS при инсталляции включает только то, что необходимо, все же важно пересмотреть настройки безопасности IIS на серверах Exchange Server 2003. В табл. 12.1 перечислены ключевые моменты, важные для укрепления защиты IIS, и некоторые рекомендации по защите Web-компонентов почтового сервера.
Службы Software Update Services
Службы Software Update Services
Службы Software Update Services
Организация защиты сервера на основе функциональных ролей
Система Exchange Server 2003 может предоставлять различные услуги в рамках инфраструктуры обмена сообщениями. Некоторые из ее функций относятся к ограничениям бюджета, бизнес-требованиям или техническим требованиям. Независимо от того, как роли и ответственности Exchange Server 2003 задействованы в среде, они должны быть соответствующим образом защищены.
Некоторые (но далеко не все) примеры функциональных ролей, которые может играть Exchange Server 2003 в рамках инфраструктуры обмена сообщениями приведены ниже.
• Внешние серверы. Внешние (интерфейсные) серверы только подключают клиента к внутренним (прикладным) серверам и не должны самостоятельно хранить информацию.
• Серверы соединителей и передачи. Серверы соединителей или передачи служат мостами, соединяющими различные сайты Exchange в организации, - так же, как это делают внешние серверы в различных сетях.
• Внутренние серверы. Внутренние серверы - это серверы Exchange, расположенные внутри локальной сети и не взаимодействующие напрямую с Internet. Эти серверы обычно служат хостами, хранящими почтовые ящики и папки общего доступа.
Exchange Server 2003, выполняющийся на контролерах домена
В некоторых небольших средах обмена сообщениями можно рассмотреть возможность размещения Exchange Server 2003 на контролере глобального каталога или контролере домена (GC/DC) с целью снижения затрат и объема администрирования. Другая конфигурация может увеличить затраты на администрирование и поддержку, и потенциально привести к большим простоям (плановым и неплановым). Столь же важная причина избегать подобной конфигурации заключается в минимизации рисков и других моментов, которые перечислены ниже.
• Недоступность кластеризации.
• Снижение производительности.
• Несбалансированность нагрузки на службы DSAccess, DSProxy и службу глобального каталога (Global Catalog) или их неустойчивая работа.
• Все службы выполняются под локальной системой (LocalSystem) и могут конфликтовать друг с другом за ресурсы компьютера.
• Администраторы Exchange нуждаются в физическом доступе к контролеру домена.
• Серверу требуется больше времени для завершения работы.

Некоторые соображения относительно безопасности обновлений Exchange и операционной системы
Если Exchange Server 2003 выполняется под управлением Windows Server 2003 с ус­тановленным пакетом обновлений SP3, администратор имеет возможность обновления сетевой операционной системы (NOS) в Windows Server 2003 на месте. Из-за наличия новой функциональности и средств безопасности Windows 2003, Exchange Server 2003 после обновления должен выполнить некоторые исправления в IIS 6.0.
Сразу после запуска сервер ищет ключ /lm.ds2mb/614 91 в метабазе IIS. Если ключ не найден, Exchange выполняет следующие шаги:
1. IIS переключается из режима совместимости (Compatibility Mode) в режим изоляции рабочего процесса (Worker Process Isolation Mode).
2. Если расширения Exchange ISAPI включены, создается пул приложений (Application Pool).
3. IIS создает ключ /lm.ds2mb/614 91 в метабазе.
4. IIS автоматически перезапускает службу W3SVC, чтобы изменения вступили в силу.
Каждое из этих изменений регистрируется в журнале событий приложений (Application Event Log).