Службы Software Update Services (SUS) минимизируют администрирование, управление и поддержку для средних и крупных предприятий, взаимодействуя непосредственно с Microsoft для сборки последних обновлений системы безопасности и пакетов обновлений (для Windows XP SP1 и Windows 2000 SP4 и выше).
Обновления системы безопасности, полученные SUS, могут быть пересланы на тестовый сервер, что настоятельно рекомендуется, либо на рабочий сервер для последующего распределения по сети. После того, как эти обновления будут тщательно протестированы, службы SUS могут автоматически обновить все системы в сети.
Дополнительную информацию о службах SUS, а также необходимые файлы доступны по адресу http://www.microsoft.com/windows2000/windowsupdate/sus/.
Укрепление IIS
IIS - интегрированная часть Windows Server 2003, прошедшая значительный путь от своих предшественников, особенно в части развития средств безопасности. Ряд ключевых усовершенствований, такие как уменьшение поля возможных атак и большая степень изоляции приложений, обеспечивают возможность построения устойчивой и безопасной Web-платформы.
IIS устанавливает только те средства, которые абсолютно необходимы для его функционирования. Средства, не являющиеся таковыми, отключаются утилитой IIS-LockDown, таким образом, уменьшая возможное поле атак. В предыдущей версии Windows инструмент IISLockDown был доступен как отдельная программа, которую нужно было загружать дополнительно. Теперь он является встроенным. IIS поддерживает файл UrlScan.ini со специальным разделом DenyUrlSequences в нем, с помощью которого можно ограничивать длину специфических полей и запросов. Эта функция заменяет некоторые средства URLScan, дополнительного компонента IISLockDown.
Мероприятия по укреплению защиты IIS
Несмотря на то что IIS при инсталляции включает только то, что необходимо, все же важно пересмотреть настройки безопасности IIS на серверах Exchange Server 2003. В табл. 12.1 перечислены ключевые моменты, важные для укрепления защиты IIS, и некоторые рекомендации по защите Web-компонентов почтового сервера.
Организация защиты сервера на основе функциональных ролей
Система Exchange Server 2003 может предоставлять различные услуги в рамках инфраструктуры обмена сообщениями. Некоторые из ее функций относятся к ограничениям бюджета, бизнес-требованиям или техническим требованиям. Независимо от того, как роли и ответственности Exchange Server 2003 задействованы в среде, они должны быть соответствующим образом защищены.
Некоторые (но далеко не все) примеры функциональных ролей, которые может играть Exchange Server 2003 в рамках инфраструктуры обмена сообщениями приведены ниже.
• Внешние серверы. Внешние (интерфейсные) серверы только подключают клиента к внутренним (прикладным) серверам и не должны самостоятельно хранить информацию.
• Серверы соединителей и передачи. Серверы соединителей или передачи служат мостами, соединяющими различные сайты Exchange в организации, - так же, как это делают внешние серверы в различных сетях.
• Внутренние серверы. Внутренние серверы - это серверы Exchange, расположенные внутри локальной сети и не взаимодействующие напрямую с Internet. Эти серверы обычно служат хостами, хранящими почтовые ящики и папки общего доступа.
Exchange Server 2003, выполняющийся на контролерах домена
В некоторых небольших средах обмена сообщениями можно рассмотреть возможность размещения Exchange Server 2003 на контролере глобального каталога или контролере домена (GC/DC) с целью снижения затрат и объема администрирования. Другая конфигурация может увеличить затраты на администрирование и поддержку, и потенциально привести к большим простоям (плановым и неплановым). Столь же важная причина избегать подобной конфигурации заключается в минимизации рисков и других моментов, которые перечислены ниже.
• Недоступность кластеризации.
• Снижение производительности.
• Несбалансированность нагрузки на службы DSAccess, DSProxy и службу глобального каталога (Global Catalog) или их неустойчивая работа.
• Все службы выполняются под локальной системой (LocalSystem) и могут конфликтовать друг с другом за ресурсы компьютера.
• Администраторы Exchange нуждаются в физическом доступе к контролеру домена.
• Серверу требуется больше времени для завершения работы.
Некоторые соображения относительно безопасности обновлений Exchange и операционной системы
Если Exchange Server 2003 выполняется под управлением Windows Server 2003 с установленным пакетом обновлений SP3, администратор имеет возможность обновления сетевой операционной системы (NOS) в Windows Server 2003 на месте. Из-за наличия новой функциональности и средств безопасности Windows 2003, Exchange Server 2003 после обновления должен выполнить некоторые исправления в IIS 6.0.
Сразу после запуска сервер ищет ключ /lm.ds2mb/614 91 в метабазе IIS. Если ключ не найден, Exchange выполняет следующие шаги:
1. IIS переключается из режима совместимости (Compatibility Mode) в режим изоляции рабочего процесса (Worker Process Isolation Mode).
2. Если расширения Exchange ISAPI включены, создается пул приложений (Application Pool).
3. IIS создает ключ /lm.ds2mb/614 91 в метабазе.
4. IIS автоматически перезапускает службу W3SVC, чтобы изменения вступили в силу.
Каждое из этих изменений регистрируется в журнале событий приложений (Application Event Log).
ТОП-10 популярных
Для работы с вещественными числами в MySQL предусмотрено три типа данных - это типы FLOAT, DOUBLE, DECIMAL. Числовой тип FLOAT...
БОЛЬШЕ БОЛЬШИХ LCD-мониторов
Процесс вытеснения с рынка мониторов с электронно-лучевой трубкой (CRT) продолжается. О смещении акцентов в пользу LCD-мониторов теперь заявляют даже те...
Процесс вытеснения с рынка мониторов с электронно-лучевой трубкой (CRT) продолжается. О смещении акцентов в пользу LCD-мониторов теперь заявляют даже те...
Больше больших LCD-мониторов
Процесс вытеснения с рынка мониторов с электронно-лучевой трубкой (CRT) продолжается. О смещении акцентов в пользу LCD-мониторов теперь заявляют даже те...
Процесс вытеснения с рынка мониторов с электронно-лучевой трубкой (CRT) продолжается. О смещении акцентов в пользу LCD-мониторов теперь заявляют даже те...
НОУТБУК с блестящим экраном
Eсли выпустившая ноутбук фирма предлагает его в качестве «замены настольному ПК», то это должно подразумевать под собой нечто большее, чем...
Eсли выпустившая ноутбук фирма предлагает его в качестве «замены настольному ПК», то это должно подразумевать под собой нечто большее, чем...
Иди и пиши. TravelMate C100
Планшетный компьютер платформы Tablet PC обязан в первую очередь быть легким, способным достаточно долго работать без подзарядки батарей. Эти требования...
Планшетный компьютер платформы Tablet PC обязан в первую очередь быть легким, способным достаточно долго работать без подзарядки батарей. Эти требования...
Магнито-оптический дисковод DynaMO
Cейчас, когда традиционные флоппи-дисководы на долгие годы замерли в своем развитии, поиск альтернативных носителей продолжается, и ситуация, казалось бы, разрешилась...
Cейчас, когда традиционные флоппи-дисководы на долгие годы замерли в своем развитии, поиск альтернативных носителей продолжается, и ситуация, казалось бы, разрешилась...
Компьютер для гурманов.«Эксимер ДМ»
Российская компания «Эксимер ДМ», известная как производитель настольных компьютеров, рабочих станций, серверов и ноутбуков, выступила техническим спонсором проведения торжеств, посвященных...
Российская компания «Эксимер ДМ», известная как производитель настольных компьютеров, рабочих станций, серверов и ноутбуков, выступила техническим спонсором проведения торжеств, посвященных...
Для длинных строк, т.е. строк длиннее 255 символов, в MySQL предусмотрены типы BLOB (Binary Large Object, большой двоичный объект) и...
В дополнение к календарным типам, предназначенным для хранения даты и времени отдельно, MySQL также поддерживает гибридные типы данных DATETIME и...
Вообще, к изменению настроек сервера прибегают очень редко. В MySQL программа заранее настроена так, чтобы соответствовать самым распространенным и основным...
Microsoft Exchange Server 2003. Службы Software Update Services
28-12-2009
<< Предыдущая статья | Следующая статья >> |
Microsoft Exchange Server 2003. Применение базового анализатора защиты от Microsoft | Microsoft Exchange Server 2003. Стандартизация серверов Exchange Server 2003 |