В последние годы такие программные продукты Microsoft, как Microsoft IIS, Internet Explorer (IE) и почтовые клиенты Outlook и Outlook Express, постоянно подвергаются атакам взломщиков. В Microsoft Exchange 2000 Server используются базовый протокол передачи сообщений SMTP и набор IP-протоколов IIS, поэтому нападения на IIS потенциально опасны для систем Exchange, в том числе Exchange Server 2003.
В 2001 году специалисты Microsoft приступили к работе над масштабным проектом обеспечения безопасности, получившим название инициативы Trustworthy Computing. Windows Server 2003. Благодаря Trustworthy Computing были модернизированы многие компоненты и повысилась общая безопасность Exchange 2003; в частности, были усовершенствованы Windows 2003 и Internet Information Services (IIS) 6.0. Следует помнить, что Exchange 2003 может работать с Windows 2000 Service Pack 3 (SP3) и IIS 5.0, но, чтобы реализовать преимущества новых функций безопасности, необходимы Windows 2003 и IIS 6.0.
Освоив наиболее важные функции безопасности Exchange 2003, такие как Outlook Web Access (OWA), защита от спама и другие новшества, можно построить более надежную корпоративную инфраструктуру обработки сообщений. Для многих из перечисленных функций необходимо установить Outlook 2003 и использовать новейшую версию браузера Microsoft IE 6.0, который входит в состав Windows 2003 и Windows XP.
Один из основных принципов инициативы Trustworthy Computing — «безопасность в режиме по умолчанию» (secure by default). Это означает, что в результате стандартной процедуры установки любой фрагмент программного обеспечения Microsoft будет защищен от взлома. В данной статье этот принцип рассматривается в применении к Windows 2003, Exchange 2003 и IIS 6.0.
Стандартный режим безопасности Windows 2003
В основе режима по умолчанию лежит ограничение прав доступа и новые функции, составленные в соответствии с базовым принципом минимальных полномочий. Согласно этому принципу пользователям и службам предоставляются лишь полномочия, необходимые для выполнения их задач.
По умолчанию в каждой установке Windows 2003 активизируется политика надежного пароля, в соответствии с которой операционная система помнит последние 24 пароля пользователя; пароли могут иметь минимальный возраст один день и максимальный — 42 дня, они должны состоять по крайней мере из семи символов и соответствовать определенным требованиям по сложности (например, содержать хотя бы один символ в нижнем регистре, один символ в верхнем регистре и одну цифру). Требования к паролю, безусловно, влияют на пользователей Exchange, обращающихся к почтовому ящику с учетной записью Windows.
Открывая IE в Windows 2003, можно заметить, что активизирована функция IE Enhanced Security Configuration. Данная функция блокирует параметры зоны безопасности IE. Самое важное следствие такой блокировки IE — присвоение одинаковых параметров Internet Zone и Restricted Sites Zone. Пользователи OWA почувствуют эффект IE Enhanced Security Configuration при использовании OWA с платформы Windows 2003, так как доступ к сайту OWA будет блокирован. Если пользователи попытаются обратиться к OWA, на экране браузера появится диалоговое окно с предупреждением о блокировании Web-узла. Чтобы получить доступ к Web-узлу OWA, его необходимо ввести в зону IE Trusted Sites Security Zone, что можно сделать, щелкнув на кнопке Add в диалоговом окне.
При новой установке Windows 2003 отключаются многие службы, которые запускались по умолчанию в Windows 2000. Среди этих служб — Alerter и Telnet, широко применяемые администраторами Windows и Exchange.
Стандартный режим безопасности Exchange 2003
Exchange 2003 несет на себе следы многочисленных попыток Microsoft обеспечить безопасность в стандартном режиме. Например, в Exchange 2003 только члены групп Domain Administrators, Enterprise Administrators и Exchange Domain Servers могут создавать общедоступные папки верхнего уровня. В Exchange 2000 это право было предоставлено группе Everyone. Кроме того, из-за ошибки в процедуре установки Exchange 2000 право создавать общедоступные папки верхнего уровня возвращалось группе Everyone при установке нового сервера, даже если ранее организация была блокирована. А пользователи домена Exchange 2003 не получают права локальной регистрации на сервере Exchange.
В Exchange 2003 появились новые стандартные ограничения на размеры сообщений для почтового ящика и общедоступной папки Stores. Для почтовых ящиков Stores в организации устанавливается стандартное ограничение 10 Мбайт (как для исходящих, так и для входящих сообщений). То же ограничение налагается на сообщения, публикуемые в общедоступном хранилище Store. Чтобы назначить стандартное ограничение размера для почтового ящика в Store, необходимо открыть Exchange System Manager (ESM), выбрать свойства Message Delivery, а затем вкладку Defaults. Стандартный размер сообщения в общедоступной папке в Store устанавливается на вкладке Limits, в свойствах папки Store, для обращения к которым следует открыть ESM.
В процессе чистой установки Exchange 2003 отключаются службы POP3, IMAP4 и Network News Transfer Protocol (NNTP). В процессе любой установки Exchange 2003 отключается Outlook Mobile Access (OMA), новая служба Exchange, обеспечивающая доступ к почте с мобильных устройств.
Дополнительные меры безопасности IIS 6.0
Как и предыдущие версии, Exchange 2003 работает с IIS. Это условие вызвано не только требованиями OWA, но и широким применением в механизмах маршрутизации и доступа к сообщениям Exchange транспортных протоколов IIS: SMTP, NNTP, POP3 и HTTP. Для Windows 2003 IIS — факультативная служба, которая по умолчанию не разворачивается. Устанавливая IIS на сервере, который планируется использовать для Exchange, нужно обязательно позаботиться о протоколах SMTP, NNTP и ASP.NET. Их можно активизировать с помощью утилиты Add or Remove Programs в панели управления: щелкнуть на вкладке Windows Component, открыть раздел Application Server, установить флажок ASP.NET, а затем открыть раздел Internet Information Services (IIS) и установить флажки служб NNTP и SMTP.
Как и в Windows 2003, IIS 6.0 разворачивается в блокированном состоянии. Одно из наиболее очевидных следствий этой блокировки заключается в том, что по умолчанию IIS обеспечивает передачу лишь статических Web-страниц. Перед установкой Exchange 2003 необходимо настроить IIS на пересылку динамических Web-страниц, таких как Active Server Pages (ASP). Для управления разрешенным к пересылке динамическим контентом используется новая административная функция Web Service Extensions в оснастке IIS Manager консоли управления Microsoft Management Console (MMC). Для работы Exchange 2003 необходимы IIS ASP и ASP.NET. Также нужно отметить, что программа установки Exchange 2003 добавляет несколько специальных расширений для Exchange, которые состоят в основном из DLL, используемых службой OWA.
Вероятно, самое фундаментальное изменение, которое обеспечивает повышенную безопасность IIS 6.0 по умолчанию, — это новая архитектура службы. HTTP-часть Web-сервера была полностью переработана. Ключевая характеристика данной архитектуры — изоляция. В IIS 6.0 реализован режим изолирования рабочих процессов Worker Process Isolation Mode (WPIM), в котором различные Web-узлы (и их рабочие процессы) могут функционировать независимо друг от друга на одном физическом сервере — так, как если бы они были разделены логическим брандмауэром. В этом режиме можно настраивать параметры безопасности отдельных Web-узлов, например идентификатор безопасности, используемый Web-узлом, и параметры производительности, такие как объем системных ресурсов, потребляемых Web-узлом. Кроме того, данная архитектура лучше защищена от атак типа отказа в обслуживании (Denial of Service, DoS) и гарантирует, что атака на один Web-узел не нарушит работу всего Web-сервера и остальных Web-узлов на сервере.
Защита от спама
В последние несколько лет спам (который также называется массовой рассылкой непрошеных посланий — Unsolicited Bulk E-mail, UBE, массовой рассылкой непрошеных коммерческих посланий — Unsolicited Commercial E-mail, UCE) стал основной проблемой для администраторов Exchange. Обзор опасностей, связанных со спамом, приведен в отчете «Unsolicited Bulk E-mail: Definitions and Problems» (http://www.imc.org/ube-def.html), опубликованном консорциумом Internet Mail Consortium. Для борьбы со спамом в Exchange 2003 используются усовершенствованная противоретрансляционная защита, фильтрация соединений по IP-адресам с применением списков блокирования в реальном времени, фильтрация отправителей и получателей на базе SMTP и аутентификация групп рассылки (Distribution Group, DG). Из всех этих функций только SMTP-фильтрация отправителей реализована в Exchange 2000.
Противоретрансляционная защита (antirelay protection). Авторы спама часто используют чужую инфраструктуру рассылки сообщений для ретрансляции спама, поскольку таким образом можно получить дополнительные ресурсы и скрыть истинный источник сообщений. В SMTP-шлюзе обработки сообщений Exchange 2003 функция ретрансляции по умолчанию отключена, поэтому сервер Exchange принимает только сообщения, отправленные из аутентифицированных источников, и сообщения, направленные получателям, чей почтовый ящик находится на сервере. С помощью команд Telnet легко выяснить, отключен режим ретрансляции сообщений или активен (см. экран 1). Если сообщение отправлено нелокальному получателю (например, katrien.coppens@hotmail.com) и режим ретрансляции отключен, система выдаст предупреждение об ошибке SMTP 550. Ограничения ретрансляции в Exchange 2003 можно назначить в окне свойств виртуального сервера SMTP в ESM (нужно щелкнуть на кнопке Relay Restrictions на вкладке Access). По умолчанию виртуальный SMTP-сервер Exchange 2003 устанавливает режим Only the list below with an empty computer list, в котором ретрансляция сообщений SMTP фактически блокирована. В Exchange 2000 и Exchange Server 5.5 эти серверы по умолчанию открыты для ретрансляции.
Еще одна важная функция для борьбы с ретрансляцией — назначение ограничений на ретрансляцию для конкретных пользователей. В документации Microsoft данная функция называется также «отправкой и ретрансляцией сообщений под управлением администратора безопасности» (security principal-based submit and relay). В Exchange 2000 для управления трансляцией сообщений используются IP-адрес, подсеть или имя домена DNS. Но виртуальный SMTP-сервер Exchange 2003 располагает новым списком управления доступом ACL, в котором можно указать ограничения на ретрансляцию для отдельных пользователей и групп. Чтобы настроить этот ACL, нужно открыть диалоговое окно Relay Restrictions, описанное в предыдущем абзаце, и сбросить флажок Allow all computers which successfully authenticate to relay, regardless of the list above, чтобы активизировать кнопку Users. Затем следует щелкнуть на Users и открыть редактор ACL, с помощью которого можно указать, какие пользователи могут отправлять и транслировать сообщения через виртуальный сервер. Новый ACL хранится в атрибуте ms-Exch-SubmitRelaySD объекта Active Directory (AD) SMTP-сервера.
Фильтрация соединений по IP-адресу. С помощью появившейся в Exchange 2003 функции фильтрации соединений по IP-адресу можно блокировать отдельные IP-адреса или целые списки IP-адресов, например используемые авторами спама для доставки сообщений. Чтобы настроить процедуру фильтрации, следует открыть диалоговое окно Message Delivery Properties, доступное через ESM, и перейти к вкладке Connection Filtering. На экране 2 показано, как настроить фильтрацию соединений по IP-адресу для конкретного провайдера списков блокируемых адресов, Mail Abuse Prevention System (MAPS). Чтобы построить фильтр, следует щелкнуть на кнопке Add на вкладке Connection Filtering в диалоговом окне Connection Filtering Rule, затем ввести имя фильтра и суффикс DNS, а также любое сообщение об ошибке, которое будет появляться на экране при блокировании сообщения. Щелкнув на кнопке Exception на вкладке Connection Filtering в диалоговом окне Message Delivery Properties, можно задать исключения для списка блокировки. Кроме того, щелкнув на кнопке Accept or Deny, можно определить глобальные списки запрещенных и разрешенных IP-адресов, которые обрабатываются в обход списков блокировки.
Списки блокировки. Списки блокировки — перечни IP-адресов и доменов, известных как источники спама. Эти списки составляются и распространяются специализированными провайдерами услуг, такими как MAPS и Spamhaus. Как указано в предыдущем абзаце, Exchange 2003 работает со списками блокировки через механизм фильтрации соединений по IP-адресам. Если данная функция активна, то всякий раз, когда удаленный SMTP-сервер устанавливает соединение с сервером Exchange, последний пересылает адрес удаленного сервера провайдеру списка блокировки. Затем провайдер сверяется со своими списками. Если в списке обнаружено совпадение записи, то серверу Exchange направляется особый код, в соответствии с которым сервер может принять решение (например, разорвать соединение с удаленным SMTP-сервером).
Фильтрация отправителей и получателей на базе SMTP. Фильтр отправителей — список почтовых адресов, от которых никогда не следует принимать сообщения. Этот список составляется на вкладке Sender Filtering в диалоговом окне Message Delivery Properties, доступном через ESM. Кроме того, установив флажок Filter messages with blank sender, можно блокировать сообщения, в которых не указана информация об отправителе, что типично для спама.
Новая функция Exchange 2003 для защиты от спама — фильтрация получателей, которая блокирует входящие сообщения, разрывая SMTP-соединение, если в полях MAIL FROM: или RCTP TO: SMTP-сообщения содержатся определенные строки символов. Для настройки фильтра следует обратиться к вкладке Recipient Filtering в диалоговом окне Message Delivery Properties.
Определив фильтры соединений по IP-адресу или фильтры отправителей и получателей, следует применить их к виртуальным SMTP-серверам, на которых используются фильтры и размещены Internet-коннекторы. Для этого нужно открыть диалоговое окно Properties виртуального SMTP-сервера в ESM и щелкнуть на кнопке Advanced на вкладке General. Затем необходимо щелкнуть на кнопке Edit для соответствующего IP-адреса, открыть диалоговое окно Identification и выбрать флажок фильтрации соединений, отправителей или получателей.
Аутентифицированные группы рассылки (DG). Аутентифицированные группы рассылки, также известные как ограниченные группы рассылки (restricted DG) — новое свойство Windows DG. Благодаря им посылать сообщения в DG могут только аутентифицированные пользователи Windows. В то же время данная функция препятствует авторам спама злоупотреблять DG, используя их для рассылки непрошеных сообщений членам групп. Действие функции основано на новом атрибуте MS-Exch-Authenticated-Only, добавленном к атрибутам AD группы рассылки. Чтобы воспользоваться этой функцией, нужно установить флажок From authenticated users only на вкладке Exchange General в диалоговом окне Properties группы рассылки (экран 3). Доступ к окну можно получить из оснастки Active Directory Users and Computers консоли MMC.
Экран 3. Ограничения на сообщения для группы рассылки |
Функции безопасности OWA. OWA — популярный инструмент для доступа к почтовым ящикам Exchange, но многие предприятия отказываются от него из-за недостаточно надежной защиты. Поэтому в Exchange 2003 появился ряд важных новых функций безопасности OWA, в том числе шифрование и подписывание почтовых сообщений с использованием Secure MIME (S/MIME), фильтрация «мусора», подавление Web-маяков (Web-beacon), усовершенствованный блокировщик вложенных файлов и аутентификация на базе форм и cookie-файлов.
S/MIME. S/MIME — стандарт Internet для цифровых подписей и шифрования сообщений в формате MIME. S/MIME уже давно используется для всех почтовых клиентов Microsoft, кроме OWA. С появлением Exchange 2003 этот пробел ликвидирован. Для работы S/MIME в OWA требуется IE 6.0 или более поздняя версия браузера, так как в IE 6.0 реализована клиентская логика, необходимая для функционирования S/MIME в OWA. Функции OWA активизируются с помощью параметров конфигурации OWA-клиента. При активизации S/MIME OWA-сервер загружает на клиента несколько специальных DLL, предназначенных для S/MIME. Если обращения к OWA происходят с разных систем, то следует активизировать S/MIME и загрузить DLL на каждую машину.
Чтобы предоставить пользователям OWA сертификаты S/MIME, можно задействовать корпоративную инфраструктуру PKI (Public Key Infrastructure) или сторонние сертификаты. После того как клиент OWA будет готов к работе с S/MIME, в интерфейсе OWA и свойствах сообщений будут показаны параметры для цифрового подписывания сообщений и шифрования их содержимого (см. экран 4). Особенность OWA S/MIME заключается в том, что все операции с сертификатами, в частности проверка отзывов сертификатов, выполняются на сервере Exchange 2003.
Экран 4. Свойства S/MIME для сообщения OWA |
Фильтрация «мусора». OWA обеспечивает фильтрацию почтового «мусора», помогая избавиться от любого спама в почтовом ящике. Эта функция похожа на фильтр «мусора» в Outlook 2003. Например, можно разделить адреса SMTP на категории безопасных отправителей, безопасных получателей и блокируемых отправителей. При активном фильтре почтового «мусора» OWA сервер OWA просматривает все входящие сообщения и автоматически отправляет все сообщения от блокируемых отправителей в папку Junk E-mail почтового ящика. Активизировать фильтр «мусора» можно с помощью параметров настройки OWA — достаточно установить флажок Filter Junk E-mail в диалоговом окне Privacy and Junk E-mail Prevention (экран 5). Настроить список безопасных отправителей, безопасных получателей и блокируемых отправителей можно также, щелкнув на кнопке Manage Junk E-mail Lists в том же диалоговом окне. Поскольку в OWA и Outlook 2003 используется один список доверенных адресов/мусора, правила фильтрации становятся едиными, независимо от способа обращения пользователей к почте.
Подавление Web-маяка. Web-маяки (Web beacon) — ссылки, вставленные в почтовые сообщения HTML. Они могут указывать на изображения, автоматически загружаемые при просмотре клиентом HTML-сообщения, или на URL, предлагаемый в сообщении пользователю. Взломщики часто используют Web-маяки для разделения действительных и предполагаемых почтовых адресов. Если пользователь открывает сообщение в HTML-формате и почтовый клиент пытается загрузить изображение или обратиться к URL, то отправитель спама получает уведомление о том, что почтовый адрес используется. По умолчанию OWA для Exchange 2003 и Outlook 2003 запрещает отображать содержимое Web-маяков. OWA отображает предупреждение в заголовке почтового сообщения: To protect your privacy, Outlook Web Access blocked some images or other external content in this message. Click here to unblock content («В целях конфиденциальности Outlook Web Access блокировал некоторые изображения или другой внешний контент в данном сообщении. Щелкните здесь, чтобы разблокировать контент»). Чтобы управлять этой функцией, следует установить флажок Block external content in HTML e-mail messages, один из параметров настройки клиента OWA (см. экран 5). Более глубокую настройку функции подавления Web-маяков можно выполнить, изменив параметры реестра сервера в разделе HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetServicesMSExchange-WEBOWA.
Расширенное блокирование вложенных файлов. Многие вредоносные программы, в частности вирусы Melissa и VBS.LoveLetter, распространяются через Internet и попадают во входные почтовые ящики пользователей в файлах, присоединенных к почтовым сообщениям. Чтобы блокировать опасные почтовые вложения, в том числе файлы .exe и сценарии Windows (например, файлы .vbs), компания Microsoft дополнила почтового клиента функцией блокирования вложений по типу файла и типу MIME. Блокирование вложений реализовано в Outlook 2003, Outlook 2002, Outlook Security Update for Outlook 2000, Outlook 98 Service Pack 2 (SP2), Outlook Express 6.0 и более поздних версиях. Ограниченная версия блокировщика вложений присутствует также в OWA для Exchange 2000 SP2. В Exchange 2003 реализован блокировщик вложений для OWA. Сервер OWA разделяет вложения на три категории (уровни 1, 2 и 3). От категории, к которой отнесено почтовое вложение, зависит способ его обработки клиентом. Для настройки блокировщика вложений OWA используется несколько параметров в упомянутом выше разделе реестра сервера.
Аутентификация на базе форм и cookie-файлов. Аутентификация на базе форм и cookie-файлов — новшество OWA, которое позволяет применять OWA в системах общего доступа. Всякий раз, когда пользователь регистрируется в инфраструктуре OWA, внешний компонент OWA генерирует сеансовый cookie-файл, который записывается в кэш браузера на все время сеанса OWA. Поэтому пользователю не приходится вводить имя и пароль при доступе к странице OWA. Аутентификация на базе форм также обеспечивает безопасное завершение сеанса, и cookie-файлы удаляются из кэша браузера, когда пользователь выходит из OWA; сеансы пользователей автоматически завершаются по истечении периода неактивности, длительность которого определяется администратором. До появления Exchange 2003 администраторам OWA приходилось использовать для этой цели программы независимых поставщиков, такие как SecureLogoff компании Messageware. Чтобы активизировать функцию аутентификации на базе форм, следует открыть ESM и установить флажок Enable forms based authentication на вкладке Settings диалогового окна Exchange Virtual Server Properties. Специалисты Microsoft рекомендуют применять эту функцию только после установки Exchange 2003 на всех внутренних (back-end) и внешних (front-end) серверах.
Защита соединений
Примечательны две новые усовершенствованные функции Exchange 2003, предназначенные для защиты соединений: RPC over HTTP и аутентификация Kerberos для почтовых клиентов Messaging API (MAPI). RPC over HTTP позволяет установить связь между полнофункциональным почтовым клиентом Outlook с внутренней инфраструктурой Exchange с использованием протокола HTTP. RPC over HTTP обеспечивает важные преимущества при защите периметра сети. Вместо того чтобы открывать несколько портов RPC на уровне брандмауэра или туннеля (например, Layer Two Tunneling Protocol, L2TP) через брандмауэры, достаточно открыть порт HTTP, чтобы предоставить клиентам Outlook доступ к их почтовым ящикам. Для использования RPC over HTTP на клиентской стороне, клиент должен располагать системой с XP SP1, Outlook 2003 и программой, описанной в статье Microsoft «Outlook 11 Performs Slowly or Stops Responding When Connected to Exchange Server 2003 Through HTTP» (http://support.microsoft. com/?kbid=331320). После установки программы можно настроить конфигурацию RPC over HTTP из вкладки Connection в учетной записи Outlook 2003 Exchange. Щелчком на Exchange Proxy Settings открывается диалоговое окно, в котором можно добавить протокол и определить метод верификации (экран 6). Для использования RPC over HTTP на серверной стороне необходимы Exchange 2003 и Windows 2003 со службой IIS 6.0, работающей в режиме WPIM. В Windows 2003 RPC over HTTP работает с новой службой-посредником RPC. Настроить RPC over HTTP на клиентской стороне довольно сложно, но в результате устраняются пробелы безопасности VPN в корпоративном брандмауэре.
В Exchange 2003 реализована аутентификация на базе Kerberos для клиентов MAPI. Kerberos — испытанный открытый стандарт для надежной аутентификации в распределенной среде клиент/сервер, определенный в документе Request for Comments (RFC) 1510 рабочей группы Internet Engineering Task Force (IETF). Для того чтобы можно было воспользоваться преимуществами аутентификации Kerberos для MAPI, на клиенте должен работать Outlook 2003. Для настройки конфигурации Kerberos следует обратиться к вкладке Security учетной записи Outlook 2003 Exchange и выбрать пункт Kerberos Password Authentication из раскрывающегося меню Logon network security (экран 7).
Экран 7. Настройка аутентификации Kerberos в Outlook 2003 |
Другие новшества защиты
В функции безопасности Exchange 2003 внесено несколько важнейших улучшений, многие из которых рассматривались в данной статье. Начав с инициативы безопасности по умолчанию, разработчики Microsoft приняли ряд мер, чтобы обезопасить Exchange 2003 и связанные с ним компоненты в стандартной конфигурации. Значительно более надежной стала защита Exchange 2003 от спама благодаря фильтрам IP-адресов, отправителей и получателей, настраиваемым спискам блокирования и аутентификации DG. Кроме того, Exchange 2003 включает функции безопасности OWA for Exchange 2003, в том числе S/MIME, фильтрацию почтового «мусора», подавление Web-маяков, блокирование присоединенных файлов и новый режим аутентификации.
Еще одно, не столь очевидное улучшение — новый Virus Scanning API (VS API) 2.5. Одна из ключевых особенностей VS API 2.5 — усовершенствованные функции антивирусного оповещения и сообщений о состоянии. Еще одно важное новшество, о котором часто забывают, — более надежная защита IP Security (IPSec) для соединений front-end и back-end. Вероятно, самая важная особенность большинства новых функций безопасности — обязательное наличие базовой инфраструктуры Windows 2003 и IIS 6.0 на серверной стороне и Outlook 2003 и IE 6.0 на клиентской стороне.
Жан де Клерк — консультант корпорации Compaq, специалист по проблемам безопасности продуктов семейства Microsoft BackOffice. С ним можно связаться по адресу: jan.declercq@compaq.com