Asegurar un Servidor Exchange Server 2003

1.0 INTRODUCCIN: El objetivo para proteger un entorno de Exchange es restringir el acceso lo mximo posible sin que las funciones de Exchange se vean afectadas. Cuando considere cmo aumentar la seguridad de Exchange, recuerde que Exchange depende de varios procesos que se comunican entre s en equipos locales y remotos. Por ejemplo, IIS forma parte integral de la funcin Outlook Web Access (OWA) de Exchange. Este conjunto de complicadas relaciones implica que al intentar bloquear los servidores Exchange, debe considerar muchos componentes diferentes y tener en mente el concepto de defensa en profundidad. Entre estos componentes se hallan: Seguridad del sistema operativo subyacente, incluida la del sistema de archivos. Seguridad de la red, por ejemplo, el cifrado de datos. Seguridad de IIS. OWA utiliza IIS para proporcionar acceso Web a los usuarios de Exchange. Seguridad de los clientes. La proteccin de los datos en el servidor no resulta efectiva si se pueden ver comprometidos en los equipos cliente. Seguridad de Active Directory. Exchange almacena informacin crucial acerca de Exchange, por ejemplo, la de buzones. Seguridad de Exchange Server: un buen ejemplo de defensa en profundidad. Tiene que proteger varios componentes para lograr una seguridad efectiva.

2.0 SEGURIDAD EN LOS SERVIDORES EXCHANGE: 2.1 Servidores de servicios de fondo de Exchange 2000: Aplique la plantilla de seguridad de lnea de base y la plantilla incremental de servicios de fondo de Exchange

2.2 Servidores de aplicaciones para usuario de Exchange 2000: Aplique la plantilla de seguridad de lnea de base y la plantilla incremental de aplicaciones para usuario de Exchange Desmonte los almacenes privados y pblicos

2.3 Servidor OWA de Exchange 2000: Aplique Bloqueo de seguridad de IIS, incluido URLScan

2.4 Servidor de servicios de fondo de Exchange 2003: Aplique plantillas de seguridad de protocolo

2.5 Servidor OWA y de aplicaciones para usuario de Exchange 2003: Bloqueo de seguridad de IIS y URLScan integrados con IIS 6.0 Utilice el modo de aislamiento de aplicaciones

3.0 ASPECTOS DE SEGURIDAD EN LOS SERVIDORES EXCHANGE: 3.1 Seguridad del acceso a los servidores Exchange Bloqueo del acceso no autorizado

3.2 Seguridad en las comunicaciones Bloqueo y cifrado de las comunicaciones

3.3 Bloqueo del correo no deseado Filtrado del correo entrante Restricciones de la retransmisin: no ayude a los sistemas de envo de correo no deseado

3.4 Bloqueo de los mensajes de correo electrnico no seguros Deteccin de virus Bloqueo de los archivos adjuntos

4.0 USO DE PERMISOS PARA PROTEGER EXCHANGE 4.1 Delegacin de permisos Creacin de grupos administrativos Uso de funciones administrativas Delegacin del control administrativo Modelos de Administracin

5.0 MEJORAS EN EXCHANGE SERVER 2003 Muchas configuraciones son seguras de forma predeterminada Permisos ms restrictivos Nuevas caractersticas de transporte de correo Nuevo Asistente para conexin a Internet Compatibilidad con la autenticacin entre bosques

6.0 DIEZ PRINCIPIOS FUNDAMENTALES PARA PROTEGER EXCHANGE

DESCRIPCIN: Los tres primeros elementos de esta lista son recomendaciones que se aplican a todos los servidores. Siempre debe asegurarse de aplicar las revisiones apropiadas al software. Microsoft Baseline Security Analyzer (MBSA) puede ayudarle a determinar qu actualizaciones aplicar y qu otros puntos vulnerables debe corregir. La mayor parte de los ataques que consiguen su objetivo se sirven de puntos vulnerables que se conocen desde hace tiempo. Puesto que los sistemas de envo de correo no deseado utilizan herramientas automatizadas para enviar correo a los servidores que permiten la retransmisin,

no configure nunca su servidor para permitir la retransmisin sin autenticacin. Ser slo cuestin de horas o das que un servidor de correo configurado incorrectamente sea utilizado por dichos sistemas. Como los sistemas de envo de correo no deseado podran intentar tener acceso a su servidor de correo mediante las cuentas integradas Invitado o Administrador, compruebe que dichas cuentas sean seguras. Por ejemplo, asegrese de que la cuenta Invitado est deshabilitada y cambie el nombre de la cuenta Administrador o protjala con una contrasea muy compleja. Utilice una solucin antivirus en niveles. El permetro de la red es el mejor lugar para detener los virus. Dado que la mayor parte de los virus se introducen en las organizaciones a travs del correo electrnico, configure una puerta de enlace que funcione junto con el servidor de correo. Sin embargo, para aumentar la seguridad, tambin debe implementar soluciones antivirus en los servidores Exchange y en todos los equipos cliente. Los servidores de seguridad pueden bloquear el acceso no autorizado a los servidores de correo y garantizar que nicamente los protocolos de correo pasen a estos servidores. Microsoft ISA Server proporciona proteccin avanzada en el nivel de aplicacin para el trfico de correo, incluido el trfico de los clientes. Si proporciona acceso a OWA desde Internet, compruebe que OWA es seguro. Para ello, tambin hay que comprobar que la configuracin de la autenticacin de OWA proporciona una seguridad adecuada en la autenticacin, cifrar todo el trfico con SSL y proteger los servidores OWA con servidores de seguridad. Por ltimo, se requiere una estrategia de copia de seguridad efectiva para recuperar el sistema ante un desastre que produzca prdida de datos.