Compartilhar via


Noções Básicas Sobre Segurança de Domínio

Aplica-se a: Exchange Server 2010

Tópico modificado em: 2009-11-25

A Segurança de Domínio refere-se ao conjunto de funcionalidades do Microsoft Exchange Server 2010 e do Microsoft Office Outlook 2007 que fornece uma alternativa de custo relativamente baixo para o S/MIME ou outras soluções de segurança no nível de mensagens. O objetivo do recurso Segurança de Domínio é oferecer aos administradores um método de gerenciar caminhos de mensagem protegidos pela Internet com parceiros de negócios. Depois da configuração desses caminhos de mensagens protegidos, as mensagens que transitaram com êxito por esses caminhos a partir de um servidor autenticado são exibidas aos usuários como Domínio Seguro na interface do Outlook e do Microsoft Office Outlook Web App.

A Segurança de Domínio usa a autenticação TLS mútua (Transport Layer Security) para fornecer autenticação e criptografia baseadas em sessão. A autenticação TLS mútua é diferente da TLS normalmente implementada. Geralmente, quando a TLS é implementada, o cliente verifica se a conexão é estabelecida de modo seguro com o servidor desejado, validando o certificado do servidor. Esse certificado é recebido como parte da negociação de TLS. Nesse cenário, o cliente autentica o servidor antes de transmitir os dados. No entanto, o servidor não autentica a sessão com o cliente.

Com a autenticação TLS mútua, cada servidor verifica a conexão estabelecida com o outro servidor, validando um certificado fornecido por esse outro servidor. Nesse cenário, quando as mensagens são recebidas de domínios externos através de conexões verificadas em um ambiente do Exchange 2010, o Outlook 2007 exibe o ícone Domínio Seguro.

Importante

Está além do escopo deste tópico apresentar uma explicação detalhada das tecnologias e conceitos de criptografia e certificação. Antes de implantar qualquer solução de segurança que use criptografia e certificados digitais, é recomendável que você conheça os conceitos básicos de confiança, autenticação, criptografia e intercâmbio de chaves públicas e privadas, visto que estão relacionados à criptografia. Para obter mais informações, consulte as referências listadas no final deste tópico.

Procurando tarefas de gerenciamento relacionadas ao gerenciamento de servidores de transporte? Consulte Gerenciando Servidores de Transporte.

Validação de Certificados TLS

Para conhecer a segurança geral e a fidedignidade resultante de uma transmissão de TLS mútuo, você precisa saber como o certificado TLS subjacente é validado.

O Exchange 2010 dispõe de um conjunto de cmdlets para criar, solicitar e gerenciar certificados TLS. Por padrão, esses certificados são auto-assinados. Um certificado auto-assinado é aquele assinado pelo próprio criador. No Exchange 2010, o certificado auto-assinado é criado pelo computador que está executando o Microsoft Exchange, usando a API de Criptografia (CAPI) subjacente do Microsoft Windows. Como os certificados são auto-assinados, os certificados resultantes são menos confiáveis do que aqueles gerados pela infraestrutura de chaves públicas (PKI) ou por uma CA (autoridade de certificação) de terceiros. Portanto, é recomendável usar certificados auto-assinados somente para mensagens internas. Como alternativa, se as organizações receptoras com as quais você troca emails de domínio seguro, adicionarem manualmente seu certificado auto-assinado a um repositório de certificados raiz confiável, em cada um de seus servidores de Transporte de Borda de entrada, os certificados auto-assinados serão explicitamente confiáveis.

Para conexões que atravessam a Internet, a prática recomendada é gerar certificados TLS com uma PKI ou CA de terceiros. Gerar chaves TLS com uma PKI ou CA de terceiros confiáveis reduz o gerenciamento geral da Segurança de Domínio. Para obter mais informações sobre as opções relacionadas a certificados confiáveis e Segurança de Domínio, consulte Usando PKI no servidor de transporte de borda para a segurança de domínio.

Você pode usar os cmdlets de certificado do Exchange 2010 para gerar solicitações de certificado para sua própria PKI ou CAs de terceiros. Para obter mais informações, consulte Noções Básicas Sobre Certificados TLS.

Para obter mais informações sobre como configurar a Segurança de Domínio, consulte:

Usando o Exchange Hosted Services

A segurança no nível da mensagem é aperfeiçoada ou também é disponibilizada como um serviço do Microsoft Exchange Hosted Services.

O Exchange Hosted Services representa um conjunto de quatro serviços hospedados distintos:

  • Filtragem Hospedada, que ajuda as organizações a se protegerem contra malware proveniente de email
  • Arquivamento Hospedado, que os ajuda a atender aos requisitos de retenção quanto à conformidade
  • Criptografia Hospedada, que os ajuda a criptografar dados para preservar o sigilo
  • Continuidade Hospedada, que os ajuda a preservar o acesso a email durante e após situações de emergência

Esses serviços se integram a quaisquer servidores Exchange locais que são gerenciados internamente ou por serviços de email do Hosted Exchange que são oferecidos por meio de provedores de serviços. Para mais informações sobre o Exchange Hosted Services, consulte Microsoft Exchange Hosted Services.

Recursos

Housley, Russ e Tim Polk. Planning for PKI: Best Practices Guide for Deploying Public Key Infrastructure. Nova York: John Wiley & Son, Inc., 2001.

Adams, Carlisle e Steve Lloyd. Applied Cryptography: Protocols, Algorithms, and Source Code in C, 2ª edição. Nova York: John Wiley & Son, Inc., 1996.

Práticas Recomendadas para Implementar uma Infraestrutura de Chave Pública do Microsoft Windows Server 2003