Поделиться через


Общие сведения о безопасности домена

Применимо к: Exchange Server 2010

Последнее изменение раздела: 2009-11-25

Безопасность домена относится к набору функциональных возможностей в Microsoft Exchange Server 2010 и Microsoft Office Outlook 2007, который представляет собой относительно недорогое решение, отличное от S/MIME и других решений безопасности на уровне сообщений. Задача функций по обеспечению безопасности домена – предоставить системным администраторам инструменты, которые позволят управлять защищенными маршрутами передачи сообщений, которые через Интернет соединяют организацию с её партнерами. После настройки таких безопасных путей сообщения от прошедших проверку подлинности отправителей, которые успешно переданы по безопасному пути, отображаются для пользователей как защищенные на уровне домена в интерфейсе Outlook и Microsoft Office Outlook Web App.

Для шифрования и проверки подлинности на основе сеанса функция обеспечения безопасности домена использует протокол TLS с взаимной проверкой подлинности. Применение протокола TLS с взаимной проверкой подлинности отличается от применения обычного протокола TLS. Как правило, при использовании протокола TLS клиентский компьютер проверяет, что устанавливается безопасное подключение к нужному серверу, проверяя сертификат сервера. Этот сертификат передается клиенту в ходе согласования TLS. В этом случае клиент выполняет проверку подлинности (аутентификацию) сервера, прежде чем начать передачу данных на сервер. Однако при этом сервер не выполняет проверку подлинности сессии с клиентом.

При использовании протокола TLS с взаимной проверкой подлинности каждый сервер осуществляет проверку подлинности сертификата, предоставленного другим сервером. В этом случае, если в среде Exchange 2010 от внешних доменов поступают переданные через проверенные соединения сообщения, в Outlook 2007 отображается значок «Защищено на уровне домена».

Важно!

В рамках этого раздела вопросы криптографии, технологий и основных понятий сертификации не рассматриваются. Прежде чем устанавливать какое-либо решение по обеспечению безопасности, которое использует принципы криптографирования и сертификации, сначала рекомендуется ознакомиться с такими базовыми понятиями, как доверительные отношения, проверка подлинности (аутентификация), шифрование, обмен открытыми и закрытыми (личными) ключами, поскольку все эти понятия относятся к криптографии. Для получения дополнительных сведений воспользуйтесь ссылками, указанными в конце данного раздела.

Необходимы сведения о других задачах управления, связанных с транспортными серверами? См. раздел Управление транспортными серверами.

Проверка сертификатов TLS

Для того чтобы наиболее полно понять общую безопасность и уровень надежности, обеспечиваемые за счет использования TLS с взаимной аутентификацией, необходимо рассмотреть принципы проверки базового TLS сертификата.

В Exchange 2010 имеется набор командлетов, которые позволяют создавать и запрашивать сертификаты TLS, а также управлять этими сертификатами. По умолчанию эти сертификаты являются самозаверенными. Самозаверяющий сертификат — это сертификат, подписанный его собственным создателем. В Exchange 2010 самозаверяющий сертификат создается компьютером, на котором выполняется Microsoft Exchange. Для создания самозаверяющего сертификата используются базовый CryptoAPI Microsoft Windows. Поскольку сертификаты являются самозаверенными, то результирующие сертификаты будут иметь меньший уровень надежности, в отличие от сертификатов, созданных с использованием инфраструктуры открытых ключей (PKI) или приобретенных в стороннем центре сертификации. По этой причине самозаверенные сертификаты рекомендуется использовать только для внутренней почты. Возможен и другой вариант. Если организации-получатели (с которыми организация-отправитель обменивается почтой защищенного домена) на каждом из своих входящих пограничных транспортных серверов вручную добавят самозаверенный сертификат (предоставляемый организацией-отправителем) в хранилище доверенных корневых сертификатов, то в этом случае самозаверенный сертификат в явной форме приобретает статус доверенного сертификата.

Для соединений, использующих Интернет, лучше всего создавать сертификаты TLS с помощью инфраструктуры открытых ключей либо можно получать эти сертификаты в стороннем центре сертификации. Создание ключей TLS при помощи доверенной инфраструктуры открытых ключей или стороннего центра сертификации, в целом, позволяет сократить объем работы по управлению безопасностью домена. Для получения дополнительных сведений о работе с доверенными сертификатами и об безопасности домена см.Включение инфраструктуры открытых ключей на пограничном транспортном сервере для безопасности домена.

Для создания запросов сертификата, направляемых в организационную инфраструктуру открытых ключей или в сторонний центр сертификации, можно использовать сертификационные командлеты Exchange 2010. Для получения дополнительных сведений см. раздел Общие сведения о сертификатах TLS.

Дополнительные сведения о настройке безопасности домена см. в следующих документах:

Использование служб Exchange Hosted Services

Решения по обеспечению безопасности на уровне сообщений совершенствуется службами Microsoft Exchange Hosted Services. Эти решения также могут быть доступны в качестве служб Microsoft Exchange.

В состав группы Exchange Hosted Services входят четыре различные службы:

  • служба Hosted Filtering, помогающая организациям защититься от вредоносного программного обеспечения, содержащегося в электронной почте;
  • служба Hosted Archive, помогающая соблюдать требования по хранению данных;
  • служба Hosted Encryption, помогающая шифровать данные для обеспечения конфиденциальности;
  • служба Hosted Continuity, помогающая сохранять доступ к электронной почте во время и после аварийных ситуаций.

Эти службы интегрируются с любыми локальными серверами Exchange, которые управляются внутренними или размещенными службами электронной почты Exchange, предлагаемыми поставщиками служб. Дополнительные сведения о службах Exchange Hosted Services см. в разделе Microsoft Exchange Hosted Services.

Ресурсы

Housley, Russ and Tim Polk. Planning for PKI: Best Practices Guide for Deploying Public Key Infrastructure (Планирование PKI: Руководство по развертыванию инфраструктуры открытых ключей). New York: John Wiley & Son, Inc., 2001 (на англ. языке).

Adams, Carlisle and Steve Lloyd. Applied Cryptography: Protocols, Algorithms, and Source Code in C, 2nd Edition («Прикладная криптография: протоколы, алгоритмы и исходный код на языке C», 2-е издание). New York: John Wiley & Son, Inc., 1996.

Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure (Рекомендации по внедрению инфраструктуры открытых ключей Microsoft Windows Server 2003)