巧用權(quán)限保護Exchange郵件安全

■ 河南 許紅軍

編者按：Exchange服務(wù)器在企業(yè)中使用的較為普遍，可以為用戶提供高效快捷的郵件服務(wù)。在日益強調(diào)網(wǎng)絡(luò)安全性的今天，如何提高Exchnage郵件的安全性，保護用戶的信息安全，是管理員必須面對的問題。將Exchange和AD RMS服務(wù)有機結(jié)合，可以有效的防范潛在安全隱患。

部署環(huán)境 實現(xiàn)Exchange和AD RMS的集成

為了管理RMS服務(wù)，需要在域控制器上打開Active Directory用戶和計算機程序，在左側(cè)選擇“Users”項，在右側(cè)新建名為“rmsadmin”的賬戶，使其隸屬于Domain Admins組中。注意在創(chuàng)建該帳號時，需要選擇“用戶不能更改密碼”和“密碼永不過期”項。因為如果隨意更改密碼會造成服務(wù)運行異常的情況。以管理員身份登錄Exchange 2013服務(wù)器管理中心，在左側(cè)點擊“收件人”項，在右側(cè)點擊“組”項，點擊“+”按鈕，新建一個名為“rmscenter”的通訊組，用來設(shè)置ADRMS超級用戶組。 在Active Directory用戶和計算機程序，在左側(cè)選擇“Users”項，可以看到該組。在其屬性窗口中的“成員”面板中點擊“添加”按鈕，添加名為“exchange Servers”的域組帳號，將以“FederatedEmail”開 頭 的Exchange Server提供的同盟用戶也添加進來。

在域控制器上安裝有證書服務(wù)，在域中某臺成員服務(wù)器（假設(shè)名為“Rmsserver”）以域管理員身份登錄，執(zhí)行“mmc”程序，在控制臺中點擊菜單“文件→添加/刪除管理單元”項，在彈出窗口左側(cè)列表中選擇“證書”項，點擊“添加”按鈕，選擇“計算機賬戶”項，點擊“完成”按鈕將其添加進來。在控制臺左側(cè)選擇“證書→個人”項，在其右鍵菜單上點擊“所有任務(wù)→申請新證書”項，在向?qū)Ы缑嬷羞x擇“Active Directory注冊策略”項，點擊“下一步”按鈕，選擇“計算機”項，點擊“注冊”按鈕完成證書申請操作。在服務(wù)器管理器中單機“添加角色和功能”項，在向?qū)Ы缑嬷械慕巧斜碇羞x擇“Active Directory Rights Management Services”項，之后點擊“安裝”按鈕。

之后在服務(wù)器管理器左側(cè)選擇“AD RMS”項，在窗口右上角點擊“更多”鏈接。在任務(wù)詳細信息窗口中的和ADRMS相關(guān)的欄目中點擊“執(zhí)行其他配置”鏈接，在配置界面中點擊“下一步”按鈕，選擇“創(chuàng)建新的AD RMS根群集”項，在下一步窗口中選擇“指定數(shù)據(jù)庫服務(wù)器和數(shù)據(jù)庫實例”項，點擊“選擇”按鈕，設(shè)置目標(biāo)SQL Server服務(wù)器，在“數(shù)據(jù)庫實例”列表中選擇所需的實例。選擇該項的優(yōu)點在于可以支持ADRMS的高可用性，允許將多臺AD RMS服務(wù)器組成群集。這里為了簡單起見，選擇“在此服務(wù)器上使用Windos內(nèi)部服務(wù)器”項，其優(yōu)點在于無需安裝SQL Server，但是只能配置安裝單臺ADRMS服務(wù)器，無法利用群集實現(xiàn)AD RMS的高可用性。

點擊“下一步”按鈕，在“域用戶賬戶”中設(shè)置RMS域賬戶名稱（如“xxx/rmsadmin”）。之后以選擇加密模式（建議選擇“加密模式 1”），指定 AD RMS 群集密鑰存儲方式，設(shè)置AD RMS群集密鑰密碼（用于在群集中添加新的AD RMS服務(wù)器），選擇AD RMS群集網(wǎng)站，設(shè)置 群 集 地 址（如“htps://rmsserver”）,選擇申請的證書，執(zhí)行立即注冊SCP，點擊“安裝”按鈕，執(zhí)行配置操作。完畢后重啟系統(tǒng)才可以在該機上管理AD RMS服務(wù)。因為默認情況下AD RMS群集網(wǎng)站托管在IIS中的“Defaule Web Site”站點下，所以打開“C:Inetpubwwwroot\_wmcscertification”目錄，在“Server Certification.asmx”文件的屬性窗口中打開“安全”面板，依次點擊“編輯”和“添加”按鈕，分別添加名為“exchange servers”的域組和名為“adrmsservice group”的本地組。打開Active Directory Rights Management Services控制臺，在左側(cè)選擇“安全策略→超級用戶”項，在右側(cè)點擊“啟用超級用戶”鏈接，激活該功能。點擊“更改超級用戶組”鏈接，在超級用戶窗口中點擊“瀏覽”按鈕，導(dǎo)入上述“rmscenter”組。這樣，該組中的成員就擁有了解密加密數(shù)據(jù)的能力，可以自由查看所有加密郵件。在Exchnage Server中打開EMS窗口，執(zhí)行“Set-IRMConfiguration –Internal Licensing Enabled$true”命令，實現(xiàn)和AD RMS服務(wù)器的集成。

使用AD RMS服務(wù) 保護郵件安全

AD RMS可以有效保護文檔安全，防止無關(guān)用戶隨意接觸郵件。例如，在Word中打開某文檔，在信息窗口中點擊按鈕“保護文檔”按鈕，在彈出菜單中點擊“限制訪問”項，在權(quán)限窗口中選擇“限制對此文檔的權(quán)限”項，在“讀取”列表中輸入對應(yīng)的域賬戶，這樣，這些賬戶就只能讀取該文檔。在“更改”列表中輸入對應(yīng)的域賬戶，這些賬戶就擁有了修改該文檔的權(quán)限。點擊“其他選項→添加”按鈕，可以導(dǎo)入所需域賬戶。選擇目標(biāo)賬戶，勾選“此文檔的到期日期為”項，來設(shè)置具體的日期。

選擇“打印內(nèi)容”、“允許具有讀取權(quán)限的用戶復(fù)制的內(nèi)容”、“以編程方式訪問內(nèi)容”項，允許用戶打印文檔、復(fù)制文檔內(nèi)容等功能，否則將拒絕上述操作。選擇“用戶可以從此處請求附加權(quán)限”項，可以輸入管理員的郵箱。這樣便于使用者向管理員發(fā)送訪問該文檔的權(quán)限請求。點擊確定保存配置信息。這樣，當(dāng)使用OutLook等工具將該文檔作為郵件附件發(fā)送給目標(biāo)域用戶后，當(dāng)試圖對附件中的文檔進行范圍訪問時，就會受到權(quán)限的控制，例如無法打印、修改文檔等。在預(yù)覽界面中點擊“查看權(quán)限”按鈕，顯示該用戶對此文檔擁有的具體權(quán)限，包括是否允許查看、編輯、復(fù)制、打印、保存、導(dǎo)出、以程序手段訪問文檔、完全控制等。

如果其離開了域環(huán)境，將文檔復(fù)制到其他電腦上，因為無法得到AD RMS服務(wù)器的授權(quán)，則無法將其打開。除了使用文檔自身的權(quán)限控制功能外，因為Exchange Server已經(jīng)和AD RMS實現(xiàn)了集成，所以利用其內(nèi)置的策略可以對郵件的使用進行有效的控制。在默認情況下，包括不可轉(zhuǎn)發(fā)和無限制兩個策略。例如，用戶“User1”通過OWA方式登錄自己的郵箱，新建一封郵件，輸入收件人，主題，內(nèi)容等信息，添加附件后，點擊右上角的“...”按鈕，在彈出菜單中選擇“設(shè)置權(quán)限→不可轉(zhuǎn)發(fā)”項。當(dāng)將該郵件發(fā)送出去后，當(dāng)收件人接收之后，是無法轉(zhuǎn)發(fā)、打印、復(fù)制和編輯郵件以及附件的內(nèi)容。

自定義權(quán)限策略 靈活保護郵件

Exchange自帶的策略太少，無法滿足實際需要。因此，我們可以自定義新的策略來靈活管理郵件。在AD RMS服務(wù)器上打開Active Directory Rights Management Services控制臺，在左側(cè)選擇“權(quán)限策略模版”項，在右側(cè)點擊“創(chuàng)建分布式策略模版”鏈接。在向?qū)Ы缑嬷悬c擊“添加”按鈕，輸入新模版的名稱（例如“celue1”）和描述信息。點擊“下一步”按鈕，在“用戶和權(quán)限”中點擊“添加”按鈕，在彈出窗口中選擇“任何人”項，表示對任何用戶均有效。

當(dāng)然，也可以選擇“用戶或組的電子郵件地址”項來添加特定的用戶或組。例如選擇“ANYONE”用戶，在權(quán)限列表中可以設(shè)置所需的權(quán)限，包括完全控制、查看、編輯、保存、導(dǎo)出、打印、轉(zhuǎn)發(fā)、答復(fù)、全部答復(fù)、提取、允許宏、查看權(quán)限、編輯權(quán)限等。

這里選擇“查看”、“答復(fù)”和“全部答復(fù)”項，允許所有的用戶只能查看和答復(fù)郵件，其余的權(quán)限均禁用。選擇“授予所有者（作者）不會過期的完全權(quán)限控制”項，則郵件所有者不收任何限制。點擊“下一步”按鈕，在“內(nèi)容有效期限”欄中默認選擇“永不過期”項，表示允許不存在過期問題，允許用戶隨時查看。為了提高安全性，可以選擇“到以下日期過期”項，設(shè)置合適的日期。這樣，當(dāng)超過該日期后，用戶就無法查看郵件了。選擇“以下期限后過期”項，表示當(dāng)發(fā)出郵件后，當(dāng)超過指定的天數(shù)（默認為1天），就禁止查看其內(nèi)容。其余的設(shè)置保持默認，點擊“完成”按鈕創(chuàng)建該策略。按照同樣的方法，可以創(chuàng)建任意多個策略模版，來滿足各種實際需求。

當(dāng)用戶使用OWA方式登錄自己的郵箱，就可以按照上述方法創(chuàng)建新郵件，在權(quán)限菜單中就會顯示新創(chuàng)建的策略，例如選擇“celue1”項來使用該策略。當(dāng)將郵件發(fā)出后，別的用戶收到該郵件后，就只能查看和答復(fù)該郵件，而無法執(zhí)行打印、導(dǎo)出、保存、編輯等操作。注意，如果客戶端使用OutLook發(fā)送郵件時，默認是無法使用上述自定義策略的?？梢韵仍贏D RMS服務(wù)器上創(chuàng)建一個共享目錄（例如“\rmsservershare”）， 之后在上述自定義策略的右鍵菜單上點擊“導(dǎo)出”項，將其導(dǎo)出到該共享目錄中。因為需要通過組策略來發(fā)布模版，所以需要下載Office 2010 Administrative Template files and Office Customization Tool這一工具，這里使用的是Office 2010。在域控制器上安裝該工具，將其保存到“C:office2010admintemplate”。

之后打開組策略管理 器，選 擇“域 →xxx.com→Default Domain Policy”項，在右鍵菜單上點擊“編輯”項，在打開窗口左側(cè)選擇“用戶配置→策略→管理模版”項，在其右鍵菜單上點擊“添加/刪除模版”項，在彈出窗口中點擊“添加”按鈕，進入“C:office2010admintemplate”目錄中的“ADM”目錄，打開其中的“zh-cn”文件夾，找到名為“office14.adm”文件，來添加Office 2010管理模版。打開“用戶配置→策略→管理模版→經(jīng)典管理模版 →Microsoft Office 2010→管理受限權(quán)限”項，在右側(cè)雙擊“指定權(quán)限策略路徑”項，在彈出窗口中選擇“已啟用”項，在“輸入內(nèi)容權(quán)限策略模版的路徑”項，輸入上述共享路徑“\rmsservershare”。 在客戶機上執(zhí)行“gpupdate /force”命令來刷新組策略（或注銷重新登錄）。當(dāng)打開OutLook后，點擊工具欄上的“新建電子郵件”按鈕，在郵件編輯窗口工具欄上打開“選項”面板，點擊“權(quán)限”按鈕，在彈出菜單中可以顯示自定義策略。選擇“celue1”策略，輸入內(nèi)容并添加附件后就可以發(fā)送出去。

使用郵件流 自動匹配策略

在發(fā)送郵件時，如果其中包含敏感信息，我們希望其自動匹配對應(yīng)的權(quán)限策略來實現(xiàn)合理的控制功能。例如禁止轉(zhuǎn)發(fā)、打印郵件等。將Exchange的郵件流功能和AD RMS權(quán)限控制功能相結(jié)合，就可以實現(xiàn)上述要求。以管理員身份登錄到Exchange Server管理中心，在左側(cè)選擇“郵件流”項，在右側(cè)點擊“+”按鈕，在彈出菜單中選擇“將權(quán)限保護應(yīng)用于郵件”項，在新建規(guī)則窗口中輸入名稱，例如“安全規(guī)則1”。在“在以下情況應(yīng)用此規(guī)則”列表中選擇“主題和正文”項，在彈出菜單中包括“主題或正文包含以下任何詞語”、“主題或正文與這些文本模式匹配”、“主題包含以下任何詞語”、“主題與這些文本模式匹配”等。

這里選擇“主題或正文與這些文本模式匹配”項，在彈出窗口中輸入匹配的內(nèi)容（例如“獎金”、“機密”等），可以添加多個詞語或短語。在“執(zhí)行以下操作”列表中選擇“將權(quán)限保護應(yīng)用于郵件”項，點擊“選擇一個”鏈接，在列表中顯示所有的策略，可以根據(jù)需要選擇所需的模版（例如選擇“celue1”）。其余設(shè)置保持默認，點擊保存。這樣，就可以有效保護特定的郵件。例如當(dāng)“User1”用戶使用OWA方式登錄自己的郵箱，新建一封電子郵件，輸入收件人、主題、內(nèi)容（在其中包含預(yù)設(shè)的敏感信息），添加附件后發(fā)送出去。盡管其沒有手動選擇權(quán)限策略，但Exchange Server已經(jīng)根據(jù)預(yù)設(shè)的郵件流規(guī)則，自動為其設(shè)置選定策略（例如“celue1”）。當(dāng)目標(biāo)用戶收到郵件后，只能按照規(guī)定的策略來訪問郵件。例如只能查看和答復(fù)，無法轉(zhuǎn)發(fā)、打印、編輯、保存該郵件。

防御垃圾郵件

默認情況下，Exchange 2013并未安裝反垃圾郵件模塊。以管理員身份登錄Exchange郵箱服務(wù)器，在EMC窗口中進入“c:programs filesmicrosoftexchange serverv15scripts”目 錄，執(zhí) 行“.Install-AntiSpamAgents.ps1” 命令來安裝該模塊。之后執(zhí) 行“restart-service MSExchangeTransport” 命令重啟服務(wù)使之生效。之后需要指定SMTP服務(wù)器，執(zhí)行“Set-TransportConfig–InternalSMTPService @{Add= "xxx.xxx.xxx.xxx"}”命 令，其 中 的“xxx.xxx.xxx.xxx”為SMTP服務(wù)器地址，即啟用了反垃圾郵件功能的Exchange服務(wù)器。執(zhí)行“Get-TransportConfig|Format-List Internal SMTPServices”命令，可以檢測是否成功指定了至少一臺內(nèi)部SMTP服務(wù)器IP。執(zhí)行“Set-SenderFilterConfig–Enabled $true”命令，啟用發(fā)件人篩選功能。

為防止收到發(fā)件人為空的郵件，可以執(zhí)行“Set-SenderFilterConfig –BlankSenderBlocking Enabled $true”命 令 即可。當(dāng)然，也可以配置更復(fù)雜的規(guī)則，例如執(zhí)行“Set-SenderFilterConfig-BlockedSenders kim@contoso.com,john@contoso.com-BlockedDomainsfabrikam.com-BlockedDomainsAndSubdomainsnorthwindtraders.com”命令，可以阻止來自kim@contoso.com和john@contoso.com的郵件，來自 fabrikam.com域的郵件以及來自northwindtraders.com及其所有子域的郵件。執(zhí)行“Set-ContentFilterConfig-ExternalMailEnabled$true”命 令，可 以 啟 用對外部郵件啟用內(nèi)容篩選功能。執(zhí)行“Add-ContentFilterPhrase-Influence BadWord-Phrase "xxxxxx"”命令，可以禁止所有包含“xxxxxx”內(nèi)容的郵件。通過設(shè)置垃圾郵件的SCL（即可信度）閥值，可以靈活的對其進行管控，SCL閥值等級從0到9，執(zhí)行“Set-ContentFilterConfig-SCLDeleteEnabled $true-SCLDeleteThreshold 9-SCLRejectEnabled $true-SCLRejectThreshold 8-SCLQuarantineEnabled$true -SCLQuarantine Threshold 7”命 令，對于SCL閥值為9的郵件，可以將其刪除。對于閥值為8的郵件可以拒絕，對于閥值為7的郵件可以進行隔離。