企业级Exchange Server 2010邮件服务安全管理控制要点及措施剖析（上）

　　Exchange Server 2010服务器自发布以来，被各大中型企业所选用。对于邮件的安全管理，在当前，企业都加强了对邮件的全面管控和安全管控，比如数字版权保护、垃圾邮件过滤、邮件发送控制、邮件归档及审计等等，旨在满足外部的合规管理要求和内部人员使用电子邮件的规范和管理要求。基于此，本文将指出企业使用Exchange Server 2010进行安全管控需要关注的重点问题，并详细介绍几种Exchange Server 2010的管控技术。

　　1、企业Exchange server 2010邮件管控的要点分析

　　企业Exchange Server 2010邮件管控的要点主要包括如下几个方面：

　　(1)邮件内容安全管理：企业邮件涉及的用户多，范围广，且很多邮件数据非常重要和机密，因此，邮件安全管理非常重要。具体又包括邮件传输安全以及邮件数字版权安全。在具体实施中，邮件传输安全在Exchange server 2010中可以通过使用加密的SMTP传输协议来确保邮件通信安全;而邮件数字版权安全则需要控制邮件为合法的用户接受，意味着非法用户无法获取或者使用(或者受限使用)邮件的内容，这在后文将详细介绍相关技术;

　　(2)邮件合规安全管理：目前，政府和企业都加大了对邮件合规的管理要求。也就是说，邮件的发送必须要留痕，以便日后的审计和追踪之用。这就对邮件的归档、追踪、审计提出了较高的要求，也就是对整个邮件周期管理需要进行细粒度、全面的控制和管理。在具体实施中，可以使用传输规则、邮件记录管理等以及一些第三方的系统和措施来保证。

　　2、使用RMS保证Exchange Server 2010数字版权

　　RMS技术是一个文件级别的安全技术，允许用户定义谁有权利访问和使用文档或电子邮件并保护数字化资产不受非法的打印、转发或复制。例如：可以使用IRM防止电子邮件中的word文档被未授权的用户访问。使用 Active Directory 权限管理服务 (AD RMS) 和 AD RMS 客户端，可通过永久使用策略(始终随信息一同存在，无论是否移动信息)保护信息，从而增强组织的安全策略。可以使用 AD RMS 来帮助防止敏感信息(如财务报表、产品说明、客户数据及机密电子邮件)被有意或无意地用于不当用途。

　　与权限管理服务(Rights Management Services/RMS)集成是 Exchange Server 2010 的新功能，也是一大亮点。Exchange Server 2010 与 RMS 集成通过 IRM，即：信息权限管理(Information Rights Management)来具体实现。安装 RMS 之后，才可以使用 IRM。在 Exchange Server 2010 中，可使用信息权限管理 (IRM) 功能对邮件和附件应用持久保护。通过与 RMS 的集成，Exchange 邮件用户可以控制收件人对电子邮件拥有的权限，允许或限制某些收件人的操作，例如向其他收件人转发邮件、打印邮件或附件，或者是通过复制和粘贴提取邮件或附件内容。

　　用户可在 Microsoft Outlook 或 Outlook Web App (OWA)中应用 IRM 保护，或者可以根据组织的邮件策略并使用传输保护规则或 Outlook 保护规规则应用 IRM 保护。与其他电子邮件加密解决方案不同，IRM 还允许组织解密受保护的内容，以强制执行策略遵从性。

　　IRM 可以实现如下几项功能：

　　1)防止受 IRM 保护的内容的授权收件人转发、修改、打印、传真、保存或剪切和粘贴该内容;

　　2)用与邮件相同的保护级别保护所支持的附件文件格式;

　　3)支持受 IRM 保护的邮件和附件的过期，使其在指定时间段之后，无法再进行查看。

　　要使用 RMS，特别是进行解密工作，需要特殊的权限。Exchange 为了简化管理，并且减少 Exchange 与 RMS 直接的访问请求(用于获得 RMS 授权)，在安装Exchange Server 2010 时，会在活动目录中创建一个专门的用户帐号，显示名称为 FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042。将这个帐号加入到 RMS 的 Super Users 组中即可获得相应的权限。

　　第一步：安装 Rights Management Services

　　在 Windows Server 2008/R2 中，RMS 是作为操作系统的组件直接提供的，不再像 Windows Server 2003 中需要额外下载并安装。要实现 Exchange Server 2010 与 RMS 的集成，运行 RMS 的操作系统需要是 Windows Server 2008 R2，或者 Windows Server 2008 SP2，并且安装了 KB973247 补丁。通过 Windows Server 2008/R2 的服务器管理控制台，通过添加角色菜单，启动 RMS 的安装向导。按照提示进行配置，如下图：

　　需要注意的是，不在实际生产环境中，不建议将 RMS 与 Exchange 安装在同一台服务器上。

　　第二步：配置 RMS 的访问连接点 SCP

　　安装好 RMS 后，打开管理工具中的 RMS 管理控制台，打开服务器，鼠标右键点击选择属性，进入属性页面，切换到SCP页面，可以看到SCP的值，这是一个URL，RMS 的用户将使用这个URL来进行访问，如下图所示：

　　第三步：设置 RMS 的访问控制权限

　　RMS 通过 Web Service 方式来提供服务。默认情况下，这些 Web Service 的权限(Discretionary Access Control List /DACL)是受到限制的，Exchange 服务器没有足够的权限来实现对 RMS 的调用。需要手动指定正确的权限，才能够实现 Exchange 与 RMS 的集成。

　　步骤如下：在安装了RMS的服务器上，打开资源管理器;浏览到%systemdrive%\Inetpub\wwwroot\_wmcs\Certification;选中ServerCertification.asmx，打开其属性页面，切换到安全，然后点击编辑;添加活动目录中的Exchange Servers组，并设置为允许“读取”和“读取及运行”。如下图：

　　第四步： 设置 RMS Super Users 组

　　RMS 的 Super Users 组中成员，可以不受限制地访问所有被 IRM 保护的数据，也就是说，该组的成员可以进行解密工作。默认情况下，Super Users 组是禁用状态，需要手动进行启用。同时，这个组需要是一个启用了邮件功能的通用组(universal group )。前面提到的 FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042 用户帐号需要加入到这个组中，这个帐号是系统邮箱，从 Exchange Management Console 中是看不到的，需要使用 Exchange Management Shell 命令行工具，通过 Add-DistributionGroupMember 进行添加。

　　添加的步骤如下：

　　1)在 Exchange Management Console 中，展开收件人配置，并创建一个名为 SuperRMSUsers 的安全通讯组;

　　2)在 AD 域服务器中，点击开始菜单，选择管理工具，选择 Active Directory 用户和计算机，展开 contoso.com—users，找到用户; FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e04，将该用户加入到 SuperRMSUsers 组中;

　　3)以用户 contoso\rms 登陆到 AD 域服务器，打开 RMS 管理控制台，展开安全策略，右键单击 Super Users，选择启用 Super Users，并将前面创建的 SuperRMSUsers 组加入到超级用户组中。