巧用權限保護Exchange郵件安全

■ 河南 許紅軍

編者按：Exchange服務器在企業中使用的較為普遍，可以為用戶提供高效快捷的郵件服務。在日益強調網絡安全性的今天，如何提高Exchnage郵件的安全性，保護用戶的信息安全，是管理員必須面對的問題。將Exchange和AD RMS服務有機結合，可以有效的防范潛在安全隱患。

部署環境 實現Exchange和AD RMS的集成

為了管理RMS服務，需要在域控制器上打開Active Directory用戶和計算機程序，在左側選擇“Users”項，在右側新建名為“rmsadmin”的賬戶，使其隸屬于Domain Admins組中。注意在創建該帳號時，需要選擇“用戶不能更改密碼”和“密碼永不過期”項。因為如果隨意更改密碼會造成服務運行異常的情況。以管理員身份登錄Exchange 2013服務器管理中心，在左側點擊“收件人”項，在右側點擊“組”項，點擊“+”按鈕，新建一個名為“rmscenter”的通訊組，用來設置ADRMS超級用戶組。 在Active Directory用戶和計算機程序，在左側選擇“Users”項，可以看到該組。在其屬性窗口中的“成員”面板中點擊“添加”按鈕，添加名為“exchange Servers”的域組帳號，將以“FederatedEmail”開 頭 的Exchange Server提供的同盟用戶也添加進來。

在域控制器上安裝有證書服務，在域中某臺成員服務器（假設名為“Rmsserver”）以域管理員身份登錄，執行“mmc”程序，在控制臺中點擊菜單“文件→添加/刪除管理單元”項，在彈出窗口左側列表中選擇“證書”項，點擊“添加”按鈕，選擇“計算機賬戶”項，點擊“完成”按鈕將其添加進來。在控制臺左側選擇“證書→個人”項，在其右鍵菜單上點擊“所有任務→申請新證書”項，在向導界面中選擇“Active Directory注冊策略”項，點擊“下一步”按鈕，選擇“計算機”項，點擊“注冊”按鈕完成證書申請操作。在服務器管理器中單機“添加角色和功能”項，在向導界面中的角色列表中選擇“Active Directory Rights Management Services”項，之后點擊“安裝”按鈕。

之后在服務器管理器左側選擇“AD RMS”項，在窗口右上角點擊“更多”鏈接。在任務詳細信息窗口中的和ADRMS相關的欄目中點擊“執行其他配置”鏈接，在配置界面中點擊“下一步”按鈕，選擇“創建新的AD RMS根群集”項，在下一步窗口中選擇“指定數據庫服務器和數據庫實例”項，點擊“選擇”按鈕，設置目標SQL Server服務器，在“數據庫實例”列表中選擇所需的實例。選擇該項的優點在于可以支持ADRMS的高可用性，允許將多臺AD RMS服務器組成群集。這里為了簡單起見，選擇“在此服務器上使用Windos內部服務器”項，其優點在于無需安裝SQL Server，但是只能配置安裝單臺ADRMS服務器，無法利用群集實現AD RMS的高可用性。

點擊“下一步”按鈕，在“域用戶賬戶”中設置RMS域賬戶名稱（如“xxx/rmsadmin”）。之后以選擇加密模式（建議選擇“加密模式 1”），指定 AD RMS 群集密鑰存儲方式，設置AD RMS群集密鑰密碼（用于在群集中添加新的AD RMS服務器），選擇AD RMS群集網站，設置 群 集 地 址（如“htps://rmsserver”）,選擇申請的證書，執行立即注冊SCP，點擊“安裝”按鈕，執行配置操作。完畢后重啟系統才可以在該機上管理AD RMS服務。因為默認情況下AD RMS群集網站托管在IIS中的“Defaule Web Site”站點下，所以打開“C:Inetpubwwwroot\_wmcscertification”目錄，在“Server Certification.asmx”文件的屬性窗口中打開“安全”面板，依次點擊“編輯”和“添加”按鈕，分別添加名為“exchange servers”的域組和名為“adrmsservice group”的本地組。打開Active Directory Rights Management Services控制臺，在左側選擇“安全策略→超級用戶”項，在右側點擊“啟用超級用戶”鏈接，激活該功能。點擊“更改超級用戶組”鏈接，在超級用戶窗口中點擊“瀏覽”按鈕，導入上述“rmscenter”組。這樣，該組中的成員就擁有了解密加密數據的能力，可以自由查看所有加密郵件。在Exchnage Server中打開EMS窗口，執行“Set-IRMConfiguration –Internal Licensing Enabled$true”命令，實現和AD RMS服務器的集成。

使用AD RMS服務 保護郵件安全

AD RMS可以有效保護文檔安全，防止無關用戶隨意接觸郵件。例如，在Word中打開某文檔，在信息窗口中點擊按鈕“保護文檔”按鈕，在彈出菜單中點擊“限制訪問”項，在權限窗口中選擇“限制對此文檔的權限”項，在“讀取”列表中輸入對應的域賬戶，這樣，這些賬戶就只能讀取該文檔。在“更改”列表中輸入對應的域賬戶，這些賬戶就擁有了修改該文檔的權限。點擊“其他選項→添加”按鈕，可以導入所需域賬戶。選擇目標賬戶，勾選“此文檔的到期日期為”項，來設置具體的日期。

選擇“打印內容”、“允許具有讀取權限的用戶復制的內容”、“以編程方式訪問內容”項，允許用戶打印文檔、復制文檔內容等功能，否則將拒絕上述操作。選擇“用戶可以從此處請求附加權限”項，可以輸入管理員的郵箱。這樣便于使用者向管理員發送訪問該文檔的權限請求。點擊確定保存配置信息。這樣，當使用OutLook等工具將該文檔作為郵件附件發送給目標域用戶后，當試圖對附件中的文檔進行范圍訪問時，就會受到權限的控制，例如無法打印、修改文檔等。在預覽界面中點擊“查看權限”按鈕，顯示該用戶對此文檔擁有的具體權限，包括是否允許查看、編輯、復制、打印、保存、導出、以程序手段訪問文檔、完全控制等。

如果其離開了域環境，將文檔復制到其他電腦上，因為無法得到AD RMS服務器的授權，則無法將其打開。除了使用文檔自身的權限控制功能外，因為Exchange Server已經和AD RMS實現了集成，所以利用其內置的策略可以對郵件的使用進行有效的控制。在默認情況下，包括不可轉發和無限制兩個策略。例如，用戶“User1”通過OWA方式登錄自己的郵箱，新建一封郵件，輸入收件人，主題，內容等信息，添加附件后，點擊右上角的“...”按鈕，在彈出菜單中選擇“設置權限→不可轉發”項。當將該郵件發送出去后，當收件人接收之后，是無法轉發、打印、復制和編輯郵件以及附件的內容。

自定義權限策略 靈活保護郵件

Exchange自帶的策略太少，無法滿足實際需要。因此，我們可以自定義新的策略來靈活管理郵件。在AD RMS服務器上打開Active Directory Rights Management Services控制臺，在左側選擇“權限策略模版”項，在右側點擊“創建分布式策略模版”鏈接。在向導界面中點擊“添加”按鈕，輸入新模版的名稱（例如“celue1”）和描述信息。點擊“下一步”按鈕，在“用戶和權限”中點擊“添加”按鈕，在彈出窗口中選擇“任何人”項，表示對任何用戶均有效。

當然，也可以選擇“用戶或組的電子郵件地址”項來添加特定的用戶或組。例如選擇“ANYONE”用戶，在權限列表中可以設置所需的權限，包括完全控制、查看、編輯、保存、導出、打印、轉發、答復、全部答復、提取、允許宏、查看權限、編輯權限等。

這里選擇“查看”、“答復”和“全部答復”項，允許所有的用戶只能查看和答復郵件，其余的權限均禁用。選擇“授予所有者（作者）不會過期的完全權限控制”項，則郵件所有者不收任何限制。點擊“下一步”按鈕，在“內容有效期限”欄中默認選擇“永不過期”項，表示允許不存在過期問題，允許用戶隨時查看。為了提高安全性，可以選擇“到以下日期過期”項，設置合適的日期。這樣，當超過該日期后，用戶就無法查看郵件了。選擇“以下期限后過期”項，表示當發出郵件后，當超過指定的天數（默認為1天），就禁止查看其內容。其余的設置保持默認，點擊“完成”按鈕創建該策略。按照同樣的方法，可以創建任意多個策略模版，來滿足各種實際需求。

當用戶使用OWA方式登錄自己的郵箱，就可以按照上述方法創建新郵件，在權限菜單中就會顯示新創建的策略，例如選擇“celue1”項來使用該策略。當將郵件發出后，別的用戶收到該郵件后，就只能查看和答復該郵件，而無法執行打印、導出、保存、編輯等操作。注意，如果客戶端使用OutLook發送郵件時，默認是無法使用上述自定義策略的。可以先在AD RMS服務器上創建一個共享目錄（例如“\rmsservershare”）， 之后在上述自定義策略的右鍵菜單上點擊“導出”項，將其導出到該共享目錄中。因為需要通過組策略來發布模版，所以需要下載Office 2010 Administrative Template files and Office Customization Tool這一工具，這里使用的是Office 2010。在域控制器上安裝該工具，將其保存到“C:office2010admintemplate”。

之后打開組策略管理 器，選 擇“域 →xxx.com→Default Domain Policy”項，在右鍵菜單上點擊“編輯”項，在打開窗口左側選擇“用戶配置→策略→管理模版”項，在其右鍵菜單上點擊“添加/刪除模版”項，在彈出窗口中點擊“添加”按鈕，進入“C:office2010admintemplate”目錄中的“ADM”目錄，打開其中的“zh-cn”文件夾，找到名為“office14.adm”文件，來添加Office 2010管理模版。打開“用戶配置→策略→管理模版→經典管理模版 →Microsoft Office 2010→管理受限權限”項，在右側雙擊“指定權限策略路徑”項，在彈出窗口中選擇“已啟用”項，在“輸入內容權限策略模版的路徑”項，輸入上述共享路徑“\rmsservershare”。 在客戶機上執行“gpupdate /force”命令來刷新組策略（或注銷重新登錄）。當打開OutLook后，點擊工具欄上的“新建電子郵件”按鈕，在郵件編輯窗口工具欄上打開“選項”面板，點擊“權限”按鈕，在彈出菜單中可以顯示自定義策略。選擇“celue1”策略，輸入內容并添加附件后就可以發送出去。

使用郵件流 自動匹配策略

在發送郵件時，如果其中包含敏感信息，我們希望其自動匹配對應的權限策略來實現合理的控制功能。例如禁止轉發、打印郵件等。將Exchange的郵件流功能和AD RMS權限控制功能相結合，就可以實現上述要求。以管理員身份登錄到Exchange Server管理中心，在左側選擇“郵件流”項，在右側點擊“+”按鈕，在彈出菜單中選擇“將權限保護應用于郵件”項，在新建規則窗口中輸入名稱，例如“安全規則1”。在“在以下情況應用此規則”列表中選擇“主題和正文”項，在彈出菜單中包括“主題或正文包含以下任何詞語”、“主題或正文與這些文本模式匹配”、“主題包含以下任何詞語”、“主題與這些文本模式匹配”等。

這里選擇“主題或正文與這些文本模式匹配”項，在彈出窗口中輸入匹配的內容（例如“獎金”、“機密”等），可以添加多個詞語或短語。在“執行以下操作”列表中選擇“將權限保護應用于郵件”項，點擊“選擇一個”鏈接，在列表中顯示所有的策略，可以根據需要選擇所需的模版（例如選擇“celue1”）。其余設置保持默認，點擊保存。這樣，就可以有效保護特定的郵件。例如當“User1”用戶使用OWA方式登錄自己的郵箱，新建一封電子郵件，輸入收件人、主題、內容（在其中包含預設的敏感信息），添加附件后發送出去。盡管其沒有手動選擇權限策略，但Exchange Server已經根據預設的郵件流規則，自動為其設置選定策略（例如“celue1”）。當目標用戶收到郵件后，只能按照規定的策略來訪問郵件。例如只能查看和答復，無法轉發、打印、編輯、保存該郵件。

防御垃圾郵件

默認情況下，Exchange 2013并未安裝反垃圾郵件模塊。以管理員身份登錄Exchange郵箱服務器，在EMC窗口中進入“c:programs filesmicrosoftexchange serverv15scripts”目 錄，執 行“.Install-AntiSpamAgents.ps1” 命令來安裝該模塊。之后執 行“restart-service MSExchangeTransport” 命令重啟服務使之生效。之后需要指定SMTP服務器，執行“Set-TransportConfig–InternalSMTPService @{Add= "xxx.xxx.xxx.xxx"}”命 令，其 中 的“xxx.xxx.xxx.xxx”為SMTP服務器地址，即啟用了反垃圾郵件功能的Exchange服務器。執行“Get-TransportConfig|Format-List Internal SMTPServices”命令，可以檢測是否成功指定了至少一臺內部SMTP服務器IP。執行“Set-SenderFilterConfig–Enabled $true”命令，啟用發件人篩選功能。

為防止收到發件人為空的郵件，可以執行“Set-SenderFilterConfig –BlankSenderBlocking Enabled $true”命 令 即可。當然，也可以配置更復雜的規則，例如執行“Set-SenderFilterConfig-BlockedSenders kim@contoso.com,john@contoso.com-BlockedDomainsfabrikam.com-BlockedDomainsAndSubdomainsnorthwindtraders.com”命令，可以阻止來自kim@contoso.com和john@contoso.com的郵件，來自 fabrikam.com域的郵件以及來自northwindtraders.com及其所有子域的郵件。執行“Set-ContentFilterConfig-ExternalMailEnabled$true”命 令，可 以 啟 用對外部郵件啟用內容篩選功能。執行“Add-ContentFilterPhrase-Influence BadWord-Phrase "xxxxxx"”命令，可以禁止所有包含“xxxxxx”內容的郵件。通過設置垃圾郵件的SCL（即可信度）閥值，可以靈活的對其進行管控，SCL閥值等級從0到9，執行“Set-ContentFilterConfig-SCLDeleteEnabled $true-SCLDeleteThreshold 9-SCLRejectEnabled $true-SCLRejectThreshold 8-SCLQuarantineEnabled$true -SCLQuarantine Threshold 7”命 令，對于SCL閥值為9的郵件，可以將其刪除。對于閥值為8的郵件可以拒絕，對于閥值為7的郵件可以進行隔離。