TechNet セキュリティ > Exchange Server

チェックリスト - 役割に基づいて Exchange 2000 サーバーのセキュリティを強化する

公開日: 2004年6月2日
トピック
チェックリストの使用方法 チェックリストの使用方法
グループ ポリシー設定を使用して Exchange をセキュリティで保護するグループ ポリシー設定を使用して Exchange をセキュリティで保護する
Exchange のインストールと更新を行うExchange のインストールと更新を行う
その他のセキュリティ対策その他のセキュリティ対策
OWA フロントエンド サーバーのストアOWA フロントエンド サーバーのストア
SMTP バナーSMTP バナー
Exchange サーバー グループ ロックダウンExchange サーバー グループ ロックダウン

チェックリストの使用方法

このチェックリストはモジュール「役割に基づいて Exchange 2000 サーバーのセキュリティを強化する」の補足として利用できるように構成されています。Exchange 2000 サーバーのセキュリティ保護や、対応するモジュールのクイック リファレンスとして使用してください。このチェックリストは、安全な Exchange 組織の実現に役立つステップが見つかるごとに更新するにつれて発展させていく必要があります。

グループ ポリシー設定を使用して Exchange をセキュリティで保護する

チェック説明

 

テスト環境設定とグループ ポリシー設定がすべてテストされている。

 

組織単位 (OU) 構造がモジュールでの推奨どおりに変更されており、サーバーが適切な OU に移動されている。

 

ダウンロードしたこのガイドに付属の ExSecurityOps.exe にセキュリティ テンプレートが含まれている。

 

新しいグループ ポリシー オブジェクト "Exchange DC Policy" が Domain Controllers OU で作成され、Exchange DC incremental.inf がインポートされている。

 

ドメイン コントローラ間で複製が強制されている。

 

すべてのドメイン コントローラに新しいポリシーがある。

 

ドメイン コントローラが順番に再起動される。

 

新しいグループ ポリシー オブジェクト "OWA Policy" が OWA Servers OU で作成されている。

 

OWA FrontEnd Incremental.inf がインポートされている。

 

新しいグループ ポリシー オブジェクト "Exchange Back-End Policy" が Exchange Back-end Servers OU で作成されている。

 

Exchange BackEnd Incremental.inf がインポートされている。

 

ドメイン コントローラ間で複製が強制されている。

 

secedit /refreshpolicy machine_policy /enforce コマンドを使用して、ポリシーが Exchange サーバーにダウンロードされている。

 

すべての Exchange サーバーが再起動されている。

 

指定したサービスが OWA フロントエンド サーバーと Exchange バックエンド サーバーで無効になっている。

 

Exchange バックエンド サーバー ファイルのアクセス制御リスト (ACL) が変更されている。

 

Network News Transport Protocol (NNTP) サービスが使用中でない場合は無効になっている。

 

Exchange 環境が機能するように必要なサービスが再び有効になっている。

Exchange のインストールと更新を行う

チェック説明

 

OWA フロントエンド サーバーで System Attendant サービスが有効になっており、開始されている。

 

すべての Exchange サーバーで Distributed Transaction Coordinator サービスが有効になっており、開始されている。

 

すべての Exchange サーバーで NNTP サービスが有効になっており、開始されている。

 

すべての Exchange サーバーで Microsoft® Windows® オペレーティング システムの Installer サービスが有効になっており、開始されている。

 

OWA フロントエンド サーバーで Windows Management Instrumentation (WMI) サービスが有効になっており、開始されている。

その他のセキュリティ対策

チェック説明

 

すべての Exchange サーバーに IIS Lockdown ツール IISLockd.exe がインストールされており、起動されている。

 

Web サービスの Hypertext Transfer Protocol (HTTP) のみが有効になっている。

 

仮想ディレクトリが削除されている。

 

URLScan がインストールされている。

 

IIS Lockdown および URLScan の設定がユーザーの組織に合わせて変更されている。

 

OWA のパスワード変更機能が削除されている。

OWA フロントエンド サーバーのストア

チェック説明

 

System Attendant および NTLM Security Support Provider サービスが開始されている。

 

メールボックス ストアのマウントが解除されており、[起動時にこのストアをマウントしない] がオンになっている。

 

パブリック フォルダ ストアのマウントが解除されており、削除されている。

SMTP バナー

チェック説明

 

SMTP バナーを削除するためにメタベースが編集されている。

 

Simple Mail Transfer Protocol (SMTP) サービスが再開されている。

Exchange サーバー グループ ロックダウン

チェック説明

 

EDSLock スクリプトが実行されている。