Exchange 2007’de Edge Transport rolünü üstlenen sunucunun, varolan network yapısı dışında tutulması ve bu sunucunun antispam, antivirus ve diğer benzer programlar ile donatılması gelecek nesil network yapılarında güvenliği bir kademe daha yukarı çıkartacak. Bu şekilde giden-gelen maillerin ilk durağı edge transport rolünü tutan sunucu olacak ve asıl database’i tutan sunucu performasıda bu şekilde arttırılmış olacak. Fakat hem network dışında bıraktığımız, hemde tüm mail akışını teslim ettiğimiz bir sunucunun güvenliğini eldeki varolan imkanlari kullanarak nasıl attırabiliriz. Bu makalemde Security Configuration Wizard (SCW) kullanarak edge transport rolünü taşıyan sunucuyu daha güvenli hale getirmeye çalışacağız.

SCW, Server 2003 SP1 ile sistemlere gelen, kolay kurulum ve arayüzü sayesinde oluşturacağınız security template’lerini .xml olarak kayıt ederek bir çok sunucuya aynı anda uygulama şansı tanıyan bir windows bileşeni.

1.     SCW’yi, Start > Settings > Control Panel > Add/Remove Programs > Add/Remove Windows Components > Security Configuration Wizard kutucuğunu işaretleyerek kuralım.

2.     Kurulumun ardından Exchange2007.xml dosyasını SCW için kayıt ettirmemiz gerekiyor. Bunun için dosyayı C:\Program Files\Microsoft\Exchange Server\Scripts klasöründen %windir%\security\msscw\kbs\ klasörüne kopyalayalım ve komut satırında %windir%\system32 ye düşüp aşağıdaki komutu çalıştıralım.

SCWCMD Register /kbname:MSExchangeEdge kbfile:%windir%\security\msscw\kbs\Exchange2007.xml

Şekil-1

Artık SCW’yi çalıştırmaya hazırız. Administrative Tools > Security Configuration Wizard’I klikleyerek işlemlere başlayalım.

3.     İlk pencerede Create  a new security policy seçili iken Next ile devam edelim. Burda belkide ençok bilinmesi gereken seçenek ise Roolback diyebilirim. Uyguladığınız bir template sistemin düzgün çalışmamasına yol açabilir. İşte böyle bir anda son uygulanan template’i rollback yaparak işlemden önceki hale geri dönebilirsiniz.

Şekil-2

4.     Server adını seçip Next ile devam edelim ve gelen pencerede View Configuration Database butonuna klikleyelim. Burda önünüze serverda çalışan roller ve ek olarak genel bazı roller gelecektir.

Şekil-3

5.     Next > Role-Based Service Configuration > Next diyerek devam edelim ve sunucumuzda çalışan rollerin doğruluğunu Selected roles altından control edelim. Bu pencerede Exchange 2007 Edge Transport un listede görüntülenmesi gerekmekte. Gereksiz bulduğumuz roller var ise listeden kutucuklarını boşaltarak kaldırabiliriz.

Şekil-4

6.     Server Client Features penceresinde sunucunuzun client rollerinin doğruluğunu control edelim ve gereksiz bulduklarımızın kutucuklarını boşaltarak kaldıralım.

Şekil-5

7.     Select Administration and Other Options penceresinde sunucunuzda çalışan servislerin doğruluğunu control edelim ve gereksiz bulduklarımızın kutucuklarını boşaltarak kaldıralım.

8.     Select Additional Services penceresinde sunucunuzda çalışan diğer servislerin doğruluğunu control edelim ve gereksiz bulduklarımızın kutucuklarını boşaltarak kaldıralım.

9.     Handling Unspecified Services penceresinde hazırladığımız template içerisinde yer almayan herhangibir servisin ileriki zamanda sunucuda çalışmaya başlamasıyla bu servisin başlangıç modu’nun ne şekilde olacağını belirtebiliriz. Ben, değişiklik olmadan devam edilmesi için Do not change seçeneğini seçmenizi öneririm.

10.   Confirm Service Changes penceresinde bu adıma kadar gerçekleştirdiğiniz seçeneklere göre başlangıç tipleri değiştirilen servisleri görebilirsiniz. Bu adımda dikkat etmeniz gereken ise, sisteminizde çalışması gereken herhangibir servisi disable etmemek olmalı.

11.   Next diyerek Network Security bölümüne geçelim.

12.   Add diyerek TCP 389 (LDAP) ve UDP 636 (LDAP/SSL) portlarına ADAM’ın Active Directory ile iletişim kurması için izin verelim.

Şekil-6

13.   Sunucunuzda birden fazla ethernet kartı var ise aynı pencerede Advanced a klikleyerek 25, 389, 636, 3389 portları seçiliyken Over the following local interfaces i seçip sadece Internal kartın seçili kalmasını sağlayabilirsiniz.

Şekil-7

14.   Son aşamada portlar ile ilgili olarak yaptığınız kısıtlamaları görebilirsiniz.

Şekil-8

15.   Registry Settings, Audit Policy, Internet Information Services pencerelerinde Skip this section kutucuğunu işaretleyip Next ile devam edelim.

Artık yarattığımız template’i bir isim vererek kayıt edelim.

Şekil-9

Artık elinizde benzer işi yapan farklı sunucularınızda da kullanabileceğiniz bir template iniz bulunuyor. Aşağıdaki adımları izleyerek bu template’i sunucumuza uygulayalım.

16.   Apply an existing security policy seçeneğini seçelim ve daha önce yarattığımız template’in yolunu gösterelim.

Şekil-10

Referanslar

How to Create a New Exchange Server Role SCW Policy

http://technet.microsoft.com/en-us/library/743a0819-cd87-4b9a-ab33-16424bb1861e.aspx

How to Register Exchange Server Role SCW Extensions

http://technet.microsoft.com/en-us/library/e51d49a0-808b-4731-b7d8-f35536a90853.aspx