Exchange 2007’de Edge Transport rolünü üstlenen sunucunun, varolan network yapısı dışında tutulması ve bu sunucunun antispam, antivirus ve diÄŸer benzer programlar ile donatılması gelecek nesil network yapılarında güvenliÄŸi bir kademe daha yukarı çıkartacak. Bu ÅŸekilde giden-gelen maillerin ilk durağı edge transport rolünü tutan sunucu olacak ve asıl database’i tutan sunucu performasıda bu ÅŸekilde arttırılmış olacak. Fakat hem network dışında bıraktığımız, hemde tüm mail akışını teslim ettiÄŸimiz bir sunucunun güvenliÄŸini eldeki varolan imkanlari kullanarak nasıl attırabiliriz. Bu makalemde Security Configuration Wizard (SCW) kullanarak edge transport rolünü taşıyan sunucuyu daha güvenli hale getirmeye çalışacağız.

SCW, Server 2003 SP1 ile sistemlere gelen, kolay kurulum ve arayüzü sayesinde oluÅŸturacağınız security template’lerini .xml olarak kayıt ederek bir çok sunucuya aynı anda uygulama ÅŸansı tanıyan bir windows bileÅŸeni.

1.     SCW’yi, Start > Settings > Control Panel > Add/Remove Programs > Add/Remove Windows Components > Security Configuration Wizard kutucuÄŸunu iÅŸaretleyerek kuralım.

2.     Kurulumun ardından Exchange2007.xml dosyasını SCW için kayıt ettirmemiz gerekiyor. Bunun için dosyayı C:\Program Files\Microsoft\Exchange Server\Scripts klasöründen %windir%\security\msscw\kbs\ klasörüne kopyalayalım ve komut satırında %windir%\system32 ye düÅŸüp aÅŸağıdaki komutu çalıştıralım.

SCWCMD Register /kbname:MSExchangeEdge kbfile:%windir%\security\msscw\kbs\Exchange2007.xml

Åžekil-1

Artık SCW’yi çalıştırmaya hazırız. Administrative Tools > Security Configuration Wizard’I klikleyerek iÅŸlemlere baÅŸlayalım.

3.     Ä°lk pencerede Create  a new security policy seçili iken Next ile devam edelim. Burda belkide ençok bilinmesi gereken seçenek ise Roolback diyebilirim. Uyguladığınız bir template sistemin düzgün çalışmamasına yol açabilir. Ä°ÅŸte böyle bir anda son uygulanan template’i rollback yaparak iÅŸlemden önceki hale geri dönebilirsiniz.

Åžekil-2

4.     Server adını seçip Next ile devam edelim ve gelen pencerede View Configuration Database butonuna klikleyelim. Burda önünüze serverda çalışan roller ve ek olarak genel bazı roller gelecektir.

Åžekil-3

5.     Next > Role-Based Service Configuration > Next diyerek devam edelim ve sunucumuzda çalışan rollerin doÄŸruluÄŸunu Selected roles altından control edelim. Bu pencerede Exchange 2007 Edge Transport un listede görüntülenmesi gerekmekte. Gereksiz bulduÄŸumuz roller var ise listeden kutucuklarını boÅŸaltarak kaldırabiliriz.

Åžekil-4

6.     Server Client Features penceresinde sunucunuzun client rollerinin doÄŸruluÄŸunu control edelim ve gereksiz bulduklarımızın kutucuklarını boÅŸaltarak kaldıralım.

Åžekil-5

7.     Select Administration and Other Options penceresinde sunucunuzda çalışan servislerin doÄŸruluÄŸunu control edelim ve gereksiz bulduklarımızın kutucuklarını boÅŸaltarak kaldıralım.

8.     Select Additional Services penceresinde sunucunuzda çalışan diÄŸer servislerin doÄŸruluÄŸunu control edelim ve gereksiz bulduklarımızın kutucuklarını boÅŸaltarak kaldıralım.

9.     Handling Unspecified Services penceresinde hazırladığımız template içerisinde yer almayan herhangibir servisin ileriki zamanda sunucuda çalışmaya baÅŸlamasıyla bu servisin baÅŸlangıç modu’nun ne ÅŸekilde olacağını belirtebiliriz. Ben, deÄŸiÅŸiklik olmadan devam edilmesi için Do not change seçeneÄŸini seçmenizi öneririm.

10.   Confirm Service Changes penceresinde bu adıma kadar gerçekleÅŸtirdiÄŸiniz seçeneklere göre baÅŸlangıç tipleri deÄŸiÅŸtirilen servisleri görebilirsiniz. Bu adımda dikkat etmeniz gereken ise, sisteminizde çalışması gereken herhangibir servisi disable etmemek olmalı.

11.   Next diyerek Network Security bölümüne geçelim.

12.   Add diyerek TCP 389 (LDAP) ve UDP 636 (LDAP/SSL) portlarına ADAM’ın Active Directory ile iletiÅŸim kurması için izin verelim.

Åžekil-6

13.   Sunucunuzda birden fazla ethernet kartı var ise aynı pencerede Advanced a klikleyerek 25, 389, 636, 3389 portları seçiliyken Over the following local interfaces i seçip sadece Internal kartın seçili kalmasını saÄŸlayabilirsiniz.

Åžekil-7

14.   Son aÅŸamada portlar ile ilgili olarak yaptığınız kısıtlamaları görebilirsiniz.

Åžekil-8

15.   Registry Settings, Audit Policy, Internet Information Services pencerelerinde Skip this section kutucuÄŸunu iÅŸaretleyip Next ile devam edelim.

Artık yarattığımız template’i bir isim vererek kayıt edelim.

Åžekil-9

Artık elinizde benzer iÅŸi yapan farklı sunucularınızda da kullanabileceÄŸiniz bir template iniz bulunuyor. AÅŸağıdaki adımları izleyerek bu template’i sunucumuza uygulayalım.

16.   Apply an existing security policy seçeneÄŸini seçelim ve daha önce yarattığımız template’in yolunu gösterelim.

Åžekil-10

Referanslar

How to Create a New Exchange Server Role SCW Policy

http://technet.microsoft.com/en-us/library/743a0819-cd87-4b9a-ab33-16424bb1861e.aspx

How to Register Exchange Server Role SCW Extensions

http://technet.microsoft.com/en-us/library/e51d49a0-808b-4731-b7d8-f35536a90853.aspx