Guía de Seguridad de Exchange 2010_ Ayuda de Exchange 2010

Al usar este sitio acepta el uso de cookies para anlisis, contenido personalizado y publicidad. Saber ms

Gua de seguridad de Exchange 2010

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

ltima modificacin del tema: 2012-03-08

Esta gua se ha escrito para el administrador de responsable de proteger la implementacin de MicrosoftExchange Server 2010; asimismo, se ha concebido para quedicho administrador comprenda y controle el entorno de seguridad general en el que est instalado Exchange.

En el pasado, para cada versin de Microsoft Exchange, el equipo de Exchange publicaba guas independientes de refuerzo de seguridad con informacin sobrepermisos y seguridad. Este mtodo tena sentido para bloquear servicios y directorios despus de ejecutar la instalacin de Exchange 2010. Sin embargo, a partir deMicrosoftExchange Server 2007, el programa de instalacin de Exchange habilita nicamente los servicios que necesite el rol de servidor que se instala. MicrosoftExchange ya no se instala y se refuerza por seguridad. Est diseado para ser ms seguro de forma predeterminada.

As pues, a diferencia de versiones anteriores de Microsoft Exchange en las que los administradores tenan que llevar a cabo mltiples pasos para bloquear losservidores que ejecutaban Microsoft Exchange, Exchange 2010 no necesita bloqueo ni refuerzo.

mbito

Exchange 2010 se ha desarrollado segn los principios del ciclo vital del desarrollo de seguridad de Microsoft. Se ha efectuado una revisin de la seguridad encada caracterstica y componente. Unos valores predeterminados bien seleccionados permiten una implementacin ms segura. La finalidad de esta gua esinformar a los administradores sobre las caractersticas y los aspectos relacionados con la seguridad. Esta seccin contiene vnculos a documentacin sobre laseguridad en Exchange 2010. Estos temas figuran en el apndice 1: Documentacin adicional sobre la seguridad. Esta gua no se ocupa de ningn paso sobrecmo reforzar el sistema operativo Windows Server.

Contenido

Novedades

Ciclo de vida del desarrollo de seguridad de Exchange 2010

Mtodos recomendados para crear un entorno seguro

Mtodos recomendados para mantener un entorno seguro

Uso de los puertos de red y reforzamiento de Firewall

Parmetros de limitacin y directivas de limitacin de clientes

Control de acceso basado en roles

Active Directory

Cuentas de servidores de Exchange

Sistema de archivos

Servicios

Certificados

Consideraciones sobre NTLM

Autenticacin de doble factor

Federacin

Secure/Multipurpose Internet Mail Extensions (S/MIME)

Consideraciones sobre roles del servidor

Apndice 1: Documentacin adicional sobre la seguridad

Novedades

Exchange 2010 incluye las siguientes caractersticas de seguridad:

Control de acceso basado en roles Exchange 2010 presenta un nuevo modelo de control de acceso basado en roles con el que la organizacinadministra de forma pormenorizada los permisos asignados a diferentes partes interesadas, por ejemplo administradores de destinatarios, de servidores yde organizaciones.

Directivas de limitacin Exchange 2010 incorpora mecanismos de limitacin en los servidores de acceso de cliente, Buzn de correo y Transporte paraproteger la organizacin de los ataques de denegacin de servicio y reducir las repercusiones de dichos ataques.

Delegacin federada Exchange 2010 agrega nuevas caractersticas de federacin delegada para que los usuarios puedan colaborar de manera segura con

Exchange 2010 Personas que lo han encontrado til: 1 de 1

Gua de seguridad de Exchange 2010: Ayuda de Exchange 2010 https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...

1 de 27 25-02-2015 11:41

usuarios de otras organizaciones. Mediante la delegacin federada, los usuarios comparten sus calendarios y contactos con usuarios de organizacionesfederadas externas. Tambin es posible la colaboracin entre bosques sin tener que configurar y administrar relaciones de confianza de Active Directory.

Information Rights Management Exchange 2010 incorpora nuevas caractersticas de control y proteccin de la seguridad para proteger el contenidoconfidencial de los mensajes en varios niveles; asimismo, mantiene la capacidad de la organizacin de descifrar, buscar y aplicar directivas de mensajera acontenido protegido.

Sin asistentes para configurar la seguridad En Exchange 2010, el programa de instalacin realiza los cambios de configuracin pertinentes para instalary habilitar nicamente los servicios necesarios para un determinado rol de servidor de Exchange, y para limitar la comunicacin solamente a los puertosrequeridos para los servicios y procesos que se ejecutan en cada rol de servidor. De este modo, ya no se necesita el asistente para configuracin deseguridad (SCW) para configurar estos parmetros.

Ciclo de vida del desarrollo de seguridad de Exchange 2010

A principios de 2002 Microsoft incorpor la iniciativa Trustworthy Computing. Desde la incorporacin de Trustworthy Computing, el proceso de desarrollo enMicrosoft y en el equipo de Microsoft Exchange se ha concentrado en desarrollar un software que refuerce la seguridad. Para obtener ms informacin, consulteTrustworthy Computing (en ingls).

En Exchange 2010 se ha implementado Trustworthy Computing en las siguientes reas principales:

Seguro en el diseoExchange 2010 se ha diseado y desarrollado segn el ciclo de vida del desarrollo de seguridad de Trustworthy Computing. El primerpaso para crear un sistema de mensajera ms seguro fue disear modelos de amenaza y poner a prueba cada opcin a medida que se iba diseando. Seintegraron mltiples mejoras relacionadas con la seguridad en el proceso y las prcticas de codificacin. Las herramientas de tiempo integradas detectanexcesos en el bfer y otras amenazas potenciales de seguridad. Ningn sistema puede garantizar una seguridad completa. Sin embargo, al incluir principiosde diseo de seguridad en todo el proceso de diseo, Exchange 2010 es ms seguro que versiones anteriores.

Seguro de forma predeterminada Uno de los objetivos de Exchange 2010 era desarrollar un sistema en que la mayora de las comunicaciones de red secodifiquen de forma predeterminada. Este objetivo se consigui, excepto para las comunicaciones del bloqueo de mensajes de servidor y algunascomunicaciones de mensajera unificada. Al usar certificados autofirmados, el protocolo Kerberos, el nivel de sockets seguros (SSL) y otras tcnicasestndares de cifrado, casi toda la informacin en la red de Exchange 2010 queda protegida. Adems, la instalacin basada en roles permite instalarExchange 2010, de modo que solamente los servicios, y los permisos relacionados con esos servicios, se instalan con un rol de servidor especfico yapropiado. En versiones anteriores de Microsoft Exchange haba que instalar todos los servicios de funcionalidad.

Funcionalidad antivirus y contra correo electrnico no deseado Exchange 2010 incluye un conjunto de agentes contra correo electrnico no deseadoque se ejecutan en la red perimetral del rol de servidor Transporte perimetral y que tambin puede instalarse en el rol de servidor Transporte deconcentradores ubicado en la red interna. La funcionalidad del antivirus est mejorada an ms gracias a la adicin de MicrosoftForefront Protection 2010for Exchange como solucin de Microsoft.

Implementacin segura A medida que se fue desarrollando Exchange 2010, se implement la versin de evaluacin en el entorno de produccin de TIMicrosoft. Basado en datos de esa implementacin, se ha actualizado el MicrosoftExchange Server Best Practices Analyzer para buscar configuraciones deseguridad reales, y se han documentado consejos para antes y despus de la implementacin en la Ayuda de Exchange 2010.

En el pasado, se documentaba la administracin de permisos y se entregaba una vez finalizada la documentacin bsica. Sin embargo, sabemos que laadministracin de permisos no es un proceso de complementos. Debera integrarse en el planeamiento e implementacin generales de Exchange 2010. Porlo tanto, hemos simplificado nuestra documentacin sobre permisos y la hemos integrado con la documentacin bsica. De este modo, proporcionamos uncontexto integral para los administradores a la hora de planear e implementar su modelo administrativo. Exchange 2010 contiene un nuevo modelo depermisos basados en roles con el que pueden concederse permisos de manera pormenorizada a administradores y usuarios para que puedan realizar tareascon los permisos mnimos que se necesitan.

Comunicaciones Ahora que Exchange 2010 ha salido al mercado, el equipo de Exchange tiene el compromiso de mantener el software actualizado y a losusuarios informados. Manteniendo su sistema actualizado con Microsoft Update, puede tener la certeza de que su organizacin dispone de las ltimasactualizaciones de seguridad. Exchange 2010 tambin incluye actualizaciones contra correo electrnico no deseado. Adems, al suscribirse a lasNotificaciones tcnicas de seguridad de Microsoft (posiblemente en ingls), podr consultar las ltimas novedades sobre seguridad en Exchange 2010.

Mtodos recomendados para crear un entorno seguro

La aplicacin de unos mtodos recomendados bsicos ayudarn a crear y mantener un entorno ms seguro. En general, la manera ms efectiva de optimizar laseguridad del entorno de Exchange 2010 es mantener actualizados el software y los archivos de firma de antivirus, y ejecutar herramientas de anlisisregularmente.

Recomendaciones de instalacin y configuracin

La aplicacin de estos mtodos recomendados ayudarn a crear y mantener un entorno de Exchange 2010 ms seguro.

Instalacin delegada El primer servidor de Exchange 2010 que se instala en la organizacin requiere que la cuenta que se usa para ejecutar elprograma de instalacin pertenezca al grupo Administradores de empresa. La cuenta que usa se agrega al grupo de roles de administracin de laorganizacin creado por el programa de instalacin de Exchange 2010. La instalacin delegada puede usarse para que los administradores que nopertenezcan al grupo de roles de administracin de la organizacin configuren los servidores subsiguientes. Para obtener ms informacin, consulteAprovisionar el servidor de Exchange 2010 y delegar la instalacin.

Permisos del sistema de archivos Exchange 2010 El programa de instalacin asigna los permisos mnimos necesarios en el sistema de archivos dondese almacenan los datos y archivos binarios de Exchange. No haga ningn cambio en las listas de control de acceso de las carpetas raz y Archivos deprograma del sistema de archivos.

Rutas de instalacin Se recomienda instalar los archivos binarios de Exchange 2010 en una unidad que no sea del sistema (un volumen en el que no


2 de 27 25-02-2015 11:41

est instalado el sistema operativo). Las bases de datos y los registros de transacciones de Exchange pueden aumentar de tamao rpidamente y debenubicarse en volmenes no pertenecientes al sistema para que no disminuya la capacidad ni el rendimiento. Otros registros generados por diferentescomponentes de Exchange, por ejemplo los registros de transporte, se almacenan tambin en la misma ruta de instalacin que los archivos binarios deExchange y su tamao puede aumentar considerablemente segn la configuracin y el entorno de mensajera. En Exchange 2010 puede configurarse eltamao mximo de muchos archivos de registro y el espacio mximo de almacenamiento que puede ocupar una carpeta de archivos de registro, quetiene un valor predeterminado de 250 Megabytes. Para prevenir una posible interrupcin del sistema debido a poco espacio en disco, recomendamosque se calculen los requisitos de registro para cada rol del servidor y se configuren las opciones de registro y las ubicaciones de almacenamiento de losarchivos de registro en consonancia con ellos.

Bloqueo de clientes heredados de Outlook Teniendo en cuenta sus requisitos, el bloqueo de clientes de Outlook se puede configurar para quebloquee las versiones cliente heredadas de Outlook. Algunas caractersticas de Exchange 2010, por ejemplo las reglas de proteccin de Outlook y losarchivos personales, no admiten clientes heredados de Outlook. Para obtener ms informacin sobre el bloqueo de clientes de Outlook, consulteConfigurar el bloqueo de clientes de Outlook para la administracin de registros de mensajera.

Separacin de direcciones SMTP y nombres de usuario De forma predeterminada, Exchange genera alias y direcciones de correo electrnico a partirdel nombre de usuario del buzn de correo. Muchas organizaciones crean una directiva adicional de direcciones de correo electrnico para separar lasdirecciones de correo electrnico de los usuarios de los nombres de usuarios con el fin de incrementar la seguridad. Por ejemplo, si el nombre de usuariode Ben Smith es bsmith y el dominio contoso.com, la direccin de correo electrnico principal generada por la directiva predeterminada de direccionesde correo electrnico es [email protected]. Puede crear otra directiva de direcciones de correo electrnico para generar direcciones que no usen elalias ni el nombre de usuario del usuario. Por ejemplo, si se crea una directiva de direcciones de correo electrnico que use la plantilla %g.%s@domain,se generan direcciones de correo electrnico con el formato Nombre.Apellidos@dominio. En el caso de Ben Smith, la directiva generar la [email protected]. Asimismo, puede separar las direcciones de correo electrnico de los nombres de usuario especificando un alias diferente delnombre de usuario que se usa al crear o habilitar un buzn de correo.

Nota:

Si una direccin SMTP principal no coincide con el UPN en la cuenta, el usuario no puede usar su direccin de correo electrnico para iniciar sesin enMicrosoftOfficeOutlook Web App; para ello, debe proporcionar un nombre de usuario con el formato DOMINIO\nombre_usuario. En el caso deMicrosoftOutlook, el usuario debe proporcionar el mismo formato DOMINIO\nombre_usuario si se le solicitan credenciales cuando Outlook seconecta al servicio Deteccin automtica.

Microsoft Update

Microsoft Update es un servicio que ofrece las mismas descargas que MicrosoftWindows Update, adems de las ltimas actualizaciones para otros programasde Microsoft. Ayuda a mantener el servidor ms seguro y con un rendimiento ptimo.

Una funcin clave de Microsoft Update es Windows Automatic Update. Esta funcin instala automticamente actualizaciones de prioridad alta fundamentalespara la seguridad y fiabilidad del equipo. Sin estas actualizaciones, el equipo es ms vulnerable a ataques externos y de software malintencionado (malware).

El modo ms confiable de recibir Microsoft Update es de forma automtica en el equipo utilizando Actualizaciones automticas de Windows. Puede activarActualizaciones automticas si se suscribe a Microsoft Update.

Windows analizar el software Microsoft instalado en su equipo en busca de actualizaciones actuales y antiguas de alta prioridad necesarias; seguidamente, lasdescargar e instalar de manera automtica. A continuacin, cuando se conecte a Internet, Windows repite este proceso para buscar nuevas actualizaciones dealta prioridad.

Para habilitar Microsoft Update, visite Microsoft Update (en ingls).

El modo predeterminado de Microsoft Update exige que cada servidor de Exchange est conectado a Internet para recibir las actualizaciones automticas. Siejecuta servidores sin conexin a Internet, puede instalar Windows Server Update Services (WSUS) para administrar la distribucin de actualizaciones en equiposde su organizacin. As podr configurar Microsoft Update en los equipos Microsoft Exchange internos para que se ponga en contacto con el servidor WSUSinterno en busca de actualizaciones. Para obtener ms informacin, consulte Microsoft Windows Server Update Services 3.0 (en ingls).

WSUS no es la nica solucin de administracin de Microsoft Update disponible. Para obtener ms informacin sobre herramientas, comunicaciones, procesos yversiones de seguridad de Microsoft, vea Gua de actualizacin de seguridad de Microsoft (posiblemente en ingls).

Tareas que ya no son necesarias en Exchange 2010


3 de 27 25-02-2015 11:41

Ya no es necesario instalar ni ejecutar las herramientas siguientes:

La herramienta de seguridad URLScan no se necesita en IIS 7. En versiones anteriores de Microsoft Exchange, era habitual instalar herramientas de IIScomo URLScan para proteger una instalacin de IIS. Exchange 2010 requiere Windows Server 2008, que incluye IIS 7. Muchas de las caractersticas deseguridad que originalmente estaban en UrlScan estn disponibles en el Filtrado de solicitudes de IIS 7.

Ya no hace falta instalar Exchange Best Practices Analyzer. En versiones anteriores de Microsoft Exchange era habitual instalar Exchange Best PracticesAnalyzer antes de la instalacin y despus ejecutarlo peridicamente. El programa de instalacin de Exchange 2010 incluye los componentes deExchange Best Practices Analyzer y los ejecuta durante la instalacin. Antes de la instalacin no hace falta ejecutar Exchange Best Practices Analyzer.

Ya no necesita usar el asistente para configuracin de seguridad (SCW) ni las plantillas de Exchange para SCW. El programa de instalacin de Exchange2010 instala solamente los servicios necesarios en un determinado rol del servidor de Exchange; asimismo, crea reglas de Firewall de Windows Firewallcon Seguridad avanzada para abrir nicamente los puertos necesarios en los servicios y procesos de ese rol del servidor. Ya no se debe ejecutar elasistente para configuracin de seguridad (SCW) para configurar estos parmetros. A diferencia de Exchange Server 2007, Exchange 2010 no se incluyecon plantillas de SCW.

Mtodos recomendados para mantener un entorno seguro

Estos mtodos recomendados ayudarn a mantener seguro el entorno de Exchange 2010.

Mantenimiento del software al da

Como se ha mencionado en una seccin anterior, se recomienda ejecutar Microsoft Update. Adems de ejecutar Microsoft Update en todos los servidores, esmuy importante mantener todos los equipos cliente de su organizacin al da con actualizaciones antivirus.

Adems del software Microsoft, compruebe que tenga las ltimas actualizaciones de todo el software que se ejecuta en su organizacin.

Actualizaciones contra correo electrnico no deseado

Exchange 2010 tambin utiliza la infraestructura de Microsoft Update para mantener actualizados los filtros contra correo no deseado. De formapredeterminada, con las actualizaciones manuales el administrador debe visitar Microsoft Update para descargar e instalar las actualizaciones de filtro decontenido. Cada dos semanas hay datos de actualizacin del filtro de contenido actualizados y listos para poder descargar.

Las actualizaciones manuales desde Microsoft Update incluyen datos de firma de correo no deseado y el servicio de reputacin de IP de Microsoft. El servicio dereputacin IP de Microsoft y los datos de firma de correo no deseado solo estn disponibles con Forefront Security para actualizaciones automticas contracorreo no deseado de Exchange Server.

Para obtener ms informacin acerca de cmo habilitar las actualizaciones automticas contra correo no deseado de Forefront, consulte Descripcin de lasactualizaciones de correo no deseado.

Ejecucin del software antivirus

Los virus, gusanos y otros contenidos malintencionados transmitidos por los sistemas de correo electrnico son una realidad destructiva a la que se enfrentan lamayora de administradores de Microsoft Exchange. En consecuencia, debe desarrollar una implementacin de antivirus defensiva para todos los sistemas demensajera Esta seccin proporciona mtodos recomendados para implementar software antivirus para Exchange 2010.

Preste especial atencin a dos cambios importantes en Exchange 2010 cuando seleccione un proveedor de software antivirus:

A partir de Exchange Server 2007, Microsoft Exchange, la arquitectura en que se basa es de 64 bits.

Exchange 2010 incluye agente de transporte.

Estos dos cambios implican que los proveedores de antivirus deben proporcionar un software especfico para Exchange 2010. Es poco probable que el softwareantivirus escrito para versiones anteriores de Exchange funcione correctamente con Exchange 2010.

Para usar un mtodo de defensa en profundidad, se recomienda la implementacin de un software antivirus diseado para sistemas de mensajera ya sea en lapuerta de enlace SMTP o en los servidores de Exchange que hospedan buzones de correo, adems de un software antivirus en el escritorio del usuario.

Suya es la decisin de qu tipos de software antivirus usar y dnde implementar el software buscando el equilibrio adecuado entre el costo que est dispuesto aaceptar y el riesgo que est dispuesto a asumir. Por ejemplo, algunas organizaciones ejecutan un software antivirus para mensajera en la puerta de enlaceSMTP, anlisis antivirus en el nivel de archivos del servidor de Exchange y un software antivirus del cliente en los equipos de escritorio del usuario. Este mtodoproporciona proteccin de mensajera en el cliente. Otras organizaciones pueden tolerar costos superiores y mejoran la seguridad ejecutando software antiviruspara mensajera en la puerta de enlace SMTP, anlisis antivirus en el nivel de archivos del servidor de Exchange y software antivirus del cliente en el escritorio delos usuarios, adems de software antivirus compatible con Exchange Virus Scanning Application Programming Interface (VSAPI) 2.5 en el servidor de buzones deExchange.

Ejecucin de software antivirus en servidores Transporte de concentradores y Transporteperimetral

El software antivirus basado en transporte se implementa o incluye agentes de transporte. Los agentes de transporte actan en los eventos de transporte, de


4 de 27 25-02-2015 11:41

manera muy similar a los receptores de eventos en versiones previas de Microsoft Exchange. Para obtener ms informacin, consulte Descripcin de losagentes de transporte.

Nota:

Los mensajes que no se enrutan mediante transporte, como los elementos de las carpetas pblicas, Elementos enviados y elementos de calendario, quesolo se pueden analizar en un servidor de buzones de correo, no estn protegidos por la deteccin de virus solo de transporte.

Los programadores de terceras partes pueden escribir agentes de transporte personalizados para aprovechar las ventajas del motor de anlisis MIMEsubyacente para una mejor deteccin antivirus del nivel de transporte. Para obtener una lista de los asociados de antispam y antivirus de Exchange, vea losfabricantes de software independientes (posiblemente en ingls).

Adems, Forefront Protection para Exchange Server es un paquete de software antivirus estrechamente integrado con Exchange 2010 y que ofrece proteccinantivirus adicional para su entorno de Exchange. Para obtener ms informacin, consulte Microsoft Forefront Protection 2010 para Exchange Server (eningls).

El lugar ms importante para ejecutar software antivirus de mensajera est en la primera lnea de defensa de la organizacin. Es la puerta de enlace SMTP atravs de la cual los mensajes externos tienen acceso al entorno de mensajera. En Exchange 2010, la primera lnea de defensa se encuentra es el servidorTransporte perimetral.

Si usa una puerta de enlace o un servidor SMTP que no es de Exchange para recibir correo electrnico antes que Exchange, debe implementar suficientefuncionalidad antivirus y contra correo no deseado en los hosts SMTP que no sean Exchange.

En Exchange 2010, todos los mensajes se enrutan a travs de un servidor Transporte de concentradores. Esto incluye mensajes enviados o recibidos desdefuera de la organizacin de Exchange, as como mensajes enviados dentro de la organizacin de Exchange. Mensajes enviados a un buzn de correo ubicadoen el mismo servidor de buzones que el remitente. Para protegerse mejor contra ataques de virus desde dentro de la organizacin y disponer de unasegunda lnea de defensa, recomendamos tambin ejecutar software antivirus basado en transporte en el servidor Transporte de concentradores.

Ejecucin de software antivirus en servidores Buzn de correos

Aparte de la deteccin de virus en servidores Transporte, una solucin de anlisis del interfaz de programacin para aplicaciones de deteccin de virus(VSAPI) de MicrosoftExchange puede representar un nivel de defensa importante para muchas organizaciones. Es conveniente considerar la posibilidad deejecutar una solucin antivirus VSAPI si se cumple cualquiera de las condiciones siguientes:

Su organizacin no ha completado la implementacin de productos de anlisis de antivirus de escritorio confiables y exhaustivos.

Su organizacin desea la proteccin adicional que puede conseguir con el anlisis de bases de datos de buzones de correo.

Su organizacin ha desarrollado aplicaciones personalizadas con acceso programtico a una base de datos de Exchange.

La comunidad de usuarios publica habitualmente mensajes en carpetas pblicas.

Las soluciones antivirus que utilizan VSAPI de Exchange se ejecutan directamente en el proceso de almacenamiento de informacin de Exchange. Lassoluciones VSAPI son probablemente las nicas soluciones capaces de proteger contra vectores de ataque que introduzcan contenido infectado en elalmacn de informacin de Exchange a la vez que omiten el anlisis estndar de cliente y transporte. Por ejemplo, VSAPI es la nica solucin que analiza lainformacin enviada a la base de datos por objetos para colaboracin de datos (CDO), WebDAV y los servicios Web Exchange. Adems, cuando se produceun ataque de virus, una solucin VSAPI suele ofrecer la manera ms rpida de quitar y eliminar los virus de una base de datos de correo infectada.

Exchange Server y antivirus del sistema de archivos

Si implementa software antivirus para proteger los servidores de Exchange, tenga en cuenta los puntos siguientes:

Debe excluir de la deteccin antivirus del sistema los directorios del servidor de Exchange en los que se almacenan las bases de datos de carpetaspblicas y buzones de correo de Exchange. Para obtener ms informacin, consulte Anlisis de antivirus de archivos en Exchange 2010.

Los detectores antivirus del sistema de archivos solo protegen archivos. Para proteger mensajes de correo electrnico, es conveniente implementarproductos de seguridad de mensajera o antivirus que estn relacionados con Exchange, por ejemplo MicrosoftForefront, u otros productos deasociados o de terceros. Para obtener ms informacin sobre la proteccin antivirus y contra correo no deseado, consulte Descripcin de lafuncionalidad contra correo no deseado y antivirus. Para obtener ms informacin, consulte Forefront Protection 2010 para Exchange Server:informacin general (posiblemente en ingls).

Para disponer de una proteccin eficaz, debe mantener al da las firmas de correo no deseado y los antivirus.

Los informes de los antivirus y el software o los servicios contra correo no deseado deben examinarse peridicamente para asegurarse de que laproteccin est habilitada y funcione como est previsto, detectar incidencias con rapidez y tomar las medidas oportunas.

Uso de Exchange Hosted Services

El filtrado de virus y correo electrnico no deseado est mejorado o tambin est disponible como servicio de MicrosoftExchange Hosted Services. ExchangeHosted Services es un conjunto de cuatro servicios hospedados:


5 de 27 25-02-2015 11:41

Hosted Filtering, que ayuda a las organizaciones a protegerse a s mismas contra el software malintencionado que circula por el correo electrnico

Hosted Archive, que ayuda a las organizaciones a satisfacer los requisitos legales de conservacin de datos

Hosted Encryption, que ayuda a las organizaciones a cifrar datos por cuestiones de confidencialidad

Hosted Continuity, que ayuda a las organizaciones a conservar el acceso al correo electrnico durante y despus de interrupciones

Estos servicios se integran con cualquier servidor de Exchange que se administre de manera interna. Para obtener ms informacin, consulte Forefront OnlineProtection para Exchange (posiblemente en ingls).

Uso del filtrado de datos adjuntos

En Exchange 2010, el filtrado de datos adjuntos permite aplicar filtros en servidores Transporte perimetral para controlar los datos adjuntos que reciben losusuarios. El filtrado de datos adjuntos es cada vez ms importante en los entornos actuales, en los que muchos de estos datos contienen virus malintencionadoso material inadecuado que pueden causar daos importantes en el equipo del usuario o en la organizacin provocando daos en documentacin importante ohaciendo pblica informacin confidencial.

Hay disponibles los siguientes tipos de filtrado de datos adjuntos para controlar los datos adjuntos que entran o salen de la organizacin a travs de un servidorTransporte perimetral:

Filtrado basado en el nombre o la extensin del archivo Se pueden filtrar los datos adjuntos especificando el nombre de archivo exacto o la extensin quese deber filtrar. Un ejemplo de nombre de archivo exacto es NombredeArchivoMalo.exe. Un ejemplo de extensin del archivo es *.exe.

Filtrado basado en el tipo de contenido MIME del archivo Tambin se pueden filtrar los datos adjuntos especificando el tipo de contenido MIME que sefiltrar. Los tipos de contenido MIME indican el tipo de datos adjuntos; si es una imagen JPEG, un archivo ejecutable, un archivo MicrosoftOfficeExcel 2010 uotro tipo de archivo. Los tipos de contenido se expresan como tipo o subtipo. Por ejemplo, el tipo de contenido de imagen JPEG se expresa como image/jpeg.

Si los datos adjuntos coinciden con uno de estos criterios de filtrado, se pueden configurar las siguientes acciones para llevar a cabo con los datos adjuntos.

Bloquear todo el mensaje y los datos adjuntos

Eliminar los datos adjuntos pero dejar pasar el mensaje

Eliminar en silencio el mensaje y los datos adjuntos

Para obtener ms informacin, consulte Descripcin del filtrado de datos adjuntos.

Nota:

El agente de filtro de datos adjuntos no puede usarse para filtrar datos adjuntos segn el contenido. Las reglas de transporte pueden usarse parainspeccionar el contenido del mensaje y los datos adjuntos, as como para ejecutar acciones como eliminar o rechazar el mensaje, o aplicar proteccin deIRM en el mensaje y los datos adjuntos. Para obtener ms informacin, consulte Descripcin de las reglas de transporte.

Filtrado de archivos con Forefront Protection para Exchange Server

La funcionalidad de filtrado de archivos proporcionada por Forefront Protection para Exchange Server incluye caractersticas avanzadas no disponibles en elagente de filtro de datos adjuntos que viene incluido en Exchange 2010.

Por ejemplo, los archivos contenedores, que son archivos que contienen otros archivos, se pueden examinar en busca de tipos de archivos infractores. El filtradode Forefront Protection para Exchange Server puede analizar los siguientes archivos contenedores y actuar en los archivos insertados:

PKZip (.zip)

GNU Zip (.gzip)

Archivos comprimidos autoextrables (.zip)

Archivos comprimidos (.zip)

Archivos Java (.jar)

TNEF (winmail.dat)

Almacenamiento estructurado (.doc, .xls, .ppt, etc.)

MIME (.eml)

SMIME (.eml)

UUEncode (.uue)

Archivo de cinta Unix (.tar)


6 de 27 25-02-2015 11:41

Archivo RAR (.rar)

MACBinary (.bin)

Nota:

El agente de filtro de datos adjuntos que se incluye con Exchange 2010 detecta los tipos de archivos, incluso si se les ha cambiado el nombre. El filtrado dedatos adjuntos comprueba adems que los archivos Zip y LZH comprimidos no contengan datos adjuntos bloqueados mediante una comparacin de lasextensiones de nombre de archivo con los archivos del archivo Zip o LZH comprimido. El filtrado de archivos de Forefront Protection para Exchange Servertiene adems la capacidad de determinar si se ha cambiado el nombre de los datos adjuntos bloqueados en un archivo contenedor.

Adems, puede filtrar los archivos por tamao. Asimismo, puede configurar Forefront Protection para Exchange Server para que ponga en cuarentena losarchivos filtrados o para que enve notificaciones de correo electrnico basadas en las coincidencias del filtro de archivos de Exchange.

Para obtener ms informacin, visite Proteger su organizacin Microsoft Exchange con Microsoft Forefront Security para Exchange Server (en ingls).

Ejecucin de Exchange Best Practices Analyzer

Exchange Best Practices Analyzer es una de las herramientas ms efectivas que puede ejecutar de manera regular para ayudarle a comprobar que su entornoExchange sea seguro. Exchange Best Practices Analyzer examina automticamente su implementacin de Microsoft Exchange y determina si la configuracin seha realizado de acuerdo con las prcticas recomendadas de Microsoft. En Exchange 2010, Exchange Best Practices Analyzer se instala como parte de laconfiguracin de Exchange y puede ejecutarse desde la seccin Herramientas de la Consola de administracin de Exchange. Con el acceso a redes apropiado,Exchange Best Practices Analyzer examina todos los servidores de Active Directory Domain Services y los servidores de Exchange. Exchange Best PracticesAnalyzer incluye comprobaciones de herencias de permisos. Tambin realiza pruebas para la validacin de permisos de RBAC. Esto incluye pruebas paraasegurar que todos los usuarios tengan acceso al Panel de control de Exchange, que todos los roles predeterminados de RBAC creados por el programa deinstalacin de Exchange estn configurados correctamente y que como mnimo haya una cuenta administrativa en la organizacin de Exchange.

Uso de los puertos de red y reforzamiento de Firewall

Windows Server 2008 incluye Firewall de Windows con Seguridad avanzada, un firewall de inspeccin de paquetes con estado habilitado de formapredeterminada. Firewall de Windows con Seguridad avanzada proporciona la funcionalidad siguiente:

Filtrado de todo el trfico IP versin 4 (IPv4) e IP versin 6 (IPv6) que entra o sale del equipo. De forma predeterminada, todo el trfico entrante estbloqueado a menos que sea la respuesta a una solicitud saliente anterior desde el equipo (trfico solicitado) o se permite de manera especfica por parte deuna regla que se ha creado para autorizar dicho trfico. Todo el trfico saliente se permite de forma predeterminada, menos en el caso de reglas dereforzamiento de servicio que impidan a los servicios estndar comunicarse de manera imprevista. Puede optar por permitir el trfico basado en nmerosde puerto, direcciones IPv4 o IPv6, el nombre y la ruta de acceso de una aplicacin, el nombre de un servicio que se ejecuta en el equipo u otros criterios.

Proteccin del trfico de red que entra o sale de ordenador mediante el protocolo IPsec para comprobar la integridad del trfico de red, autenticar laidentidad de los usuarios o equipos remitentes o destinatario, as como cifrar el trfico para proporcionar confidencialidad.

Exchange 2010 se ha diseado para ejecutarse con Firewall de Windows Server con Seguridad avanzada habilitada. El programa de instalacin de Exchange crea lascorrespondientes reglas de firewall para que los servicios y procesos de Exchange puedan comunicarse. Crea solamente las reglas que se necesitan para losservicios y procesos instalados en un determinado rol de servidor. Para obtener ms informacin sobre las reglas de uso de puertos y firewall creadas para cada rolde servidor de Exchange 2010, consulte Referencia del puerto de red de Exchange.

En Windows Server 2008 y Windows Server 2008 R2, Firewall de Windows con Seguridad avanzada permite especificar el proceso o servicio para el que se abre unpuerto. Esta opcin es ms segura porque restringe el uso del puerto al proceso o servicio especificado en la regla. El programa de instalacin de Exchange 2010crea reglas de firewall con el nombre del proceso especificado. En algunos casos, y por motivos de compatibilidad, se crea una regla adicional que no estrestringida al proceso. Puede deshabilitar o quitar las reglas que no estn restringidas a los procesos y mantener las reglas correspondientes creadas tambin porel programa de instalacin de Exchange 2010 restringidas a procesos, en el caso de que la implementacin lo admita. Las reglas que no estn restringidas aprocesos se distinguen con la palabra (GFW) en el nombre de regla. Se recomienda realizar pruebas suficientes en las reglas del entorno antes de deshabilitar lasreglas que no se restrinjan a un proceso.

En la tabla siguiente se muestran las reglas de Firewall de Windows creadas con el programa de instalacin de Exchange, con los puertos que se abren en cada rolde servidor.

Reglas de Firewall de Windows

Nombre de regla Roles de servidor Puerto

MSExchangeRPCEPMap (GFW) (TCP-In) Todos los roles RPC-EPMap

MSExchangeRPC (GFW) (TCP-In) Acceso de clientes, Transporte de concentradores, Buzn de correo, Mensajeraunificada

RPC dinmica

MSExchange - IMAP4 (GFW) (TCP-In) Acceso de clientes 143, 993 (TCP)

MSExchange - POP3 (GFW) (TCP-In) Acceso de clientes 110, 995 (TCP)


7 de 27 25-02-2015 11:41

MSExchange - OWA (GFW) (TCP-In) Acceso de clientes 5075, 5076, 5077 (TCP)

MSExchangeMailboxReplication (GFW)(TCP-In)

Acceso de clientes 808 (TCP)

MSExchangeIS (GFW) (TCP-In) Buzn de correo 6001, 6002, 6003, 6004(TCP)

MSExchangeTransportWorker (GFW) (TCP-In) Transporte de concentradores 25, 587 (TCP)

SESWorker (GFW) (TCP-In) Mensajera unificada Cualquiera

UMService (GFW) (TCP-In) Mensajera unificada 5060, 5061 (TCP)

UMWorkerProcess (GFW) (TCP-In) Mensajera unificada 5065, 5066, 5067, 5068

Importante:

Al modificar un puerto predeterminado usado por un servicio de Exchange 2010, tambin debe modificarse el correspondiente Firewall de Windows con la reglade firewall de Seguridad avanzada para permitir la comunicacin sobre el puerto no predeterminado que se decida usar. Exchange 2010 no cambia las reglas defirewall al cambiar los puertos predeterminados que se usan para un servicio.

Parmetros de limitacin y directivas de limitacin de clientes

Exchange 2010 presenta parmetros de limitacin en los roles del servidor Transporte, Acceso de clientes y Buzn de correo para controlar diferentes parmetrosde conexiones relacionadas con cada protocolo. Asimismo, Exchange 2010 incluye directivas de limitacin de clientes para controlar la carga en servidores deacceso de cliente. Estos parmetros y directivas de limitacin permiten controlar la carga y proteger los servidores de Exchange 2010 de los ataques de denegacinde servicio dirigidos a diferentes protocolos.

Parmetros de limitacin en servidores Transporte

En los servidores Transporte Exchange 2010, los parmetros de limitacin de mensajes se implementan en el servidor, as como en los conectores de envo yrecepcin para controlar velocidades de procesamiento de mensajes, velocidades de conexin SMTP y valores de tiempo de espera de sesin SMTP. Estosparmetros de limitacin en su conjunto protegen los servidores de transporte de la saturacin al tener que aceptar y distribuir una gran cantidad de mensajes;asimismo, protegen de clientes SMTP no confiables y de ataques de denegacin de servicios.

Puede configurar las directivas de limitacin siguientes en servidores Transporte de Exchange 2010 que usan el cmdlet Set-TransportServer.

Parmetros de limitacin en servidores Transporte

Parmetro Descripcin

MaxConcurrentMailboxDeliveries El parmetro MaxConcurrentMailboxDeliveries especifica el nmero mximo de subprocesos de entrega que elservidor Transporte de concentradores puede tener abiertos al mismo tiempo para entregar mensajes en buzones.El controlador de almacn del servidor Transporte de concentradores es responsable de entregar mensajes a ydesde servidores de buzones. Este lmite se aplica a la entrega de mensajes a cualquier buzn de la organizacin deExchange.

Valor predeterminado 20 entregas

MaxConcurrentMailboxSubmissions El parmetro MaxConcurrentMailboxSubmissions especifica el nmero mximo de subprocesos de entrega que elservidor Transporte de concentradores puede tener abiertos al mismo tiempo para aceptar mensajes de buzones. Elcontrolador de almacn del servidor Transporte de concentradores es responsable de entregar mensajes a y desdeservidores de buzones. Este lmite se aplica a la aceptacin de nuevos mensajes provenientes de cualquier buznde la organizacin de Exchange.

Valor predeterminado 20 envos

MaxConnectionRatePerMinute El parmetro MaxConnectionRatePerMinute especifica la velocidad mxima a la que pueden abrirse nuevasconexiones de entrada para el servidor Transporte de concentradores o el servidor Transporte perimetral. Estasconexiones se abren para todos los conectores de recepcin que existan en el servidor.

Valor predeterminado 1200 conexiones por minuto.

MaxOutboundConnections El parmetro MaxOutboundConnections especifica el nmero mximo de conexiones salientes simultneas que elservidor Transporte de concentradores o el servidor Transporte perimetral pueden tener abiertas al mismo tiempo.Las conexiones salientes se producen al utilizar los conectores de envo que existen en el servidor. El valorespecificado por el parmetro MaxOutboundConnections se aplica a todos los conectores de envo que hay en elservidor de transporte.

Valor predeterminado 1000 conexiones


8 de 27 25-02-2015 11:41

Si escribe un valor ilimitado, no se impone ningn lmite en el nmero de conexiones de salida.

Este valor tambin puede configurarse mediante la EMC.

MaxPerDomainOutboundConnections El parmetro MaxPerDomainOutboundConnections especifica el nmero mximo de conexiones que un servidorTransporte de concentradores conectado a Internet o un servidor Transporte perimetral pueden tener abiertas paracualquier dominio remoto nico. Las conexiones salientes para dominios remotos se producen al utilizar losconectores de envo que existen en el servidor.

Valor predeterminado 20 conexiones por dominio.

Si escribe un valor ilimitado, no se impone ningn lmite en el nmero de conexiones de salida por dominio.

Este valor tambin puede configurarse mediante la EMC.

PickupDirectoryMaxMessagesPerMinute El MaxPerDomainOutboundConnections parmetro especifica la velocidad de procesamiento de mensajes en losdirectorios Recogida y Reproduccin. Cada directorio puede procesar archivos de mensaje de maneraindependiente a la velocidad especificada por el parmetro PickupDirectoryMaxMessagesPerMinute. Valorpredeterminado De forma predeterminada, el directorio Recogida puede procesar 100 mensajes por minuto y eldirectorio Reproduccin puede procesar simultneamente 100 mensajes por minuto.

Los directorios Recogida y Reproduccin examinan nuevos archivos de mensaje cada 5 segundos o 12 veces porminuto. Este intervalo de sondeo de 5 segundos no se puede configurar. Esto significa que el nmero mximo demensajes que se pueden procesar durante cada intervalo de sondeo tiene el valor que se ha asignado al parmetroPickupDirectoryMaxMessagesPerMinute dividido entre 12 (PickupDirectoryMaxMessagesPerMinute/12). De formapredeterminada, solo se pueden procesar un mximo de ocho mensajes en cada intervalo de sondeo de5 segundos.

Parmetros de limitacin en conectores de envo

Los parmetros de limitacin siguientes estn disponibles en los conectores de envo. Use el cmdlet Send-Connector para configurar estos parmetros.

Parmetros de limitacin de conectores de envo

Parmetro Descripcin

ConnectionInactivityTimeOut El parmetro ConnectionInactivityTimeOut especifica el tiempo mximo que puede permanecer inactiva una conexinSMTP con un servidor de mensajera de destino antes de que se cierre la conexin.

Valor predeterminado 10 minutos.

SmtpMaxMessagesPerConnection El parmetro SmtpMaxMessagesPerConnection especifica el nmero mximo de mensajes que este servidor de conectorde envo puede enviar por conexin.

Valor predeterminado 20 mensajes

Parmetros de limitacin en conectores de recepcin

Puede configurar los parmetros de limitacin siguientes en conectores de recepcin en servidores Transporte de Exchange 2010 con el fin de controlarparmetros de conexin como los tiempos de espera de inactividad, el nmero mximo de conexiones y el nmero de errores de protocolo SMTP que sepermiten durante una conexin. Use el cmdlet Set-ReceiveConnector para configurar estor parmetros.

Parmetros de limitacin de conectores de recepcin

Parmetro Descripcin

ConnectionInactivityTimeOut El parmetro ConnectionInactivityTimeOut especifica el tiempo mximo que puede permanecer inactiva unaconexin SMTP con un servidor de mensajera de origen antes de que se cierre la conexin.

Valor predeterminado en servidores Transporte de concentradores 5 minutos.

Valor predeterminado en servidores Transporte perimetral 1 minuto.

ConnectionTimeOut El parmetro ConnectionTimeOut especifica el tiempo mximo que puede permanecer abierta una conexinSMTP con un servidor de mensajera de origen, incluso aunque el servidor de mensajera de origen esttransmitiendo datos.

Valor predeterminado en servidores Transporte de concentradores 10 minutos.

Valor predeterminado en servidores Transporte perimetral 5 minutos.

El valor especificado por el parmetro ConnectionTimeout debe ser mayor que el valor especificado por el


9 de 27 25-02-2015 11:41

parmetro ConnectionInactivityTimeout.

MaxInboundConnection El parmetro MaxInboundConnection especifica el nmero mximo de conexiones SMTP entrantes quepermite este conector de recepcin al mismo tiempo.

Valor predeterminado 5000.

MaxInboundConnectionPercentagePerSource El parmetro MaxInboundConnectionPercentagePerSource especifica el nmero mximo de conexiones SMTPque permite un conector de recepcin al mismo tiempo desde un nico servidor de mensajera de origen. Elvalor se expresa como el porcentaje de conexiones restantes disponibles en un conector de recepcin. Elnmero mximo de conexiones que permite el conector de recepcin se define con el parmetroMaxInboundConnection. Valor predeterminado 2 por ciento.

MaxInboundConnectionPerSource El parmetro MaxInboundConnectionPerSource especifica el nmero mximo de conexiones SMTP que permiteun conector de recepcin al mismo tiempo desde un nico servidor de mensajera de origen.

Valor predeterminado 100 conexiones.

MaxProtocolErrors El parmetro MaxProtocolErrors especifica el nmero mximo de errores de protocolo SMTP que un conectorde recepcin permite antes de cerrar la conexin con el servidor de mensajera de origen.

Valor predeterminado 5 errores.

Parmetros de limitacin para el servicio POP3

Los parmetros de limitacin siguientes estn disponibles para el servicio POP3 de MicrosoftExchange en los servidores de acceso de cliente. Use el cmdletSet-POPSettings para configurar estos parmetros. Para obtener ms informacin, consulte Establecer lmites de conexin para POP3.

Parmetros de limitacin del servicio POP3

Parmetro Descripcin

MaxCommandSize El parmetro MaxCommandSize especifica el tamao mximo de un nico comando. Los valores posibles van de 40 a1024 bytes.

Valor predeterminado 40 bytes.

MaxConnectonFromSingleIP El parmetro MaxConnectionFromSingleIP especifica el nmero de conexiones de una sola direccin IP que acepta elservidor especificado. Los valores admitidos van de 1 a 25 000.


MaxConnections El parmetro MaxConnections especifica el nmero total de conexiones que acepta el servidor especificado. Seincluyen en este nmero tanto las conexiones autenticadas como las que no lo estn. Los valores admitidos van de 1a 25 000.


MaxConnectionsPerUser El parmetro MaxConnectionsPerUser especifica el nmero mximo de conexiones de un usuario particular queacepta el servidor de acceso de cliente. Los valores admitidos van de 1 a 25 000.


PreAuthenticationConnectionTimeOut El parmetro PreAuthenticatedConnectionTimeout especifica el tiempo que debe transcurrir antes de cerrar unaconexin inactiva que no est autenticada. Los valores admitidos van de 10 a 3600 segundos.

Valor predeterminado 60 segundos.

Parmetros de limitacin para el servicio IMAP4

Los parmetros de limitacin siguientes estn disponibles para el servicio IMAP4 de MicrosoftExchange en los servidores de acceso de cliente. Use el cmdletSet-IMAPSettings para configurar estos parmetros. Para obtener ms informacin, consulte Establecer los lmites de conexin para IMAP4.

Parmetros de limitacin de servicios IMAP4

Parmetro Descripcin

AuthenticationConnectionTimeOut El parmetro AuthenticatedConnectionTimeout especifica el perodo de tiempo que debe transcurrir antes de cerrar


10 de 27 25-02-2015 11:41

una conexin autenticada inactiva. Los valores admitidos van de 30 a 86 400 segundos.


MaxCommandSize El parmetro MaxCommandSize especifica el tamao mximo de un nico comando. El tamao predeterminado es de40 bytes. Los valores posibles van de 40 a 1024 bytes.

Valor predeterminado 40 bytes.

MaxConnectionFromSingleIP El parmetro MaxConnectionFromSingleIP especifica el nmero de conexiones de una sola direccin IP que acepta elservidor especificado. Los valores admitidos van de 1 a 25 000.


MaxConnections El parmetro MaxConnections especifica el nmero total de conexiones que acepta el servidor especificado. Seincluyen en este nmero tanto las conexiones autenticadas como las que no lo estn. Los valores admitidos van de 1a 25 000.


MaxConnectionsPerUser El parmetro MaxConnectionsPerUser especifica el nmero mximo de conexiones de un usuario particular que aceptael servidor de acceso de cliente. Los valores admitidos van de 1 a 25 000.


PreAuthenticatedConnectionTimeOut El parmetro PreAuthenticatedConnectionTimeout especifica el tiempo que debe transcurrir antes de cerrar unaconexin inactiva que no est autenticada. Los valores admitidos van de 10 a 3600 segundos.


Directivas de limitacin de clientes

En Exchange 2010, puede usar las directivas de limitacin de clientes para administrar el rendimiento del servidor de acceso de cliente controlando parmetroscomo la cantidad de conexiones simultneas para cada protocolo de acceso de cliente, el porcentaje de tiempo que una sesin de cliente puede usar paraejecutar operaciones LDAP, operaciones RPC y operaciones de acceso de cliente. Existe una directiva de limitacin predeterminada de clientes que, en general,es suficiente para controlar la carga que soportan los servidores de acceso de cliente. Los parmetros de la directiva predeterminada pueden modificarse, ascomo crear directivas personalizadas que se adecuen a los requisitos de cada implementacin.

Los siguientes grupos de usuarios y mtodos de acceso disponen de las directivas de limitacin siguientes:

Acceso annimo

Acceso entre sitios (CPA)

Exchange ActiveSync (EAS)

Servicios Web Exchange (EWS)

IMAP

POP

Outlook Web App (OWA)

Acceso de cliente RPC (RCA)

Las configuraciones de limitacin siguientes estn disponibles en directivas de limitacin de clientes para cada uno de estos grupos de usuarios (accesoannimo y CPA) y mtodos de acceso (EAS, EWS, IMAP, OWA, POP y RCA).

Configuracin directivas de limitacin de clientes

Configuracin de limitacin Acceso annimo CPA EAS EWS IMAP OWA POP RCA

Simultaneidad mxima S S S S S S S S

Porcentaje de tiempo en AD S N A S S S S S S

Porcentaje de tiempo en CAS S S S S S S S S

Porcentaje de tiempo en RPC de buzones S S S S S S S S

CPA Acceso entre sitios

EAS Exchange ActiveSync


11 de 27 25-02-2015 11:41

EWS Servicios Web Exchange

OWA Outlook Web App

Adems de esta configuracin de limitacin a partir de grupos de usuarios y mtodos de acceso, en una directiva de limitacin de clientes puede haber lasconfiguraciones de limitacin siguientes.

Parmetros de directivas de limitacin de clientes

Parmetro Descripcin

CPUStartPercent El parmetro CPUStartPercent especifica el porcentaje de CPU por proceso en el que se comienza a interrumpir a losusuarios regidos por esta directiva. Los valores vlidos van de 0 a 100. Utilice $null para desactivar la limitacin basadaen el porcentaje de la CPU para esta directiva.

EASMaxDeviceDeletesPerMonth El parmetro EASMaxDeviceDeletesPerMonth especifica un lmite al nmero de asociaciones de ExchangeActiveSync que puede eliminar un usuario cada mes. De forma predeterminada, los usuarios pueden eliminar unmximo de 20 asociaciones cada mes natural. Cuando se alcanza el lmite, el intento de eliminacin de asociacingenera un error y se muestra un mensaje de error.

EASMaxDevices El parmetro EASMaxDevices especifica un lmite al nmero de asociaciones de Exchange ActiveSync que puede eliminarun usuario de forma simultnea. De forma predeterminada, cada usuario puede crear 10 asociaciones de ExchangeActiveSync con su cuenta de Exchange. Despus de que un usuario supere el lmite, debe eliminar una de susasociaciones existentes antes de poder crear otra asociacin nueva. Cuando se sobrepase el lmite, el usuario recibe unmensaje de correo electrnico de error que describe la limitacin. Adems, se registra un evento en el registro deaplicacin cuando un usuario supera el lmite.

EWSFastSearchTimeOutInSeconds El parmetro EWSFastSearchTimeoutInSeconds especifica la cantidad de tiempo durante el cual las bsquedasefectuadas mediante los servicios Web Exchange continan antes de que termine el tiempo de espera. Si la bsquedatarda ms tiempo del indicado por el valor de la directiva, la bsqueda se detiene y se devuelve un error. El valorpredeterminado de esta configuracin es de 60 segundos.

EWSFindCountLimit El parmetro EWSFindCountLimit especifica el tamao mximo del resultado de las llamadas de FindItem o FindFolderque puedan existir en la memoria en el servidor de acceso de cliente al mismo tiempo para este usuario en el procesoactual. Si se intenta encontrar ms elementos o carpetas de los que permite el lmite de la directiva, se genera un error.Sin embargo, el lmite no se aplica de forma estricta si se hace la llamada en el contexto de una vista de pgina conndice. Concretamente, en esta situacin, los resultados de bsqueda quedan truncados para incluir el nmero deelementos y carpetas que se ajustan al lmite de la directiva. Despus puede continuar hojeando los resultadosestablecidos mediante las llamadas de FindItem o FindFolder.

EWSMaxSubscriptions El parmetro EWSMaxSubscriptions especifica el nmero mximo de suscripciones de insercin y de extraccin activasque puede tener un usuario en un servidor de acceso de cliente especfico al mismo tiempo. Si un usuario intenta crearms suscripciones que el mximo configurado, la suscripcin no es vlida y se registra un evento en el Visor de eventos.

ExchangeMaxCmdlets El parmetro ExchangeMaxCmdlets especifica el nmero de cmdlets que se pueden ejecutar en un perodo de tiempoespecfico antes de que su ejecucin se ralentice. El valor especificado por este parmetro debe ser inferior al valorespecificado por el PowerShellMaxCmdlets parameter.

El perodo de tiempo que se usa para este lmite se especifica mediante el parmetro PowerShellMaxCmdletsTimePeriod.Se recomienda establecer valores para ambos parmetros al mismo tiempo.

ForwardeeLimit El parmetro ForwardeeLimit especifica los lmites para el nmero de destinatarios que se pueden configurar en Reglasde Bandeja de entrada al usar la accin de reenviar o redirigir. Este parmetro no limita el nmero de mensajes que sepueden reenviar o redirigir a los destinatarios que estn configurados.

MessageRateLimit El parmetro MessageRateLimit especifica el nmero de mensajes por minuto que se pueden enviar al transporte.Respecto a los mensajes enviados a travs del rol de servidor Buzn de correo (Outlook Web App, Exchange ActiveSynco servicios Web Exchange), los mensajes se aplazan hasta que la cuota del usuario est disponible. Ms concretamente,los mensajes aparecen en la carpeta Buzn de salida o Borrador durante largos perodos de tiempo cuando los usuariosenvan mensajes a un ritmo superior al del parmetro MessageRateLimit.

En el caso de los clientes POP o IMAP que envan mensajes directamente al transporte mediante SMTP, los clientesreciben un error transitorio si efectan envos a una velocidad que supera el parmetro MessageRateLimit. Exchangeintenta conectarse y enviar los mensajes posteriormente.

PowerShellMaxCmdletQueueDepth El parmetro PowerShellMaxCmdletQueueDepth especifica el nmero de operaciones permitidas que el usuario puedeejecutar. Este valor afecta directamente al comportamiento de los parmetros PowerShellMaxCmdlets yPowerShellMaxConcurrency. Por ejemplo, el parmetro PowerShellMaxConcurrency consume al menos dos operacionesdefinidas por el parmetro PowerShellMaxCmdletQueueDepth, pero las operaciones adicionales tambin se consumensegn la ejecucin de cmdlet. El nmero de operaciones depende de los cmdlets que se ejecutan. Se recomienda que elvalor del parmetro PowerShellMaxCmdletQueueDepth sea al menos tres veces superior al valor del parmetroPowerShellMaxConcurrency parameter. Este parmetro no afectar a las operaciones del Panel de control de Exchangeni a las operaciones de los servicios Web Exchange.

PowerShellMaxCmdlets El parmetro PowerShellMaxCmdlets especifica el nmero de cmdlets que se pueden ejecutar en un perodo de tiempoespecfico antes de que su ejecucin se detenga. El valor especificado por este parmetro debe ser superior al valorespecificado por el parmetro ExchangeMaxCmdlets. El perodo de tiempo que se usa para este lmite se especificamediante el parmetro PowerShellMaxCmdletsTimePeriod. Ambos valores se deben establecer al mismo tiempo.


12 de 27 25-02-2015 11:41

PowerShellMaxCmdletsTimePeriod El parmetro PowerShellMaxCmdletsTimePeriod especifica el perodo de tiempo, en segundos, que la directiva delimitacin usa para determinar si el nmero de cmdlets que se estn ejecutando supera los lmites especificados por losparmetros PowerShellMaxCmdlets y ExchangeMaxCmdlets.

PowerShellMaxConcurrency El parmetro PowerShellMaxConcurrency especifica informacin diferente segn el contexto:

En el contexto de PowerShell remoto, el parmetro PowerShellMaxConcurrency especifica el nmero mximo desesiones de PowerShell remoto que un usuario de PowerShell remoto puede tener abiertas al mismo tiempo.

En el contexto de los servicios Web Exchange, el parmetro PowerShellMaxConcurrency especifica el nmero deejecuciones simultneas de cmdlet que un usuario puede tener al mismo tiempo.

El valor de este parmetro no se relaciona necesariamente con el nmero de navegadores abiertos por el usuario.

RecipientRateLimit El parmetro RecipientRateLimit especifica los lmites en el nmero de destinatarios que un usuario puede tratar en unperodo de 24 horas.

Para obtener ms informacin sobre directivas de limitacin de Exchange 2010, consulte Descripcin de las directivas de limitacin de peticiones de clientes.

Control de acceso basado en roles

El control de acceso basado en roles o RBAC es el nuevo modelo de permisos de Exchange 2010 con el que se controla, de forma general y particular, lo quepueden hacer administradores y usuarios. Con RBAC ya no es necesario modificar las listas de control de acceso en los objetos Active Directory como las unidadesorganizativas y los contenedores para posibilitar la delegacin individual de permisos a grupos como los operadores del departamento de soporte tcnico o parafunciones como la administracin de destinatarios. Active Directory

Para obtener ms informacin, consulte Descripcin del control de acceso basado en funciones. Si desea obtener una lista de los roles de administracinpredeterminados de RBAC que se incluyen en Exchange 2010, consulte Funciones integradas de administracin. Para obtener una lista de los grupos de rolespredeterminados, consulte Grupos de funciones integradas.

Los grupos de roles creados por el programa de instalacin de Exchange 2010 o por usted se crean en Active Directory como grupos de seguridad universal en lasunidades organizativas de grupos de seguridad de MicrosoftExchange. Puede agregar miembros a un grupo de roles mediante el cmdletNew-RoleGroupMember o mediante el Panel de control de Exchange. Al agregar un miembro a un grupo de roles, el usuario o el grupo se incorporan alcorrespondiente grupo de seguridad de Active Directory. Puede usar una directiva de grupo restringido para restringir la pertenencia a grupos de roles de RBACimportantes, por ejemplo Administracin de deteccin. Al implementar una directiva de grupo restringido, los controladores de dominio de Active Directorysupervisan la pertenencia al grupo y los usuarios no incluidos en la directiva se quitan automticamente.

Importante:

Si se usan los grupos restringidos para restringir la pertenencia a grupo para grupos de roles de RBAC, los cambios que se efecten en un grupo de rolesmediante las herramientas de Exchange 2010 deben aplicarse tambin a la directiva de grupo restringido en Active Directory. Para obtener ms informacin,consulte Configuracin de la seguridad de las directivas de grupo (en ingls).

Active Directory

Exchange Server almacena datos de configuracin en la particin de configuracin y datos de destinatarios en la particin de dominio de Active Directory DomainServices. Para obtener ms informacin sobre los permisos que se necesitan para configurar una organizacin de Exchange 2010, consulte Referencia de permisosde implementacin de Exchange 2010. La comunicacin con los controladores de dominios de Active Directory se asegura mediante la autenticacin y el cifrado deKerberos.

Exchange 2010 proporciona un nuevo nivel de autorizacin de Exchange, denominado control de acceso basado en roles (RBAC), en lugar de solicitar entradas decontrol de acceso (ACE) para cada cuenta que precise los correspondientes permisos. En versiones anteriores de Microsoft Exchange, el programa de instalacin deExchange se basaba en las ACE en Active Directory para que los administradores de Exchange pudieran administrar objetos en la particin de dominio. Losadministradores de Exchange tienen la capacidad de realizar determinadas operaciones en un determinado mbito mediante RBAC. El servidor de Exchangeejecuta las acciones autorizadas en nombre del administrador o los usuarios mediante los permisos concedidos en Active Directory mediante los grupos deseguridad Permisos de ExchangeWindows y Subsistemas de confianza de Exchange. Para obtener ms informacin acerca de RBAC, consulte Descripcin delcontrol de acceso basado en funciones.

En Exchange 2010, /PrepapareDomain no solicita las ACE para el grupo de seguridad universal Permisos de ExchangeWindows del contenedor AdminSDHolder enActive Directory. Si /PrepareDomain detecta que hay ACE concedidas al grupo de seguridad universal Permisos de ExchangeWindows, las ACE se quitan. Esto tienelas repercusiones siguientes:

Los miembros del grupo de seguridad universal Permisos de ExchangeWindows no pueden modificar la pertenencia al grupo de los grupos de seguridadprotegidos como Administradores de empresa y Administradores de dominio. Esto tiene las repercusiones siguientes:

Los miembros del grupo de seguridad universal Permisos de ExchangeWindows no pueden forzar el restablecimiento de contrasea de una cuenta que estprotegida por AdminSDHolder.

Los miembros del grupo de seguridad universal Permisos de ExchangeWindows no pueden alterar los permisos de ningn grupo ni cuenta que estnprotegidos por AdminSDHolder.

Se recomienda no habilitar para buzn las cuentas protegidas por AdminSDHolder y mantener cuentas independientes para los administradores de Active


13 de 27 25-02-2015 11:41

Directory: una cuenta para administracin de Active Directory, y otra para el uso cotidiano normal, incluido el correo electrnico. Para obtener ms informacin,consulte los siguientes temas:

Descripcin y actualizacin del objeto AdminSDHolder de Active Directory

Exchange 2010 y resolucin del problema de elevacin de AdminSDHolder (posiblemente en ingls)

Cuentas de servidores de Exchange

El programa de instalacin de Exchange 2010 crea una nueva unidad organizativa en el dominio raz denominada Grupos de seguridad de MicrosoftExchange. Enla tabla siguiente se muestran los nuevos grupos de seguridad universal.

Grupos de seguridad de Microsoft Exchange

Grupo de seguridad Descripcin

Exchange All HostedOrganizations

Este grupo contiene todos los grupos de buzones de correo de la organizacin hospedados de Exchange. Se usa para aplicarobjetos de configuracin de contrasea a todos los buzones de correo hospedados. Este grupo no debe eliminarse.

Servidores de Exchange Esto incluye todos los servidores de Exchange. Este grupo no debe eliminarse. Se recomienda encarecidamente abstenerse derealizar cambios de pertenencia a grupo en este grupo.

Subsistema de confianzade Exchange

Este grupo contiene servidores de Exchange que ejecutan cmdlets de Exchange en nombre de los usuarios mediante un serviciode administracin. Sus miembros tendrn permiso para leer y modificar toda la configuracin de Exchange, adems de los gruposy las cuentas de usuario. Este grupo no debe eliminarse.

Exchange Permisos deWindows

Este grupo contiene servidores de Exchange que ejecutan cmdlets de Exchange en nombre de los usuarios mediante un serviciode administracin. Sus miembros tendrn permiso para leer y modificar todos los grupos y las cuentas de Windows. Este grupono debe eliminarse. Se recomienda encarecidamente abstenerse de realizar cambios de pertenencia a grupo en este grupo;asimismo, se recomienda supervisar la pertenencia a grupos.

ExchangeLegacyInterop Este grupo sirve para interoperar con servidores de Exchange 2003 en el mismo bosque. Este grupo no debe eliminarse.

Adems de estos grupos de seguridad, el programa de instalacin crea los grupos de seguridad siguientes, que corresponden a grupos de roles de RBAC con elmismo nombre.

Grupos de seguridad que corresponden a grupos de roles de RBAC

Grupo de seguridad Grupo de roles de RBAC

Configuracin delegada Configuracin delegada

Administracin de deteccin Administracin de la deteccin

Help Desk Servicio de asistencia

Administracin de higiene Administracin de higiene

Administracin de la organizacin Administracin de organizaciones

Administracin de carpetas pblicas Administracin de carpetas pblicas

Administracin de destinatarios Administracin de destinatarios

Administracin de registros Administracin de registros

Administracin de servidor Administracin de servidor

Administracin de mensajera unificada Administracin de MU

View-Only Organization Management Administracin de organizaciones con permiso de vista

Asimismo, al crear un grupo de roles, Exchange 2010 crea un grupo de seguridad con el mismo nombre que el grupo de roles. Para obtener ms informacin,consulte los siguientes temas:

Grupos de funciones integradas

Crear un grupo de funciones

Los usuarios se agregan o quitan de estos grupos de seguridad cuando se agregan o quitan usuarios de grupos de roles mediante los cmdlets


14 de 27 25-02-2015 11:41

Add-RoleGroupMember o Remove-RoleGroupMember, o bien con el Editor de usuarios de control de acceso basado en roles (RBAC) en el Panel de controlde Exchange.

Sistema de archivos

El programa de instalacin de Exchange 2010 crea directorios con los permisos mnimos para que Exchange 2010 pueda funcionar. No se recomienda reforzar lospermisos en las listas de control de acceso de los directorios creados por el programa de instalacin.

Servicios

El programa de instalacin de Exchange 2010 no deshabilita de forma predeterminada ningn servicio de Windows. En la tabla siguiente aparecen los servicios queestn habilitados de forma predeterminada en cada rol de servidor. De forma predeterminada, solo estn habilitados los servicios necesarios para que funcione undeterminado rol de servidor de Exchange 2010.

Servicios instalados por el programa de instalacin de Exchange

Nombre del

servicioNombre corto del servicio

Contexto

de

seguridad

Descripcin y dependenciasTipo de inicio

predeterminado

Roles de

servidor

Necesario

(R) u

opcional

(O)

MicrosoftExchangeTopologa deActiveDirectory

MSExchangeADTopology Sistemalocal

Proporciona informacin detopologa de Active Directory a losservicios de Exchange. Si elservicio se detiene, la mayor partede los servicios de Exchange nopodr iniciarse. Este servicio notiene dependencias.

Automtico Buzn de correo,Transporte deconcentradores,Acceso declientes,Mensajeraunificada

R

ADAM deMicrosoftExchange

ADAM_MSExchange Servicio dered

Almacena datos de configuraciny datos de destinatarios en elservidor Transporte perimetral.Este servicio representa lainstancia con nombre de ActiveDirectory Lightweight DirectoryService (AD LDS) que creaautomticamente el programa deinstalacin durante la instalacindel servidor Transporte perimetral.Este servicio depende del servicioSistema de evento COM+.

Automtico Transporteperimetral

R

Libreta dedirecciones deMicrosoftExchange

MSExchangeAB Sistemalocal

Administra las conexiones delibretas de direcciones de clientes.Este servicio depende del serviciode topologa de MicrosoftExchange Active Directory.

Automtico Acceso declientes

R

Actualizacincontra correoelectrnico nodeseado deMicrosoftExchange

MSExchangeAntispamUpdate Sistemalocal

Proporciona MicrosoftForefrontProtection 2010 para el servicio deactualizacin de correoelectrnico no deseado deExchange Server. En servidoresTransporte de concentradores,este servicio depende del serviciode topologa de MicrosoftExchange Active Directory. En losservidores Transporte perimetral,este servicio depende del servicioADAM de Microsoft Exchange.

Automtico Transporte deconcentradores,Transporteperimetral

O

Servicio decredenciales deMicrosoftExchange

MSExchangeEdgeCredential Sistemalocal

Supervisa los cambios decredenciales en AD LDS e instalalos cambios en el servidorTransporte perimetral. Esteservicio depende del servicioADAM de Microsoft Exchange.

Automtico Transporteperimetral

R

EdgeSync deMicrosoftExchange

MSExchangeEdgeSync Sistemalocal

Se conecta a una instancia de ADLDS en los servidores Transporteperimetral suscritos mediante uncanal LDAP seguro parasincronizar datos entre un servidorTransporte de concentradores y

Automtico Transporte deconcentradores

O


15 de 27 25-02-2015 11:41

un servidor Transporte perimetral.Este servicio depende del serviciode topologa de MicrosoftExchange Active Directory. Esteservicio se podr deshabilitar si nohay suscripciones perimetralesconfiguradas.

Distribucin dearchivos deMicrosoftExchange

MSExchangeFDS Sistemalocal

Distribuye libretas de direccionessin conexin (OAB) y avisospersonalizados de mensajeraunificada. Este servicio dependede los servicios de topologa yestacin de trabajo de MicrosoftExchangeActive Directory.

Automtico Acceso de cliente,Mensajeraunificada

R

Autenticacinbasada enformularios deMicrosoftExchange

MSExchangeFBA Sistemalocal

Proporciona autenticacin basadaen formularios a Outlook WebApp y al Panel de control deExchange. Si se detiene esteservicio, Outlook Web App y elPanel de control de Exchange noautenticarn a los usuarios. Esteservicio no tiene dependencias.


R

IMAP4 deMicrosoftExchange

MSExchangeIMAP4 Servicio dered

Proporciona servicios IMAP4 aclientes. Si se detiene esteservicio, los clientes no podrnconectarse a este equipomediante el protocolo IMAP4. Esteservicio depende del servicio detopologa de MicrosoftExchange Active Directory.

Manual Acceso declientes

O

Almacn deinformacin deMicrosoftExchange

MSExchangeIS Sistemalocal

Administra el Almacn deinformacin de Exchange. Incluyebases de datos de buzones decorreo y de carpetas pblicas. Sise detiene este servicio, noestarn disponibles las bases dedatos de buzones de correo y decarpetas pblicas en este equipo.Si se deshabilita este servicio, nose podrn iniciar los servicios quedependan explcitamente de l.Este servicio depende de losservicios RPC, Servidor, Registrode eventos de Windows y Estacinde trabajo.

Automtico Buzn de correo R

Servicio deentrega decorreo deMicrosoftExchange

MSExchangeMailSubmission Sistemalocal

Enva mensajes de un servidor debuzones de correo a un servidorTransporte de concentradores deExchange 2010. Este serviciodepende del servicio de topologade Microsoft Exchange ActiveDirectory.


Asistentes debuzn deMicrosoftExchange

MSExchangeMailboxAssistants Sistemalocal

Realiza el procesamiento ensegundo plano de los buzones enel almacn de Exchange. Esteservicio depende del servicio detopologa de MicrosoftExchange Active Directory.


Servicio dereplicacin debuzones deMicrosoftExchange

MSExchangeMailboxReplication Sistemalocal

Procesa los movimientos debuzn y las solicitudes demovimiento. Este serviciodepende del servicio de topologay del servicio de uso compartidode puertos Net.Tcp de MicrosoftExchange Active Directory.


O

Supervisin deMicrosoftExchange

MSExchangeMonitoring Sistemalocal

Permite que las aplicacionesllamen a los cmdlets dediagnstico de Exchange. Esteservicio no tiene dependencias.

Manual Todos O


16 de 27 25-02-2015 11:41

MicrosoftExchange POP3

MSExchangePOP3 Servicio dered

Proporciona el servicio POP3 aclientes. Si se detiene esteservicio, los clientes no podrnconectarse a este equipomediante el protocolo POP3. Esteservicio depende del servicio detopologa de MicrosoftExchange Active Directory.

Manual Acceso declientes

O

MicrosoftExchangeProtectedService Host

MSExchangeProtectedServiceHost Sistemalocal

Proporciona un host para variosservicios de Exchange que debenprotegerse de otros servicios. Esteservicio depende del servicio detopologa de MicrosoftExchange Active Directory.

Automtico Transporte deconcentradores,Acceso declientes

R

Servicio dereplicacin deMicrosoftExchange

MSExchangeRepl Sistemalocal

Proporciona funciones dereplicacin para bases de datos debuzones de correo que estn enservidores Buzones de correo deun grupo de disponibilidad debase de datos (DAG). Este serviciodepende del servicio de topologade Microsoft Exchange ActiveDirectory.

Automtico Buzn de correo O

Acceso decliente RPC deMicrosoftExchange

MSExchangeRPC Servicio dered

Administra las conexiones RPCcliente de Exchange. Este serviciodepende del servicio de topologade Microsoft Exchange ActiveDirectory.

Automtico Buzn de correo,Acceso declientes

O (Buznde correo),R (Accesodeclientes)

Indizador debsqueda deMicrosoftExchange

MSExchangeSearch Sistemalocal

Dirige la indizacin del contenidodel buzn, lo cual mejora elrendimiento de la bsqueda decontenido. Este servicio dependede los servicios de topologaMicrosoft ExchangeActiveDirectory y bsqueda deMicrosoft (Exchange Server).

Automtico Buzn de correo O

Extensin deMicrosoftExchangeServer paraCopias deseguridad deWindowsServer

WSBExchange Sistemalocal

Permite a los usuarios de Copiasde seguridad de Windows Serverrealizar copias de seguridad de losdatos de Microsoft Exchange yrecuperarlos. Este servicio no tienedependencias.

Manual Buzn de correo O

Host deservicio deMicrosoftExchange

MSExchangeServiceHost Sistemalocal

Proporciona un host para variosservicios de Exchange. En roles deservidor internos, este serviciodepende del servicio de topologade Microsoft Exchange ActiveDirectory. En los servidoresTransporte perimetral, esteservicio depende del servicioADAM de Microsoft Exchange.

Automtico Todos R

Motor de vozde MicrosoftExchange

MSSpeechService Servicio dered

Proporciona servicios deprocesamiento de voz paramensajera unificada. Este serviciodepende del servicio Instrumentalde administracin (WMI) deWindows.

Automtico Mensajeraunificada

R

Operador desistema deMicrosoftExchange

MSExchangeSA Sistemalocal

Reenva bsquedas en directorio aun servidor de catlogo globalpara clientes de Outlookheredado, genera direcciones decorreo electrnico y libretas dedirecciones sin conexin, actualizala informacin de disponibilidadde clientes heredados y mantienelos permisos y las pertenencias agrupos del servidor. Si sedeshabilita este servicio, no se



17 de 27 25-02-2015 11:41

podrn iniciar los servicios quedependan explcitamente de l.Este servicio depende de losservicios RPC, Servidor, Registrode eventos de Windows y Estacinde trabajo.

Limitacin depeticiones deMicrosoftExchange

MSExchangeThrottling Servicio dered

Limita la tasa de operaciones deusuario. Este servicio depende delservicio de topologa de MicrosoftExchange Active Directory.


Transporte deMicrosoftExchange

MSExchangeTransport Servicio dered

Proporciona un servidor SMTP yuna pila de transporte. Enservidores Transporte deconcentradores, este serviciodepende del servicio de topologade Microsoft Exchange ActiveDirectory. En los servidoresTransporte perimetral, esteservicio depende del servicioADAM de Microsoft Exchange.

Automtico Transporte deconcentradores,Transporteperimetral

R

Bsqueda deregistro detransporteMicrosoftExchange

MSExchangeTransportLogSearch Sistemalocal

Proporciona la capacidad debsqueda remota para losarchivos de registro de transportede Microsoft Exchange. Enservidores Transporte deconcentradores, este serviciodepende del servicio de topologade Microsoft Exchange ActiveDirectory. En los servidoresTransporte perimetral, esteservicio depende del servicioADAM de Microsoft Exchange.

Automtico Transporte deconcentradores,Buzn de correo,Transporteperimetral

O

Mensajeraunificada deMicrosoftExchange

MSExchangeUM Sistemalocal

Habilita caractersticas demensajera unificada de MicrosoftExchange. Esto permite que losmensajes de voz y fax sealmacenen en Exchange yproporciona a los usuarios accesotelefnico a correo electrnico,correo de voz, calendario,contactos u operadoresautomticos. Si se detiene esteservicio, la mensajera unificadano estar disponible. Este serviciodepende del servicio de topologade Microsoft ExchangeActiveDirectory y del servicio de motorde voz de Microsoft Exchange.

Automtico Mensajeraunificada

R

Bsqueda deMicrosoft(ExchangeServer)

msftesql-Exchange Sistemalocal

Es una versin personalizada paraMicrosoft Exchange de Bsquedade Microsoft. Este serviciodepende del servicio RPC.

Manual Transporte deconcentradores,Buzn de correo

O

Certificados

El programa de instalacin de Exchange 2010 crea certificados autofirmados para asegurar las comunicaciones entre distintos protocolos, por ejemplo HTTP, SMTP,POP3 e IMAP4. Los certificados autofirmados creados por el programa de instalacin tienen una validez de cinco aos. De este modo, no hace falta renovar loscertificados autofirmados durante una parte considerable de una implementacin de Exchange 2010 y la expiracin de los certificados autofirmados no afecta a losservicios de mensajera.

En el caso de los protocolos y mecanismos de acceso de clientes externos, por ejemplo Outlook Web App, POP3, IMAP4, Outlook Anywhere y Deteccinautomtica, se recomienda lo siguiente:

Usar certificados firmados por una entidad de certificacin comercial de confianza entre los clientes que tienen acceso a esos servicios.

Usar el nuevo Asistente para certificados de Exchange o el cmdlet New-ExchangeCertificate para crear solicitudes de firma para entidades de certificacincomerciales. Las solicitudes de certificado que se generan con estas herramientas aseguran que se cumplan todos los requisitos de certificado de Exchange.

Tenga en cuenta los requisitos de certificado en cada protocolo o servicio para el que desea permitir el acceso de clientes externos.

En los servidores de acceso de clientes, los certificados se usan para proteger el trfico de HTTP (Outlook Anywhere, Outlook Web App,


18 de 27 25-02-2015 11:41

AutoDiscover, Exchange ActiveSync y servicios Web Exchange) mediante Capa de sockets seguros (SLL), y el trfico de POP3 e IMAP4 mediante SSL oSeguridad de la capa de transporte (TLS). Para obtener ms informacin, consulte Administrar SSL para un servidor de Acceso de cliente.

En el caso de los servidores Transporte, los certificados se usan para proteger el trfico de SMTP mediante TLS. Para obtener ms informacin,consulte Descripcin de los certificados TLS.

En el caso de los servidores Mensajera unificada, los certificados se usan para proteger el trfico de voz sobre IP (VoIP). Para obtener msinformacin, consulte Descripcin de la seguridad de la mensajera unificada VoIP.

Por lo que respecta a la federacin, los certificados se usan para cifrar tokens de SAML que se intercambian con Microsoft Federation Gateway y conorganizaciones de asociados federadas. Para obtener ms informacin, consulte Descripcin de la federacin.

Supervise las fechas de vigencia de los certificados y renueve los certificados con las entidades de certificacin en el momento oportuno para prevenir lainterrupcin de los servicios.

Cuando almacene certificados exportados con la clave privada asociada, proteja el archivo exportado mediante los oportunos controles de acceso en lacarpeta o el archivo donde se vaya a guardar. Segn los requisitos que tenga la organizacin, considere la posibilidad de habilitar la auditora del acceso dearchivos en las carpetas donde se almacenan los archivos de certificado con claves privadas.

Consideraciones sobre NTLM

El protocolo NTLM es notablemente menos seguro que el protocolo Kerberos. En Exchange 2010, los protocolos POP3 e IMAP4 no admiten autenticacin NTLM siSecureLogin se especifica como LoginType. Para obtener ms informacin, consulte Configuracin de la autenticacin para POP3 e IMAP4. Los serviciosExchange 2010 que usan Autenticacin integrada de Windows pueden usar los protocolos NTLM y Kerberos. Kerberos se usa para la comunicacin de servidor deacceso de cliente con un servidor de buzones de correo de Exchange 2010, as como entre servidores de acceso de clientes para Outlook Web App, ExchangeActiveSync y servicios Web Exchange. Para obtener ms informacin sobre los servicios que usan NTLM para autenticar, consulte Referencia del puerto de red deExchange.

Autenticacin de doble factor

Los mecanismos de autenticacin de doble factor usan otra autenticacin adems de las credenciales de inicio de sesin de usuario (nombre de usuario ycontrasea), por ejemplo tokens generados de forma aleatoria o un certificado digital en una SmartCard junto con un PIN. Muchas organizaciones implementan laautenticacin de doble factor para posibilitar un acceso seguro a la red de la organizacin.

Exchange 2010 no incluye soporte nativo para autenticacin de doble factor. Exchange 2010 usa Internet Information Server (IIS) 7 para el acceso de clientes atravs de HTTP (Deteccin automtica, Outlook Web App, Outlook Anywhere, Exchange ActiveSync y servicios Web Exchange). Los asociados y terceros disponende numerosos productos de autenticacin de doble factor que se integran con IIS y que funcionan con servicios de acceso de clientes de Exchange como OutlookWeb App. Antes de implementar productos de autenticacin de doble factor para servicios de Exchange, se recomienda probarlos adecuadamente para asegurarsede que cumplan los requisitos de seguridad de la organizacin y de que proporcionen la funcionalidad que se necesita.

Federacin

Exchange 2010 incorpora nuevas caractersticas de federacin que permiten la colaboracin segura entre organizaciones federadas de Exchange. Lasorganizaciones de Exchange 2010 pueden crear una confianza de federacin con Microsoft Federation Gateway y establecer relaciones de organizacin con otrasorganizaciones federadas para compartir calendarios e informacin de disponibilidad. Mediante las directivas de uso compartido, las organizaciones tambinpueden permitir que los usuarios compartan su informacin sobre disponibilidad, el calendario o los contactos con usuarios de organizaciones externas federadas.Para obtener ms informacin sobre confianzas de generacin y el uso compartido federado, consulte Descripcin de la federacin y Descripcin de la delegacinfederada.

Despus de establecer una confianza de federacin con MFG, el uso compartido entre dos organizaciones federadas no tiene lugar a menos que se cree unarelacin organizativa. Ahora bien, de forma predeterminada el uso compartido entre los usuarios de la organizacin y los de organizaciones externas federadas sehabilita mediante la directiva predeterminada de uso compartido asignada a los usuarios. Esta directiva permite el uso compartido del calendario con informacinsobre disponibilidad solamente con usuarios de organizaciones externas federadas. Si no desea que los usuarios compartan su informacin sobre disponibilidadcon usuarios de todos los dominios externos federados, deshabilite la directiva predeterminada de uso compartido o cambie el nombre de dominio especificadoen la directiva por los nicos dominios con los que quiera compartir la informacin. Este cambio debe realizarse antes de crear una confianza de federacin conMFG. Para obtener ms informacin, consulte Deshabilitar una directiva de uso compartido y Configurar propiedades de la directiva de uso compartido.

Todas las caractersticas de federacin de una organizacin, incluidas la delegacin federada, pueden deshabilitarse quitando la confianza de federacin d

Guía de Seguridad de Exchange 2010_ Ayuda de Exchange 2010

Documents

Transcript of Guía de Seguridad de Exchange 2010_ Ayuda de Exchange 2010