Guía de seguridad de Exchange 2010_ Ayuda de Exchange 2010
-
Upload
marcos-popa -
Category
Documents
-
view
258 -
download
0
Transcript of Guía de seguridad de Exchange 2010_ Ayuda de Exchange 2010
Ámbito
Novedades
Guía de seguridad de Exchange 2010Exchange 2010
Se aplica a: Exchange Server 2010 SP2
Última modificación del tema: 2012-03-08
Esta guía se ha escrito para el administrador de responsable de proteger la implementación de Microsoft Exchange Server 2010;asimismo, se ha concebido para que dicho administrador comprenda y controle el entorno de seguridad general en el que estáinstalado Exchange.
En el pasado, para cada versión de Microsoft Exchange, el equipo de Exchange publicaba guías independientes de refuerzo deseguridad con información sobre permisos y seguridad. Este método tenía sentido para bloquear servicios y directorios despuésde ejecutar la instalación de Exchange 2010. Sin embargo, a partir de Microsoft Exchange Server 2007, el programa deinstalación de Exchange habilita únicamente los servicios que necesite el rol de servidor que se instala. Microsoft Exchange ya nose instala y se refuerza por seguridad. Está diseñado para ser más seguro de forma predeterminada.
Así pues, a diferencia de versiones anteriores de Microsoft Exchange en las que los administradores tenían que llevar a cabomúltiples pasos para bloquear los servidores que ejecutaban Microsoft Exchange, Exchange 2010 no necesita bloqueo ni refuerzo.
Exchange 2010 se ha desarrollado según los principios del ciclo vital del desarrollo de seguridad de Microsoft. Se ha efectuadouna revisión de la seguridad en cada característica y componente. Unos valores predeterminados bien seleccionados permitenuna implementación más segura. La finalidad de esta guía es informar a los administradores sobre las características y losaspectos relacionados con la seguridad. Esta sección contiene vínculos a documentación sobre la seguridad en Exchange 2010.Estos temas figuran en el apéndice 1: Documentación adicional sobre la seguridad. Esta guía no se ocupa de ningún paso sobrecómo reforzar el sistema operativo Windows Server.
Contenido
Novedades
Ciclo de vida del desarrollo de seguridad de Exchange 2010
Getting Secure—Best Practices
Staying Secure—Best Practices
Uso de los puertos de red y reforzamiento de Firewall
Parámetros de limitación y directivas de limitación de clientes
Control de acceso basado en roles
Active Directory
Cuentas de servidores de Exchange
Sistema de archivos
Servicios
Certificados
Consideraciones sobre NTLM
Autenticación de doble factor
Federación
Secure/Multipurpose Internet Mail Extensions (S/MIME)
Consideraciones sobre roles del servidor
Apéndice 1: Documentación adicional sobre la seguridad
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
1 of 34 12/7/2012 11:40 AM
Ciclo de vida del desarrollo de seguridad de Exchange 2010
Exchange 2010 incluye las siguientes características de seguridad:
Control de acceso basado en roles Exchange 2010 presenta un nuevo modelo de control de acceso basado en rolescon el que la organización administra de forma pormenorizada los permisos asignados a diferentes partes interesadas,por ejemplo administradores de destinatarios, de servidores y de organizaciones.Directivas de limitación Exchange 2010 incorpora mecanismos de limitación en los servidores de acceso de cliente,Buzón de correo y Transporte para proteger la organización de los ataques de denegación de servicio y reducir lasrepercusiones de dichos ataques.Delegación federada Exchange 2010 agrega nuevas características de federación delegada para que los usuariospuedan colaborar de manera segura con usuarios de otras organizaciones. Mediante la delegación federada, los usuarioscomparten sus calendarios y contactos con usuarios de organizaciones federadas externas. También es posible lacolaboración entre bosques sin tener que configurar y administrar relaciones de confianza de Active Directory.Information Rights Management Exchange 2010 incorpora nuevas características de control y protección de laseguridad para proteger el contenido confidencial de los mensajes en varios niveles; asimismo, mantiene la capacidad dela organización de descifrar, buscar y aplicar directivas de mensajería a contenido protegido.Sin asistentes para configurar la seguridad En Exchange 2010, el programa de instalación realiza los cambios deconfiguración pertinentes para instalar y habilitar únicamente los servicios necesarios para un determinado rol de servidorde Exchange, y para limitar la comunicación solamente a los puertos requeridos para los servicios y procesos que seejecutan en cada rol de servidor. De este modo, ya no se necesita el asistente para configuración de seguridad (SCW)para configurar estos parámetros.
A principios de 2002 Microsoft incorporó la iniciativa Trustworthy Computing. Desde la incorporación de Trustworthy Computing,el proceso de desarrollo en Microsoft y en el equipo de Microsoft Exchange se ha concentrado en desarrollar un software que
refuerce la seguridad. Para obtener más información, consulte Trustworthy Computing1 (en inglés).
En Exchange 2010 se ha implementado Trustworthy Computing en las siguientes áreas principales:
Seguro en el diseño Exchange 2010 se ha diseñado y desarrollado según el ciclo de vida del desarrollo de seguridad de
Trustworthy Computing2. El primer paso para crear un sistema de mensajería más seguro fue diseñar modelos deamenaza y poner a prueba cada opción a medida que se iba diseñando. Se integraron múltiples mejoras relacionadas conla seguridad en el proceso y las prácticas de codificación. Las herramientas de tiempo integradas detectan excesos en elbúfer y otras amenazas potenciales de seguridad. Ningún sistema puede garantizar una seguridad completa. Sinembargo, al incluir principios de diseño de seguridad en todo el proceso de diseño, Exchange 2010 es más seguro queversiones anteriores.Seguro de forma predeterminada Uno de los objetivos de Exchange 2010 era desarrollar un sistema en que lamayoría de las comunicaciones de red se codifiquen de forma predeterminada. Este objetivo se consiguió, excepto paralas comunicaciones del bloqueo de mensajes de servidor y algunas comunicaciones de mensajería unificada. Al usarcertificados autofirmados, el protocolo Kerberos, el nivel de sockets seguros (SSL) y otras técnicas estándares de cifrado,casi toda la información en la red de Exchange 2010 queda protegida. Además, la instalación basada en roles permiteinstalar Exchange 2010, de modo que solamente los servicios, y los permisos relacionados con esos servicios, se instalancon un rol de servidor específico y apropiado. En versiones anteriores de Microsoft Exchange había que instalar todos losservicios de funcionalidad.Funcionalidad antivirus y contra correo electrónico no deseado Exchange 2010 incluye un conjunto de agentescontra correo electrónico no deseado que se ejecutan en la red perimetral del rol de servidor Transporte perimetral y quetambién puede instalarse en el rol de servidor Transporte de concentradores ubicado en la red interna. La funcionalidaddel antivirus está mejorada aún más gracias a la adición de Microsoft Forefront Protection 2010 for Exchange comosolución de Microsoft.Implementación segura A medida que se fue desarrollando Exchange 2010, se implementó la versión de evaluaciónen el entorno de producción de TI Microsoft. Basado en datos de esa implementación, se ha actualizado elMicrosoft Exchange Server Best Practices Analyzer para buscar configuraciones de seguridad reales, y se handocumentado consejos para antes y después de la implementación en la Ayuda de Exchange 2010.En el pasado, se documentaba la administración de permisos y se entregaba una vez finalizada la documentación básica.Sin embargo, sabemos que la administración de permisos no es un proceso de complementos. Debería integrarse en elplaneamiento e implementación generales de Exchange 2010. Por lo tanto, hemos simplificado nuestra documentaciónsobre permisos y la hemos integrado con la documentación básica. De este modo, proporcionamos un contexto integralpara los administradores a la hora de planear e implementar su modelo administrativo. Exchange 2010 contiene un nuevomodelo de permisos basados en roles con el que pueden concederse permisos de manera pormenorizada aadministradores y usuarios para que puedan realizar tareas con los permisos mínimos que se necesitan.Comunicaciones Ahora que Exchange 2010 ha salido al mercado, el equipo de Exchange tiene el compromiso demantener el software actualizado y a los usuarios informados. Manteniendo su sistema actualizado con Microsoft Update,puede tener la certeza de que su organización dispone de las últimas actualizaciones de seguridad. Exchange 2010también incluye actualizaciones contra correo electrónico no deseado. Además, al suscribirse a las Notificaciones técnicas
de seguridad de Microsoft3 (posiblemente en inglés), podrá consultar las últimas novedades sobre seguridad en Exchange2010.
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
2 of 34 12/7/2012 11:40 AM
Métodos recomendados para crear un entorno seguro
Recomendaciones de instalación y configuración
NOTA:
Microsoft Update
La aplicación de unos métodos recomendados básicos ayudarán a crear y mantener un entorno más seguro. En general, lamanera más efectiva de optimizar la seguridad del entorno de Exchange 2010 es mantener actualizados el software y losarchivos de firma de antivirus, y ejecutar herramientas de análisis regularmente.
La aplicación de estos métodos recomendados ayudarán a crear y mantener un entorno de Exchange 2010 más seguro.
Instalación delegada El primer servidor de Exchange 2010 que se instala en la organización requiere que la cuentaque se usa para ejecutar el programa de instalación pertenezca al grupo Administradores de empresa. La cuenta queusa se agrega al grupo de roles de administración de la organización creado por el programa de instalación deExchange 2010. La instalación delegada puede usarse para que los administradores que no pertenezcan al grupo deroles de administración de la organización configuren los servidores subsiguientes. Para obtener más información,
consulte Aprovisionar el servidor de Exchange 2010 y delegar la instalación4.Permisos del sistema de archivos Exchange 2010 El programa de instalación asigna los permisos mínimosnecesarios en el sistema de archivos donde se almacenan los datos y archivos binarios de Exchange. No haga ningúncambio en las listas de control de acceso de las carpetas raíz y Archivos de programa del sistema de archivos.Rutas de instalación Se recomienda instalar los archivos binarios de Exchange 2010 en una unidad que no sea delsistema (un volumen en el que no esté instalado el sistema operativo). Las bases de datos y los registros detransacciones de Exchange pueden aumentar de tamaño rápidamente y deben ubicarse en volúmenes nopertenecientes al sistema para que no disminuya la capacidad ni el rendimiento. Otros registros generados pordiferentes componentes de Exchange, por ejemplo los registros de transporte, se almacenan también en la misma rutade instalación que los archivos binarios de Exchange y su tamaño puede aumentar considerablemente según laconfiguración y el entorno de mensajería. En Exchange 2010 puede configurarse el tamaño máximo de muchos archivosde registro y el espacio máximo de almacenamiento que puede ocupar una carpeta de archivos de registro, que tieneun valor predeterminado de 250 Megabytes. Para prevenir una posible interrupción del sistema debido a poco espacioen disco, recomendamos que se calculen los requisitos de registro para cada rol del servidor y se configuren lasopciones de registro y las ubicaciones de almacenamiento de los archivos de registro en consonancia con ellos.Bloqueo de clientes heredados de Outlook Teniendo en cuenta sus requisitos, el bloqueo de clientes de Outlook sepuede configurar para que bloquee las versiones cliente heredadas de Outlook. Algunas características de Exchange2010, por ejemplo las reglas de protección de Outlook y los archivos personales, no admiten clientes heredados deOutlook. Para obtener más información sobre el bloqueo de clientes de Outlook, consulte Configurar el bloqueo de
clientes de Outlook para la administración de registros de mensajería5.Separación de direcciones SMTP y nombres de usuario De forma predeterminada, Exchange genera alias ydirecciones de correo electrónico a partir del nombre de usuario del buzón de correo. Muchas organizaciones crean unadirectiva adicional de direcciones de correo electrónico para separar las direcciones de correo electrónico de los usuariosde los nombres de usuarios con el fin de incrementar la seguridad. Por ejemplo, si el nombre de usuario de Ben Smithes bsmith y el dominio contoso.com, la dirección de correo electrónico principal generada por la directivapredeterminada de direcciones de correo electrónico es [email protected]. Puede crear otra directiva de direccionesde correo electrónico para generar direcciones que no usen el alias ni el nombre de usuario del usuario. Por ejemplo, sise crea una directiva de direcciones de correo electrónico que use la plantilla %g.%s@domain, se generan direcciones decorreo electrónico con el formato Nombre.Apellidos@dominio. En el caso de Ben Smith, la directiva generará ladirección [email protected]. Asimismo, puede separar las direcciones de correo electrónico de los nombres deusuario especificando un alias diferente del nombre de usuario que se usa al crear o habilitar un buzón de correo.
Si una dirección SMTP principal no coincide con el UPN en la cuenta, el usuario no puede usar su dirección de correoelectrónico para iniciar sesión en Microsoft Office Outlook Web App; para ello, debe proporcionar un nombre deusuario con el formato DOMINIO\nombre_usuario. En el caso de Microsoft Outlook, el usuario debe proporcionar elmismo formato DOMINIO\nombre_usuario si se le solicitan credenciales cuando Outlook se conecta al servicioDetección automática.
Microsoft Update es un servicio que ofrece las mismas descargas que Microsoft Windows Update, además de las últimasactualizaciones para otros programas de Microsoft. Ayuda a mantener el servidor más seguro y con un rendimiento óptimo.
Una función clave de Microsoft Update es Windows Automatic Update. Esta función instala automáticamente actualizacionesde prioridad alta fundamentales para la seguridad y fiabilidad del equipo. Sin estas actualizaciones, el equipo es másvulnerable a ataques externos y de software malintencionado (malware).
El modo más confiable de recibir Microsoft Update es de forma automática en el equipo utilizando Actualizaciones automáticasde Windows. Puede activar Actualizaciones automáticas si se suscribe a Microsoft Update.
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
3 of 34 12/7/2012 11:40 AM
Tareas que ya no son necesarias en Exchange 2010
Métodos recomendados para mantener un entorno seguro
Mantenimiento del software al día
Actualizaciones contra correo electrónico no deseado
Ejecución del software antivirus
Windows analizará el software Microsoft instalado en su equipo en busca de actualizaciones actuales y antiguas de altaprioridad necesarias; seguidamente, las descargará e instalará de manera automática. A continuación, cuando se conecte aInternet, Windows repite este proceso para buscar nuevas actualizaciones de alta prioridad.
Para habilitar Microsoft Update, visite Microsoft Update6 (en inglés).
El modo predeterminado de Microsoft Update exige que cada servidor de Exchange esté conectado a Internet para recibir lasactualizaciones automáticas. Si ejecuta servidores sin conexión a Internet, puede instalar Windows Server Update Services(WSUS) para administrar la distribución de actualizaciones en equipos de su organización. Así podrá configurar MicrosoftUpdate en los equipos Microsoft Exchange internos para que se ponga en contacto con el servidor WSUS interno en busca de
actualizaciones. Para obtener más información, consulte Microsoft Windows Server Update Services 3.07 (en inglés).
WSUS no es la única solución de administración de Microsoft Update disponible. Para obtener más información sobreherramientas, comunicaciones, procesos y versiones de seguridad de Microsoft, vea Guía de actualización de seguridad de
Microsoft8 (posiblemente en inglés).
Ya no es necesario instalar ni ejecutar las herramientas siguientes:
La herramienta de seguridad URLScan no se necesita en IIS 7. En versiones anteriores de Microsoft Exchange, erahabitual instalar herramientas de IIS como URLScan para proteger una instalación de IIS. Exchange 2010 requiereWindows Server 2008, que incluye IIS 7. Muchas de las características de seguridad que originalmente estaban enUrlScan están disponibles en el Filtrado de solicitudes de IIS 7.Ya no hace falta instalar Exchange Best Practices Analyzer. En versiones anteriores de Microsoft Exchange era habitualinstalar Exchange Best Practices Analyzer antes de la instalación y después ejecutarlo periódicamente. El programa deinstalación de Exchange 2010 incluye los componentes de Exchange Best Practices Analyzer y los ejecuta durante lainstalación. Antes de la instalación no hace falta ejecutar Exchange Best Practices Analyzer.Ya no necesita usar el asistente para configuración de seguridad (SCW) ni las plantillas de Exchange para SCW. Elprograma de instalación de Exchange 2010 instala solamente los servicios necesarios en un determinado rol delservidor de Exchange; asimismo, crea reglas de Firewall de Windows Firewall con Seguridad avanzada para abrirúnicamente los puertos necesarios en los servicios y procesos de ese rol del servidor. Ya no se debe ejecutar elasistente para configuración de seguridad (SCW) para configurar estos parámetros. A diferencia de Exchange Server2007, Exchange 2010 no se incluye con plantillas de SCW.
Estos métodos recomendados ayudarán a mantener seguro el entorno de Exchange 2010.
Como se ha mencionado en una sección anterior, se recomienda ejecutar Microsoft Update. Además de ejecutar MicrosoftUpdate en todos los servidores, es muy importante mantener todos los equipos cliente de su organización al día conactualizaciones antivirus.
Además del software Microsoft, compruebe que tenga las últimas actualizaciones de todo el software que se ejecuta en suorganización.
Exchange 2010 también utiliza la infraestructura de Microsoft Update para mantener actualizados los filtros contra correo nodeseado. De forma predeterminada, con las actualizaciones manuales el administrador debe visitar Microsoft Update paradescargar e instalar las actualizaciones de filtro de contenido. Cada dos semanas hay datos de actualización del filtro decontenido actualizados y listos para poder descargar.
Las actualizaciones manuales desde Microsoft Update incluyen datos de firma de correo no deseado y el servicio dereputación de IP de Microsoft. El servicio de reputación IP de Microsoft y los datos de firma de correo no deseado solo estándisponibles con Forefront Security para actualizaciones automáticas contra correo no deseado de Exchange Server.
Para obtener más información acerca de cómo habilitar las actualizaciones automáticas contra correo no deseado de
Forefront, consulte Descripción de las actualizaciones de correo no deseado9.
Los virus, gusanos y otros contenidos malintencionados transmitidos por los sistemas de correo electrónico son una realidaddestructiva a la que se enfrentan la mayoría de administradores de Microsoft Exchange. En consecuencia, debe desarrollaruna implementación de antivirus defensiva para todos los sistemas de mensajería Esta sección proporciona métodos
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
4 of 34 12/7/2012 11:40 AM
Ejecución de software antivirus en servidores Transporte de concentradores y Transporte perimetral
NOTA:
Ejecución de software antivirus en servidores Buzón de correos
recomendados para implementar software antivirus para Exchange 2010.
Preste especial atención a dos cambios importantes en Exchange 2010 cuando seleccione un proveedor de software antivirus:
A partir de Exchange Server 2007, Microsoft Exchange, la arquitectura en que se basa es de 64 bits.Exchange 2010 incluye agente de transporte.
Estos dos cambios implican que los proveedores de antivirus deben proporcionar un software específico para Exchange 2010.Es poco probable que el software antivirus escrito para versiones anteriores de Exchange funcione correctamente conExchange 2010.
Para usar un método de defensa en profundidad, se recomienda la implementación de un software antivirus diseñado parasistemas de mensajería ya sea en la puerta de enlace SMTP o en los servidores de Exchange que hospedan buzones decorreo, además de un software antivirus en el escritorio del usuario.
Suya es la decisión de qué tipos de software antivirus usar y dónde implementar el software buscando el equilibrio adecuadoentre el costo que está dispuesto a aceptar y el riesgo que está dispuesto a asumir. Por ejemplo, algunas organizacionesejecutan un software antivirus para mensajería en la puerta de enlace SMTP, análisis antivirus en el nivel de archivos delservidor de Exchange y un software antivirus del cliente en los equipos de escritorio del usuario. Este método proporcionaprotección de mensajería en el cliente. Otras organizaciones pueden tolerar costos superiores y mejoran la seguridadejecutando software antivirus para mensajería en la puerta de enlace SMTP, análisis antivirus en el nivel de archivos delservidor de Exchange y software antivirus del cliente en el escritorio de los usuarios, además de software antivirus compatiblecon Exchange Virus Scanning Application Programming Interface (VSAPI) 2.5 en el servidor de buzones de Exchange.
El software antivirus basado en transporte se implementa o incluye agentes de transporte. Los agentes de transporteactúan en los eventos de transporte, de manera muy similar a los receptores de eventos en versiones previas de Microsoft
Exchange. Para obtener más información, consulte Descripción de los agentes de transporte10.
Los mensajes que no se enrutan mediante transporte, como los elementos de las carpetas públicas, Elementos enviadosy elementos de calendario, que solo se pueden analizar en un servidor de buzones de correo, no están protegidos por ladetección de virus solo de transporte.
Los programadores de terceras partes pueden escribir agentes de transporte personalizados para aprovechar las ventajasdel motor de análisis MIME subyacente para una mejor detección antivirus del nivel de transporte. Para obtener una lista de
los asociados de antispam y antivirus de Exchange, vea los fabricantes de software independientes11 (posiblemente eninglés).
Además, Forefront Protection para Exchange Server es un paquete de software antivirus estrechamente integrado conExchange 2010 y que ofrece protección antivirus adicional para su entorno de Exchange. Para obtener más información,
consulte Microsoft Forefront Protection 2010 para Exchange Server12 (en inglés).
El lugar más importante para ejecutar software antivirus de mensajería está en la primera línea de defensa de laorganización. Es la puerta de enlace SMTP a través de la cual los mensajes externos tienen acceso al entorno demensajería. En Exchange 2010, la primera línea de defensa se encuentra es el servidor Transporte perimetral.
Si usa una puerta de enlace o un servidor SMTP que no es de Exchange para recibir correo electrónico antes que Exchange,debe implementar suficiente funcionalidad antivirus y contra correo no deseado en los hosts SMTP que no sean Exchange.
En Exchange 2010, todos los mensajes se enrutan a través de un servidor Transporte de concentradores. Esto incluyemensajes enviados o recibidos desde fuera de la organización de Exchange, así como mensajes enviados dentro de laorganización de Exchange. Mensajes enviados a un buzón de correo ubicado en el mismo servidor de buzones que elremitente. Para protegerse mejor contra ataques de virus desde dentro de la organización y disponer de una segunda líneade defensa, recomendamos también ejecutar software antivirus basado en transporte en el servidor Transporte deconcentradores.
Aparte de la detección de virus en servidores Transporte, una solución de análisis del interfaz de programación paraaplicaciones de detección de virus (VSAPI) de Microsoft Exchange puede representar un nivel de defensa importante paramuchas organizaciones. Es conveniente considerar la posibilidad de ejecutar una solución antivirus VSAPI si se cumplecualquiera de las condiciones siguientes:
Su organización no ha completado la implementación de productos de análisis de antivirus de escritorio confiables yexhaustivos.
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
5 of 34 12/7/2012 11:40 AM
Exchange Server y antivirus del sistema de archivos
Uso de Exchange Hosted Services
Uso del filtrado de datos adjuntos
Su organización desea la protección adicional que puede conseguir con el análisis de bases de datos de buzones decorreo.Su organización ha desarrollado aplicaciones personalizadas con acceso programático a una base de datos deExchange.La comunidad de usuarios publica habitualmente mensajes en carpetas públicas.
Las soluciones antivirus que utilizan VSAPI de Exchange se ejecutan directamente en el proceso de almacenamiento deinformación de Exchange. Las soluciones VSAPI son probablemente las únicas soluciones capaces de proteger contravectores de ataque que introduzcan contenido infectado en el almacén de información de Exchange a la vez que omiten elanálisis estándar de cliente y transporte. Por ejemplo, VSAPI es la única solución que analiza la información enviada a labase de datos por objetos para colaboración de datos (CDO), WebDAV y los servicios Web Exchange. Además, cuando seproduce un ataque de virus, una solución VSAPI suele ofrecer la manera más rápida de quitar y eliminar los virus de unabase de datos de correo infectada.
Si implementa software antivirus para proteger los servidores de Exchange, tenga en cuenta los puntos siguientes:
Debe excluir de la detección antivirus del sistema los directorios del servidor de Exchange en los que se almacenanlas bases de datos de carpetas públicas y buzones de correo de Exchange. Para obtener más información, consulte
Análisis de antivirus de archivos en Exchange 201013.Los detectores antivirus del sistema de archivos solo protegen archivos. Para proteger mensajes de correoelectrónico, es conveniente implementar productos de seguridad de mensajería o antivirus que estén relacionadoscon Exchange, por ejemplo Microsoft Forefront, u otros productos de asociados o de terceros. Para obtener másinformación sobre la protección antivirus y contra correo no deseado, consulte Descripción de la funcionalidad contra
correo no deseado y antivirus14. Para obtener más información, consulte Forefront Protection 2010 para Exchange
Server: información general15 (posiblemente en inglés).Para disponer de una protección eficaz, debe mantener al día las firmas de correo no deseado y los antivirus.Los informes de los antivirus y el software o los servicios contra correo no deseado deben examinarse periódicamentepara asegurarse de que la protección esté habilitada y funcione como está previsto, detectar incidencias con rapidez ytomar las medidas oportunas.
El filtrado de virus y correo electrónico no deseado está mejorado o también está disponible como servicio deMicrosoft Exchange Hosted Services. Exchange Hosted Services es un conjunto de cuatro servicios hospedados:
Hosted Filtering, que ayuda a las organizaciones a protegerse a sí mismas contra el software malintencionado quecircula por el correo electrónicoHosted Archive, que ayuda a las organizaciones a satisfacer los requisitos legales de conservación de datosHosted Encryption, que ayuda a las organizaciones a cifrar datos por cuestiones de confidencialidadHosted Continuity, que ayuda a las organizaciones a conservar el acceso al correo electrónico durante y después deinterrupciones
Estos servicios se integran con cualquier servidor de Exchange que se administre de manera interna. Para obtener más
información, consulte Forefront Online Protection para Exchange16 (posiblemente en inglés).
En Exchange 2010, el filtrado de datos adjuntos permite aplicar filtros en servidores Transporte perimetral para controlar losdatos adjuntos que reciben los usuarios. El filtrado de datos adjuntos es cada vez más importante en los entornos actuales,en los que muchos de estos datos contienen virus malintencionados o material inadecuado que pueden causar dañosimportantes en el equipo del usuario o en la organización provocando daños en documentación importante o haciendo públicainformación confidencial.
Hay disponibles los siguientes tipos de filtrado de datos adjuntos para controlar los datos adjuntos que entran o salen de laorganización a través de un servidor Transporte perimetral:
Filtrado basado en el nombre o la extensión del archivo Se pueden filtrar los datos adjuntos especificando el nombrede archivo exacto o la extensión que se deberá filtrar. Un ejemplo de nombre de archivo exacto es NombredeArchivoMalo.exe.Un ejemplo de extensión del archivo es *.exe.
Filtrado basado en el tipo de contenido MIME del archivo También se pueden filtrar los datos adjuntos especificando eltipo de contenido MIME que se filtrará. Los tipos de contenido MIME indican el tipo de datos adjuntos; si es una imagen JPEG,un archivo ejecutable, un archivo Microsoft Office Excel 2010 u otro tipo de archivo. Los tipos de contenido se expresan comotipo o subtipo. Por ejemplo, el tipo de contenido de imagen JPEG se expresa como image/jpeg.
Si los datos adjuntos coinciden con uno de estos criterios de filtrado, se pueden configurar las siguientes acciones para llevar
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
6 of 34 12/7/2012 11:40 AM
NOTA:
Filtrado de archivos con Forefront Protection para Exchange Server
NOTA:
Ejecución de Exchange Best Practices Analyzer
a cabo con los datos adjuntos.
Bloquear todo el mensaje y los datos adjuntosEliminar los datos adjuntos pero dejar pasar el mensajeEliminar en silencio el mensaje y los datos adjuntos
Para obtener más información, consulte Descripción del filtrado de datos adjuntos17.
El agente de filtro de datos adjuntos no puede usarse para filtrar datos adjuntos según el contenido. Las reglas detransporte pueden usarse para inspeccionar el contenido del mensaje y los datos adjuntos, así como para ejecutaracciones como eliminar o rechazar el mensaje, o aplicar protección de IRM en el mensaje y los datos adjuntos. Para
obtener más información, consulte Descripción de las reglas de transporte18.
La funcionalidad de filtrado de archivos proporcionada por Forefront Protection para Exchange Server incluye característicasavanzadas no disponibles en el agente de filtro de datos adjuntos que viene incluido en Exchange 2010.
Por ejemplo, los archivos contenedores, que son archivos que contienen otros archivos, se pueden examinar en busca detipos de archivos infractores. El filtrado de Forefront Protection para Exchange Server puede analizar los siguientes archivoscontenedores y actuar en los archivos insertados:
PKZip (.zip)GNU Zip (.gzip)Archivos comprimidos autoextraíbles (.zip)Archivos comprimidos (.zip)Archivos Java (.jar)TNEF (winmail.dat)Almacenamiento estructurado (.doc, .xls, .ppt, etc.)MIME (.eml)SMIME (.eml)UUEncode (.uue)Archivo de cinta Unix (.tar)Archivo RAR (.rar)MACBinary (.bin)
El agente de filtro de datos adjuntos que se incluye con Exchange 2010 detecta los tipos de archivos, incluso si se les hacambiado el nombre. El filtrado de datos adjuntos comprueba además que los archivos Zip y LZH comprimidos nocontengan datos adjuntos bloqueados mediante una comparación de las extensiones de nombre de archivo con losarchivos del archivo Zip o LZH comprimido. El filtrado de archivos de Forefront Protection para Exchange Server tieneademás la capacidad de determinar si se ha cambiado el nombre de los datos adjuntos bloqueados en un archivocontenedor.
Además, puede filtrar los archivos por tamaño. Asimismo, puede configurar Forefront Protection para Exchange Server paraque ponga en cuarentena los archivos filtrados o para que envíe notificaciones de correo electrónico basadas en lascoincidencias del filtro de archivos de Exchange.
Para obtener más información, visite Proteger su organización Microsoft Exchange con Microsoft Forefront Security para
Exchange Server19 (en inglés).
Exchange Best Practices Analyzer es una de las herramientas más efectivas que puede ejecutar de manera regular paraayudarle a comprobar que su entorno Exchange sea seguro. Exchange Best Practices Analyzer examina automáticamente suimplementación de Microsoft Exchange y determina si la configuración se ha realizado de acuerdo con las prácticasrecomendadas de Microsoft. En Exchange 2010, Exchange Best Practices Analyzer se instala como parte de la configuraciónde Exchange y puede ejecutarse desde la sección Herramientas de la Consola de administración de Exchange. Con el acceso aredes apropiado, Exchange Best Practices Analyzer examina todos los servidores de Active Directory Domain Services y losservidores de Exchange. Exchange Best Practices Analyzer incluye comprobaciones de herencias de permisos. También realizapruebas para la validación de permisos de RBAC. Esto incluye pruebas para asegurar que todos los usuarios tengan acceso alPanel de control de Exchange, que todos los roles predeterminados de RBAC creados por el programa de instalación deExchange estén configurados correctamente y que como mínimo haya una cuenta administrativa en la organización de
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
7 of 34 12/7/2012 11:40 AM
Uso de los puertos de red y reforzamiento de Firewall
Exchange.
Windows Server 2008 incluye Firewall de Windows con Seguridad avanzada, un firewall de inspección de paquetes con estadohabilitado de forma predeterminada. Firewall de Windows con Seguridad avanzada proporciona la funcionalidad siguiente:
Filtrado de todo el tráfico IP versión 4 (IPv4) e IP versión 6 (IPv6) que entra o sale del equipo. De forma predeterminada,todo el tráfico entrante está bloqueado a menos que sea la respuesta a una solicitud saliente anterior desde el equipo(tráfico solicitado) o se permite de manera específica por parte de una regla que se ha creado para autorizar dicho tráfico.Todo el tráfico saliente se permite de forma predeterminada, menos en el caso de reglas de reforzamiento de servicio queimpidan a los servicios estándar comunicarse de manera imprevista. Puede optar por permitir el tráfico basado ennúmeros de puerto, direcciones IPv4 o IPv6, el nombre y la ruta de acceso de una aplicación, el nombre de un servicioque se ejecuta en el equipo u otros criterios.Protección del tráfico de red que entra o sale de ordenador mediante el protocolo IPsec para comprobar la integridad deltráfico de red, autenticar la identidad de los usuarios o equipos remitentes o destinatario, así como cifrar el tráfico paraproporcionar confidencialidad.
Exchange 2010 se ha diseñado para ejecutarse con Firewall de Windows Server con Seguridad avanzada habilitada. Elprograma de instalación de Exchange crea las correspondientes reglas de firewall para que los servicios y procesos de Exchangepuedan comunicarse. Crea solamente las reglas que se necesitan para los servicios y procesos instalados en un determinado rolde servidor. Para obtener más información sobre las reglas de uso de puertos y firewall creadas para cada rol de servidor de
Exchange 2010, consulte Referencia del puerto de red de Exchange20.
En Windows Server 2008 y Windows Server 2008 R2, Firewall de Windows con Seguridad avanzada permite especificar elproceso o servicio para el que se abre un puerto. Esta opción es más segura porque restringe el uso del puerto al proceso oservicio especificado en la regla. El programa de instalación de Exchange 2010 crea reglas de firewall con el nombre del procesoespecificado. En algunos casos, y por motivos de compatibilidad, se crea una regla adicional que no está restringida al proceso.Puede deshabilitar o quitar las reglas que no están restringidas a los procesos y mantener las reglas correspondientes creadastambién por el programa de instalación de Exchange 2010 restringidas a procesos, en el caso de que la implementación loadmita. Las reglas que no están restringidas a procesos se distinguen con la palabra (GFW) en el nombre de regla. Serecomienda realizar pruebas suficientes en las reglas del entorno antes de deshabilitar las reglas que no se restrinjan a unproceso.
En la tabla siguiente se muestran las reglas de Firewall de Windows creadas con el programa de instalación de Exchange, conlos puertos que se abren en cada rol de servidor.
Reglas de Firewall de Windows
Nombre de regla Roles de servidor Puerto
MSExchangeRPCEPMap (GFW) (TCP-In) Todos los roles RPC-EPMap
MSExchangeRPC (GFW) (TCP-In)Acceso de clientes, Transporte de concentradores, Buzón decorreo, Mensajería unificada
RPC dinámica
MSExchange - IMAP4 (GFW) (TCP-In) Acceso de clientes 143, 993 (TCP)
MSExchange - POP3 (GFW) (TCP-In) Acceso de clientes 110, 995 (TCP)
MSExchange - OWA (GFW) (TCP-In) Acceso de clientes5075, 5076, 5077(TCP)
MSExchangeMailboxReplication (GFW)(TCP-In)
Acceso de clientes 808 (TCP)
MSExchangeIS (GFW) (TCP-In) Buzón de correo6001, 6002, 6003,6004 (TCP)
MSExchangeTransportWorker (GFW)(TCP-In)
Transporte de concentradores 25, 587 (TCP)
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
8 of 34 12/7/2012 11:40 AM
Importante:
Parámetros de limitación y directivas de limitación de clientes
Parámetros de limitación en servidores Transporte
SESWorker (GFW) (TCP-In) Mensajería unificada Cualquiera
UMService (GFW) (TCP-In) Mensajería unificada 5060, 5061 (TCP)
UMWorkerProcess (GFW) (TCP-In) Mensajería unificada5065, 5066, 5067,5068
Al modificar un puerto predeterminado usado por un servicio de Exchange 2010, también debe modificarse elcorrespondiente Firewall de Windows con la regla de firewall de Seguridad avanzada para permitir la comunicación sobre elpuerto no predeterminado que se decida usar. Exchange 2010 no cambia las reglas de firewall al cambiar los puertospredeterminados que se usan para un servicio.
Exchange 2010 presenta parámetros de limitación en los roles del servidor Transporte, Acceso de clientes y Buzón de correopara controlar diferentes parámetros de conexiones relacionadas con cada protocolo. Asimismo, Exchange 2010 incluyedirectivas de limitación de clientes para controlar la carga en servidores de acceso de cliente. Estos parámetros y directivas delimitación permiten controlar la carga y proteger los servidores de Exchange 2010 de los ataques de denegación de serviciodirigidos a diferentes protocolos.
En los servidores Transporte Exchange 2010, los parámetros de limitación de mensajes se implementan en el servidor, asícomo en los conectores de envío y recepción para controlar velocidades de procesamiento de mensajes, velocidades deconexión SMTP y valores de tiempo de espera de sesión SMTP. Estos parámetros de limitación en su conjunto protegen losservidores de transporte de la saturación al tener que aceptar y distribuir una gran cantidad de mensajes; asimismo,protegen de clientes SMTP no confiables y de ataques de denegación de servicios.
Puede configurar las directivas de limitación siguientes en servidores Transporte de Exchange 2010 que usan el cmdletSet-TransportServer.
Parámetros de limitación en servidores Transporte
Parámetro Descripción
MaxConcurrentMailboxDeliveries
El parámetro MaxConcurrentMailboxDeliveries especifica el número máximo desubprocesos de entrega que el servidor Transporte de concentradores puede tenerabiertos al mismo tiempo para entregar mensajes en buzones. El controlador dealmacén del servidor Transporte de concentradores es responsable de entregarmensajes a y desde servidores de buzones. Este límite se aplica a la entrega demensajes a cualquier buzón de la organización de Exchange.
Valor predeterminado 20 entregas
MaxConcurrentMailboxSubmissions
El parámetro MaxConcurrentMailboxSubmissions especifica el número máximo desubprocesos de entrega que el servidor Transporte de concentradores puede tenerabiertos al mismo tiempo para aceptar mensajes de buzones. El controlador dealmacén del servidor Transporte de concentradores es responsable de entregarmensajes a y desde servidores de buzones. Este límite se aplica a la aceptación denuevos mensajes provenientes de cualquier buzón de la organización de Exchange.
Valor predeterminado 20 envíos
MaxConnectionRatePerMinute
El parámetro MaxConnectionRatePerMinute especifica la velocidad máxima a la quepueden abrirse nuevas conexiones de entrada para el servidor Transporte deconcentradores o el servidor Transporte perimetral. Estas conexiones se abren paratodos los conectores de recepción que existan en el servidor.
Valor predeterminado 1200 conexiones por minuto.
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
9 of 34 12/7/2012 11:40 AM
Parámetros de limitación en conectores de envío
Parámetros de limitación en conectores de recepción
MaxOutboundConnections
El parámetro MaxOutboundConnections especifica el número máximo de conexionessalientes simultáneas que el servidor Transporte de concentradores o el servidorTransporte perimetral pueden tener abiertas al mismo tiempo. Las conexionessalientes se producen al utilizar los conectores de envío que existen en el servidor. Elvalor especificado por el parámetro MaxOutboundConnections se aplica a todos losconectores de envío que hay en el servidor de transporte.
Valor predeterminado 1000 conexiones
Si escribe un valor ilimitado, no se impone ningún límite en el número de conexionesde salida.
Este valor también puede configurarse mediante la EMC.
MaxPerDomainOutboundConnections
El parámetro MaxPerDomainOutboundConnections especifica el número máximo deconexiones que un servidor Transporte de concentradores conectado a Internet o unservidor Transporte perimetral pueden tener abiertas para cualquier dominio remotoúnico. Las conexiones salientes para dominios remotos se producen al utilizar losconectores de envío que existen en el servidor.
Valor predeterminado 20 conexiones por dominio.
Si escribe un valor ilimitado, no se impone ningún límite en el número de conexionesde salida por dominio.
Este valor también puede configurarse mediante la EMC.
PickupDirectoryMaxMessagesPerMinute
El MaxPerDomainOutboundConnections parámetro especifica la velocidad deprocesamiento de mensajes en los directorios Recogida y Reproducción. Cadadirectorio puede procesar archivos de mensaje de manera independiente a lavelocidad especificada por el parámetro PickupDirectoryMaxMessagesPerMinute.Valor predeterminado De forma predeterminada, el directorio Recogida puedeprocesar 100 mensajes por minuto y el directorio Reproducción puede procesarsimultáneamente 100 mensajes por minuto.
Los directorios Recogida y Reproducción examinan nuevos archivos de mensaje cada5 segundos o 12 veces por minuto. Este intervalo de sondeo de 5 segundos no sepuede configurar. Esto significa que el número máximo de mensajes que se puedenprocesar durante cada intervalo de sondeo tiene el valor que se ha asignado alparámetro PickupDirectoryMaxMessagesPerMinute dividido entre 12(PickupDirectoryMaxMessagesPerMinute/12). De forma predeterminada, solo sepueden procesar un máximo de ocho mensajes en cada intervalo de sondeo de5 segundos.
Los parámetros de limitación siguientes están disponibles en los conectores de envío. Use el cmdlet Send-Connector paraconfigurar estos parámetros.
Parámetros de limitación de conectores de envío
Parámetro Descripción
ConnectionInactivityTimeOut
El parámetro ConnectionInactivityTimeOut especifica el tiempo máximo que puedepermanecer inactiva una conexión SMTP con un servidor de mensajería de destino antes deque se cierre la conexión.
Valor predeterminado 10 minutos.
SmtpMaxMessagesPerConnection
El parámetro SmtpMaxMessagesPerConnection especifica el número máximo de mensajesque este servidor de conector de envío puede enviar por conexión.
Valor predeterminado 20 mensajes
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
10 of 34 12/7/2012 11:40 AM
Parámetros de limitación para el servicio POP3
Puede configurar los parámetros de limitación siguientes en conectores de recepción en servidores Transporte de Exchange2010 con el fin de controlar parámetros de conexión como los tiempos de espera de inactividad, el número máximo deconexiones y el número de errores de protocolo SMTP que se permiten durante una conexión. Use el cmdletSet-ReceiveConnector para configurar estor parámetros.
Parámetros de limitación de conectores de recepción
Parámetro Descripción
ConnectionInactivityTimeOut
El parámetro ConnectionInactivityTimeOut especifica el tiempo máximo quepuede permanecer inactiva una conexión SMTP con un servidor de mensajeríade origen antes de que se cierre la conexión.
Valor predeterminado en servidores Transporte de concentradores 5minutos.
Valor predeterminado en servidores Transporte perimetral 1 minuto.
ConnectionTimeOut
El parámetro ConnectionTimeOut especifica el tiempo máximo que puedepermanecer abierta una conexión SMTP con un servidor de mensajería deorigen, incluso aunque el servidor de mensajería de origen esté transmitiendodatos.
Valor predeterminado en servidores Transporte de concentradores 10minutos.
Valor predeterminado en servidores Transporte perimetral 5 minutos.
El valor especificado por el parámetro ConnectionTimeout debe ser mayor queel valor especificado por el parámetro ConnectionInactivityTimeout.
MaxInboundConnection
El parámetro MaxInboundConnection especifica el número máximo deconexiones SMTP entrantes que permite este conector de recepción al mismotiempo.
Valor predeterminado 5000.
MaxInboundConnectionPercentagePerSource
El parámetro MaxInboundConnectionPercentagePerSource especifica el númeromáximo de conexiones SMTP que permite un conector de recepción al mismotiempo desde un único servidor de mensajería de origen. El valor se expresacomo el porcentaje de conexiones restantes disponibles en un conector derecepción. El número máximo de conexiones que permite el conector derecepción se define con el parámetro MaxInboundConnection. Valor
predeterminado 2 por ciento.
MaxInboundConnectionPerSource
El parámetro MaxInboundConnectionPerSource especifica el número máximo deconexiones SMTP que permite un conector de recepción al mismo tiempo desdeun único servidor de mensajería de origen.
Valor predeterminado 100 conexiones.
MaxProtocolErrors
El parámetro MaxProtocolErrors especifica el número máximo de errores deprotocolo SMTP que un conector de recepción permite antes de cerrar laconexión con el servidor de mensajería de origen.
Valor predeterminado 5 errores.
Los parámetros de limitación siguientes están disponibles para el servicio POP3 de Microsoft Exchange en los servidores deacceso de cliente. Use el cmdlet Set-POPSettings para configurar estos parámetros. Para obtener más información, consulte
Establecer límites de conexión para POP321.
Parámetros de limitación del servicio POP3
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
11 of 34 12/7/2012 11:40 AM
Parámetros de limitación para el servicio IMAP4
Parámetro Descripción
MaxCommandSize
El parámetro MaxCommandSize especifica el tamaño máximo de un único comando.Los valores posibles van de 40 a 1024 bytes.
Valor predeterminado 40 bytes.
MaxConnectonFromSingleIP
El parámetro MaxConnectionFromSingleIP especifica el número de conexiones de unasola dirección IP que acepta el servidor especificado. Los valores admitidos van de 1 a25 000.
Valor predeterminado 2000 conexiones.
MaxConnections
El parámetro MaxConnections especifica el número total de conexiones que acepta elservidor especificado. Se incluyen en este número tanto las conexiones autenticadascomo las que no lo están. Los valores admitidos van de 1 a 25 000.
Valor predeterminado 2000 conexiones
MaxConnectionsPerUser
El parámetro MaxConnectionsPerUser especifica el número máximo de conexiones deun usuario particular que acepta el servidor de acceso de cliente. Los valores admitidosvan de 1 a 25 000.
Valor predeterminado 16 conexiones
PreAuthenticationConnectionTimeOut
El parámetro PreAuthenticatedConnectionTimeout especifica el tiempo que debetranscurrir antes de cerrar una conexión inactiva que no está autenticada. Los valoresadmitidos van de 10 a 3600 segundos.
Valor predeterminado 60 segundos.
Los parámetros de limitación siguientes están disponibles para el servicio IMAP4 de Microsoft Exchange en los servidores deacceso de cliente. Use el cmdlet Set-IMAPSettings para configurar estos parámetros. Para obtener más información,
consulte Establecer los límites de conexión para IMAP422.
Parámetros de limitación de servicios IMAP4
Parámetro Descripción
AuthenticationConnectionTimeOut
El parámetro AuthenticatedConnectionTimeout especifica el período de tiempo que debetranscurrir antes de cerrar una conexión autenticada inactiva. Los valores admitidos vande 30 a 86 400 segundos.
Valor predeterminado 1800 segundos.
MaxCommandSize
El parámetro MaxCommandSize especifica el tamaño máximo de un único comando. Eltamaño predeterminado es de 40 bytes. Los valores posibles van de 40 a 1024 bytes.
Valor predeterminado 40 bytes.
MaxConnectionFromSingleIP
El parámetro MaxConnectionFromSingleIP especifica el número de conexiones de unasola dirección IP que acepta el servidor especificado. Los valores admitidos van de 1 a25 000.
Valor predeterminado 2000 conexiones.
MaxConnections
El parámetro MaxConnections especifica el número total de conexiones que acepta elservidor especificado. Se incluyen en este número tanto las conexiones autenticadascomo las que no lo están. Los valores admitidos van de 1 a 25 000.
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
12 of 34 12/7/2012 11:40 AM
Directivas de limitación de clientes
Valor predeterminado 2000 conexiones.
MaxConnectionsPerUser
El parámetro MaxConnectionsPerUser especifica el número máximo de conexiones de unusuario particular que acepta el servidor de acceso de cliente. Los valores admitidos vande 1 a 25 000.
Valor predeterminado 16 conexiones
PreAuthenticatedConnectionTimeOut
El parámetro PreAuthenticatedConnectionTimeout especifica el tiempo que debetranscurrir antes de cerrar una conexión inactiva que no está autenticada. Los valoresadmitidos van de 10 a 3600 segundos.
Valor predeterminado 60 segundos.
En Exchange 2010, puede usar las directivas de limitación de clientes para administrar el rendimiento del servidor de accesode cliente controlando parámetros como la cantidad de conexiones simultáneas para cada protocolo de acceso de cliente, elporcentaje de tiempo que una sesión de cliente puede usar para ejecutar operaciones LDAP, operaciones RPC y operacionesde acceso de cliente. Existe una directiva de limitación predeterminada de clientes que, en general, es suficiente paracontrolar la carga que soportan los servidores de acceso de cliente. Los parámetros de la directiva predeterminada puedenmodificarse, así como crear directivas personalizadas que se adecuen a los requisitos de cada implementación.
Los siguientes grupos de usuarios y métodos de acceso disponen de las directivas de limitación siguientes:
Acceso anónimoAcceso entre sitios (CPA)Exchange ActiveSync (EAS)Servicios Web Exchange (EWS)IMAPPOPOutlook Web App (OWA)Acceso de cliente RPC (RCA)
Las configuraciones de limitación siguientes están disponibles en directivas de limitación de clientes para cada uno de estosgrupos de usuarios (acceso anónimo y CPA) y métodos de acceso (EAS, EWS, IMAP, OWA, POP y RCA).
Configuración directivas de limitación de clientes
Configuración de limitación Acceso anónimo CPA EAS EWS IMAP OWA POP RCA
Simultaneidad máxima Sí Sí Sí Sí Sí Sí Sí Sí
Porcentaje de tiempo en AD Sí N A Sí Sí Sí Sí Sí Sí
Porcentaje de tiempo en CAS Sí Sí Sí Sí Sí Sí Sí Sí
Porcentaje de tiempo en RPC de buzones Sí Sí Sí Sí Sí Sí Sí Sí
CPA Acceso entre sitios
EAS Exchange ActiveSync
EWS Servicios Web Exchange
OWA Outlook Web App
Además de esta configuración de limitación a partir de grupos de usuarios y métodos de acceso, en una directiva delimitación de clientes puede haber las configuraciones de limitación siguientes.
Parámetros de directivas de limitación de clientes
Parámetro Descripción
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
13 of 34 12/7/2012 11:40 AM
CPUStartPercent
El parámetro CPUStartPercent especifica el porcentaje de CPU por proceso en el que secomienza a interrumpir a los usuarios regidos por esta directiva. Los valores válidos vande 0 a 100. Utilice $null para desactivar la limitación basada en el porcentaje de la CPUpara esta directiva.
EASMaxDeviceDeletesPerMonth
El parámetro EASMaxDeviceDeletesPerMonth especifica un límite al número deasociaciones de Exchange ActiveSync que puede eliminar un usuario cada mes. De formapredeterminada, los usuarios pueden eliminar un máximo de 20 asociaciones cada mesnatural. Cuando se alcanza el límite, el intento de eliminación de asociación genera unerror y se muestra un mensaje de error.
EASMaxDevices
El parámetro EASMaxDevices especifica un límite al número de asociaciones de ExchangeActiveSync que puede eliminar un usuario de forma simultánea. De formapredeterminada, cada usuario puede crear 10 asociaciones de Exchange ActiveSync consu cuenta de Exchange. Después de que un usuario supere el límite, debe eliminar una desus asociaciones existentes antes de poder crear otra asociación nueva. Cuando sesobrepase el límite, el usuario recibe un mensaje de correo electrónico de error quedescribe la limitación. Además, se registra un evento en el registro de aplicación cuandoun usuario supera el límite.
EWSFastSearchTimeOutInSeconds
El parámetro EWSFastSearchTimeoutInSeconds especifica la cantidad de tiempo duranteel cual las búsquedas efectuadas mediante los servicios Web Exchange continúan antes deque termine el tiempo de espera. Si la búsqueda tarda más tiempo del indicado por elvalor de la directiva, la búsqueda se detiene y se devuelve un error. El valorpredeterminado de esta configuración es de 60 segundos.
EWSFindCountLimit
El parámetro EWSFindCountLimit especifica el tamaño máximo del resultado de lasllamadas de FindItem o FindFolder que puedan existir en la memoria en el servidor deacceso de cliente al mismo tiempo para este usuario en el proceso actual. Si se intentaencontrar más elementos o carpetas de los que permite el límite de la directiva, se generaun error. Sin embargo, el límite no se aplica de forma estricta si se hace la llamada en elcontexto de una vista de página con índice. Concretamente, en esta situación, losresultados de búsqueda quedan truncados para incluir el número de elementos y carpetasque se ajustan al límite de la directiva. Después puede continuar hojeando los resultadosestablecidos mediante las llamadas de FindItem o FindFolder.
EWSMaxSubscriptions
El parámetro EWSMaxSubscriptions especifica el número máximo de suscripciones deinserción y de extracción activas que puede tener un usuario en un servidor de acceso decliente específico al mismo tiempo. Si un usuario intenta crear más suscripciones que elmáximo configurado, la suscripción no es válida y se registra un evento en el Visor deeventos.
ExchangeMaxCmdlets
El parámetro ExchangeMaxCmdlets especifica el número de cmdlets que se puedenejecutar en un período de tiempo específico antes de que su ejecución se ralentice. Elvalor especificado por este parámetro debe ser inferior al valor especificado por elPowerShellMaxCmdlets parameter.
El período de tiempo que se usa para este límite se especifica mediante el parámetroPowerShellMaxCmdletsTimePeriod. Se recomienda establecer valores para ambosparámetros al mismo tiempo.
ForwardeeLimit
El parámetro ForwardeeLimit especifica los límites para el número de destinatarios que sepueden configurar en Reglas de Bandeja de entrada al usar la acción de reenviar oredirigir. Este parámetro no limita el número de mensajes que se pueden reenviar oredirigir a los destinatarios que están configurados.
MessageRateLimit
El parámetro MessageRateLimit especifica el número de mensajes por minuto que sepueden enviar al transporte. Respecto a los mensajes enviados a través del rol de servidorBuzón de correo (Outlook Web App, Exchange ActiveSync o servicios Web Exchange), losmensajes se aplazan hasta que la cuota del usuario está disponible. Más concretamente,los mensajes aparecen en la carpeta Buzón de salida o Borrador durante largos períodos
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
14 of 34 12/7/2012 11:40 AM
Control de acceso basado en roles
de tiempo cuando los usuarios envían mensajes a un ritmo superior al del parámetroMessageRateLimit.
En el caso de los clientes POP o IMAP que envían mensajes directamente al transportemediante SMTP, los clientes reciben un error transitorio si efectúan envíos a una velocidadque supera el parámetro MessageRateLimit. Exchange intenta conectarse y enviar losmensajes posteriormente.
PowerShellMaxCmdletQueueDepth
El parámetro PowerShellMaxCmdletQueueDepth especifica el número de operacionespermitidas que el usuario puede ejecutar. Este valor afecta directamente alcomportamiento de los parámetros PowerShellMaxCmdlets y PowerShellMaxConcurrency.Por ejemplo, el parámetro PowerShellMaxConcurrency consume al menos dos operacionesdefinidas por el parámetro PowerShellMaxCmdletQueueDepth, pero las operacionesadicionales también se consumen según la ejecución de cmdlet. El número de operacionesdepende de los cmdlets que se ejecutan. Se recomienda que el valor del parámetroPowerShellMaxCmdletQueueDepth sea al menos tres veces superior al valor del parámetroPowerShellMaxConcurrency parameter. Este parámetro no afectará a las operaciones delPanel de control de Exchange ni a las operaciones de los servicios Web Exchange.
PowerShellMaxCmdlets
El parámetro PowerShellMaxCmdlets especifica el número de cmdlets que se puedenejecutar en un período de tiempo específico antes de que su ejecución se detenga. Elvalor especificado por este parámetro debe ser superior al valor especificado por elparámetro ExchangeMaxCmdlets. El período de tiempo que se usa para este límite seespecifica mediante el parámetro PowerShellMaxCmdletsTimePeriod. Ambos valores sedeben establecer al mismo tiempo.
PowerShellMaxCmdletsTimePeriod
El parámetro PowerShellMaxCmdletsTimePeriod especifica el período de tiempo, ensegundos, que la directiva de limitación usa para determinar si el número de cmdlets quese están ejecutando supera los límites especificados por los parámetrosPowerShellMaxCmdlets y ExchangeMaxCmdlets.
PowerShellMaxConcurrency
El parámetro PowerShellMaxConcurrency especifica información diferente según elcontexto:
En el contexto de PowerShell remoto, el parámetro PowerShellMaxConcurrency especificael número máximo de sesiones de PowerShell remoto que un usuario de PowerShellremoto puede tener abiertas al mismo tiempo.
En el contexto de los servicios Web Exchange, el parámetro PowerShellMaxConcurrency
especifica el número de ejecuciones simultáneas de cmdlet que un usuario puede tener almismo tiempo.
El valor de este parámetro no se relaciona necesariamente con el número de navegadoresabiertos por el usuario.
RecipientRateLimitEl parámetro RecipientRateLimit especifica los límites en el número de destinatarios queun usuario puede tratar en un período de 24 horas.
Para obtener más información sobre directivas de limitación de Exchange 2010, consulte Descripción de las directivas de
limitación de peticiones de clientes23.
El control de acceso basado en roles o RBAC es el nuevo modelo de permisos de Exchange 2010 con el que se controla, deforma general y particular, lo que pueden hacer administradores y usuarios. Con RBAC ya no es necesario modificar las listas decontrol de acceso en los objetos Active Directory como las unidades organizativas y los contenedores para posibilitar ladelegación individual de permisos a grupos como los operadores del departamento de soporte técnico o para funciones como laadministración de destinatarios. Active Directory
Para obtener más información, consulte Descripción del control de acceso basado en funciones24. Si desea obtener una lista delos roles de administración predeterminados de RBAC que se incluyen en Exchange 2010, consulte Funciones integradas de
administración25. Para obtener una lista de los grupos de roles predeterminados, consulte Grupos de funciones integradas26.
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
15 of 34 12/7/2012 11:40 AM
Importante:
Active Directory
Cuentas de servidores de Exchange
Los grupos de roles creados por el programa de instalación de Exchange 2010 o por usted se crean en Active Directory comogrupos de seguridad universal en las unidades organizativas de grupos de seguridad de Microsoft Exchange. Puede agregarmiembros a un grupo de roles mediante el cmdlet New-RoleGroupMember o mediante el Panel de control de Exchange. Alagregar un miembro a un grupo de roles, el usuario o el grupo se incorporan al correspondiente grupo de seguridad de ActiveDirectory. Puede usar una directiva de grupo restringido para restringir la pertenencia a grupos de roles de RBAC importantes,por ejemplo Administración de detección. Al implementar una directiva de grupo restringido, los controladores de dominio deActive Directory supervisan la pertenencia al grupo y los usuarios no incluidos en la directiva se quitan automáticamente.
Si se usan los grupos restringidos para restringir la pertenencia a grupo para grupos de roles de RBAC, los cambios que seefectúen en un grupo de roles mediante las herramientas de Exchange 2010 deben aplicarse también a la directiva de gruporestringido en Active Directory. Para obtener más información, consulte Configuración de la seguridad de las directivas de
grupo27 (en inglés).
Exchange Server almacena datos de configuración en la partición de configuración y datos de destinatarios en la partición dedominio de Active Directory Domain Services. Para obtener más información sobre los permisos que se necesitan para
configurar una organización de Exchange 2010, consulte Referencia de los permisos de implementación de Exchange 201028. Lacomunicación con los controladores de dominios de Active Directory se asegura mediante la autenticación y el cifrado deKerberos.
Exchange 2010 proporciona un nuevo nivel de autorización de Exchange, denominado control de acceso basado en roles(RBAC), en lugar de solicitar entradas de control de acceso (ACE) para cada cuenta que precise los correspondientes permisos.En versiones anteriores de Microsoft Exchange, el programa de instalación de Exchange se basaba en las ACE en ActiveDirectory para que los administradores de Exchange pudieran administrar objetos en la partición de dominio. Losadministradores de Exchange tienen la capacidad de realizar determinadas operaciones en un determinado ámbito medianteRBAC. El servidor de Exchange ejecuta las acciones autorizadas en nombre del administrador o los usuarios mediante lospermisos concedidos en Active Directory mediante los grupos de seguridad Permisos de Exchange Windows y Subsistemas deconfianza de Exchange. Para obtener más información acerca de RBAC, consulte Descripción del control de acceso basado en
funciones24.
En Exchange 2010, /PrepapareDomain no solicita las ACE para el grupo de seguridad universal Permisos de Exchange Windowsdel contenedor AdminSDHolder en Active Directory. Si /PrepareDomain detecta que hay ACE concedidas al grupo de seguridaduniversal Permisos de Exchange Windows, las ACE se quitan. Esto tiene las repercusiones siguientes:
Los miembros del grupo de seguridad universal Permisos de Exchange Windows no pueden modificar la pertenencia algrupo de los grupos de seguridad protegidos como Administradores de empresa y Administradores de dominio. Esto tienelas repercusiones siguientes:Los miembros del grupo de seguridad universal Permisos de Exchange Windows no pueden forzar el restablecimiento decontraseña de una cuenta que esté protegida por AdminSDHolder.Los miembros del grupo de seguridad universal Permisos de Exchange Windows no pueden alterar los permisos de ningúngrupo ni cuenta que estén protegidos por AdminSDHolder.
Se recomienda no habilitar para buzón las cuentas protegidas por AdminSDHolder y mantener cuentas independientes paralos administradores de Active Directory: una cuenta para administración de Active Directory, y otra para el uso cotidianonormal, incluido el correo electrónico. Para obtener más información, consulte los siguientes temas:
Descripción y actualización del objeto AdminSDHolder de Active Directory29
Exchange 2010 y resolución del problema de elevación de AdminSDHolder (posiblemente en inglés)30
El programa de instalación de Exchange 2010 crea una nueva unidad organizativa en el dominio raíz denominada Grupos deseguridad de Microsoft Exchange. En la tabla siguiente se muestran los nuevos grupos de seguridad universal.
Grupos de seguridad de Microsoft Exchange
Grupo de seguridad Descripción
Exchange All HostedOrganizations
Este grupo contiene todos los grupos de buzones de correo de la organización hospedados deExchange. Se usa para aplicar objetos de configuración de contraseña a todos los buzones de correohospedados. Este grupo no debe eliminarse.
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
16 of 34 12/7/2012 11:40 AM
Servidores de ExchangeEsto incluye todos los servidores de Exchange. Este grupo no debe eliminarse. Se recomiendaencarecidamente abstenerse de realizar cambios de pertenencia a grupo en este grupo.
Subsistema de confianzade Exchange
Este grupo contiene servidores de Exchange que ejecutan cmdlets de Exchange en nombre de losusuarios mediante un servicio de administración. Sus miembros tendrán permiso para leer ymodificar toda la configuración de Exchange, además de los grupos y las cuentas de usuario. Estegrupo no debe eliminarse.
Exchange Permisos deWindows
Este grupo contiene servidores de Exchange que ejecutan cmdlets de Exchange en nombre de losusuarios mediante un servicio de administración. Sus miembros tendrán permiso para leer ymodificar todos los grupos y las cuentas de Windows. Este grupo no debe eliminarse. Se recomiendaencarecidamente abstenerse de realizar cambios de pertenencia a grupo en este grupo; asimismo,se recomienda supervisar la pertenencia a grupos.
ExchangeLegacyInteropEste grupo sirve para interoperar con servidores de Exchange 2003 en el mismo bosque. Este grupono debe eliminarse.
Además de estos grupos de seguridad, el programa de instalación crea los grupos de seguridad siguientes, que corresponden agrupos de roles de RBAC con el mismo nombre.
Grupos de seguridad que corresponden a grupos de roles de RBAC
Grupo de seguridad Grupo de roles de RBAC
Configuración delegada Configuración delegada31
Administración de detección Administración de la detección32
Help Desk Servicio de asistencia33
Administración de higiene Administración de higiene34
Administración de la organización Administración de organizaciones35
Administración de carpetas públicas Administración de carpetas públicas36
Administración de destinatarios Administración de destinatarios37
Administración de registros Administración de registros38
Administración de servidor Administración de servidor39
Administración de mensajería unificada Administración de MU40
View-Only Organization Management Administración de organizaciones con permiso de vista41
Asimismo, al crear un grupo de roles, Exchange 2010 crea un grupo de seguridad con el mismo nombre que el grupo de roles.Para obtener más información, consulte los siguientes temas:
Grupos de funciones integradas26
Crear un grupo de funciones42
Los usuarios se agregan o quitan de estos grupos de seguridad cuando se agregan o quitan usuarios de grupos de roles
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
17 of 34 12/7/2012 11:40 AM
Sistema de archivos
Servicios
mediante los cmdlets Add-RoleGroupMember o Remove-RoleGroupMember, o bien con el Editor de usuarios de control
de acceso basado en roles (RBAC) en el Panel de control de Exchange.
El programa de instalación de Exchange 2010 crea directorios con los permisos mínimos para que Exchange 2010 puedafuncionar. No se recomienda reforzar los permisos en las listas de control de acceso de los directorios creados por el programade instalación.
El programa de instalación de Exchange 2010 no deshabilita de forma predeterminada ningún servicio de Windows. En la tablasiguiente aparecen los servicios que están habilitados de forma predeterminada en cada rol de servidor. De formapredeterminada, solo están habilitados los servicios necesarios para que funcione un determinado rol de servidor de Exchange2010.
Servicios instalados por el programa de instalación de Exchange
Nombre del
servicioNombre corto del servicio
Contexto
de
seguridad
Descripción y
dependencias
Tipo de inicio
predeterminado
Roles de
servidor
Necesario
(R) u
opcional
(O)
MicrosoftExchangeTopología deActiveDirectory
MSExchangeADTopologySistemalocal
Proporcionainformación detopología de ActiveDirectory a losservicios deExchange. Si elservicio se detiene, lamayor parte de losservicios deExchange no podráiniciarse. Esteservicio no tienedependencias.
Automático
Buzón decorreo,Transporte deconcentradores,Acceso declientes,Mensajeríaunificada
R
ADAM deMicrosoftExchange
ADAM_MSExchangeServicio dered
Almacena datos deconfiguración y datosde destinatarios en elservidor Transporteperimetral. Esteservicio representa lainstancia con nombrede ActiveDirectory LightweightDirectory Service (ADLDS) que creaautomáticamente elprograma deinstalación durante lainstalación delservidor Transporteperimetral. Esteservicio depende delservicio Sistema deevento COM+.
AutomáticoTransporteperimetral
R
Libreta dedireccionesde MicrosoftExchange
MSExchangeABSistemalocal
Administra lasconexiones delibretas dedirecciones declientes. Este serviciodepende del serviciode topología de
AutomáticoAcceso declientes
R
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
18 of 34 12/7/2012 11:40 AM
MicrosoftExchange ActiveDirectory.
Actualizacióncontra correoelectrónicono deseadode MicrosoftExchange
MSExchangeAntispamUpdateSistemalocal
ProporcionaMicrosoft ForefrontProtection 2010 parael servicio deactualización decorreo electrónico nodeseado de ExchangeServer. En servidoresTransporte deconcentradores, esteservicio depende delservicio de topologíade MicrosoftExchange ActiveDirectory. En losservidores Transporteperimetral, esteservicio depende delservicio ADAM deMicrosoft Exchange.
Automático
Transporte deconcentradores,Transporteperimetral
O
Servicio decredencialesde MicrosoftExchange
MSExchangeEdgeCredentialSistemalocal
Supervisa loscambios decredenciales en ADLDS e instala loscambios en elservidor Transporteperimetral. Esteservicio depende delservicio ADAM deMicrosoft Exchange.
AutomáticoTransporteperimetral
R
EdgeSync deMicrosoftExchange
MSExchangeEdgeSyncSistemalocal
Se conecta a unainstancia de AD LDSen los servidoresTransporte perimetralsuscritos medianteun canal LDAP seguropara sincronizardatos entre unservidor Transportede concentradores yun servidorTransporteperimetral. Esteservicio depende delservicio de topologíade MicrosoftExchange ActiveDirectory. Esteservicio se podrádeshabilitar si no haysuscripcionesperimetralesconfiguradas.
AutomáticoTransporte deconcentradores
O
Distribuciónde archivosde MicrosoftExchange
MSExchangeFDSSistemalocal
Distribuye libretas dedirecciones sinconexión (OAB) yavisos personalizados
Automático
Acceso decliente,Mensajeríaunificada
R
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
19 of 34 12/7/2012 11:40 AM
de mensajeríaunificada. Esteservicio depende delos servicios detopología y estaciónde trabajo deMicrosoftExchange ActiveDirectory.
Autenticaciónbasada enformulariosde MicrosoftExchange
MSExchangeFBASistemalocal
Proporcionaautenticación basadaen formularios aOutlook Web App y alPanel de control deExchange. Si sedetiene este servicio,Outlook Web App y elPanel de control deExchange noautenticarán a losusuarios. Esteservicio no tienedependencias.
AutomáticoAcceso declientes
R
IMAP4 deMicrosoftExchange
MSExchangeIMAP4Servicio dered
Proporciona serviciosIMAP4 a clientes. Sise detiene esteservicio, los clientesno podrán conectarsea este equipomediante el protocoloIMAP4. Este serviciodepende del serviciode topología deMicrosoftExchange ActiveDirectory.
ManualAcceso declientes
O
Almacén deinformaciónde MicrosoftExchange
MSExchangeISSistemalocal
Administra elAlmacén deinformación deExchange. Incluyebases de datos debuzones de correo yde carpetas públicas.Si se detiene esteservicio, no estarándisponibles las basesde datos de buzonesde correo y decarpetas públicas eneste equipo. Si sedeshabilita esteservicio, no sepodrán iniciar losservicios quedependanexplícitamente de él.Este servicio dependede los servicios RPC,Servidor, Registro deeventos deWindows y Estaciónde trabajo.
AutomáticoBuzón decorreo
R
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
20 of 34 12/7/2012 11:40 AM
Certificados
Consideraciones sobre NTLM
Autenticación de doble factor
Federación
El programa de instalación de Exchange 2010 crea certificados autofirmados para asegurar las comunicaciones entre distintosprotocolos, por ejemplo HTTP, SMTP, POP3 e IMAP4. Los certificados autofirmados creados por el programa de instalación tienenuna validez de cinco años. De este modo, no hace falta renovar los certificados autofirmados durante una parte considerable deuna implementación de Exchange 2010 y la expiración de los certificados autofirmados no afecta a los servicios de mensajería.
En el caso de los protocolos y mecanismos de acceso de clientes externos, por ejemplo Outlook Web App, POP3, IMAP4, OutlookAnywhere y Detección automática, se recomienda lo siguiente:
Usar certificados firmados por una entidad de certificación comercial de confianza entre los clientes que tienen acceso aesos servicios.
Usar el nuevo Asistente para certificados de Exchange o el cmdlet New-ExchangeCertificate43 para crear solicitudes defirma para entidades de certificación comerciales. Las solicitudes de certificado que se generan con estas herramientasaseguran que se cumplan todos los requisitos de certificado de Exchange.Tenga en cuenta los requisitos de certificado en cada protocolo o servicio para el que desea permitir el acceso de clientesexternos.
En los servidores de acceso de clientes, los certificados se usan para proteger el tráfico de HTTP (Outlook Anywhere,Outlook Web App, AutoDiscover, Exchange ActiveSync y servicios Web Exchange) mediante Capa de socketsseguros (SLL), y el tráfico de POP3 e IMAP4 mediante SSL o Seguridad de la capa de transporte (TLS). Para obtener
más información, consulte Administrar SSL para un servidor de Acceso de cliente44.En el caso de los servidores Transporte, los certificados se usan para proteger el tráfico de SMTP mediante TLS. Para
obtener más información, consulte Descripción de los certificados TLS45.En el caso de los servidores Mensajería unificada, los certificados se usan para proteger el tráfico de voz sobre IP
(VoIP). Para obtener más información, consulte Descripción de la seguridad de la mensajería unificada VoIP46.Por lo que respecta a la federación, los certificados se usan para cifrar tokens de SAML que se intercambian conMicrosoft Federation Gateway y con organizaciones de asociados federadas. Para obtener más información, consulte
Descripción de la federación47.Supervise las fechas de vigencia de los certificados y renueve los certificados con las entidades de certificación en elmomento oportuno para prevenir la interrupción de los servicios.Cuando almacene certificados exportados con la clave privada asociada, proteja el archivo exportado mediante losoportunos controles de acceso en la carpeta o el archivo donde se vaya a guardar. Según los requisitos que tenga laorganización, considere la posibilidad de habilitar la auditoría del acceso de archivos en las carpetas donde se almacenanlos archivos de certificado con claves privadas.
El protocolo NTLM es notablemente menos seguro que el protocolo Kerberos. En Exchange 2010, los protocolos POP3 e IMAP4no admiten autenticación NTLM si SecureLogin se especifica como LoginType. Para obtener más información, consulte
Configuración de la autenticación para POP3 e IMAP448. Los servicios Exchange 2010 que usan Autenticación integrada deWindows pueden usar los protocolos NTLM y Kerberos. Kerberos se usa para la comunicación de servidor de acceso de clientecon un servidor de buzones de correo de Exchange 2010, así como entre servidores de acceso de clientes para Outlook WebApp, Exchange ActiveSync y servicios Web Exchange. Para obtener más información sobre los servicios que usan NTLM para
autenticar, consulte Referencia del puerto de red de Exchange20.
Los mecanismos de autenticación de doble factor usan otra autenticación además de las credenciales de inicio de sesión deusuario (nombre de usuario y contraseña), por ejemplo tokens generados de forma aleatoria o un certificado digital en unaSmartCard junto con un PIN. Muchas organizaciones implementan la autenticación de doble factor para posibilitar un accesoseguro a la red de la organización.
Exchange 2010 no incluye soporte nativo para autenticación de doble factor. Exchange 2010 usa Internet Information Server(IIS) 7 para el acceso de clientes a través de HTTP (Detección automática, Outlook Web App, Outlook Anywhere, ExchangeActiveSync y servicios Web Exchange). Los asociados y terceros disponen de numerosos productos de autenticación de doblefactor que se integran con IIS y que funcionan con servicios de acceso de clientes de Exchange como Outlook Web App. Antesde implementar productos de autenticación de doble factor para servicios de Exchange, se recomienda probarlosadecuadamente para asegurarse de que cumplan los requisitos de seguridad de la organización y de que proporcionen lafuncionalidad que se necesita.
Exchange 2010 incorpora nuevas características de federación que permiten la colaboración segura entre organizacionesfederadas de Exchange. Las organizaciones de Exchange 2010 pueden crear una confianza de federación con MicrosoftFederation Gateway y establecer relaciones de organización con otras organizaciones federadas para compartir calendarios einformación de disponibilidad. Mediante las directivas de uso compartido, las organizaciones también pueden permitir que los
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
21 of 34 12/7/2012 11:40 AM
Extensiones seguras multipropósito al correo de Internet (S/MIME)
usuarios compartan su información sobre disponibilidad, el calendario o los contactos con usuarios de organizaciones externasfederadas. Para obtener más información sobre confianzas de generación y el uso compartido federado, consulte Descripción de
la federación47 y Descripción de la delegación federada49.
Después de establecer una confianza de federación con MFG, el uso compartido entre dos organizaciones federadas no tienelugar a menos que se cree una relación organizativa. Ahora bien, de forma predeterminada el uso compartido entre los usuariosde la organización y los de organizaciones externas federadas se habilita mediante la directiva predeterminada de usocompartido asignada a los usuarios. Esta directiva permite el uso compartido del calendario con información sobredisponibilidad solamente con usuarios de organizaciones externas federadas. Si no desea que los usuarios compartan suinformación sobre disponibilidad con usuarios de todos los dominios externos federados, deshabilite la directiva predeterminadade uso compartido o cambie el nombre de dominio especificado en la directiva por los únicos dominios con los que quieracompartir la información. Este cambio debe realizarse antes de crear una confianza de federación con MFG. Para obtener más
información, consulte Deshabilitar una directiva de uso compartido50 y Configurar propiedades de la directiva de uso
compartido51.
Todas las características de federación de una organización, incluidas la delegación federada, pueden deshabilitarse quitando laconfianza de federación de la organización con MFG. Para obtener más información, consulte Quitar las confianzas de
federación52.
Extensiones seguras multipropósito al correo de Internet (S/MIME) es un estándar de cifrado de claves públicas y firma dedatos MIME que proporciona autenticación, integridad de mensajes, no rechazo y privacidad de datos para datos de mensajería.Los certificados S/MIME permiten que los usuarios puedan firmar o cifrar mensajes, o bien ambas cosas. Para obtener más
información acerca de S/MIME, vea Descripción de S/MIME53 (posiblemente en inglés).
S/MIME es una tecnología orientada a clientes sin requisitos de interoperabilidad para servidores de correo electrónico. En elámbito de la transferencia de mensajes, los mensajes firmados o cifrados con S/MIME se transfieren del mismo modo que losmensajes no cifrados. La representación en sí del mensaje se efectúa en el lado cliente tras las comprobaciones de validaciónde mensajes y certificados. En el caso de Outlook Web App, la compatibilidad con S/MIME es posible con un control ActiveX.Aunque Outlook Web App admite los exploradores más usados como Microsoft Internet Explorer, Mozilla FireFox y Safari, loscontroles ActiveX son una característica de Internet Explorer. Los usuarios de Outlook Web App que usan otros exploradores notienen acceso a las características de S/MIME y es posible que deban usar otro cliente de correo electrónico que admitaS/MIME. Para obtener más información sobre la compatibilidad de S/MIME en Outlook Web App, consulte Outlook Web App y
S/MIME54.
Para obtener más información acerca del soporte de S/MIME en Outlook, vea Descripción general de certificados y mensajes
cifrados en Outlook55 (posiblemente en inglés).
Aunque S/MIME proporcione ventajas de seguridad a una organización, cuando evalúe la tecnología debe tener en cuenta losiguiente:
Los mensajes cifrados con S/MIME son opacos para la organización. El software de seguridad para mensajería como losantivirus y la detección de correo no deseado no pueden inspeccionar el contenido de los mensajes, tanto el cuerpo de losmensajes como los datos adjuntos.Como el contenido de los mensajes y los datos adjuntos están cifrados, las directivas de mensajería de la organización,incluidas las reglas de transporte, no pueden aplicarse a los mensajes cifrados con S/MIME.Si se modifican los mensajes firmados con S/MIME para adecuarlos a las directivas de mensajería de la organización, porejemplo para aplicar una declinación de responsabilidades o una firma personalizada, el mensaje se invalida.El contenido de los mensajes cifrados no puede inspeccionarse para detectar infracciones de contenido y la organizaciónno puede proteger datos confidenciales. Esto afecta a cualquier información de identificación personal que salga de laorganización.Exchange Search no puede indizar los mensajes cifrados con S/MIME; por lo tanto, no pueden buscarse por detección.Para ajustarse a la normativa local o a los requisitos de detección en caso de litigio, es posible que la organización debaproporcionar copias de todos los mensajes cifrados que no están cifrados.
Exchange 2010 proporciona características de Information Rights Management con las cuales la organización puede aplicarprotección permanente a contenido confidencial de los mensajes de modo que solamente determinados destinatarios tenganacceso a mensajes protegidos de este modo. Asimismo, la organización puede implementar controles sobre la manera de usarese contenido una vez lo hayan recibido los destinatarios. Por ejemplo, se puede impedir la impresión, la respuesta o el reenvíode mensajes dentro o fuera de la organización. Además, la organización puede descifrar contenido protegido por IRM paraaplicar software antivirus y detección de correo no deseado y otros agentes de transporte, aplicar directivas de mensajeríamediante reglas de transporte, así como habilitar la detección y el archivado de mensajes protegidos por IRM. Lascaracterísticas de IRM también están disponibles en todos los exploradores web compatibles con Outlook Web App y endispositivos Windows Mobile. Para obtener más información acerca de IRM, consulte Descripción de Information Rights
Management56.
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
22 of 34 12/7/2012 11:40 AM
Consideraciones sobre roles del servidor
Consideraciones sobre el servidor de buzones de correo
Almacenamiento
Alta disponibilidad
En esta sección figuran una serie de aspectos sobre seguridad relativos al rol del servidor de Exchange 2010.
En Exchange 2010, se han realizado cambios de arquitectura en el almacenamiento y la conectividad de Exchange desdeclientes MAPI como Outlook. Los clientes MAPI se conectan con el servidor de acceso de cliente; de este modo, el servidor debuzones se aísla del tráfico de clientes. Los servidores Buzón de correo se comunican solamente con los servidores de accesode cliente que usan RPCSec, así como con los servidores Active Directory Domain Services (AD DS) de la organización. Losservidores Buzón de correo no necesitan conexión a Internet.
El almacenamiento es un componente fundamental en los servidores Buzón de correo. Debe planear el subsistema dealmacenamiento del servidor de buzones de correo para asegurar un rendimiento correcto y un espacio de almacenamientoadecuado para la implementación. Para obtener más información sobre la planeación del almacenamiento de servidores de
buzones de correo, consulte Diseño del almacenamiento del servidor de buzones de correo57.
Tras implementar el servidor de buzones de correo, debe supervisar los aspectos siguientes:
Disponibilidad del subsistema de almacenamientoDisponibilidad de suficiente espacio en disco en volúmenes que contengan la base de datos de buzones de correo ylos registros de transacciones. Cuando el volumen que almacena la base de datos o los registros de transacciones sequeda sin espacio disponible en disco, se desmonta un buzón de correo o una base de datos de carpetas públicas.
Use Microsoft Federation Gateway Systems Center Operations Manager para supervisar la disponibilidad de
almacenamiento y el espacio libre en disco. Para obtener más información, vea Systems Center Operations Manager 200758
(posiblemente en inglés).
Al planear y supervisar el almacenamiento, si tiene previsto usar las características siguientes, debe tener en cuenta susrequisitos de almacenamiento:
Registro en diario Si usa registro en diario para el archivo de mensajes a largo plazo, según si se usa el registroen diario estándar (por base de datos de buzones) o registro en diario premium (reglas de diario), los mensajes quese envían y reciben de todos los destinatarios de una base de datos de buzones de correo o los destinatariosespecificados en una regla de diario se distribuyen en un informe de diario al buzón de registro en diario o aldestinatario indicado. El resultado puede ser una gran cantidad de informes de diario entregados a un buzón decorreo de registro en diario. Al planear el almacenamiento para servidores Buzón de correo, tenga en cuenta lostamaños de buzón de correo de registro en diario. Puede controlar los tamaños de buzones de correo de registro endiario configurando cotas de buzón de correo suficientes para un buzón de correo de registro en diario. Para obtenermás información sobre registro en diario y cuotas de buzones de correo, consulte los temas siguientes:
Descripción del registro en diario59
Configurar cuotas de almacenamiento para un buzón60
Retención por juicio Si coloca un buzón de correo en retención por juicio, los elementos eliminados por el usuariomediante Recuperar elementos eliminados en Outlook y Outlook Web App, y mensajes eliminados por procesosautomatizados como MRM se conservan hasta que se quita la retención por juicio. En Exchange 2010, la cuota deadvertencia de elementos recuperables se establece en 20 GB y 30 GB. Para obtener información detallada, consultelos siguientes temas:
Descripción de la retención legal61
Descripción de los elementos recuperables62
La alta disponibilidad en servidores Buzón de correo es fundamental para asegurar la disponibilidad en los servicios demensajería. Exchange 2010 incluye grupos de disponibilidad de base de datos para servidores Buzón de correos de altadisponibilidad. Los grupos de disponibilidad de base de datos pueden proporcionar disponibilidad en caso de error en elsubsistema de almacenamiento, el servidor, la conexión de red o una interrupción de todo un centro de datos en laimplementación de Exchange. Para obtener más información sobre cómo planear y configurar una implementación de
Exchange 2010 de alta disponibilidad, consulte Alta disponibilidad y resistencia de sitios63.
De forma predeterminada, en Exchange 2010, el tráfico de replicación (trasvase de registros) entre miembros de DAGubicados en diferentes sitios de Active Directory está cifrado. Puede cifrar tráfico de replicación entre servidores en elmismo sitio de Active Directory definiendo como deshabilitada (Enabled) la propiedad NetworkEncryption del DAG. Use elcmdlet Set-DatabaseAvailabilityGroup para modificar esta propiedad para un DAG.
La replicación se da en un solo puerto TCP, de forma predeterminada el puerto TCP 64327, pero se puede modificar. Para
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
23 of 34 12/7/2012 11:40 AM
Acceso y permisos de buzones de correos
Consideraciones sobre los servidores de acceso de cliente
obtener más información, consulte Configurar las propiedades del grupo de disponibilidad de la base de datos64.
Parámetros para alta disponibilidad
Parámetro Descripción
NetworkEncryption
El parámetro NetworkEncryption especifica si se ha habilitado el cifrado. Los valores válidos son:
Disabled deshabilitado en todas las redesEnabled habilitado en todas las redesInterSubnetOnly habilitado solo para comunicaciones dentro de la subredSeedOnly habilitado solo para propagación
Valor predeterminado InterSubnetOnly
ReplicationPort
El parámetro ReplicationPort especifica un puerto de Protocolo de control de transmisión (TCP) para laactividad de replicación (propagación y trasvase de registros).
Valor predeterminado Si no se especifica este parámetro, el puerto predeterminado para lareplicación es TCP 64327.
De forma predeterminada, Exchange 2010 no permite que los administradores tengan acceso a los buzones de correo. Si laorganización usa servicios o aplicaciones que necesitan tener acceso a un buzón de correo, debe asignar loscorrespondientes permisos de buzón de correo a las cuentas usadas por dichos servicios o aplicaciones Se recomienda noconfigurar esos servicios o aplicaciones para usar credenciales de administrador.
Si bien todos los buzones de correo pueden contener información confidencial valiosa para una organización, debeprestarse especial atención a los buzones siguientes en lo concerniente a la seguridad; los permisos para tener acceso aellos deben controlarse y supervisarse para cumplir con los requisitos de seguridad de la organización.
Buzones de correo de detección Los usa la característica Búsqueda en varios buzones de correo de Exchange2010. Esto permite que los administradores de detecciones que pertenecen al grupo de roles Administración dedetección busquen mensajes en todos los buzones de correo de una organización de Exchange 2010. Los mensajesdevueltos por una búsqueda de detección se copian en el buzón de correo de detección pertinente. El programa deinstalación de Exchange 2010 crea un buzón de correo de detección predeterminado. Para obtener más información,
consulte Descripción de la búsqueda en varios buzones65.Buzones de correo de registros en diario Si configura el registro en diario para una base de datos de buzonesde correo o crea reglas de diario para mensajes de diario y para unos destinatarios determinados, los informes dediario se entregan al buzón de correo de registros en diario especificado. Para obtener información detallada, consultelos siguientes temas:
Descripción del registro en diario59
Crear y configurar un buzón de correo de registro en diario66
Además de proteger estos buzones de correo, un administrador puede usar reglas de transporte para inspeccionar elcontenido de mensajes, así como entregar una copia del mensaje a otro destinatario, incluso si es un destinatario CCO. Lospermisos necesarios para administrar reglas de transporte figuran en la entrada sobre reglas de transporte en el tema
Permisos de directiva de mensajería y conformidad67. Se recomienda aplicar controles adecuados para supervisar ycontrolar la creación y modificación de reglas de transporte, además de realizar auditorías periódicas de reglas detransporte para todas las reglas.
En Exchange 2010, los clientes siguientes se conectan con servidores de acceso de cliente para tener acceso a buzones decorreo:
Clientes de Outlook que usan MAPIClientes de Outlook que usan Outlook AnywhereExploradores web que usan Outlook Web App,Dispositivos móviles que usan Exchange ActiveSyncClientes POP3 e IMAP4Aplicaciones que usan servicios Web Exchange (EWS)
De forma predeterminada, estos métodos de acceso de clientes se protegen mediante rutas de acceso a datos cifradas.También de forma predeterminada, los clientes de Outlook que se conectan a un servidor de acceso de cliente que usa MAPI
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
24 of 34 12/7/2012 11:40 AM
Importante:
Consideraciones sobre servidores de transporte
emplean cifrado RPC. El acceso de Outlook Web App, Outlook Anywhere y Exchange ActiveSync se protege mediante Capa desockets seguros.
En el caso del acceso de clientes externos, debe obtener e instalar certificados firmados por una entidad de certificación quesea de confianza para el cliente. Para obtener más información, consulte Administrar SSL para un servidor de Acceso de
cliente44.
De forma predeterminada, los servicios POP3 e IMAP4 están deshabilitados en los servidores de acceso de clientes deExchange 2010. Si los habilita, se recomienda usar Seguridad de la capa de transporte o Capa de sockets seguros paraproteger mejor las comunicaciones mediante el uso de estos protocolos. Para obtener información detallada, consulte lossiguientes temas:
Descripción de POP3 e IMAP468
Configuración de TLS y SSL para acceso POP3 e IMAP469
Se recomienda usar los controles de acceso y firewalls adecuados cuando publique servidores de acceso de clientes paraacceso externo. Microsoft Forefront Threat Management Gateway (TMG) 2010 incluye asistentes para publicación parapublicar de manera fácil y segura servidores de acceso de cliente de Exchange 2010 para acceso externo. Para obtener más
información, consulte Forefront Threat Management Gateway (TMG) 201070 (en inglés).
No se admite la búsqueda de servidores de acceso de cliente en redes perimetrales
En servidores de acceso de cliente, Internet Information Server (IIS) se usa para proporcionar acceso de protocolo HTTP aservicios como Outlook Web App, Exchange ActiveSync, Outlook Anywhere, Detección automática, Panel de control deExchange Control Panel , servicios Web Exchange y libreta de direcciones sin conexión. Remote PowerShell también usa IIS ytodas las solicitudes de RPS, incluidas las de la Consola de administración de Exchange, figuran en registros de IIS. Losregistros de IIS pueden crecer hasta consumir una gran cantidad de espacio en disco. IIS, que es un componente deWindows Server, no tiene un mecanismo para borrar registros antiguos basados en el tamaño del directorio en el que residenlos archivos de registro. En este caso, se recomienda trasladar los registros de IIS a un volumen que no sea del sistema. Deeste modo, aunque los archivos de registro crezcan en tamaño, seguirá habiendo espacio disponible en disco; de lo contrario,el servicio podría interrumpirse. Es conveniente supervisar el crecimiento de los archivos de registro e implementar unmecanismo que de forma manual los vaya eliminando o archivando. Para obtener más información, vea Configurar el registro
en IIS 771 (posiblemente en inglés).
Exchange 2010 ofrece dos roles del servidor Transporte ideados para finalidades diferentes.
Transporte perimetral El rol de servidor Transporte perimetral consiste en un servidor de transporte que no formaparte de un dominio. En general, se ubica en redes perimetrales y transfiere mensajes entre los hosts SMTP de unaorganización de Exchange y SMTP hosts SMTP externos. Aunque se haya diseñado para redes perimetrales, losservidores Transporte perimetral también pueden ubicarse en la red interna y conectarse al servidor en un dominio deActive Directory en calidad de servidor miembro.Transporte de concentradores El rol del servidor Transporte de concentradores transfiera mensajes dentro de laorganización, incluidos mensajes entre servidores de Exchange, mensajes de clientes SMTP como usuarios de POP3 eIMAP4, así como dispositivos y servidores de aplicaciones.
De forma predeterminada, en Exchange 2010, la comunicación SMTP se protege mediante TLS.
Comunicación SMTP entre servidores Transporte de concentradores Los servidores Transporte de concentradores deuna organización de Exchange usan TLS para proteger mejor las comunicaciones SMTP dentro de la organización. Serecomienda dejar habilitada TLS en los servidores Transporte de concentradores. En Exchange 2010, las organizaciones queusan dispositivos que no son de Exchange o aplicaciones para efectuar cifrado TLS pueden descargar TLS de servidoresTransporte de concentradores en dichas aplicaciones. Para obtener más información, consulte Deshabilitar TLS entre sitios de
Active Directory para permitir la optimización de WAN72.
Comunicación SMTP entre servidores Transporte de concentradores y Transporte perimetral Todo el tráfico entreservidores Transporte de concentradores y Transporte perimetral se autentica y cifra. El mecanismo subyacente deautenticación y cifrado es TLS mutuo. En lugar de usar la validación X.509 para validar certificados, Exchange 2010 usa laconfianza directa para autenticar certificados. Confianza directa significa que la presencia mismo del certificado en ActiveDirectory o Active Directory Lightweight Directory Services (AD LDS) valida el certificado. Active Directory se considera unmecanismo de almacenamiento de confianza. Cuando se usa confianza directa, no importa si el certificado es autofirmado olo ha firmado una entidad de certificación. Cuando un servidor Transporte perimetral se suscribe a un sitio de ActiveDirectory, la suscripción perimetral publica el certificado del servidor Transporte perimetral en Active Directory. Los servidoresTransporte de concentradores consideran válido el certificado publicado. El servicio EdgeSync de Microsoft actualiza AD LDS
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
25 of 34 12/7/2012 11:40 AM
NOTA:
en servidores Transporte perimetral que tienen certificados de servidor Transporte de concentradores, considerados válidospor el servidor Transporte perimetral.
Comunicación SMTP entre servidores Transporte perimetral y hosts externos En Exchange 2010, la comunicaciónSMTP entre servidores Transporte perimetral y hosts externos queda protegida de forma predeterminada mediante TLSoportunista. No se necesita un certificado emitido por una entidad de confianza ni realizar ninguna clase de configuración. Losconectores de recepción ofrecen negociación de TLS para conexiones SMTP entrantes. Los conectores de envío tambiénintentan la negociación de TLS para todas las conexiones SMTP salientes. La TLS oportunista no realiza la validación decertificados, lo que permite el uso de certificados autofirmados. Para obtener más información, consulte Funciones de TLS y
terminología relacionada en Exchange 201073.
De forma predeterminada, los servidores Transporte de concentradores no pueden comunicarse con hosts SMTP externos,puesto que en dichos servidores no hay conectores de recepción que permitan a los hosts anónimos comunicarse. Losservidores Transporte de concentradores pueden configurarse para comunicarse con hosts anónimos. Para obtener másinformación, consulte Configurar el flujo de correo de Internet directamente a través de un servidor de transporte de
concentradores74. No se recomienda usar esta topología porque incrementa los riesgos para la seguridad, ya que exponeel servidor de Exchange 2010 y todos los roles instaladas en dicho servidor a Internet. Se recomienda implementar, encambio, una puerta de enlace SMTP basada en una red perimetral, como el servidor Transporte perimetral.
Comunicación SMTP entre servidores Transporte perimetral o de concentradores y hosts inteligentes EnExchange 2010, puede configurarse un conector de envío para enrutar el correo de dominios remotos, incluido el correo deInternet, a una puerta de enlace SMTP que en general reside en la red perimetral. Si bien es posible crear un conector deenvío para enrutar el correo electrónico a un host inteligente sin ninguna autenticación, en esta clase de conectores serecomienda usar la autenticación pertinente. Si usa autenticación básica, se recomienda la autenticación básica sobre TLS. Siselecciona la opción protegida externamente, se supone que la autenticación se realiza con un mecanismo que no es deExchange, por ejemplo IPsec. Al configurar el conector con la dirección de un host inteligente, puede usar la dirección IP delhost o bien su FQDN. Se recomienda usar la dirección IP del host inteligente porque brinda protección contra los DNSdudosos, frente a la comodidad de usar el FQDN.
Uso de seguridad de dominio para comunicación SMTP con asociados En Exchange 2010, puede usar seguridad dedominio para proteger mejor las rutas de acceso de comunicación de mensajes con dominios de asociados. La seguridad dedominio utiliza TLS mutua para proporcionar autenticación y cifrado basados en la sesión. En el caso de la autenticación TLSmutua, los host de origen y destino comprueban la conexión realizando la validación del certificado X.509. Los servidoresTransporte que se comunican con dominios de asociados configurados para seguridad de dominio requieren un certificadofirmado por un tercero de confianza o por una entidad de certificación interna. Si se usa una entidad de certificación interna,la lista de revocación de certificados debe configurarse y estar disponible para el host del asociado. Para obtener másinformación, consulte los siguientes temas:
Descripción de la seguridad de dominio75
White Paper: Seguridad de dominio en Exchange 2007 (en inglés).76
Exchange 2010 usa el puerto SMTP predeterminado (puerto TCP 25) para la comunicación SMTP. El programa de instalaciónde Exchange crea las correspondientes reglas de firewall en Windows Firewall con Seguridad avanzada para permitir lacomunicación en los puertos predeterminados. Si especifica un puerto diferente para un conector, Exchange no modifica lasreglas de firewall o crea automáticamente una regla que permita la comunicación en el puerto no predeterminado. Laconfiguración del firewall debe modificarse manualmente para permitir la comunicación en puertos no predeterminados. Si seconfigura un conector de recepción para un puerto no predeterminado, los clientes SMTP que envían mensajes al conectortambién deben configurarse para usar el puerto no predeterminado.
En Exchange 2010, puede buscar el rol del servidor Transporte de concentradores en un servidor de buzones de correo deExchange 2010. Esto incluye un servidor de buzones de correo que pertenezca a un grupo de disponibilidad de base de datos(DAG). Se recomienda no buscar el rol del servidor Transporte de concentradores en un servidor de buzones de correo, sobretodo en topologías donde no se implementan servidores Transporte perimetral, con el fin de aislar servidores de buzones decorreo de Internet. Puede buscar el rol del servidor Transporte de concentradores en servidores de acceso de cliente. Debeseguir las directivas de tamaño en cada rol del servidor al colocar roles del servidor en el mismo servidor.
Cuando se especifica un host inteligente para un conector de envío en un servidor Transporte de concentradores o perimetral,se recomienda usar direcciones IP en lugar del FQDN de un host inteligente para proteger el DNS de mensajes dudosos ysuplantaciones de identidad. Esto minimiza también las repercusiones de las interrupciones de DNS en la infraestructura detransporte. Los servidores DNS de las redes perimetrales deben usarse solo para resolución externa. Los servidores DNSperimetrales pueden contener registros para servidores Transporte de concentradores. También puede usar archivos de hostsen servidores Transporte perimetral para evitar la creación de registros para servidores Transporte de concentradores enservidores DNS ubicados en redes perimetrales.
Además de los pasos tratados en esta sección, debe considerarse la aplicación de las correspondientes restricciones de
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
26 of 34 12/7/2012 11:40 AM
Consideraciones sobre mensajería unificada
espacio en los mensajes en conectores, así como la configuración de limitaciones de mensajes. Para obtener informacióndetallada, consulte los siguientes temas:
Descripción de los límites de tamaño de los mensajes77
Descripción del límite de mensajes78
Si se planea implementar el rol del servidor Mensajería unificada, debe tener en cuenta los diferentes canales decomunicación usados por la mensajería unificada para comunicarse con puertas de enlace IP o IP PBX.
De forma predeterminada, al crear un plan de marcado de mensajería unificada, se comunicará en modo No protegida.Además los servidores de mensajería unificada asociados con el plan de marcado de mensajería unificada enviarán y recibirándatos desde puertas de enlace IP, IP PBX y otros equipos de Exchange 2010 sin usar cifrado. En modo No protegida, ni elcanal de medios con Protocolo de transporte en tiempo real (RTP) ni la información de señalización en SIP están cifrados.
Se puede configurar un servidor de mensajería unificada para que use la TLS mutua y cifre el tráfico de SIP y RTP que envía aotros dispositivos y servidores, y recibe de estos. Cuando se agrega un servidor de mensajería unificada a un plan demarcado de mensajería unificada y este último se configura para que use el modo SIP protegida, solo se cifrará el tráfico deseñalización de SIP, mientras que los canales de medios con RTP seguirán usando TCP. TCP no está cifrado. No obstante, si seagrega un servidor de mensajería unificada a un plan de marcado y este se configura para usar el modo Protegida, se cifraránel tráfico de señalización de SIP y los canales de medios RTP. Un canal de medios de señalización seguro que usa el Protocolode transporte en tiempo real seguro (SRTP) también usará la TLS mutua para cifrar los datos de VoIP.
Si la puerta de enlace IP o IP PBX que se usan admiten IPsec, también puede usar IPsec para proteger mejor la comunicaciónentre un servidor de mensajería unificada y la puerta de enlace IP o IP PBX.
Para obtener más información, consulte Descripción de la seguridad de la mensajería unificada VoIP46.
La mensajería unificada también envía mensajes como notificaciones de llamadas perdidas y mensajes de correo de voz aservidores Transporte de concentradores. De forma predeterminada, esta comunicación se realiza sobre SMTP con cifradoTLS.
Puede configurar una directiva de buzón de correo de mensajería unificada para acceso sin PIN. Eso permite que el autor deuna llamada tenga acceso al correo de voz sin tener que proporcionar un PIN, basado en el identificador de llamada de lallamada. La suplantación de identidad de los identificadores de llamada es muy escasa. Se recomienda no habilitar el accesoal correo de voz sin PIN. También se recomienda comprobar las opciones predeterminadas del PIN y configurarlas para que seadecuen a los requisitos de seguridad de la organización. Las opciones siguientes pueden configurarse para una directiva debuzón de correo de mensajería unificada mediante el cmdlet Set-UMMailboxPolicy.
Parámetros para controlar el PIN de usuario para tener acceso al correo de voz
Parámetro Descripción
AllowCommonPatterns
El parámetro AllowCommonPatterns especifica si se van a permitir PIN obvios. Por ejemplo,PIN obvios pueden ser subconjuntos de números de teléfono, números secuenciales onúmeros repetidos. Si se establece en $false, se rechazarán los números secuenciales, losnúmeros repetidos y el sufijo de la extensión de buzón. Si se establece en $, solo se rechazaráel sufijo de la extensión de buzón.
AllowPinlessVoiceMailAccess
El parámetro AllowPinlessVoiceMailAccess especifica si los usuarios asociados con la directivade buzones de mensajería unificada deben usar un número de identificación personal paratener acceso a su correo de voz. El número de identificación personal también será necesariopara tener acceso al correo electrónico y al calendario.
Valor predeterminado deshabilitado ($false).
LogonFailusresBeforePINReset
El parámetro LogonFailuresBeforePINReset especifica el número de intentos incorrectos deinicio de sesión secuenciales realizados antes del restablecimiento automático del PIN delbuzón. Para deshabilitar esta característica, establezca este parámetro en Sin límite. Si esteparámetro no está establecido en Sin límite, se debe establecer en un valor inferior al valordel parámetro MaxLogonAttempts. El intervalo va de 0 a 999.
Valor predeterminado 5 errores.
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
27 of 34 12/7/2012 11:40 AM
MaxLogonAttempts
El parámetro MaxLogonAttempts especifica el número de intentos incorrectos de inicio desesión secuenciales que puede realizar un usuario, antes de que se bloqueen los buzones demensajería unificada. El intervalo va de 1 a 999.
Valor predeterminado 15 intentos.
MinPINLength
El parámetro MinPINLength especifica el número mínimo de dígitos debe tener un PIN para losusuarios habilitados para mensajería unificada. El intervalo va de 4 a 24.
Valor predeterminado 6 dígitos.
PINHistoryCount
El parámetro PINHistoryCount especifica el número de PIN anteriores que se recuerdan y noestán permitidos durante el restablecimiento de un PIN. Este número incluye la primera vezque se estableció el PIN. El intervalo va de 1 a 20.
Valor predeterminado 5 PIN.
PINLifetime
El parámetro PINLifetime especifica el número de días que deben transcurrir hasta que senecesite una contraseña nueva. El intervalo es de 1 a 999. Si se especifica Sin límite, el PINdel usuario no expirará.
Valor predeterminado 60 días.
En Exchange 2010, los mensajes de correo de voz pueden marcarse como protegidos. Los mensajes de correo de voz seprotegen mediante Information Rights Management (IRM). Las opciones de protección del correo de voz pueden configurarseestableciendo el parámetro siguiente en una directiva de buzón de correo de mensajería unificada. Para obtener informacióndetallada, consulte los siguientes temas:
Descripción del correo de voz protegido79
Descripción de Information Rights Management56
Parámetros de correo de voz protegido
Parámetro Descripción
ProtectAuthenticatedVoicemail
El parámetro ProtectAuthenticatedVoiceMail especifica si los servidores de mensajeríaunificada que responden a llamadas de Voice Access de Outlook para usuarios habilitadospara mensajería unificada asociados con la directiva de buzones de mensajería unificadacrean mensajes de correo de voz protegidos. Si el valor se establece en Privado, solo seprotegen los mensajes marcados como privados. Si el valor se establece en Todos, seprotegen todos los mensajes de correo de voz.
Valor predeterminado Ninguno (no se aplica protección a los mensajes de correoelectrónico).
ProtectUnauthenticatedVoiceMail
El parámetro ProtectUnauthenticatedVoiceMail especifica si los servidores de mensajeríaunificada que contestan a las llamadas de los usuarios habilitados para mensajería unificadaasociados con la directiva de buzones de mensajería unificada crean mensajes de correo devoz protegidos. Esto también se aplica cuando se envía un mensaje desde un operadorautomático de mensajería unificada a un usuario habilitado para mensajería unificadaasociado con la directiva de buzones de mensajería unificada. Si el valor se establece enPrivado, solo se protegen los mensajes marcados como privados. Si el valor se establece enTodos, se protegen todos los mensajes de correo de voz.
Valor predeterminado Ninguno (no se aplica protección a los mensajes de correoelectrónico).
RequireProtectedPlayOnPhone
El parámetro RequireProtectedPlayOnPhone especifica si los usuarios asociados con ladirectiva de buzones de mensajería unificada solo pueden usar la función Reproducir enteléfono para mensajes de correo de voz protegidos, o bien si los usuarios pueden usarsoftware multimedia para reproducir el mensaje protegido.
Valor predeterminado $false. Los usuarios pueden usar ambos métodos para escuchar
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
28 of 34 12/7/2012 11:40 AM
Importante:
Apéndice 1: Documentación adicional sobre la seguridad
Funcionalidad contra correo electrónico no deseado y antivirus
Certificados
Autenticación del cliente y seguridad
Outlook Web App
Outlook Anywhere
POP3 e IMAP
Permisos
los mensajes de correo de voz protegidos.
Para que los usuarios de mensajería unificada puedan seguir contestando a llamadas, es fundamental que tengan acceso aActive Directory. Se recomienda supervisar la disponibilidad de Active Directory.
Esta sección contiene vínculos a documentación adicional sobre la seguridad en Exchange.
Descripción de la funcionalidad contra correo no deseado y antivirus14
Administración de características antivirus y contra correo electrónico no deseado80
Cmdlets contra correo electrónico no deseado81
Descripción de los certificados TLS45
Administrar SSL para un servidor de Acceso de cliente44
Configurar SSL para Exchange ActiveSync82
Configurar SSL para Outlook en cualquier lugar83
Configuración de TLS y SSL para acceso POP3 e IMAP469
Configurar los directorios virtuales de Outlook Web App para usar SSL84
Crear un nuevo certificado de Exchange85
Importar un certificado de Exchange86
Ver propiedades de certificado de Exchange87
Asignar servicios a un certificado88
Configuración de la autenticación para Exchange ActiveSync89
Configuración de la autenticación para POP3 e IMAP448
Configuración de la autenticación basada en formularios para Outlook Web App90
Configuración de métodos de autenticación estándar para Outlook Web App91
Administración de la seguridad de Outlook Web App92
Configurar los directorios virtuales de Outlook Web App para usar SSL84
Configuración de la autenticación basada en formularios para Outlook Web App90
Configuración de métodos de autenticación estándar para Outlook Web App91
Configure Outlook Web App to Work with Active Directory Federation Services93
Outlook Web App y S/MIME54
Administración de la seguridad de Outlook en cualquier lugar94
Administración de la seguridad de POP3 e IMAP495
Configurar la autenticación para POP396
Configurar la autenticación para IMAP497
Configuración de TLS y SSL para acceso POP3 e IMAP469
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
29 of 34 12/7/2012 11:40 AM
Protección del flujo de correo
Directiva de mensajería y cumplimiento normativo
Federación
Referencia de los permisos de implementación de Exchange 201028
Descripción del control de acceso basado en funciones24
Descripción de los permisos de división98
Descripción de la coexistencia de permisos en Exchange 200399
Descripción de la coexistencia de permisos en Exchange 2007100
Descripción de permisos de varios bosques101
Función Permisos102
Administración de administradores y usuarios especialistas103
Administración de usuarios finales104
Administración de funciones y entradas de funciones105
Ámbitos de función de administración106
Asignaciones de funciones de administración107
Administración de permisos divididos108
Permisos para administrar servidores de buzones109
Protección de los servidores de mensajería unificada110
Descripción de la seguridad de dominio75
Uso de PKI en el servidor Transporte perimetral para la seguridad del dominio111
Uso de la seguridad de dominio: Configuración de TLS mutua112
Probar la configuración de proxy y PKI113
Descripción de Information Rights Management56
Descripción del registro en diario59
Protección de los informes de diario114
Descripción de la administración de registros de mensajes115
Descripción de las etiquetas y directivas de retención116
Descripción de la búsqueda en varios buzones65
Descripción del registro de auditoría de buzón117
Administración del registro de auditoría de los buzones de correo118
Descripción de la federación47
Autoridades de certificación raíz de confianza para confianzas de federación119
© 2010 Microsoft Corporation. Reservados todos los derechos.
Tabla de vínculos
1http://go.microsoft.com/fwlink/?LinkId=96603
2http://go.microsoft.com/fwlink/?linkid=68761
3http://go.microsoft.com/fwlink/?LinkId=234158
4http://technet.microsoft.com/es-es/library/bb201741(v=exchg.141).aspx
5http://technet.microsoft.com/es-es/library/dd335207(v=exchg.141).aspx
6http://go.microsoft.com/fwlink/?linkid=54836
7http://go.microsoft.com/fwlink/?LinkId=96605
8http://go.microsoft.com/fwlink/?LinkId=216795
9http://technet.microsoft.com/es-es/library/bb124241(v=exchg.141).aspx
10http://technet.microsoft.com/es-es/library/bb125012(v=exchg.141).aspx
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
30 of 34 12/7/2012 11:40 AM
11http://go.microsoft.com/fwlink/?LinkId=234159
12http://go.microsoft.com/fwlink/?LinkId=178468
13http://technet.microsoft.com/es-es/library/bb332342(v=exchg.141).aspx
14http://technet.microsoft.com/es-es/library/aa997658(v=exchg.141).aspx
15http://go.microsoft.com/fwlink/?LinkId=201933
16http://go.microsoft.com/fwlink/?LinkId=234160
17http://technet.microsoft.com/es-es/library/bb124399(v=exchg.141).aspx
18http://technet.microsoft.com/es-es/library/dd351127(v=exchg.141).aspx
19http://go.microsoft.com/fwlink/?LinkId=96630
20http://technet.microsoft.com/es-es/library/bb331973(v=exchg.141).aspx
21http://technet.microsoft.com/es-es/library/aa997988(v=exchg.141).aspx
22http://technet.microsoft.com/es-es/library/bb123712(v=exchg.141).aspx
23http://technet.microsoft.com/es-es/library/dd297964(v=exchg.141).aspx
24http://technet.microsoft.com/es-es/library/dd298183(v=exchg.141).aspx
25http://technet.microsoft.com/es-es/library/dd638077(v=exchg.141).aspx
26http://technet.microsoft.com/es-es/library/dd351266(v=exchg.141).aspx
27http://technet.microsoft.com/es-es/library/cc960657.aspx
28http://technet.microsoft.com/es-es/library/ee681663(v=exchg.141).aspx
29http://go.microsoft.com/fwlink/?LinkId=3052&kbid=232199
30http://go.microsoft.com/fwlink/?LinkId=234161
31http://technet.microsoft.com/es-es/library/dd876881(v=exchg.141).aspx
32http://technet.microsoft.com/es-es/library/dd351080(v=exchg.141).aspx
33http://technet.microsoft.com/es-es/library/dd876949(v=exchg.141).aspx
34http://technet.microsoft.com/es-es/library/dd776125(v=exchg.141).aspx
35http://technet.microsoft.com/es-es/library/dd335087(v=exchg.141).aspx
36http://technet.microsoft.com/es-es/library/dd876947(v=exchg.141).aspx
37http://technet.microsoft.com/es-es/library/dd298028(v=exchg.141).aspx
38http://technet.microsoft.com/es-es/library/dd633492(v=exchg.141).aspx
39http://technet.microsoft.com/es-es/library/dd876866(v=exchg.141).aspx
40http://technet.microsoft.com/es-es/library/dd351142(v=exchg.141).aspx
41http://technet.microsoft.com/es-es/library/dd351130(v=exchg.141).aspx
42http://technet.microsoft.com/es-es/library/dd638209(v=exchg.141).aspx
43http://technet.microsoft.com/es-es/library/aa998327(v=exchg.141).aspx
44http://technet.microsoft.com/es-es/library/bb310795(v=exchg.141).aspx
45http://technet.microsoft.com/es-es/library/aa998840(v=exchg.141).aspx
46http://technet.microsoft.com/es-es/library/bb124092(v=exchg.141).aspx
47http://technet.microsoft.com/es-es/library/dd335047(v=exchg.141).aspx
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
31 of 34 12/7/2012 11:40 AM
48http://technet.microsoft.com/es-es/library/aa997188(v=exchg.141).aspx
49http://technet.microsoft.com/es-es/library/dd638083(v=exchg.141).aspx
50http://technet.microsoft.com/es-es/library/dd351275(v=exchg.141).aspx
51http://technet.microsoft.com/es-es/library/dd297987(v=exchg.141).aspx
52http://technet.microsoft.com/es-es/library/dd297972(v=exchg.141).aspx
53http://go.microsoft.com/fwlink/?LinkId=234162
54http://technet.microsoft.com/es-es/library/bb738140(v=exchg.141).aspx
55http://go.microsoft.com/fwlink/?LinkId=234163
56http://technet.microsoft.com/es-es/library/dd638140(v=exchg.141).aspx
57http://technet.microsoft.com/es-es/library/dd346703(v=exchg.141).aspx
58http://go.microsoft.com/fwlink/?LinkId=234164
59http://technet.microsoft.com/es-es/library/aa998649(v=exchg.141).aspx
60http://technet.microsoft.com/es-es/library/aa998353(v=exchg.141).aspx
61http://technet.microsoft.com/es-es/library/ee861123(v=exchg.141).aspx
62http://technet.microsoft.com/es-es/library/ee364755(v=exchg.141).aspx
63http://technet.microsoft.com/es-es/library/dd638121(v=exchg.141).aspx
64http://technet.microsoft.com/es-es/library/dd297985(v=exchg.141).aspx
65http://technet.microsoft.com/es-es/library/dd335072(v=exchg.141).aspx
66http://technet.microsoft.com/es-es/library/bb124985(v=exchg.141).aspx
67http://technet.microsoft.com/es-es/library/dd638205(v=exchg.141).aspx
68http://technet.microsoft.com/es-es/library/bb124107(v=exchg.141).aspx
69http://technet.microsoft.com/es-es/library/aa997149(v=exchg.141).aspx
70http://go.microsoft.com/fwlink/?LinkID=196385
71http://go.microsoft.com/fwlink/?LinkId=234165
72http://technet.microsoft.com/es-es/library/ee633456(v=exchg.141).aspx
73http://technet.microsoft.com/es-es/library/bb430753(v=exchg.141).aspx
74http://technet.microsoft.com/es-es/library/bb738138(v=exchg.141).aspx
75http://technet.microsoft.com/es-es/library/bb124392(v=exchg.141).aspx
76http://go.microsoft.com/fwlink/?linkid=82726
77http://technet.microsoft.com/es-es/library/bb124345(v=exchg.141).aspx
78http://technet.microsoft.com/es-es/library/bb232205(v=exchg.141).aspx
79http://technet.microsoft.com/es-es/library/dd351041(v=exchg.141).aspx
80http://technet.microsoft.com/es-es/library/aa996604(v=exchg.141).aspx
81http://technet.microsoft.com/es-es/library/bb124601(v=exchg.141).aspx
82http://technet.microsoft.com/es-es/library/bb266938(v=exchg.141).aspx
83http://technet.microsoft.com/es-es/library/aa995982(v=exchg.141).aspx
84http://technet.microsoft.com/es-es/library/bb123583(v=exchg.141).aspx
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
32 of 34 12/7/2012 11:40 AM
85http://technet.microsoft.com/es-es/library/dd351057(v=exchg.141).aspx
86http://technet.microsoft.com/es-es/library/dd351183(v=exchg.141).aspx
87http://technet.microsoft.com/es-es/library/dd335060(v=exchg.141).aspx
88http://technet.microsoft.com/es-es/library/dd351257(v=exchg.141).aspx
89http://technet.microsoft.com/es-es/library/bb430770(v=exchg.141).aspx
90http://technet.microsoft.com/es-es/library/bb123719(v=exchg.141).aspx
91http://technet.microsoft.com/es-es/library/bb125207(v=exchg.141).aspx
92http://technet.microsoft.com/es-es/library/bb124507(v=exchg.141).aspx
93http://technet.microsoft.com/es-es/library/bb691348(v=exchg.141).aspx
94http://technet.microsoft.com/es-es/library/aa997193(v=exchg.141).aspx
95http://technet.microsoft.com/es-es/library/bb123960(v=exchg.141).aspx
96http://technet.microsoft.com/es-es/library/bb124498(v=exchg.141).aspx
97http://technet.microsoft.com/es-es/library/aa998850(v=exchg.141).aspx
98http://technet.microsoft.com/es-es/library/dd638106(v=exchg.141).aspx
99http://technet.microsoft.com/es-es/library/dd638173(v=exchg.141).aspx
100http://technet.microsoft.com/es-es/library/dd335157(v=exchg.141).aspx
101http://technet.microsoft.com/es-es/library/dd298099(v=exchg.141).aspx
102http://technet.microsoft.com/es-es/library/dd638127(v=exchg.141).aspx
103http://technet.microsoft.com/es-es/library/dd335101(v=exchg.141).aspx
104http://technet.microsoft.com/es-es/library/dd638218(v=exchg.141).aspx
105http://technet.microsoft.com/es-es/library/dd638097(v=exchg.141).aspx
106http://technet.microsoft.com/es-es/library/dd351270(v=exchg.141).aspx
107http://technet.microsoft.com/es-es/library/dd638091(v=exchg.141).aspx
108http://technet.microsoft.com/es-es/library/dd638086(v=exchg.141).aspx
109http://technet.microsoft.com/es-es/library/aa997244(v=exchg.141).aspx
110http://technet.microsoft.com/es-es/library/bb430778(v=exchg.141).aspx
111http://technet.microsoft.com/es-es/library/bb124817(v=exchg.141).aspx
112http://technet.microsoft.com/es-es/library/bb123543(v=exchg.141).aspx
113http://technet.microsoft.com/es-es/library/bb430766(v=exchg.141).aspx
114http://technet.microsoft.com/es-es/library/bb331960(v=exchg.141).aspx
115http://technet.microsoft.com/es-es/library/dd335093(v=exchg.141).aspx
116http://technet.microsoft.com/es-es/library/dd297955(v=exchg.141).aspx
117http://technet.microsoft.com/es-es/library/ff459237(v=exchg.141).aspx
118http://technet.microsoft.com/es-es/library/ff461939(v=exchg.141).aspx
119http://technet.microsoft.com/es-es/library/ee332350(v=exchg.141).aspx
Contenido de la comunidad
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
33 of 34 12/7/2012 11:40 AM
© 2012 Microsoft. Reservados todos los derechos.
Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....
34 of 34 12/7/2012 11:40 AM