guía de seguridad de exchange 2010_ ayuda de exchange 2010

Ámbito

Novedades

Guía de seguridad de Exchange 2010Exchange 2010

Se aplica a: Exchange Server 2010 SP2

Última modificación del tema: 2012-03-08

Esta guía se ha escrito para el administrador de responsable de proteger la implementación de Microsoft Exchange Server 2010;asimismo, se ha concebido para que dicho administrador comprenda y controle el entorno de seguridad general en el que estáinstalado Exchange.

En el pasado, para cada versión de Microsoft Exchange, el equipo de Exchange publicaba guías independientes de refuerzo deseguridad con información sobre permisos y seguridad. Este método tenía sentido para bloquear servicios y directorios despuésde ejecutar la instalación de Exchange 2010. Sin embargo, a partir de Microsoft Exchange Server 2007, el programa deinstalación de Exchange habilita únicamente los servicios que necesite el rol de servidor que se instala. Microsoft Exchange ya nose instala y se refuerza por seguridad. Está diseñado para ser más seguro de forma predeterminada.

Así pues, a diferencia de versiones anteriores de Microsoft Exchange en las que los administradores tenían que llevar a cabomúltiples pasos para bloquear los servidores que ejecutaban Microsoft Exchange, Exchange 2010 no necesita bloqueo ni refuerzo.

Exchange 2010 se ha desarrollado según los principios del ciclo vital del desarrollo de seguridad de Microsoft. Se ha efectuadouna revisión de la seguridad en cada característica y componente. Unos valores predeterminados bien seleccionados permitenuna implementación más segura. La finalidad de esta guía es informar a los administradores sobre las características y losaspectos relacionados con la seguridad. Esta sección contiene vínculos a documentación sobre la seguridad en Exchange 2010.Estos temas figuran en el apéndice 1: Documentación adicional sobre la seguridad. Esta guía no se ocupa de ningún paso sobrecómo reforzar el sistema operativo Windows Server.

Contenido

Novedades

Ciclo de vida del desarrollo de seguridad de Exchange 2010

Getting Secure—Best Practices

Staying Secure—Best Practices

Uso de los puertos de red y reforzamiento de Firewall

Parámetros de limitación y directivas de limitación de clientes

Control de acceso basado en roles

Active Directory

Cuentas de servidores de Exchange

Sistema de archivos

Servicios

Certificados

Consideraciones sobre NTLM

Autenticación de doble factor

Federación

Secure/Multipurpose Internet Mail Extensions (S/MIME)

Consideraciones sobre roles del servidor

Apéndice 1: Documentación adicional sobre la seguridad

Guía de seguridad de Exchange 2010: Ayuda de Exchange 2010 http://technet.microsoft.com/es-es/library/bb691338(d=printer,v=exchg....

1 of 34 12/7/2012 11:40 AM

Ciclo de vida del desarrollo de seguridad de Exchange 2010

Exchange 2010 incluye las siguientes características de seguridad:

Control de acceso basado en roles Exchange 2010 presenta un nuevo modelo de control de acceso basado en rolescon el que la organización administra de forma pormenorizada los permisos asignados a diferentes partes interesadas,por ejemplo administradores de destinatarios, de servidores y de organizaciones.Directivas de limitación Exchange 2010 incorpora mecanismos de limitación en los servidores de acceso de cliente,Buzón de correo y Transporte para proteger la organización de los ataques de denegación de servicio y reducir lasrepercusiones de dichos ataques.Delegación federada Exchange 2010 agrega nuevas características de federación delegada para que los usuariospuedan colaborar de manera segura con usuarios de otras organizaciones. Mediante la delegación federada, los usuarioscomparten sus calendarios y contactos con usuarios de organizaciones federadas externas. También es posible lacolaboración entre bosques sin tener que configurar y administrar relaciones de confianza de Active Directory.Information Rights Management Exchange 2010 incorpora nuevas características de control y protección de laseguridad para proteger el contenido confidencial de los mensajes en varios niveles; asimismo, mantiene la capacidad dela organización de descifrar, buscar y aplicar directivas de mensajería a contenido protegido.Sin asistentes para configurar la seguridad En Exchange 2010, el programa de instalación realiza los cambios deconfiguración pertinentes para instalar y habilitar únicamente los servicios necesarios para un determinado rol de servidorde Exchange, y para limitar la comunicación solamente a los puertos requeridos para los servicios y procesos que seejecutan en cada rol de servidor. De este modo, ya no se necesita el asistente para configuración de seguridad (SCW)para configurar estos parámetros.

A principios de 2002 Microsoft incorporó la iniciativa Trustworthy Computing. Desde la incorporación de Trustworthy Computing,el proceso de desarrollo en Microsoft y en el equipo de Microsoft Exchange se ha concentrado en desarrollar un software que

refuerce la seguridad. Para obtener más información, consulte Trustworthy Computing1 (en inglés).

En Exchange 2010 se ha implementado Trustworthy Computing en las siguientes áreas principales:

Seguro en el diseño Exchange 2010 se ha diseñado y desarrollado según el ciclo de vida del desarrollo de seguridad de

Trustworthy Computing2. El primer paso para crear un sistema de mensajería más seguro fue diseñar modelos deamenaza y poner a prueba cada opción a medida que se iba diseñando. Se integraron múltiples mejoras relacionadas conla seguridad en el proceso y las prácticas de codificación. Las herramientas de tiempo integradas detectan excesos en elbúfer y otras amenazas potenciales de seguridad. Ningún sistema puede garantizar una seguridad completa. Sinembargo, al incluir principios de diseño de seguridad en todo el proceso de diseño, Exchange 2010 es más seguro queversiones anteriores.Seguro de forma predeterminada Uno de los objetivos de Exchange 2010 era desarrollar un sistema en que lamayoría de las comunicaciones de red se codifiquen de forma predeterminada. Este objetivo se consiguió, excepto paralas comunicaciones del bloqueo de mensajes de servidor y algunas comunicaciones de mensajería unificada. Al usarcertificados autofirmados, el protocolo Kerberos, el nivel de sockets seguros (SSL) y otras técnicas estándares de cifrado,casi toda la información en la red de Exchange 2010 queda protegida. Además, la instalación basada en roles permiteinstalar Exchange 2010, de modo que solamente los servicios, y los permisos relacionados con esos servicios, se instalancon un rol de servidor específico y apropiado. En versiones anteriores de Microsoft Exchange había que instalar todos losservicios de funcionalidad.Funcionalidad antivirus y contra correo electrónico no deseado Exchange 2010 incluye un conjunto de agentescontra correo electrónico no deseado que se ejecutan en la red perimetral del rol de servidor Transporte perimetral y quetambién puede instalarse en el rol de servidor Transporte de concentradores ubicado en la red interna. La funcionalidaddel antivirus está mejorada aún más gracias a la adición de Microsoft Forefront Protection 2010 for Exchange comosolución de Microsoft.Implementación segura A medida que se fue desarrollando Exchange 2010, se implementó la versión de evaluaciónen el entorno de producción de TI Microsoft. Basado en datos de esa implementación, se ha actualizado elMicrosoft Exchange Server Best Practices Analyzer para buscar configuraciones de seguridad reales, y se handocumentado consejos para antes y después de la implementación en la Ayuda de Exchange 2010.En el pasado, se documentaba la administración de permisos y se entregaba una vez finalizada la documentación básica.Sin embargo, sabemos que la administración de permisos no es un proceso de complementos. Debería integrarse en elplaneamiento e implementación generales de Exchange 2010. Por lo tanto, hemos simplificado nuestra documentaciónsobre permisos y la hemos integrado con la documentación básica. De este modo, proporcionamos un contexto integralpara los administradores a la hora de planear e implementar su modelo administrativo. Exchange 2010 contiene un nuevomodelo de permisos basados en roles con el que pueden concederse permisos de manera pormenorizada aadministradores y usuarios para que puedan realizar tareas con los permisos mínimos que se necesitan.Comunicaciones Ahora que Exchange 2010 ha salido al mercado, el equipo de Exchange tiene el compromiso demantener el software actualizado y a los usuarios informados. Manteniendo su sistema actualizado con Microsoft Update,puede tener la certeza de que su organización dispone de las últimas actualizaciones de seguridad. Exchange 2010también incluye actualizaciones contra correo electrónico no deseado. Además, al suscribirse a las Notificaciones técnicas

de seguridad de Microsoft3 (posiblemente en inglés), podrá consultar las últimas novedades sobre seguridad en Exchange2010.


2 of 34 12/7/2012 11:40 AM

Métodos recomendados para crear un entorno seguro

Recomendaciones de instalación y configuración

NOTA:

Microsoft Update

La aplicación de unos métodos recomendados básicos ayudarán a crear y mantener un entorno más seguro. En general, lamanera más efectiva de optimizar la seguridad del entorno de Exchange 2010 es mantener actualizados el software y losarchivos de firma de antivirus, y ejecutar herramientas de análisis regularmente.

La aplicación de estos métodos recomendados ayudarán a crear y mantener un entorno de Exchange 2010 más seguro.

Instalación delegada El primer servidor de Exchange 2010 que se instala en la organización requiere que la cuentaque se usa para ejecutar el programa de instalación pertenezca al grupo Administradores de empresa. La cuenta queusa se agrega al grupo de roles de administración de la organización creado por el programa de instalación deExchange 2010. La instalación delegada puede usarse para que los administradores que no pertenezcan al grupo deroles de administración de la organización configuren los servidores subsiguientes. Para obtener más información,

consulte Aprovisionar el servidor de Exchange 2010 y delegar la instalación4.Permisos del sistema de archivos Exchange 2010 El programa de instalación asigna los permisos mínimosnecesarios en el sistema de archivos donde se almacenan los datos y archivos binarios de Exchange. No haga ningúncambio en las listas de control de acceso de las carpetas raíz y Archivos de programa del sistema de archivos.Rutas de instalación Se recomienda instalar los archivos binarios de Exchange 2010 en una unidad que no sea delsistema (un volumen en el que no esté instalado el sistema operativo). Las bases de datos y los registros detransacciones de Exchange pueden aumentar de tamaño rápidamente y deben ubicarse en volúmenes nopertenecientes al sistema para que no disminuya la capacidad ni el rendimiento. Otros registros generados pordiferentes componentes de Exchange, por ejemplo los registros de transporte, se almacenan también en la misma rutade instalación que los archivos binarios de Exchange y su tamaño puede aumentar considerablemente según laconfiguración y el entorno de mensajería. En Exchange 2010 puede configurarse el tamaño máximo de muchos archivosde registro y el espacio máximo de almacenamiento que puede ocupar una carpeta de archivos de registro, que tieneun valor predeterminado de 250 Megabytes. Para prevenir una posible interrupción del sistema debido a poco espacioen disco, recomendamos que se calculen los requisitos de registro para cada rol del servidor y se configuren lasopciones de registro y las ubicaciones de almacenamiento de los archivos de registro en consonancia con ellos.Bloqueo de clientes heredados de Outlook Teniendo en cuenta sus requisitos, el bloqueo de clientes de Outlook sepuede configurar para que bloquee las versiones cliente heredadas de Outlook. Algunas características de Exchange2010, por ejemplo las reglas de protección de Outlook y los archivos personales, no admiten clientes heredados deOutlook. Para obtener más información sobre el bloqueo de clientes de Outlook, consulte Configurar el bloqueo de

clientes de Outlook para la administración de registros de mensajería5.Separación de direcciones SMTP y nombres de usuario De forma predeterminada, Exchange genera alias ydirecciones de correo electrónico a partir del nombre de usuario del buzón de correo. Muchas organizaciones crean unadirectiva adicional de direcciones de correo electrónico para separar las direcciones de correo electrónico de los usuariosde los nombres de usuarios con el fin de incrementar la seguridad. Por ejemplo, si el nombre de usuario de Ben Smithes bsmith y el dominio contoso.com, la dirección de correo electrónico principal generada por la directivapredeterminada de direcciones de correo electrónico es [email protected]. Puede crear otra directiva de direccionesde correo electrónico para generar direcciones que no usen el alias ni el nombre de usuario del usuario. Por ejemplo, sise crea una directiva de direcciones de correo electrónico que use la plantilla %g.%s@domain, se generan direcciones decorreo electrónico con el formato Nombre.Apellidos@dominio. En el caso de Ben Smith, la directiva generará ladirección [email protected]. Asimismo, puede separar las direcciones de correo electrónico de los nombres deusuario especificando un alias diferente del nombre de usuario que se usa al crear o habilitar un buzón de correo.

Si una dirección SMTP principal no coincide con el UPN en la cuenta, el usuario no puede usar su dirección de correoelectrónico para iniciar sesión en Microsoft Office Outlook Web App; para ello, debe proporcionar un nombre deusuario con el formato DOMINIO\nombre_usuario. En el caso de Microsoft Outlook, el usuario debe proporcionar elmismo formato DOMINIO\nombre_usuario si se le solicitan credenciales cuando Outlook se conecta al servicioDetección automática.

Microsoft Update es un servicio que ofrece las mismas descargas que Microsoft Windows Update, además de las últimasactualizaciones para otros programas de Microsoft. Ayuda a mantener el servidor más seguro y con un rendimiento óptimo.

Una función clave de Microsoft Update es Windows Automatic Update. Esta función instala automáticamente actualizacionesde prioridad alta fundamentales para la seguridad y fiabilidad del equipo. Sin estas actualizaciones, el equipo es másvulnerable a ataques externos y de software malintencionado (malware).

El modo más confiable de recibir Microsoft Update es de forma automática en el equipo utilizando Actualizaciones automáticasde Windows. Puede activar Actualizaciones automáticas si se suscribe a Microsoft Update.


3 of 34 12/7/2012 11:40 AM

Tareas que ya no son necesarias en Exchange 2010

Métodos recomendados para mantener un entorno seguro

Mantenimiento del software al día

Actualizaciones contra correo electrónico no deseado

Ejecución del software antivirus

Windows analizará el software Microsoft instalado en su equipo en busca de actualizaciones actuales y antiguas de altaprioridad necesarias; seguidamente, las descargará e instalará de manera automática. A continuación, cuando se conecte aInternet, Windows repite este proceso para buscar nuevas actualizaciones de alta prioridad.

Para habilitar Microsoft Update, visite Microsoft Update6 (en inglés).

El modo predeterminado de Microsoft Update exige que cada servidor de Exchange esté conectado a Internet para recibir lasactualizaciones automáticas. Si ejecuta servidores sin conexión a Internet, puede instalar Windows Server Update Services(WSUS) para administrar la distribución de actualizaciones en equipos de su organización. Así podrá configurar MicrosoftUpdate en los equipos Microsoft Exchange internos para que se ponga en contacto con el servidor WSUS interno en busca de

actualizaciones. Para obtener más información, consulte Microsoft Windows Server Update Services 3.07 (en inglés).

WSUS no es la única solución de administración de Microsoft Update disponible. Para obtener más información sobreherramientas, comunicaciones, procesos y versiones de seguridad de Microsoft, vea Guía de actualización de seguridad de

Microsoft8 (posiblemente en inglés).

Ya no es necesario instalar ni ejecutar las herramientas siguientes:

La herramienta de seguridad URLScan no se necesita en IIS 7. En versiones anteriores de Microsoft Exchange, erahabitual instalar herramientas de IIS como URLScan para proteger una instalación de IIS. Exchange 2010 requiereWindows Server 2008, que incluye IIS 7. Muchas de las características de seguridad que originalmente estaban enUrlScan están disponibles en el Filtrado de solicitudes de IIS 7.Ya no hace falta instalar Exchange Best Practices Analyzer. En versiones anteriores de Microsoft Exchange era habitualinstalar Exchange Best Practices Analyzer antes de la instalación y después ejecutarlo periódicamente. El programa deinstalación de Exchange 2010 incluye los componentes de Exchange Best Practices Analyzer y los ejecuta durante lainstalación. Antes de la instalación no hace falta ejecutar Exchange Best Practices Analyzer.Ya no necesita usar el asistente para configuración de seguridad (SCW) ni las plantillas de Exchange para SCW. Elprograma de instalación de Exchange 2010 instala solamente los servicios necesarios en un determinado rol delservidor de Exchange; asimismo, crea reglas de Firewall de Windows Firewall con Seguridad avanzada para abrirúnicamente los puertos necesarios en los servicios y procesos de ese rol del servidor. Ya no se debe ejecutar elasistente para configuración de seguridad (SCW) para configurar estos parámetros. A diferencia de Exchange Server2007, Exchange 2010 no se incluye con plantillas de SCW.

Estos métodos recomendados ayudarán a mantener seguro el entorno de Exchange 2010.

Como se ha mencionado en una sección anterior, se recomienda ejecutar Microsoft Update. Además de ejecutar MicrosoftUpdate en todos los servidores, es muy importante mantener todos los equipos cliente de su organización al día conactualizaciones antivirus.

Además del software Microsoft, compruebe que tenga las últimas actualizaciones de todo el software que se ejecuta en suorganización.

Exchange 2010 también utiliza la infraestructura de Microsoft Update para mantener actualizados los filtros contra correo nodeseado. De forma predeterminada, con las actualizaciones manuales el administrador debe visitar Microsoft Update paradescargar e instalar las actualizaciones de filtro de contenido. Cada dos semanas hay datos de actualización del filtro decontenido actualizados y listos para poder descargar.

Las actualizaciones manuales desde Microsoft Update incluyen datos de firma de correo no deseado y el servicio dereputación de IP de Microsoft. El servicio de reputación IP de Microsoft y los datos de firma de correo no deseado solo estándisponibles con Forefront Security para actualizaciones automáticas contra correo no deseado de Exchange Server.

Para obtener más información acerca de cómo habilitar las actualizaciones automáticas contra correo no deseado de

Forefront, consulte Descripción de las actualizaciones de correo no deseado9.

Los virus, gusanos y otros contenidos malintencionados transmitidos por los sistemas de correo electrónico son una realidaddestructiva a la que se enfrentan la mayoría de administradores de Microsoft Exchange. En consecuencia, debe desarrollaruna implementación de antivirus defensiva para todos los sistemas de mensajería Esta sección proporciona métodos


4 of 34 12/7/2012 11:40 AM

Ejecución de software antivirus en servidores Transporte de concentradores y Transporte perimetral

NOTA:

Ejecución de software antivirus en servidores Buzón de correos

recomendados para implementar software antivirus para Exchange 2010.

Preste especial atención a dos cambios importantes en Exchange 2010 cuando seleccione un proveedor de software antivirus:

A partir de Exchange Server 2007, Microsoft Exchange, la arquitectura en que se basa es de 64 bits.Exchange 2010 incluye agente de transporte.

Estos dos cambios implican que los proveedores de antivirus deben proporcionar un software específico para Exchange 2010.Es poco probable que el software antivirus escrito para versiones anteriores de Exchange funcione correctamente conExchange 2010.

Para usar un método de defensa en profundidad, se recomienda la implementación de un software antivirus diseñado parasistemas de mensajería ya sea en la puerta de enlace SMTP o en los servidores de Exchange que hospedan buzones decorreo, además de un software antivirus en el escritorio del usuario.

Suya es la decisión de qué tipos de software antivirus usar y dónde implementar el software buscando el equilibrio adecuadoentre el costo que está dispuesto a aceptar y el riesgo que está dispuesto a asumir. Por ejemplo, algunas organizacionesejecutan un software antivirus para mensajería en la puerta de enlace SMTP, análisis antivirus en el nivel de archivos delservidor de Exchange y un software antivirus del cliente en los equipos de escritorio del usuario. Este método proporcionaprotección de mensajería en el cliente. Otras organizaciones pueden tolerar costos superiores y mejoran la seguridadejecutando software antivirus para mensajería en la puerta de enlace SMTP, análisis antivirus en el nivel de archivos delservidor de Exchange y software antivirus del cliente en el escritorio de los usuarios, además de software antivirus compatiblecon Exchange Virus Scanning Application Programming Interface (VSAPI) 2.5 en el servidor de buzones de Exchange.

El software antivirus basado en transporte se implementa o incluye agentes de transporte. Los agentes de transporteactúan en los eventos de transporte, de manera muy similar a los receptores de eventos en versiones previas de Microsoft

Exchange. Para obtener más información, consulte Descripción de los agentes de transporte10.

Los mensajes que no se enrutan mediante transporte, como los elementos de las carpetas públicas, Elementos enviadosy elementos de calendario, que solo se pueden analizar en un servidor de buzones de correo, no están protegidos por ladetección de virus solo de transporte.

Los programadores de terceras partes pueden escribir agentes de transporte personalizados para aprovechar las ventajasdel motor de análisis MIME subyacente para una mejor detección antivirus del nivel de transporte. Para obtener una lista de

los asociados de antispam y antivirus de Exchange, vea los fabricantes de software independientes11 (posiblemente eninglés).

Además, Forefront Protection para Exchange Server es un paquete de software antivirus estrechamente integrado conExchange 2010 y que ofrece protección antivirus adicional para su entorno de Exchange. Para obtener más información,

consulte Microsoft Forefront Protection 2010 para Exchange Server12 (en inglés).

El lugar más importante para ejecutar software antivirus de mensajería está en la primera línea de defensa de laorganización. Es la puerta de enlace SMTP a través de la cual los mensajes externos tienen acceso al entorno demensajería. En Exchange 2010, la primera línea de defensa se encuentra es el servidor Transporte perimetral.

Si usa una puerta de enlace o un servidor SMTP que no es de Exchange para recibir correo electrónico antes que Exchange,debe implementar suficiente funcionalidad antivirus y contra correo no deseado en los hosts SMTP que no sean Exchange.

En Exchange 2010, todos los mensajes se enrutan a través de un servidor Transporte de concentradores. Esto incluyemensajes enviados o recibidos desde fuera de la organización de Exchange, así como mensajes enviados dentro de laorganización de Exchange. Mensajes enviados a un buzón de correo ubicado en el mismo servidor de buzones que elremitente. Para protegerse mejor contra ataques de virus desde dentro de la organización y disponer de una segunda líneade defensa, recomendamos también ejecutar software antivirus basado en transporte en el servidor Transporte deconcentradores.

Aparte de la detección de virus en servidores Transporte, una solución de análisis del interfaz de programación paraaplicaciones de detección de virus (VSAPI) de Microsoft Exchange puede representar un nivel de defensa importante paramuchas organizaciones. Es conveniente considerar la posibilidad de ejecutar una solución antivirus VSAPI si se cumplecualquiera de las condiciones siguientes:

Su organización no ha completado la implementación de productos de análisis de antivirus de escritorio confiables yexhaustivos.


5 of 34 12/7/2012 11:40 AM

Exchange Server y antivirus del sistema de archivos

Uso de Exchange Hosted Services

Uso del filtrado de datos adjuntos

Su organización desea la protección adicional que puede conseguir con el análisis de bases de datos de buzones decorreo.Su organización ha desarrollado aplicaciones personalizadas con acceso programático a una base de datos deExchange.La comunidad de usuarios publica habitualmente mensajes en carpetas públicas.

Las soluciones antivirus que utilizan VSAPI de Exchange se ejecutan directamente en el proceso de almacenamiento deinformación de Exchange. Las soluciones VSAPI son probablemente las únicas soluciones capaces de proteger contravectores de ataque que introduzcan contenido infectado en el almacén de información de Exchange a la vez que omiten elanálisis estándar de cliente y transporte. Por ejemplo, VSAPI es la única solución que analiza la información enviada a labase de datos por objetos para colaboración de datos (CDO), WebDAV y los servicios Web Exchange. Además, cuando seproduce un ataque de virus, una solución VSAPI suele ofrecer la manera más rápida de quitar y eliminar los virus de unabase de datos de correo infectada.

Si implementa software antivirus para proteger los servidores de Exchange, tenga en cuenta los puntos siguientes:

Debe excluir de la detección antivirus del sistema los directorios del servidor de Exchange en los que se almacenanlas bases de datos de carpetas públicas y buzones de correo de Exchange. Para obtener más información, consulte

Análisis de antivirus de archivos en Exchange 201013.Los detectores antivirus del sistema de archivos solo protegen archivos. Para proteger mensajes de correoelectrónico, es conveniente implementar productos de seguridad de mensajería o antivirus que estén relacionadoscon Exchange, por ejemplo Microsoft Forefront, u otros productos de asociados o de terceros. Para obtener másinformación sobre la protección antivirus y contra correo no deseado, consulte Descripción de la funcionalidad contra

correo no deseado y antivirus14. Para obtener más información, consulte Forefront Protection 2010 para Exchange

Server: información general15 (posiblemente en inglés).Para disponer de una protección eficaz, debe mantener al día las firmas de correo no deseado y los antivirus.Los informes de los antivirus y el software o los servicios contra correo no deseado deben examinarse periódicamentepara asegurarse de que la protección esté habilitada y funcione como está previsto, detectar incidencias con rapidez ytomar las medidas oportunas.

El filtrado de virus y correo electrónico no deseado está mejorado o también está disponible como servicio deMicrosoft Exchange Hosted Services. Exchange Hosted Services es un conjunto de cuatro servicios hospedados:

Hosted Filtering, que ayuda a las organizaciones a protegerse a sí mismas contra el software malintencionado quecircula por el correo electrónicoHosted Archive, que ayuda a las organizaciones a satisfacer los requisitos legales de conservación de datosHosted Encryption, que ayuda a las organizaciones a cifrar datos por cuestiones de confidencialidadHosted Continuity, que ayuda a las organizaciones a conservar el acceso al correo electrónico durante y después deinterrupciones

Estos servicios se integran con cualquier servidor de Exchange que se administre de manera interna. Para obtener más

información, consulte Forefront Online Protection para Exchange16 (posiblemente en inglés).

En Exchange 2010, el filtrado de datos adjuntos permite aplicar filtros en servidores Transporte perimetral para controlar losdatos adjuntos que reciben los usuarios. El filtrado de datos adjuntos es cada vez más importante en los entornos actuales,en los que muchos de estos datos contienen virus malintencionados o material inadecuado que pueden causar dañosimportantes en el equipo del usuario o en la organización provocando daños en documentación importante o haciendo públicainformación confidencial.

Hay disponibles los siguientes tipos de filtrado de datos adjuntos para controlar los datos adjuntos que entran o salen de laorganización a través de un servidor Transporte perimetral:

Filtrado basado en el nombre o la extensión del archivo Se pueden filtrar los datos adjuntos especificando el nombrede archivo exacto o la extensión que se deberá filtrar. Un ejemplo de nombre de archivo exacto es NombredeArchivoMalo.exe.Un ejemplo de extensión del archivo es *.exe.

Filtrado basado en el tipo de contenido MIME del archivo También se pueden filtrar los datos adjuntos especificando eltipo de contenido MIME que se filtrará. Los tipos de contenido MIME indican el tipo de datos adjuntos; si es una imagen JPEG,un archivo ejecutable, un archivo Microsoft Office Excel 2010 u otro tipo de archivo. Los tipos de contenido se expresan comotipo o subtipo. Por ejemplo, el tipo de contenido de imagen JPEG se expresa como image/jpeg.

Si los datos adjuntos coinciden con uno de estos criterios de filtrado, se pueden configurar las siguientes acciones para llevar


6 of 34 12/7/2012 11:40 AM

NOTA:

Filtrado de archivos con Forefront Protection para Exchange Server

NOTA:

Ejecución de Exchange Best Practices Analyzer

a cabo con los datos adjuntos.

Bloquear todo el mensaje y los datos adjuntosEliminar los datos adjuntos pero dejar pasar el mensajeEliminar en silencio el mensaje y los datos adjuntos

Para obtener más información, consulte Descripción del filtrado de datos adjuntos17.

El agente de filtro de datos adjuntos no puede usarse para filtrar datos adjuntos según el contenido. Las reglas detransporte pueden usarse para inspeccionar el contenido del mensaje y los datos adjuntos, así como para ejecutaracciones como eliminar o rechazar el mensaje, o aplicar protección de IRM en el mensaje y los datos adjuntos. Para

obtener más información, consulte Descripción de las reglas de transporte18.

La funcionalidad de filtrado de archivos proporcionada por Forefront Protection para Exchange Server incluye característicasavanzadas no disponibles en el agente de filtro de datos adjuntos que viene incluido en Exchange 2010.

Por ejemplo, los archivos contenedores, que son archivos que contienen otros archivos, se pueden examinar en busca detipos de archivos infractores. El filtrado de Forefront Protection para Exchange Server puede analizar los siguientes archivoscontenedores y actuar en los archivos insertados:

PKZip (.zip)GNU Zip (.gzip)Archivos comprimidos autoextraíbles (.zip)Archivos comprimidos (.zip)Archivos Java (.jar)TNEF (winmail.dat)Almacenamiento estructurado (.doc, .xls, .ppt, etc.)MIME (.eml)SMIME (.eml)UUEncode (.uue)Archivo de cinta Unix (.tar)Archivo RAR (.rar)MACBinary (.bin)

El agente de filtro de datos adjuntos que se incluye con Exchange 2010 detecta los tipos de archivos, incluso si se les hacambiado el nombre. El filtrado de datos adjuntos comprueba además que los archivos Zip y LZH comprimidos nocontengan datos adjuntos bloqueados mediante una comparación de las extensiones de nombre de archivo con losarchivos del archivo Zip o LZH comprimido. El filtrado de archivos de Forefront Protection para Exchange Server tieneademás la capacidad de determinar si se ha cambiado el nombre de los datos adjuntos bloqueados en un archivocontenedor.

Además, puede filtrar los archivos por tamaño. Asimismo, puede configurar Forefront Protection para Exchange Server paraque ponga en cuarentena los archivos filtrados o para que envíe notificaciones de correo electrónico basadas en lascoincidencias del filtro de archivos de Exchange.

Para obtener más información, visite Proteger su organización Microsoft Exchange con Microsoft Forefront Security para

Exchange Server19 (en inglés).

Exchange Best Practices Analyzer es una de las herramientas más efectivas que puede ejecutar de manera regular paraayudarle a comprobar que su entorno Exchange sea seguro. Exchange Best Practices Analyzer examina automáticamente suimplementación de Microsoft Exchange y determina si la configuración se ha realizado de acuerdo con las prácticasrecomendadas de Microsoft. En Exchange 2010, Exchange Best Practices Analyzer se instala como parte de la configuraciónde Exchange y puede ejecutarse desde la sección Herramientas de la Consola de administración de Exchange. Con el acceso aredes apropiado, Exchange Best Practices Analyzer examina todos los servidores de Active Directory Domain Services y losservidores de Exchange. Exchange Best Practices Analyzer incluye comprobaciones de herencias de permisos. También realizapruebas para la validación de permisos de RBAC. Esto incluye pruebas para asegurar que todos los usuarios tengan acceso alPanel de control de Exchange, que todos los roles predeterminados de RBAC creados por el programa de instalación deExchange estén configurados correctamente y que como mínimo haya una cuenta administrativa en la organización de


7 of 34 12/7/2012 11:40 AM

Uso de los puertos de red y reforzamiento de Firewall

Exchange.

Windows Server 2008 incluye Firewall de Windows con Seguridad avanzada, un firewall de inspección de paquetes con estadohabilitado de forma predeterminada. Firewall de Windows con Seguridad avanzada proporciona la funcionalidad siguiente:

Filtrado de todo el tráfico IP versión 4 (IPv4) e IP versión 6 (IPv6) que entra o sale del equipo. De forma predeterminada,todo el tráfico entrante está bloqueado a menos que sea la respuesta a una solicitud saliente anterior desde el equipo(tráfico solicitado) o se permite de manera específica por parte de una regla que se ha creado para autorizar dicho tráfico.Todo el tráfico saliente se permite de forma predeterminada, menos en el caso de reglas de reforzamiento de servicio queimpidan a los servicios estándar comunicarse de manera imprevista. Puede optar por permitir el tráfico basado ennúmeros de puerto, direcciones IPv4 o IPv6, el nombre y la ruta de acceso de una aplicación, el nombre de un servicioque se ejecuta en el equipo u otros criterios.Protección del tráfico de red que entra o sale de ordenador mediante el protocolo IPsec para comprobar la integridad deltráfico de red, autenticar la identidad de los usuarios o equipos remitentes o destinatario, así como cifrar el tráfico paraproporcionar confidencialidad.

Exchange 2010 se ha diseñado para ejecutarse con Firewall de Windows Server con Seguridad avanzada habilitada. Elprograma de instalación de Exchange crea las correspondientes reglas de firewall para que los servicios y procesos de Exchangepuedan comunicarse. Crea solamente las reglas que se necesitan para los servicios y procesos instalados en un determinado rolde servidor. Para obtener más información sobre las reglas de uso de puertos y firewall creadas para cada rol de servidor de

Exchange 2010, consulte Referencia del puerto de red de Exchange20.

En Windows Server 2008 y Windows Server 2008 R2, Firewall de Windows con Seguridad avanzada permite especificar elproceso o servicio para el que se abre un puerto. Esta opción es más segura porque restringe el uso del puerto al proceso oservicio especificado en la regla. El programa de instalación de Exchange 2010 crea reglas de firewall con el nombre del procesoespecificado. En algunos casos, y por motivos de compatibilidad, se crea una regla adicional que no está restringida al proceso.Puede deshabilitar o quitar las reglas que no están restringidas a los procesos y mantener las reglas correspondientes creadastambién por el programa de instalación de Exchange 2010 restringidas a procesos, en el caso de que la implementación loadmita. Las reglas que no están restringidas a procesos se distinguen con la palabra (GFW) en el nombre de regla. Serecomienda realizar pruebas suficientes en las reglas del entorno antes de deshabilitar las reglas que no se restrinjan a unproceso.

En la tabla siguiente se muestran las reglas de Firewall de Windows creadas con el programa de instalación de Exchange, conlos puertos que se abren en cada rol de servidor.

Reglas de Firewall de Windows

Nombre de regla Roles de servidor Puerto

MSExchangeRPCEPMap (GFW) (TCP-In) Todos los roles RPC-EPMap

MSExchangeRPC (GFW) (TCP-In)Acceso de clientes, Transporte de concentradores, Buzón decorreo, Mensajería unificada

RPC dinámica

MSExchange - IMAP4 (GFW) (TCP-In) Acceso de clientes 143, 993 (TCP)

MSExchange - POP3 (GFW) (TCP-In) Acceso de clientes 110, 995 (TCP)

MSExchange - OWA (GFW) (TCP-In) Acceso de clientes5075, 5076, 5077(TCP)

MSExchangeMailboxReplication (GFW)(TCP-In)

Acceso de clientes 808 (TCP)

MSExchangeIS (GFW) (TCP-In) Buzón de correo6001, 6002, 6003,6004 (TCP)

MSExchangeTransportWorker (GFW)(TCP-In)

Transporte de concentradores 25, 587 (TCP)


8 of 34 12/7/2012 11:40 AM

Importante:

Parámetros de limitación y directivas de limitación de clientes

Parámetros de limitación en servidores Transporte

SESWorker (GFW) (TCP-In) Mensajería unificada Cualquiera

UMService (GFW) (TCP-In) Mensajería unificada 5060, 5061 (TCP)

UMWorkerProcess (GFW) (TCP-In) Mensajería unificada5065, 5066, 5067,5068

Al modificar un puerto predeterminado usado por un servicio de Exchange 2010, también debe modificarse elcorrespondiente Firewall de Windows con la regla de firewall de Seguridad avanzada para permitir la comunicación sobre elpuerto no predeterminado que se decida usar. Exchange 2010 no cambia las reglas de firewall al cambiar los puertospredeterminados que se usan para un servicio.

Exchange 2010 presenta parámetros de limitación en los roles del servidor Transporte, Acceso de clientes y Buzón de correopara controlar diferentes parámetros de conexiones relacionadas con cada protocolo. Asimismo, Exchange 2010 incluyedirectivas de limitación de clientes para controlar la carga en servidores de acceso de cliente. Estos parámetros y directivas delimitación permiten controlar la carga y proteger los servidores de Exchange 2010 de los ataques de denegación de serviciodirigidos a diferentes protocolos.

En los servidores Transporte Exchange 2010, los parámetros de limitación de mensajes se implementan en el servidor, asícomo en los conectores de envío y recepción para controlar velocidades de procesamiento de mensajes, velocidades deconexión SMTP y valores de tiempo de espera de sesión SMTP. Estos parámetros de limitación en su conjunto protegen losservidores de transporte de la saturación al tener que aceptar y distribuir una gran cantidad de mensajes; asimismo,protegen de clientes SMTP no confiables y de ataques de denegación de servicios.

Puede configurar las directivas de limitación siguientes en servidores Transporte de Exchange 2010 que usan el cmdletSet-TransportServer.

Parámetros de limitación en servidores Transporte

Parámetro Descripción

MaxConcurrentMailboxDeliveries

El parámetro MaxConcurrentMailboxDeliveries especifica el número máximo desubprocesos de entrega que el servidor Transporte de concentradores puede tenerabiertos al mismo tiempo para entregar mensajes en buzones. El controlador dealmacén del servidor Transporte de concentradores es responsable de entregarmensajes a y desde servidores de buzones. Este límite se aplica a la entrega demensajes a cualquier buzón de la organización de Exchange.

Valor predeterminado 20 entregas

MaxConcurrentMailboxSubmissions

El parámetro MaxConcurrentMailboxSubmissions especifica el número máximo desubprocesos de entrega que el servidor Transporte de concentradores puede tenerabiertos al mismo tiempo para aceptar mensajes de buzones. El controlador dealmacén del servidor Transporte de concentradores es responsable de entregarmensajes a y desde servidores de buzones. Este límite se aplica a la aceptación denuevos mensajes provenientes de cualquier buzón de la organización de Exchange.

Valor predeterminado 20 envíos

MaxConnectionRatePerMinute

El parámetro MaxConnectionRatePerMinute especifica la velocidad máxima a la quepueden abrirse nuevas conexiones de entrada para el servidor Transporte deconcentradores o el servidor Transporte perimetral. Estas conexiones se abren paratodos los conectores de recepción que existan en el servidor.

Valor predeterminado 1200 conexiones por minuto.


9 of 34 12/7/2012 11:40 AM

Parámetros de limitación en conectores de envío

Parámetros de limitación en conectores de recepción

MaxOutboundConnections

El parámetro MaxOutboundConnections especifica el número máximo de conexionessalientes simultáneas que el servidor Transporte de concentradores o el servidorTransporte perimetral pueden tener abiertas al mismo tiempo. Las conexionessalientes se producen al utilizar los conectores de envío que existen en el servidor. Elvalor especificado por el parámetro MaxOutboundConnections se aplica a todos losconectores de envío que hay en el servidor de transporte.

Valor predeterminado 1000 conexiones

Si escribe un valor ilimitado, no se impone ningún límite en el número de conexionesde salida.

Este valor también puede configurarse mediante la EMC.

MaxPerDomainOutboundConnections

El parámetro MaxPerDomainOutboundConnections especifica el número máximo deconexiones que un servidor Transporte de concentradores conectado a Internet o unservidor Transporte perimetral pueden tener abiertas para cualquier dominio remotoúnico. Las conexiones salientes para dominios remotos se producen al utilizar losconectores de envío que existen en el servidor.

Valor predeterminado 20 conexiones por dominio.

Si escribe un valor ilimitado, no se impone ningún límite en el número de conexionesde salida por dominio.

Este valor también puede configurarse mediante la EMC.

PickupDirectoryMaxMessagesPerMinute

El MaxPerDomainOutboundConnections parámetro especifica la velocidad deprocesamiento de mensajes en los directorios Recogida y Reproducción. Cadadirectorio puede procesar archivos de mensaje de manera independiente a lavelocidad especificada por el parámetro PickupDirectoryMaxMessagesPerMinute.Valor predeterminado De forma predeterminada, el directorio Recogida puedeprocesar 100 mensajes por minuto y el directorio Reproducción puede procesarsimultáneamente 100 mensajes por minuto.

Los directorios Recogida y Reproducción examinan nuevos archivos de mensaje cada5 segundos o 12 veces por minuto. Este intervalo de sondeo de 5 segundos no sepuede configurar. Esto significa que el número máximo de mensajes que se puedenprocesar durante cada intervalo de sondeo tiene el valor que se ha asignado alparámetro PickupDirectoryMaxMessagesPerMinute dividido entre 12(PickupDirectoryMaxMessagesPerMinute/12). De forma predeterminada, solo sepueden procesar un máximo de ocho mensajes en cada intervalo de sondeo de5 segundos.

Los parámetros de limitación siguientes están disponibles en los conectores de envío. Use el cmdlet Send-Connector paraconfigurar estos parámetros.

Parámetros de limitación de conectores de envío


ConnectionInactivityTimeOut

El parámetro ConnectionInactivityTimeOut especifica el tiempo máximo que puedepermanecer inactiva una conexión SMTP con un servidor de mensajería de destino antes deque se cierre la conexión.

Valor predeterminado 10 minutos.

SmtpMaxMessagesPerConnection

El parámetro SmtpMaxMessagesPerConnection especifica el número máximo de mensajesque este servidor de conector de envío puede enviar por conexión.

Valor predeterminado 20 mensajes


10 of 34 12/7/2012 11:40 AM

Parámetros de limitación para el servicio POP3

Puede configurar los parámetros de limitación siguientes en conectores de recepción en servidores Transporte de Exchange2010 con el fin de controlar parámetros de conexión como los tiempos de espera de inactividad, el número máximo deconexiones y el número de errores de protocolo SMTP que se permiten durante una conexión. Use el cmdletSet-ReceiveConnector para configurar estor parámetros.

Parámetros de limitación de conectores de recepción


ConnectionInactivityTimeOut

El parámetro ConnectionInactivityTimeOut especifica el tiempo máximo quepuede permanecer inactiva una conexión SMTP con un servidor de mensajeríade origen antes de que se cierre la conexión.

Valor predeterminado en servidores Transporte de concentradores 5minutos.

Valor predeterminado en servidores Transporte perimetral 1 minuto.

ConnectionTimeOut

El parámetro ConnectionTimeOut especifica el tiempo máximo que puedepermanecer abierta una conexión SMTP con un servidor de mensajería deorigen, incluso aunque el servidor de mensajería de origen esté transmitiendodatos.

Valor predeterminado en servidores Transporte de concentradores 10minutos.

Valor predeterminado en servidores Transporte perimetral 5 minutos.

El valor especificado por el parámetro ConnectionTimeout debe ser mayor queel valor especificado por el parámetro ConnectionInactivityTimeout.

MaxInboundConnection

El parámetro MaxInboundConnection especifica el número máximo deconexiones SMTP entrantes que permite este conector de recepción al mismotiempo.

Valor predeterminado 5000.

MaxInboundConnectionPercentagePerSource

El parámetro MaxInboundConnectionPercentagePerSource especifica el númeromáximo de conexiones SMTP que permite un conector de recepción al mismotiempo desde un único servidor de mensajería de origen. El valor se expresacomo el porcentaje de conexiones restantes disponibles en un conector derecepción. El número máximo de conexiones que permite el conector derecepción se define con el parámetro MaxInboundConnection. Valor

predeterminado 2 por ciento.

MaxInboundConnectionPerSource

El parámetro MaxInboundConnectionPerSource especifica el número máximo deconexiones SMTP que permite un conector de recepción al mismo tiempo desdeun único servidor de mensajería de origen.

Valor predeterminado 100 conexiones.

MaxProtocolErrors

El parámetro MaxProtocolErrors especifica el número máximo de errores deprotocolo SMTP que un conector de recepción permite antes de cerrar laconexión con el servidor de mensajería de origen.

Valor predeterminado 5 errores.

Los parámetros de limitación siguientes están disponibles para el servicio POP3 de Microsoft Exchange en los servidores deacceso de cliente. Use el cmdlet Set-POPSettings para configurar estos parámetros. Para obtener más información, consulte

Establecer límites de conexión para POP321.

Parámetros de limitación del servicio POP3


11 of 34 12/7/2012 11:40 AM

Parámetros de limitación para el servicio IMAP4


MaxCommandSize

El parámetro MaxCommandSize especifica el tamaño máximo de un único comando.Los valores posibles van de 40 a 1024 bytes.

Valor predeterminado 40 bytes.

MaxConnectonFromSingleIP

El parámetro MaxConnectionFromSingleIP especifica el número de conexiones de unasola dirección IP que acepta el servidor especificado. Los valores admitidos van de 1 a25 000.


MaxConnections

El parámetro MaxConnections especifica el número total de conexiones que acepta elservidor especificado. Se incluyen en este número tanto las conexiones autenticadascomo las que no lo están. Los valores admitidos van de 1 a 25 000.


MaxConnectionsPerUser

El parámetro MaxConnectionsPerUser especifica el número máximo de conexiones deun usuario particular que acepta el servidor de acceso de cliente. Los valores admitidosvan de 1 a 25 000.


PreAuthenticationConnectionTimeOut

El parámetro PreAuthenticatedConnectionTimeout especifica el tiempo que debetranscurrir antes de cerrar una conexión inactiva que no está autenticada. Los valoresadmitidos van de 10 a 3600 segundos.

Valor predeterminado 60 segundos.

Los parámetros de limitación siguientes están disponibles para el servicio IMAP4 de Microsoft Exchange en los servidores deacceso de cliente. Use el cmdlet Set-IMAPSettings para configurar estos parámetros. Para obtener más información,

consulte Establecer los límites de conexión para IMAP422.

Parámetros de limitación de servicios IMAP4


AuthenticationConnectionTimeOut

El parámetro AuthenticatedConnectionTimeout especifica el período de tiempo que debetranscurrir antes de cerrar una conexión autenticada inactiva. Los valores admitidos vande 30 a 86 400 segundos.


MaxCommandSize

El parámetro MaxCommandSize especifica el tamaño máximo de un único comando. Eltamaño predeterminado es de 40 bytes. Los valores posibles van de 40 a 1024 bytes.

Valor predeterminado 40 bytes.

MaxConnectionFromSingleIP

El parámetro MaxConnectionFromSingleIP especifica el número de conexiones de unasola dirección IP que acepta el servidor especificado. Los valores admitidos van de 1 a25 000.


MaxConnections

El parámetro MaxConnections especifica el número total de conexiones que acepta elservidor especificado. Se incluyen en este número tanto las conexiones autenticadascomo las que no lo están. Los valores admitidos van de 1 a 25 000.


12 of 34 12/7/2012 11:40 AM

Directivas de limitación de clientes


MaxConnectionsPerUser

El parámetro MaxConnectionsPerUser especifica el número máximo de conexiones de unusuario particular que acepta el servidor de acceso de cliente. Los valores admitidos vande 1 a 25 000.


PreAuthenticatedConnectionTimeOut

El parámetro PreAuthenticatedConnectionTimeout especifica el tiempo que debetranscurrir antes de cerrar una conexión inactiva que no está autenticada. Los valoresadmitidos van de 10 a 3600 segundos.


En Exchange 2010, puede usar las directivas de limitación de clientes para administrar el rendimiento del servidor de accesode cliente controlando parámetros como la cantidad de conexiones simultáneas para cada protocolo de acceso de cliente, elporcentaje de tiempo que una sesión de cliente puede usar para ejecutar operaciones LDAP, operaciones RPC y operacionesde acceso de cliente. Existe una directiva de limitación predeterminada de clientes que, en general, es suficiente paracontrolar la carga que soportan los servidores de acceso de cliente. Los parámetros de la directiva predeterminada puedenmodificarse, así como crear directivas personalizadas que se adecuen a los requisitos de cada implementación.

Los siguientes grupos de usuarios y métodos de acceso disponen de las directivas de limitación siguientes:

Acceso anónimoAcceso entre sitios (CPA)Exchange ActiveSync (EAS)Servicios Web Exchange (EWS)IMAPPOPOutlook Web App (OWA)Acceso de cliente RPC (RCA)

Las configuraciones de limitación siguientes están disponibles en directivas de limitación de clientes para cada uno de estosgrupos de usuarios (acceso anónimo y CPA) y métodos de acceso (EAS, EWS, IMAP, OWA, POP y RCA).

Configuración directivas de limitación de clientes

Configuración de limitación Acceso anónimo CPA EAS EWS IMAP OWA POP RCA

Simultaneidad máxima Sí Sí Sí Sí Sí Sí Sí Sí

Porcentaje de tiempo en AD Sí N A Sí Sí Sí Sí Sí Sí

Porcentaje de tiempo en CAS Sí Sí Sí Sí Sí Sí Sí Sí

Porcentaje de tiempo en RPC de buzones Sí Sí Sí Sí Sí Sí Sí Sí

CPA Acceso entre sitios

EAS Exchange ActiveSync

EWS Servicios Web Exchange

OWA Outlook Web App

Además de esta configuración de limitación a partir de grupos de usuarios y métodos de acceso, en una directiva delimitación de clientes puede haber las configuraciones de limitación siguientes.

Parámetros de directivas de limitación de clientes



13 of 34 12/7/2012 11:40 AM

CPUStartPercent

El parámetro CPUStartPercent especifica el porcentaje de CPU por proceso en el que secomienza a interrumpir a los usuarios regidos por esta directiva. Los valores válidos vande 0 a 100. Utilice $null para desactivar la limitación basada en el porcentaje de la CPUpara esta directiva.

EASMaxDeviceDeletesPerMonth

El parámetro EASMaxDeviceDeletesPerMonth especifica un límite al número deasociaciones de Exchange ActiveSync que puede eliminar un usuario cada mes. De formapredeterminada, los usuarios pueden eliminar un máximo de 20 asociaciones cada mesnatural. Cuando se alcanza el límite, el intento de eliminación de asociación genera unerror y se muestra un mensaje de error.

EASMaxDevices

El parámetro EASMaxDevices especifica un límite al número de asociaciones de ExchangeActiveSync que puede eliminar un usuario de forma simultánea. De formapredeterminada, cada usuario puede crear 10 asociaciones de Exchange ActiveSync consu cuenta de Exchange. Después de que un usuario supere el límite, debe eliminar una desus asociaciones existentes antes de poder crear otra asociación nueva. Cuando sesobrepase el límite, el usuario recibe un mensaje de correo electrónico de error quedescribe la limitación. Además, se registra un evento en el registro de aplicación cuandoun usuario supera el límite.

EWSFastSearchTimeOutInSeconds

El parámetro EWSFastSearchTimeoutInSeconds especifica la cantidad de tiempo duranteel cual las búsquedas efectuadas mediante los servicios Web Exchange continúan antes deque termine el tiempo de espera. Si la búsqueda tarda más tiempo del indicado por elvalor de la directiva, la búsqueda se detiene y se devuelve un error. El valorpredeterminado de esta configuración es de 60 segundos.

EWSFindCountLimit

El parámetro EWSFindCountLimit especifica el tamaño máximo del resultado de lasllamadas de FindItem o FindFolder que puedan existir en la memoria en el servidor deacceso de cliente al mismo tiempo para este usuario en el proceso actual. Si se intentaencontrar más elementos o carpetas de los que permite el límite de la directiva, se generaun error. Sin embargo, el límite no se aplica de forma estricta si se hace la llamada en elcontexto de una vista de página con índice. Concretamente, en esta situación, losresultados de búsqueda quedan truncados para incluir el número de elementos y carpetasque se ajustan al límite de la directiva. Después puede continuar hojeando los resultadosestablecidos mediante las llamadas de FindItem o FindFolder.

EWSMaxSubscriptions

El parámetro EWSMaxSubscriptions especifica el número máximo de suscripciones deinserción y de extracción activas que puede tener un usuario en un servidor de acceso decliente específico al mismo tiempo. Si un usuario intenta crear más suscripciones que elmáximo configurado, la suscripción no es válida y se registra un evento en el Visor deeventos.

ExchangeMaxCmdlets

El parámetro ExchangeMaxCmdlets especifica el número de cmdlets que se puedenejecutar en un período de tiempo específico antes de que su ejecución se ralentice. Elvalor especificado por este parámetro debe ser inferior al valor especificado por elPowerShellMaxCmdlets parameter.

El período de tiempo que se usa para este límite se especifica mediante el parámetroPowerShellMaxCmdletsTimePeriod. Se recomienda establecer valores para ambosparámetros al mismo tiempo.

ForwardeeLimit

El parámetro ForwardeeLimit especifica los límites para el número de destinatarios que sepueden configurar en Reglas de Bandeja de entrada al usar la acción de reenviar oredirigir. Este parámetro no limita el número de mensajes que se pueden reenviar oredirigir a los destinatarios que están configurados.

MessageRateLimit

El parámetro MessageRateLimit especifica el número de mensajes por minuto que sepueden enviar al transporte. Respecto a los mensajes enviados a través del rol de servidorBuzón de correo (Outlook Web App, Exchange ActiveSync o servicios Web Exchange), losmensajes se aplazan hasta que la cuota del usuario está disponible. Más concretamente,los mensajes aparecen en la carpeta Buzón de salida o Borrador durante largos períodos


14 of 34 12/7/2012 11:40 AM

Control de acceso basado en roles

de tiempo cuando los usuarios envían mensajes a un ritmo superior al del parámetroMessageRateLimit.

En el caso de los clientes POP o IMAP que envían mensajes directamente al transportemediante SMTP, los clientes reciben un error transitorio si efectúan envíos a una velocidadque supera el parámetro MessageRateLimit. Exchange intenta conectarse y enviar losmensajes posteriormente.

PowerShellMaxCmdletQueueDepth

El parámetro PowerShellMaxCmdletQueueDepth especifica el número de operacionespermitidas que el usuario puede ejecutar. Este valor afecta directamente alcomportamiento de los parámetros PowerShellMaxCmdlets y PowerShellMaxConcurrency.Por ejemplo, el parámetro PowerShellMaxConcurrency consume al menos dos operacionesdefinidas por el parámetro PowerShellMaxCmdletQueueDepth, pero las operacionesadicionales también se consumen según la ejecución de cmdlet. El número de operacionesdepende de los cmdlets que se ejecutan. Se recomienda que el valor del parámetroPowerShellMaxCmdletQueueDepth sea al menos tres veces superior al valor del parámetroPowerShellMaxConcurrency parameter. Este parámetro no afectará a las operaciones delPanel de control de Exchange ni a las operaciones de los servicios Web Exchange.

PowerShellMaxCmdlets

El parámetro PowerShellMaxCmdlets especifica el número de cmdlets que se puedenejecutar en un período de tiempo específico antes de que su ejecución se detenga. Elvalor especificado por este parámetro debe ser superior al valor especificado por elparámetro ExchangeMaxCmdlets. El período de tiempo que se usa para este límite seespecifica mediante el parámetro PowerShellMaxCmdletsTimePeriod. Ambos valores sedeben establecer al mismo tiempo.

PowerShellMaxCmdletsTimePeriod

El parámetro PowerShellMaxCmdletsTimePeriod especifica el período de tiempo, ensegundos, que la directiva de limitación usa para determinar si el número de cmdlets quese están ejecutando supera los límites especificados por los parámetrosPowerShellMaxCmdlets y ExchangeMaxCmdlets.

PowerShellMaxConcurrency

El parámetro PowerShellMaxConcurrency especifica información diferente según elcontexto:

En el contexto de PowerShell remoto, el parámetro PowerShellMaxConcurrency especificael número máximo de sesiones de PowerShell remoto que un usuario de PowerShellremoto puede tener abiertas al mismo tiempo.

En el contexto de los servicios Web Exchange, el parámetro PowerShellMaxConcurrency

especifica el número de ejecuciones simultáneas de cmdlet que un usuario puede tener almismo tiempo.

El valor de este parámetro no se relaciona necesariamente con el número de navegadoresabiertos por el usuario.

RecipientRateLimitEl parámetro RecipientRateLimit especifica los límites en el número de destinatarios queun usuario puede tratar en un período de 24 horas.

Para obtener más información sobre directivas de limitación de Exchange 2010, consulte Descripción de las directivas de

limitación de peticiones de clientes23.

El control de acceso basado en roles o RBAC es el nuevo modelo de permisos de Exchange 2010 con el que se controla, deforma general y particular, lo que pueden hacer administradores y usuarios. Con RBAC ya no es necesario modificar las listas decontrol de acceso en los objetos Active Directory como las unidades organizativas y los contenedores para posibilitar ladelegación individual de permisos a grupos como los operadores del departamento de soporte técnico o para funciones como laadministración de destinatarios. Active Directory

Para obtener más información, consulte Descripción del control de acceso basado en funciones24. Si desea obtener una lista delos roles de administración predeterminados de RBAC que se incluyen en Exchange 2010, consulte Funciones integradas de

administración25. Para obtener una lista de los grupos de roles predeterminados, consulte Grupos de funciones integradas26.


15 of 34 12/7/2012 11:40 AM

Importante:

Active Directory

Cuentas de servidores de Exchange

Los grupos de roles creados por el programa de instalación de Exchange 2010 o por usted se crean en Active Directory comogrupos de seguridad universal en las unidades organizativas de grupos de seguridad de Microsoft Exchange. Puede agregarmiembros a un grupo de roles mediante el cmdlet New-RoleGroupMember o mediante el Panel de control de Exchange. Alagregar un miembro a un grupo de roles, el usuario o el grupo se incorporan al correspondiente grupo de seguridad de ActiveDirectory. Puede usar una directiva de grupo restringido para restringir la pertenencia a grupos de roles de RBAC importantes,por ejemplo Administración de detección. Al implementar una directiva de grupo restringido, los controladores de dominio deActive Directory supervisan la pertenencia al grupo y los usuarios no incluidos en la directiva se quitan automáticamente.

Si se usan los grupos restringidos para restringir la pertenencia a grupo para grupos de roles de RBAC, los cambios que seefectúen en un grupo de roles mediante las herramientas de Exchange 2010 deben aplicarse también a la directiva de gruporestringido en Active Directory. Para obtener más información, consulte Configuración de la seguridad de las directivas de

grupo27 (en inglés).

Exchange Server almacena datos de configuración en la partición de configuración y datos de destinatarios en la partición dedominio de Active Directory Domain Services. Para obtener más información sobre los permisos que se necesitan para

configurar una organización de Exchange 2010, consulte Referencia de los permisos de implementación de Exchange 201028. Lacomunicación con los controladores de dominios de Active Directory se asegura mediante la autenticación y el cifrado deKerberos.

Exchange 2010 proporciona un nuevo nivel de autorización de Exchange, denominado control de acceso basado en roles(RBAC), en lugar de solicitar entradas de control de acceso (ACE) para cada cuenta que precise los correspondientes permisos.En versiones anteriores de Microsoft Exchange, el programa de instalación de Exchange se basaba en las ACE en ActiveDirectory para que los administradores de Exchange pudieran administrar objetos en la partición de dominio. Losadministradores de Exchange tienen la capacidad de realizar determinadas operaciones en un determinado ámbito medianteRBAC. El servidor de Exchange ejecuta las acciones autorizadas en nombre del administrador o los usuarios mediante lospermisos concedidos en Active Directory mediante los grupos de seguridad Permisos de Exchange Windows y Subsistemas deconfianza de Exchange. Para obtener más información acerca de RBAC, consulte Descripción del control de acceso basado en

funciones24.

En Exchange 2010, /PrepapareDomain no solicita las ACE para el grupo de seguridad universal Permisos de Exchange Windowsdel contenedor AdminSDHolder en Active Directory. Si /PrepareDomain detecta que hay ACE concedidas al grupo de seguridaduniversal Permisos de Exchange Windows, las ACE se quitan. Esto tiene las repercusiones siguientes:

Los miembros del grupo de seguridad universal Permisos de Exchange Windows no pueden modificar la pertenencia algrupo de los grupos de seguridad protegidos como Administradores de empresa y Administradores de dominio. Esto tienelas repercusiones siguientes:Los miembros del grupo de seguridad universal Permisos de Exchange Windows no pueden forzar el restablecimiento decontraseña de una cuenta que esté protegida por AdminSDHolder.Los miembros del grupo de seguridad universal Permisos de Exchange Windows no pueden alterar los permisos de ningúngrupo ni cuenta que estén protegidos por AdminSDHolder.

Se recomienda no habilitar para buzón las cuentas protegidas por AdminSDHolder y mantener cuentas independientes paralos administradores de Active Directory: una cuenta para administración de Active Directory, y otra para el uso cotidianonormal, incluido el correo electrónico. Para obtener más información, consulte los siguientes temas:

Descripción y actualización del objeto AdminSDHolder de Active Directory29

Exchange 2010 y resolución del problema de elevación de AdminSDHolder (posiblemente en inglés)30

El programa de instalación de Exchange 2010 crea una nueva unidad organizativa en el dominio raíz denominada Grupos deseguridad de Microsoft Exchange. En la tabla siguiente se muestran los nuevos grupos de seguridad universal.

Grupos de seguridad de Microsoft Exchange

Grupo de seguridad Descripción

Exchange All HostedOrganizations

Este grupo contiene todos los grupos de buzones de correo de la organización hospedados deExchange. Se usa para aplicar objetos de configuración de contraseña a todos los buzones de correohospedados. Este grupo no debe eliminarse.


16 of 34 12/7/2012 11:40 AM

Servidores de ExchangeEsto incluye todos los servidores de Exchange. Este grupo no debe eliminarse. Se recomiendaencarecidamente abstenerse de realizar cambios de pertenencia a grupo en este grupo.

Subsistema de confianzade Exchange

Este grupo contiene servidores de Exchange que ejecutan cmdlets de Exchange en nombre de losusuarios mediante un servicio de administración. Sus miembros tendrán permiso para leer ymodificar toda la configuración de Exchange, además de los grupos y las cuentas de usuario. Estegrupo no debe eliminarse.

Exchange Permisos deWindows

Este grupo contiene servidores de Exchange que ejecutan cmdlets de Exchange en nombre de losusuarios mediante un servicio de administración. Sus miembros tendrán permiso para leer ymodificar todos los grupos y las cuentas de Windows. Este grupo no debe eliminarse. Se recomiendaencarecidamente abstenerse de realizar cambios de pertenencia a grupo en este grupo; asimismo,se recomienda supervisar la pertenencia a grupos.

ExchangeLegacyInteropEste grupo sirve para interoperar con servidores de Exchange 2003 en el mismo bosque. Este grupono debe eliminarse.

Además de estos grupos de seguridad, el programa de instalación crea los grupos de seguridad siguientes, que corresponden agrupos de roles de RBAC con el mismo nombre.

Grupos de seguridad que corresponden a grupos de roles de RBAC

Grupo de seguridad Grupo de roles de RBAC

Configuración delegada Configuración delegada31

Administración de detección Administración de la detección32

Help Desk Servicio de asistencia33

Administración de higiene Administración de higiene34

Administración de la organización Administración de organizaciones35

Administración de carpetas públicas Administración de carpetas públicas36

Administración de destinatarios Administración de destinatarios37

Administración de registros Administración de registros38

Administración de servidor Administración de servidor39

Administración de mensajería unificada Administración de MU40

View-Only Organization Management Administración de organizaciones con permiso de vista41

Asimismo, al crear un grupo de roles, Exchange 2010 crea un grupo de seguridad con el mismo nombre que el grupo de roles.Para obtener más información, consulte los siguientes temas:

Grupos de funciones integradas26

Crear un grupo de funciones42

Los usuarios se agregan o quitan de estos grupos de seguridad cuando se agregan o quitan usuarios de grupos de roles


17 of 34 12/7/2012 11:40 AM

Sistema de archivos

Servicios

mediante los cmdlets Add-RoleGroupMember o Remove-RoleGroupMember, o bien con el Editor de usuarios de control

de acceso basado en roles (RBAC) en el Panel de control de Exchange.

El programa de instalación de Exchange 2010 crea directorios con los permisos mínimos para que Exchange 2010 puedafuncionar. No se recomienda reforzar los permisos en las listas de control de acceso de los directorios creados por el programade instalación.

El programa de instalación de Exchange 2010 no deshabilita de forma predeterminada ningún servicio de Windows. En la tablasiguiente aparecen los servicios que están habilitados de forma predeterminada en cada rol de servidor. De formapredeterminada, solo están habilitados los servicios necesarios para que funcione un determinado rol de servidor de Exchange2010.

Servicios instalados por el programa de instalación de Exchange

Nombre del

servicioNombre corto del servicio

Contexto

de

seguridad

Descripción y

dependencias

Tipo de inicio

predeterminado

Roles de

servidor

Necesario

(R) u

opcional

(O)

MicrosoftExchangeTopología deActiveDirectory

MSExchangeADTopologySistemalocal

Proporcionainformación detopología de ActiveDirectory a losservicios deExchange. Si elservicio se detiene, lamayor parte de losservicios deExchange no podráiniciarse. Esteservicio no tienedependencias.

Automático

Buzón decorreo,Transporte deconcentradores,Acceso declientes,Mensajeríaunificada

R

ADAM deMicrosoftExchange

ADAM_MSExchangeServicio dered

Almacena datos deconfiguración y datosde destinatarios en elservidor Transporteperimetral. Esteservicio representa lainstancia con nombrede ActiveDirectory LightweightDirectory Service (ADLDS) que creaautomáticamente elprograma deinstalación durante lainstalación delservidor Transporteperimetral. Esteservicio depende delservicio Sistema deevento COM+.

AutomáticoTransporteperimetral

R

Libreta dedireccionesde MicrosoftExchange

MSExchangeABSistemalocal

Administra lasconexiones delibretas dedirecciones declientes. Este serviciodepende del serviciode topología de

AutomáticoAcceso declientes

R


18 of 34 12/7/2012 11:40 AM

MicrosoftExchange ActiveDirectory.

Actualizacióncontra correoelectrónicono deseadode MicrosoftExchange

MSExchangeAntispamUpdateSistemalocal

ProporcionaMicrosoft ForefrontProtection 2010 parael servicio deactualización decorreo electrónico nodeseado de ExchangeServer. En servidoresTransporte deconcentradores, esteservicio depende delservicio de topologíade MicrosoftExchange ActiveDirectory. En losservidores Transporteperimetral, esteservicio depende delservicio ADAM deMicrosoft Exchange.

Automático

Transporte deconcentradores,Transporteperimetral

O

Servicio decredencialesde MicrosoftExchange

MSExchangeEdgeCredentialSistemalocal

Supervisa loscambios decredenciales en ADLDS e instala loscambios en elservidor Transporteperimetral. Esteservicio depende delservicio ADAM deMicrosoft Exchange.

AutomáticoTransporteperimetral

R

EdgeSync deMicrosoftExchange

MSExchangeEdgeSyncSistemalocal

Se conecta a unainstancia de AD LDSen los servidoresTransporte perimetralsuscritos medianteun canal LDAP seguropara sincronizardatos entre unservidor Transportede concentradores yun servidorTransporteperimetral. Esteservicio depende delservicio de topologíade MicrosoftExchange ActiveDirectory. Esteservicio se podrádeshabilitar si no haysuscripcionesperimetralesconfiguradas.

AutomáticoTransporte deconcentradores

O

Distribuciónde archivosde MicrosoftExchange

MSExchangeFDSSistemalocal

Distribuye libretas dedirecciones sinconexión (OAB) yavisos personalizados

Automático

Acceso decliente,Mensajeríaunificada

R


19 of 34 12/7/2012 11:40 AM

de mensajeríaunificada. Esteservicio depende delos servicios detopología y estaciónde trabajo deMicrosoftExchange ActiveDirectory.

Autenticaciónbasada enformulariosde MicrosoftExchange

MSExchangeFBASistemalocal

Proporcionaautenticación basadaen formularios aOutlook Web App y alPanel de control deExchange. Si sedetiene este servicio,Outlook Web App y elPanel de control deExchange noautenticarán a losusuarios. Esteservicio no tienedependencias.

AutomáticoAcceso declientes

R

IMAP4 deMicrosoftExchange

MSExchangeIMAP4Servicio dered

Proporciona serviciosIMAP4 a clientes. Sise detiene esteservicio, los clientesno podrán conectarsea este equipomediante el protocoloIMAP4. Este serviciodepende del serviciode topología deMicrosoftExchange ActiveDirectory.

ManualAcceso declientes

O

Almacén deinformaciónde MicrosoftExchange

MSExchangeISSistemalocal

Administra elAlmacén deinformación deExchange. Incluyebases de datos debuzones de correo yde carpetas públicas.Si se detiene esteservicio, no estarándisponibles las basesde datos de buzonesde correo y decarpetas públicas eneste equipo. Si sedeshabilita esteservicio, no sepodrán iniciar losservicios quedependanexplícitamente de él.Este servicio dependede los servicios RPC,Servidor, Registro deeventos deWindows y Estaciónde trabajo.

AutomáticoBuzón decorreo

R


20 of 34 12/7/2012 11:40 AM

Certificados

Consideraciones sobre NTLM

Autenticación de doble factor

Federación

El programa de instalación de Exchange 2010 crea certificados autofirmados para asegurar las comunicaciones entre distintosprotocolos, por ejemplo HTTP, SMTP, POP3 e IMAP4. Los certificados autofirmados creados por el programa de instalación tienenuna validez de cinco años. De este modo, no hace falta renovar los certificados autofirmados durante una parte considerable deuna implementación de Exchange 2010 y la expiración de los certificados autofirmados no afecta a los servicios de mensajería.

En el caso de los protocolos y mecanismos de acceso de clientes externos, por ejemplo Outlook Web App, POP3, IMAP4, OutlookAnywhere y Detección automática, se recomienda lo siguiente:

Usar certificados firmados por una entidad de certificación comercial de confianza entre los clientes que tienen acceso aesos servicios.

Usar el nuevo Asistente para certificados de Exchange o el cmdlet New-ExchangeCertificate43 para crear solicitudes defirma para entidades de certificación comerciales. Las solicitudes de certificado que se generan con estas herramientasaseguran que se cumplan todos los requisitos de certificado de Exchange.Tenga en cuenta los requisitos de certificado en cada protocolo o servicio para el que desea permitir el acceso de clientesexternos.

En los servidores de acceso de clientes, los certificados se usan para proteger el tráfico de HTTP (Outlook Anywhere,Outlook Web App, AutoDiscover, Exchange ActiveSync y servicios Web Exchange) mediante Capa de socketsseguros (SLL), y el tráfico de POP3 e IMAP4 mediante SSL o Seguridad de la capa de transporte (TLS). Para obtener

más información, consulte Administrar SSL para un servidor de Acceso de cliente44.En el caso de los servidores Transporte, los certificados se usan para proteger el tráfico de SMTP mediante TLS. Para

obtener más información, consulte Descripción de los certificados TLS45.En el caso de los servidores Mensajería unificada, los certificados se usan para proteger el tráfico de voz sobre IP

(VoIP). Para obtener más información, consulte Descripción de la seguridad de la mensajería unificada VoIP46.Por lo que respecta a la federación, los certificados se usan para cifrar tokens de SAML que se intercambian conMicrosoft Federation Gateway y con organizaciones de asociados federadas. Para obtener más información, consulte

Descripción de la federación47.Supervise las fechas de vigencia de los certificados y renueve los certificados con las entidades de certificación en elmomento oportuno para prevenir la interrupción de los servicios.Cuando almacene certificados exportados con la clave privada asociada, proteja el archivo exportado mediante losoportunos controles de acceso en la carpeta o el archivo donde se vaya a guardar. Según los requisitos que tenga laorganización, considere la posibilidad de habilitar la auditoría del acceso de archivos en las carpetas donde se almacenanlos archivos de certificado con claves privadas.

El protocolo NTLM es notablemente menos seguro que el protocolo Kerberos. En Exchange 2010, los protocolos POP3 e IMAP4no admiten autenticación NTLM si SecureLogin se especifica como LoginType. Para obtener más información, consulte

Configuración de la autenticación para POP3 e IMAP448. Los servicios Exchange 2010 que usan Autenticación integrada deWindows pueden usar los protocolos NTLM y Kerberos. Kerberos se usa para la comunicación de servidor de acceso de clientecon un servidor de buzones de correo de Exchange 2010, así como entre servidores de acceso de clientes para Outlook WebApp, Exchange ActiveSync y servicios Web Exchange. Para obtener más información sobre los servicios que usan NTLM para

autenticar, consulte Referencia del puerto de red de Exchange20.

Los mecanismos de autenticación de doble factor usan otra autenticación además de las credenciales de inicio de sesión deusuario (nombre de usuario y contraseña), por ejemplo tokens generados de forma aleatoria o un certificado digital en unaSmartCard junto con un PIN. Muchas organizaciones implementan la autenticación de doble factor para posibilitar un accesoseguro a la red de la organización.

Exchange 2010 no incluye soporte nativo para autenticación de doble factor. Exchange 2010 usa Internet Information Server(IIS) 7 para el acceso de clientes a través de HTTP (Detección automática, Outlook Web App, Outlook Anywhere, ExchangeActiveSync y servicios Web Exchange). Los asociados y terceros disponen de numerosos productos de autenticación de doblefactor que se integran con IIS y que funcionan con servicios de acceso de clientes de Exchange como Outlook Web App. Antesde implementar productos de autenticación de doble factor para servicios de Exchange, se recomienda probarlosadecuadamente para asegurarse de que cumplan los requisitos de seguridad de la organización y de que proporcionen lafuncionalidad que se necesita.

Exchange 2010 incorpora nuevas características de federación que permiten la colaboración segura entre organizacionesfederadas de Exchange. Las organizaciones de Exchange 2010 pueden crear una confianza de federación con MicrosoftFederation Gateway y establecer relaciones de organización con otras organizaciones federadas para compartir calendarios einformación de disponibilidad. Mediante las directivas de uso compartido, las organizaciones también pueden permitir que los


21 of 34 12/7/2012 11:40 AM

Extensiones seguras multipropósito al correo de Internet (S/MIME)

usuarios compartan su información sobre disponibilidad, el calendario o los contactos con usuarios de organizaciones externasfederadas. Para obtener más información sobre confianzas de generación y el uso compartido federado, consulte Descripción de

la federación47 y Descripción de la delegación federada49.

Después de establecer una confianza de federación con MFG, el uso compartido entre dos organizaciones federadas no tienelugar a menos que se cree una relación organizativa. Ahora bien, de forma predeterminada el uso compartido entre los usuariosde la organización y los de organizaciones externas federadas se habilita mediante la directiva predeterminada de usocompartido asignada a los usuarios. Esta directiva permite el uso compartido del calendario con información sobredisponibilidad solamente con usuarios de organizaciones externas federadas. Si no desea que los usuarios compartan suinformación sobre disponibilidad con usuarios de todos los dominios externos federados, deshabilite la directiva predeterminadade uso compartido o cambie el nombre de dominio especificado en la directiva por los únicos dominios con los que quieracompartir la información. Este cambio debe realizarse antes de crear una confianza de federación con MFG. Para obtener más

información, consulte Deshabilitar una directiva de uso compartido50 y Configurar propiedades de la directiva de uso

compartido51.

Todas las características de federación de una organización, incluidas la delegación federada, pueden deshabilitarse quitando laconfianza de federación de la organización con MFG. Para obtener más información, consulte Quitar las confianzas de

federación52.

Extensiones seguras multipropósito al correo de Internet (S/MIME) es un estándar de cifrado de claves públicas y firma dedatos MIME que proporciona autenticación, integridad de mensajes, no rechazo y privacidad de datos para datos de mensajería.Los certificados S/MIME permiten que los usuarios puedan firmar o cifrar mensajes, o bien ambas cosas. Para obtener más

información acerca de S/MIME, vea Descripción de S/MIME53 (posiblemente en inglés).

S/MIME es una tecnología orientada a clientes sin requisitos de interoperabilidad para servidores de correo electrónico. En elámbito de la transferencia de mensajes, los mensajes firmados o cifrados con S/MIME se transfieren del mismo modo que losmensajes no cifrados. La representación en sí del mensaje se efectúa en el lado cliente tras las comprobaciones de validaciónde mensajes y certificados. En el caso de Outlook Web App, la compatibilidad con S/MIME es posible con un control ActiveX.Aunque Outlook Web App admite los exploradores más usados como Microsoft Internet Explorer, Mozilla FireFox y Safari, loscontroles ActiveX son una característica de Internet Explorer. Los usuarios de Outlook Web App que usan otros exploradores notienen acceso a las características de S/MIME y es posible que deban usar otro cliente de correo electrónico que admitaS/MIME. Para obtener más información sobre la compatibilidad de S/MIME en Outlook Web App, consulte Outlook Web App y

S/MIME54.

Para obtener más información acerca del soporte de S/MIME en Outlook, vea Descripción general de certificados y mensajes

cifrados en Outlook55 (posiblemente en inglés).

Aunque S/MIME proporcione ventajas de seguridad a una organización, cuando evalúe la tecnología debe tener en cuenta losiguiente:

Los mensajes cifrados con S/MIME son opacos para la organización. El software de seguridad para mensajería como losantivirus y la detección de correo no deseado no pueden inspeccionar el contenido de los mensajes, tanto el cuerpo de losmensajes como los datos adjuntos.Como el contenido de los mensajes y los datos adjuntos están cifrados, las directivas de mensajería de la organización,incluidas las reglas de transporte, no pueden aplicarse a los mensajes cifrados con S/MIME.Si se modifican los mensajes firmados con S/MIME para adecuarlos a las directivas de mensajería de la organización, porejemplo para aplicar una declinación de responsabilidades o una firma personalizada, el mensaje se invalida.El contenido de los mensajes cifrados no puede inspeccionarse para detectar infracciones de contenido y la organizaciónno puede proteger datos confidenciales. Esto afecta a cualquier información de identificación personal que salga de laorganización.Exchange Search no puede indizar los mensajes cifrados con S/MIME; por lo tanto, no pueden buscarse por detección.Para ajustarse a la normativa local o a los requisitos de detección en caso de litigio, es posible que la organización debaproporcionar copias de todos los mensajes cifrados que no están cifrados.

Exchange 2010 proporciona características de Information Rights Management con las cuales la organización puede aplicarprotección permanente a contenido confidencial de los mensajes de modo que solamente determinados destinatarios tenganacceso a mensajes protegidos de este modo. Asimismo, la organización puede implementar controles sobre la manera de usarese contenido una vez lo hayan recibido los destinatarios. Por ejemplo, se puede impedir la impresión, la respuesta o el reenvíode mensajes dentro o fuera de la organización. Además, la organización puede descifrar contenido protegido por IRM paraaplicar software antivirus y detección de correo no deseado y otros agentes de transporte, aplicar directivas de mensajeríamediante reglas de transporte, así como habilitar la detección y el archivado de mensajes protegidos por IRM. Lascaracterísticas de IRM también están disponibles en todos los exploradores web compatibles con Outlook Web App y endispositivos Windows Mobile. Para obtener más información acerca de IRM, consulte Descripción de Information Rights

Management56.


22 of 34 12/7/2012 11:40 AM

Consideraciones sobre roles del servidor

Consideraciones sobre el servidor de buzones de correo

Almacenamiento

Alta disponibilidad

En esta sección figuran una serie de aspectos sobre seguridad relativos al rol del servidor de Exchange 2010.

En Exchange 2010, se han realizado cambios de arquitectura en el almacenamiento y la conectividad de Exchange desdeclientes MAPI como Outlook. Los clientes MAPI se conectan con el servidor de acceso de cliente; de este modo, el servidor debuzones se aísla del tráfico de clientes. Los servidores Buzón de correo se comunican solamente con los servidores de accesode cliente que usan RPCSec, así como con los servidores Active Directory Domain Services (AD DS) de la organización. Losservidores Buzón de correo no necesitan conexión a Internet.

El almacenamiento es un componente fundamental en los servidores Buzón de correo. Debe planear el subsistema dealmacenamiento del servidor de buzones de correo para asegurar un rendimiento correcto y un espacio de almacenamientoadecuado para la implementación. Para obtener más información sobre la planeación del almacenamiento de servidores de

buzones de correo, consulte Diseño del almacenamiento del servidor de buzones de correo57.

Tras implementar el servidor de buzones de correo, debe supervisar los aspectos siguientes:

Disponibilidad del subsistema de almacenamientoDisponibilidad de suficiente espacio en disco en volúmenes que contengan la base de datos de buzones de correo ylos registros de transacciones. Cuando el volumen que almacena la base de datos o los registros de transacciones sequeda sin espacio disponible en disco, se desmonta un buzón de correo o una base de datos de carpetas públicas.

Use Microsoft Federation Gateway Systems Center Operations Manager para supervisar la disponibilidad de

almacenamiento y el espacio libre en disco. Para obtener más información, vea Systems Center Operations Manager 200758

(posiblemente en inglés).

Al planear y supervisar el almacenamiento, si tiene previsto usar las características siguientes, debe tener en cuenta susrequisitos de almacenamiento:

Registro en diario Si usa registro en diario para el archivo de mensajes a largo plazo, según si se usa el registroen diario estándar (por base de datos de buzones) o registro en diario premium (reglas de diario), los mensajes quese envían y reciben de todos los destinatarios de una base de datos de buzones de correo o los destinatariosespecificados en una regla de diario se distribuyen en un informe de diario al buzón de registro en diario o aldestinatario indicado. El resultado puede ser una gran cantidad de informes de diario entregados a un buzón decorreo de registro en diario. Al planear el almacenamiento para servidores Buzón de correo, tenga en cuenta lostamaños de buzón de correo de registro en diario. Puede controlar los tamaños de buzones de correo de registro endiario configurando cotas de buzón de correo suficientes para un buzón de correo de registro en diario. Para obtenermás información sobre registro en diario y cuotas de buzones de correo, consulte los temas siguientes:

Descripción del registro en diario59

Configurar cuotas de almacenamiento para un buzón60

Retención por juicio Si coloca un buzón de correo en retención por juicio, los elementos eliminados por el usuariomediante Recuperar elementos eliminados en Outlook y Outlook Web App, y mensajes eliminados por procesosautomatizados como MRM se conservan hasta que se quita la retención por juicio. En Exchange 2010, la cuota deadvertencia de elementos recuperables se establece en 20 GB y 30 GB. Para obtener información detallada, consultelos siguientes temas:

Descripción de la retención legal61

Descripción de los elementos recuperables62

La alta disponibilidad en servidores Buzón de correo es fundamental para asegurar la disponibilidad en los servicios demensajería. Exchange 2010 incluye grupos de disponibilidad de base de datos para servidores Buzón de correos de altadisponibilidad. Los grupos de disponibilidad de base de datos pueden proporcionar disponibilidad en caso de error en elsubsistema de almacenamiento, el servidor, la conexión de red o una interrupción de todo un centro de datos en laimplementación de Exchange. Para obtener más información sobre cómo planear y configurar una implementación de

Exchange 2010 de alta disponibilidad, consulte Alta disponibilidad y resistencia de sitios63.

De forma predeterminada, en Exchange 2010, el tráfico de replicación (trasvase de registros) entre miembros de DAGubicados en diferentes sitios de Active Directory está cifrado. Puede cifrar tráfico de replicación entre servidores en elmismo sitio de Active Directory definiendo como deshabilitada (Enabled) la propiedad NetworkEncryption del DAG. Use elcmdlet Set-DatabaseAvailabilityGroup para modificar esta propiedad para un DAG.

La replicación se da en un solo puerto TCP, de forma predeterminada el puerto TCP 64327, pero se puede modificar. Para


23 of 34 12/7/2012 11:40 AM

Acceso y permisos de buzones de correos

Consideraciones sobre los servidores de acceso de cliente

obtener más información, consulte Configurar las propiedades del grupo de disponibilidad de la base de datos64.

Parámetros para alta disponibilidad


NetworkEncryption

El parámetro NetworkEncryption especifica si se ha habilitado el cifrado. Los valores válidos son:

Disabled deshabilitado en todas las redesEnabled habilitado en todas las redesInterSubnetOnly habilitado solo para comunicaciones dentro de la subredSeedOnly habilitado solo para propagación

Valor predeterminado InterSubnetOnly

ReplicationPort

El parámetro ReplicationPort especifica un puerto de Protocolo de control de transmisión (TCP) para laactividad de replicación (propagación y trasvase de registros).

Valor predeterminado Si no se especifica este parámetro, el puerto predeterminado para lareplicación es TCP 64327.

De forma predeterminada, Exchange 2010 no permite que los administradores tengan acceso a los buzones de correo. Si laorganización usa servicios o aplicaciones que necesitan tener acceso a un buzón de correo, debe asignar loscorrespondientes permisos de buzón de correo a las cuentas usadas por dichos servicios o aplicaciones Se recomienda noconfigurar esos servicios o aplicaciones para usar credenciales de administrador.

Si bien todos los buzones de correo pueden contener información confidencial valiosa para una organización, debeprestarse especial atención a los buzones siguientes en lo concerniente a la seguridad; los permisos para tener acceso aellos deben controlarse y supervisarse para cumplir con los requisitos de seguridad de la organización.

Buzones de correo de detección Los usa la característica Búsqueda en varios buzones de correo de Exchange2010. Esto permite que los administradores de detecciones que pertenecen al grupo de roles Administración dedetección busquen mensajes en todos los buzones de correo de una organización de Exchange 2010. Los mensajesdevueltos por una búsqueda de detección se copian en el buzón de correo de detección pertinente. El programa deinstalación de Exchange 2010 crea un buzón de correo de detección predeterminado. Para obtener más información,

consulte Descripción de la búsqueda en varios buzones65.Buzones de correo de registros en diario Si configura el registro en diario para una base de datos de buzonesde correo o crea reglas de diario para mensajes de diario y para unos destinatarios determinados, los informes dediario se entregan al buzón de correo de registros en diario especificado. Para obtener información detallada, consultelos siguientes temas:


Crear y configurar un buzón de correo de registro en diario66

Además de proteger estos buzones de correo, un administrador puede usar reglas de transporte para inspeccionar elcontenido de mensajes, así como entregar una copia del mensaje a otro destinatario, incluso si es un destinatario CCO. Lospermisos necesarios para administrar reglas de transporte figuran en la entrada sobre reglas de transporte en el tema

Permisos de directiva de mensajería y conformidad67. Se recomienda aplicar controles adecuados para supervisar ycontrolar la creación y modificación de reglas de transporte, además de realizar auditorías periódicas de reglas detransporte para todas las reglas.

En Exchange 2010, los clientes siguientes se conectan con servidores de acceso de cliente para tener acceso a buzones decorreo:

Clientes de Outlook que usan MAPIClientes de Outlook que usan Outlook AnywhereExploradores web que usan Outlook Web App,Dispositivos móviles que usan Exchange ActiveSyncClientes POP3 e IMAP4Aplicaciones que usan servicios Web Exchange (EWS)

De forma predeterminada, estos métodos de acceso de clientes se protegen mediante rutas de acceso a datos cifradas.También de forma predeterminada, los clientes de Outlook que se conectan a un servidor de acceso de cliente que usa MAPI


24 of 34 12/7/2012 11:40 AM

Importante:

Consideraciones sobre servidores de transporte

emplean cifrado RPC. El acceso de Outlook Web App, Outlook Anywhere y Exchange ActiveSync se protege mediante Capa desockets seguros.

En el caso del acceso de clientes externos, debe obtener e instalar certificados firmados por una entidad de certificación quesea de confianza para el cliente. Para obtener más información, consulte Administrar SSL para un servidor de Acceso de

cliente44.

De forma predeterminada, los servicios POP3 e IMAP4 están deshabilitados en los servidores de acceso de clientes deExchange 2010. Si los habilita, se recomienda usar Seguridad de la capa de transporte o Capa de sockets seguros paraproteger mejor las comunicaciones mediante el uso de estos protocolos. Para obtener información detallada, consulte lossiguientes temas:

Descripción de POP3 e IMAP468

Configuración de TLS y SSL para acceso POP3 e IMAP469

Se recomienda usar los controles de acceso y firewalls adecuados cuando publique servidores de acceso de clientes paraacceso externo. Microsoft Forefront Threat Management Gateway (TMG) 2010 incluye asistentes para publicación parapublicar de manera fácil y segura servidores de acceso de cliente de Exchange 2010 para acceso externo. Para obtener más

información, consulte Forefront Threat Management Gateway (TMG) 201070 (en inglés).

No se admite la búsqueda de servidores de acceso de cliente en redes perimetrales

En servidores de acceso de cliente, Internet Information Server (IIS) se usa para proporcionar acceso de protocolo HTTP aservicios como Outlook Web App, Exchange ActiveSync, Outlook Anywhere, Detección automática, Panel de control deExchange Control Panel , servicios Web Exchange y libreta de direcciones sin conexión. Remote PowerShell también usa IIS ytodas las solicitudes de RPS, incluidas las de la Consola de administración de Exchange, figuran en registros de IIS. Losregistros de IIS pueden crecer hasta consumir una gran cantidad de espacio en disco. IIS, que es un componente deWindows Server, no tiene un mecanismo para borrar registros antiguos basados en el tamaño del directorio en el que residenlos archivos de registro. En este caso, se recomienda trasladar los registros de IIS a un volumen que no sea del sistema. Deeste modo, aunque los archivos de registro crezcan en tamaño, seguirá habiendo espacio disponible en disco; de lo contrario,el servicio podría interrumpirse. Es conveniente supervisar el crecimiento de los archivos de registro e implementar unmecanismo que de forma manual los vaya eliminando o archivando. Para obtener más información, vea Configurar el registro

en IIS 771 (posiblemente en inglés).

Exchange 2010 ofrece dos roles del servidor Transporte ideados para finalidades diferentes.

Transporte perimetral El rol de servidor Transporte perimetral consiste en un servidor de transporte que no formaparte de un dominio. En general, se ubica en redes perimetrales y transfiere mensajes entre los hosts SMTP de unaorganización de Exchange y SMTP hosts SMTP externos. Aunque se haya diseñado para redes perimetrales, losservidores Transporte perimetral también pueden ubicarse en la red interna y conectarse al servidor en un dominio deActive Directory en calidad de servidor miembro.Transporte de concentradores El rol del servidor Transporte de concentradores transfiera mensajes dentro de laorganización, incluidos mensajes entre servidores de Exchange, mensajes de clientes SMTP como usuarios de POP3 eIMAP4, así como dispositivos y servidores de aplicaciones.

De forma predeterminada, en Exchange 2010, la comunicación SMTP se protege mediante TLS.

Comunicación SMTP entre servidores Transporte de concentradores Los servidores Transporte de concentradores deuna organización de Exchange usan TLS para proteger mejor las comunicaciones SMTP dentro de la organización. Serecomienda dejar habilitada TLS en los servidores Transporte de concentradores. En Exchange 2010, las organizaciones queusan dispositivos que no son de Exchange o aplicaciones para efectuar cifrado TLS pueden descargar TLS de servidoresTransporte de concentradores en dichas aplicaciones. Para obtener más información, consulte Deshabilitar TLS entre sitios de

Active Directory para permitir la optimización de WAN72.

Comunicación SMTP entre servidores Transporte de concentradores y Transporte perimetral Todo el tráfico entreservidores Transporte de concentradores y Transporte perimetral se autentica y cifra. El mecanismo subyacente deautenticación y cifrado es TLS mutuo. En lugar de usar la validación X.509 para validar certificados, Exchange 2010 usa laconfianza directa para autenticar certificados. Confianza directa significa que la presencia mismo del certificado en ActiveDirectory o Active Directory Lightweight Directory Services (AD LDS) valida el certificado. Active Directory se considera unmecanismo de almacenamiento de confianza. Cuando se usa confianza directa, no importa si el certificado es autofirmado olo ha firmado una entidad de certificación. Cuando un servidor Transporte perimetral se suscribe a un sitio de ActiveDirectory, la suscripción perimetral publica el certificado del servidor Transporte perimetral en Active Directory. Los servidoresTransporte de concentradores consideran válido el certificado publicado. El servicio EdgeSync de Microsoft actualiza AD LDS


25 of 34 12/7/2012 11:40 AM

NOTA:

en servidores Transporte perimetral que tienen certificados de servidor Transporte de concentradores, considerados válidospor el servidor Transporte perimetral.

Comunicación SMTP entre servidores Transporte perimetral y hosts externos En Exchange 2010, la comunicaciónSMTP entre servidores Transporte perimetral y hosts externos queda protegida de forma predeterminada mediante TLSoportunista. No se necesita un certificado emitido por una entidad de confianza ni realizar ninguna clase de configuración. Losconectores de recepción ofrecen negociación de TLS para conexiones SMTP entrantes. Los conectores de envío tambiénintentan la negociación de TLS para todas las conexiones SMTP salientes. La TLS oportunista no realiza la validación decertificados, lo que permite el uso de certificados autofirmados. Para obtener más información, consulte Funciones de TLS y

terminología relacionada en Exchange 201073.

De forma predeterminada, los servidores Transporte de concentradores no pueden comunicarse con hosts SMTP externos,puesto que en dichos servidores no hay conectores de recepción que permitan a los hosts anónimos comunicarse. Losservidores Transporte de concentradores pueden configurarse para comunicarse con hosts anónimos. Para obtener másinformación, consulte Configurar el flujo de correo de Internet directamente a través de un servidor de transporte de

concentradores74. No se recomienda usar esta topología porque incrementa los riesgos para la seguridad, ya que exponeel servidor de Exchange 2010 y todos los roles instaladas en dicho servidor a Internet. Se recomienda implementar, encambio, una puerta de enlace SMTP basada en una red perimetral, como el servidor Transporte perimetral.

Comunicación SMTP entre servidores Transporte perimetral o de concentradores y hosts inteligentes EnExchange 2010, puede configurarse un conector de envío para enrutar el correo de dominios remotos, incluido el correo deInternet, a una puerta de enlace SMTP que en general reside en la red perimetral. Si bien es posible crear un conector deenvío para enrutar el correo electrónico a un host inteligente sin ninguna autenticación, en esta clase de conectores serecomienda usar la autenticación pertinente. Si usa autenticación básica, se recomienda la autenticación básica sobre TLS. Siselecciona la opción protegida externamente, se supone que la autenticación se realiza con un mecanismo que no es deExchange, por ejemplo IPsec. Al configurar el conector con la dirección de un host inteligente, puede usar la dirección IP delhost o bien su FQDN. Se recomienda usar la dirección IP del host inteligente porque brinda protección contra los DNSdudosos, frente a la comodidad de usar el FQDN.

Uso de seguridad de dominio para comunicación SMTP con asociados En Exchange 2010, puede usar seguridad dedominio para proteger mejor las rutas de acceso de comunicación de mensajes con dominios de asociados. La seguridad dedominio utiliza TLS mutua para proporcionar autenticación y cifrado basados en la sesión. En el caso de la autenticación TLSmutua, los host de origen y destino comprueban la conexión realizando la validación del certificado X.509. Los servidoresTransporte que se comunican con dominios de asociados configurados para seguridad de dominio requieren un certificadofirmado por un tercero de confianza o por una entidad de certificación interna. Si se usa una entidad de certificación interna,la lista de revocación de certificados debe configurarse y estar disponible para el host del asociado. Para obtener másinformación, consulte los siguientes temas:

Descripción de la seguridad de dominio75

White Paper: Seguridad de dominio en Exchange 2007 (en inglés).76

Exchange 2010 usa el puerto SMTP predeterminado (puerto TCP 25) para la comunicación SMTP. El programa de instalaciónde Exchange crea las correspondientes reglas de firewall en Windows Firewall con Seguridad avanzada para permitir lacomunicación en los puertos predeterminados. Si especifica un puerto diferente para un conector, Exchange no modifica lasreglas de firewall o crea automáticamente una regla que permita la comunicación en el puerto no predeterminado. Laconfiguración del firewall debe modificarse manualmente para permitir la comunicación en puertos no predeterminados. Si seconfigura un conector de recepción para un puerto no predeterminado, los clientes SMTP que envían mensajes al conectortambién deben configurarse para usar el puerto no predeterminado.

En Exchange 2010, puede buscar el rol del servidor Transporte de concentradores en un servidor de buzones de correo deExchange 2010. Esto incluye un servidor de buzones de correo que pertenezca a un grupo de disponibilidad de base de datos(DAG). Se recomienda no buscar el rol del servidor Transporte de concentradores en un servidor de buzones de correo, sobretodo en topologías donde no se implementan servidores Transporte perimetral, con el fin de aislar servidores de buzones decorreo de Internet. Puede buscar el rol del servidor Transporte de concentradores en servidores de acceso de cliente. Debeseguir las directivas de tamaño en cada rol del servidor al colocar roles del servidor en el mismo servidor.

Cuando se especifica un host inteligente para un conector de envío en un servidor Transporte de concentradores o perimetral,se recomienda usar direcciones IP en lugar del FQDN de un host inteligente para proteger el DNS de mensajes dudosos ysuplantaciones de identidad. Esto minimiza también las repercusiones de las interrupciones de DNS en la infraestructura detransporte. Los servidores DNS de las redes perimetrales deben usarse solo para resolución externa. Los servidores DNSperimetrales pueden contener registros para servidores Transporte de concentradores. También puede usar archivos de hostsen servidores Transporte perimetral para evitar la creación de registros para servidores Transporte de concentradores enservidores DNS ubicados en redes perimetrales.

Además de los pasos tratados en esta sección, debe considerarse la aplicación de las correspondientes restricciones de


26 of 34 12/7/2012 11:40 AM

Consideraciones sobre mensajería unificada

espacio en los mensajes en conectores, así como la configuración de limitaciones de mensajes. Para obtener informacióndetallada, consulte los siguientes temas:

Descripción de los límites de tamaño de los mensajes77

Descripción del límite de mensajes78

Si se planea implementar el rol del servidor Mensajería unificada, debe tener en cuenta los diferentes canales decomunicación usados por la mensajería unificada para comunicarse con puertas de enlace IP o IP PBX.

De forma predeterminada, al crear un plan de marcado de mensajería unificada, se comunicará en modo No protegida.Además los servidores de mensajería unificada asociados con el plan de marcado de mensajería unificada enviarán y recibirándatos desde puertas de enlace IP, IP PBX y otros equipos de Exchange 2010 sin usar cifrado. En modo No protegida, ni elcanal de medios con Protocolo de transporte en tiempo real (RTP) ni la información de señalización en SIP están cifrados.

Se puede configurar un servidor de mensajería unificada para que use la TLS mutua y cifre el tráfico de SIP y RTP que envía aotros dispositivos y servidores, y recibe de estos. Cuando se agrega un servidor de mensajería unificada a un plan demarcado de mensajería unificada y este último se configura para que use el modo SIP protegida, solo se cifrará el tráfico deseñalización de SIP, mientras que los canales de medios con RTP seguirán usando TCP. TCP no está cifrado. No obstante, si seagrega un servidor de mensajería unificada a un plan de marcado y este se configura para usar el modo Protegida, se cifraránel tráfico de señalización de SIP y los canales de medios RTP. Un canal de medios de señalización seguro que usa el Protocolode transporte en tiempo real seguro (SRTP) también usará la TLS mutua para cifrar los datos de VoIP.

Si la puerta de enlace IP o IP PBX que se usan admiten IPsec, también puede usar IPsec para proteger mejor la comunicaciónentre un servidor de mensajería unificada y la puerta de enlace IP o IP PBX.

Para obtener más información, consulte Descripción de la seguridad de la mensajería unificada VoIP46.

La mensajería unificada también envía mensajes como notificaciones de llamadas perdidas y mensajes de correo de voz aservidores Transporte de concentradores. De forma predeterminada, esta comunicación se realiza sobre SMTP con cifradoTLS.

Puede configurar una directiva de buzón de correo de mensajería unificada para acceso sin PIN. Eso permite que el autor deuna llamada tenga acceso al correo de voz sin tener que proporcionar un PIN, basado en el identificador de llamada de lallamada. La suplantación de identidad de los identificadores de llamada es muy escasa. Se recomienda no habilitar el accesoal correo de voz sin PIN. También se recomienda comprobar las opciones predeterminadas del PIN y configurarlas para que seadecuen a los requisitos de seguridad de la organización. Las opciones siguientes pueden configurarse para una directiva debuzón de correo de mensajería unificada mediante el cmdlet Set-UMMailboxPolicy.

Parámetros para controlar el PIN de usuario para tener acceso al correo de voz


AllowCommonPatterns

El parámetro AllowCommonPatterns especifica si se van a permitir PIN obvios. Por ejemplo,PIN obvios pueden ser subconjuntos de números de teléfono, números secuenciales onúmeros repetidos. Si se establece en $false, se rechazarán los números secuenciales, losnúmeros repetidos y el sufijo de la extensión de buzón. Si se establece en $, solo se rechazaráel sufijo de la extensión de buzón.

AllowPinlessVoiceMailAccess

El parámetro AllowPinlessVoiceMailAccess especifica si los usuarios asociados con la directivade buzones de mensajería unificada deben usar un número de identificación personal paratener acceso a su correo de voz. El número de identificación personal también será necesariopara tener acceso al correo electrónico y al calendario.

Valor predeterminado deshabilitado ($false).

LogonFailusresBeforePINReset

El parámetro LogonFailuresBeforePINReset especifica el número de intentos incorrectos deinicio de sesión secuenciales realizados antes del restablecimiento automático del PIN delbuzón. Para deshabilitar esta característica, establezca este parámetro en Sin límite. Si esteparámetro no está establecido en Sin límite, se debe establecer en un valor inferior al valordel parámetro MaxLogonAttempts. El intervalo va de 0 a 999.

Valor predeterminado 5 errores.


27 of 34 12/7/2012 11:40 AM

MaxLogonAttempts

El parámetro MaxLogonAttempts especifica el número de intentos incorrectos de inicio desesión secuenciales que puede realizar un usuario, antes de que se bloqueen los buzones demensajería unificada. El intervalo va de 1 a 999.

Valor predeterminado 15 intentos.

MinPINLength

El parámetro MinPINLength especifica el número mínimo de dígitos debe tener un PIN para losusuarios habilitados para mensajería unificada. El intervalo va de 4 a 24.

Valor predeterminado 6 dígitos.

PINHistoryCount

El parámetro PINHistoryCount especifica el número de PIN anteriores que se recuerdan y noestán permitidos durante el restablecimiento de un PIN. Este número incluye la primera vezque se estableció el PIN. El intervalo va de 1 a 20.

Valor predeterminado 5 PIN.

PINLifetime

El parámetro PINLifetime especifica el número de días que deben transcurrir hasta que senecesite una contraseña nueva. El intervalo es de 1 a 999. Si se especifica Sin límite, el PINdel usuario no expirará.

Valor predeterminado 60 días.

En Exchange 2010, los mensajes de correo de voz pueden marcarse como protegidos. Los mensajes de correo de voz seprotegen mediante Information Rights Management (IRM). Las opciones de protección del correo de voz pueden configurarseestableciendo el parámetro siguiente en una directiva de buzón de correo de mensajería unificada. Para obtener informacióndetallada, consulte los siguientes temas:

Descripción del correo de voz protegido79

Descripción de Information Rights Management56

Parámetros de correo de voz protegido


ProtectAuthenticatedVoicemail

El parámetro ProtectAuthenticatedVoiceMail especifica si los servidores de mensajeríaunificada que responden a llamadas de Voice Access de Outlook para usuarios habilitadospara mensajería unificada asociados con la directiva de buzones de mensajería unificadacrean mensajes de correo de voz protegidos. Si el valor se establece en Privado, solo seprotegen los mensajes marcados como privados. Si el valor se establece en Todos, seprotegen todos los mensajes de correo de voz.

Valor predeterminado Ninguno (no se aplica protección a los mensajes de correoelectrónico).

ProtectUnauthenticatedVoiceMail

El parámetro ProtectUnauthenticatedVoiceMail especifica si los servidores de mensajeríaunificada que contestan a las llamadas de los usuarios habilitados para mensajería unificadaasociados con la directiva de buzones de mensajería unificada crean mensajes de correo devoz protegidos. Esto también se aplica cuando se envía un mensaje desde un operadorautomático de mensajería unificada a un usuario habilitado para mensajería unificadaasociado con la directiva de buzones de mensajería unificada. Si el valor se establece enPrivado, solo se protegen los mensajes marcados como privados. Si el valor se establece enTodos, se protegen todos los mensajes de correo de voz.

Valor predeterminado Ninguno (no se aplica protección a los mensajes de correoelectrónico).

RequireProtectedPlayOnPhone

El parámetro RequireProtectedPlayOnPhone especifica si los usuarios asociados con ladirectiva de buzones de mensajería unificada solo pueden usar la función Reproducir enteléfono para mensajes de correo de voz protegidos, o bien si los usuarios pueden usarsoftware multimedia para reproducir el mensaje protegido.

Valor predeterminado $false. Los usuarios pueden usar ambos métodos para escuchar


28 of 34 12/7/2012 11:40 AM

Importante:

Apéndice 1: Documentación adicional sobre la seguridad

Funcionalidad contra correo electrónico no deseado y antivirus

Certificados

Autenticación del cliente y seguridad

Outlook Web App

Outlook Anywhere

POP3 e IMAP

Permisos

los mensajes de correo de voz protegidos.

Para que los usuarios de mensajería unificada puedan seguir contestando a llamadas, es fundamental que tengan acceso aActive Directory. Se recomienda supervisar la disponibilidad de Active Directory.

Esta sección contiene vínculos a documentación adicional sobre la seguridad en Exchange.

Descripción de la funcionalidad contra correo no deseado y antivirus14

Administración de características antivirus y contra correo electrónico no deseado80

Cmdlets contra correo electrónico no deseado81

Descripción de los certificados TLS45

Administrar SSL para un servidor de Acceso de cliente44

Configurar SSL para Exchange ActiveSync82

Configurar SSL para Outlook en cualquier lugar83


Configurar los directorios virtuales de Outlook Web App para usar SSL84

Crear un nuevo certificado de Exchange85

Importar un certificado de Exchange86

Ver propiedades de certificado de Exchange87

Asignar servicios a un certificado88

Configuración de la autenticación para Exchange ActiveSync89

Configuración de la autenticación para POP3 e IMAP448

Configuración de la autenticación basada en formularios para Outlook Web App90

Configuración de métodos de autenticación estándar para Outlook Web App91

Administración de la seguridad de Outlook Web App92

Configurar los directorios virtuales de Outlook Web App para usar SSL84

Configuración de la autenticación basada en formularios para Outlook Web App90

Configuración de métodos de autenticación estándar para Outlook Web App91

Configure Outlook Web App to Work with Active Directory Federation Services93

Outlook Web App y S/MIME54

Administración de la seguridad de Outlook en cualquier lugar94

Administración de la seguridad de POP3 e IMAP495

Configurar la autenticación para POP396

Configurar la autenticación para IMAP497



29 of 34 12/7/2012 11:40 AM

Protección del flujo de correo

Directiva de mensajería y cumplimiento normativo

Federación

Referencia de los permisos de implementación de Exchange 201028

Descripción del control de acceso basado en funciones24

Descripción de los permisos de división98

Descripción de la coexistencia de permisos en Exchange 200399

Descripción de la coexistencia de permisos en Exchange 2007100

Descripción de permisos de varios bosques101

Función Permisos102

Administración de administradores y usuarios especialistas103

Administración de usuarios finales104

Administración de funciones y entradas de funciones105

Ámbitos de función de administración106

Asignaciones de funciones de administración107

Administración de permisos divididos108

Permisos para administrar servidores de buzones109

Protección de los servidores de mensajería unificada110

Descripción de la seguridad de dominio75

Uso de PKI en el servidor Transporte perimetral para la seguridad del dominio111

Uso de la seguridad de dominio: Configuración de TLS mutua112

Probar la configuración de proxy y PKI113

Descripción de Information Rights Management56


Protección de los informes de diario114

Descripción de la administración de registros de mensajes115

Descripción de las etiquetas y directivas de retención116

Descripción de la búsqueda en varios buzones65

Descripción del registro de auditoría de buzón117

Administración del registro de auditoría de los buzones de correo118

Descripción de la federación47

Autoridades de certificación raíz de confianza para confianzas de federación119

© 2010 Microsoft Corporation. Reservados todos los derechos.

Tabla de vínculos

1http://go.microsoft.com/fwlink/?LinkId=96603

2http://go.microsoft.com/fwlink/?linkid=68761


4http://technet.microsoft.com/es-es/library/bb201741(v=exchg.141).aspx

5http://technet.microsoft.com/es-es/library/dd335207(v=exchg.141).aspx







30 of 34 12/7/2012 11:40 AM




14http://technet.microsoft.com/es-es/library/aa997658(v=exchg.141).aspx













27http://technet.microsoft.com/es-es/library/cc960657.aspx

28http://technet.microsoft.com/es-es/library/ee681663(v=exchg.141).aspx

29http://go.microsoft.com/fwlink/?LinkId=3052&kbid=232199




















31 of 34 12/7/2012 11:40 AM























70http://go.microsoft.com/fwlink/?LinkID=196385
















32 of 34 12/7/2012 11:40 AM

































117http://technet.microsoft.com/es-es/library/ff459237(v=exchg.141).aspx

118http://technet.microsoft.com/es-es/library/ff461939(v=exchg.141).aspx


Contenido de la comunidad


33 of 34 12/7/2012 11:40 AM

guía de seguridad de exchange 2010_ ayuda de exchange 2010

Documents