При поддержке компании Mobatime Systems: лидера в разработке, производстве и продаже приборов и систем времени. Подробнее...
Сайт · Форум · Инструменты WindowsFAQ.ru - Сайт о Windows, компьютерах, системном администрировании, локальных сетях

Поиск

Друзья

Клуб любителей ASPLinux
Kerio Winroute Firewall инструкции настройки

Шаблоны

New_WindowsFAQ
Главная arrow Статьи arrow Сети arrow Лучшая совместимость с Exchange Server 2007
Лучшая совместимость с Exchange Server 2007 Версия для печати
Автор Алан Мэдисон (Alan Maddison)   

По данным аналитиков, около 75 процентов корпоративной документации создается и передается посредством электронной почты. Без сомнения, значительная доля интеллектуальной собственности вашей организации находится на серверах обмена сообщениями. Это накладывает большую ответственность на администраторов, занимающихся поддержкой серверов обмена сообщениями, на которых содержится так много важнейших данных компании. Более того, растущее количество федеральных и местных нормативов (как в США, так и в других странах), описывающих требования к архивации и хранению корпоративных данных, делает эту работу еще более сложной и важной.

Необходимость защиты корпоративных активов и соблюдение нормативных требований является значительным бременем. При разработке корпорация Майкрософт внесла в Exchange Server 2007 ряд изменений и новых функций, значительно повышающих возможности соответствия Exchange нормативам и в то же время упрощающих процесс управления. В этой статье будут рассмотрены ключевые изменения в Exchange Server 2007, которые помогают в соблюдении нормативов.

Что такое соответствие нормативам

Перед тем как мы углубимся в разговор о Exchange Server 2007, следует обсудить вышеупомянутые требования. Есть три основных области нормативов: сохранение информации, управление доступом и целостность данных. Например, в США в правиле SEC 17A-4 определены политики хранения данных для членов фондовой биржи, брокеров и дилеров, а от финансовых организаций требуется возможность создания, индексирования, архивации, поиска и получения электронной почты. Управление доступом к данным описано в нескольких хорошо известных законодательных документах, включая Закон об отчетности в области медицинского страхования (HIPAA), закон Грэмма-Лича-Билей (GLBA) и закон Сената штата Калифорния номер 1386 (SB 1386). В HIPAA и GLBA описана безопасность и конфиденциальность личных данных, а в SB 1386 регулируется публичное раскрытие нарушений компьютерной безопасности с участием конфиденциальных данных.

Кроме того, требования по целостности данных объединены в другие законодательные акты, например закон Сарбейнса-Оксли (SOX), закон о борьбе с терроризмом («Патриотический акт») и Базельское соглашение (Basel II). Но эти требования высокого ранга – только капля в море. По некоторым оценкам, количество подобных нормативов в мире превышает 35 000. Разумеется, для компаний важно контролировать риск, связанный с тем, как они сохраняют информацию, управляют доступом к данным и обеспечивают их целостность. Так как же администратору справиться с этим риском и соблюсти все эти нормативные требования?

Первым шагом является документирование политик соответствия и сохранения. Следующий шаг – применение этих политик и постоянное управление ими. Exchange Server 2007 поможет во внедрении политик посредством управляемых папок, агента правил транспорта, классификации сообщений и агента ведения журналов.

Управляемые папки

Сохранение данных (или управление записями) является важнейшей частью структуры соответствия. В Exchange Server 2007 сделан большой шаг вперед в том, как администраторы управляют данными. В Exchange Server 2007 управление записями основано на трех принципах: устаревшие сообщения удаляются, нужные сообщения сохраняются, а пользователи сами классифицируют свои сообщения.

Большинство администраторов Exchange знакомы с политиками диспетчера почтовых ящиков Exchange Server 2003, которые можно было применять к почтовым ящикам. В Exchange Server 2007 управляемые папки предоставляют администраторам способ централизованного управления созданием и развертыванием новых папок по умолчанию или пользовательских папок, которые нельзя перемещать, переименовывать и, в большинстве случаев, удалять. Кроме того, с помощью пакета SDK возможно создавать веб-приложения самообслуживания, дающие пользователям возможность выбирать, какие папки следует добавить к их почтовым ящикам.

На рис. 1 показано, как консоль управления Exchange предоставляет подход к созданию папки на основе мастера. (Эта функциональность также доступна через командлет New-ManagedFolder командной консоли Exchange.)

Рис. 1 Использование командной консоли Exchange для создания новой папки
Рис. 1 Использование командной консоли Exchange для создания новой папки

При этом запускается мастер, показанный на рис. 2. Процесс создания папок очень прост; нужно просто ввести имя и описание папки, а затем нажать кнопку «Создать». По завершении создания папки вы получите подтверждение.

Рис. 2 С помощью интуитивно понятного мастера легко создать новую управляемую папку
Рис. 2 С помощью интуитивно понятного мастера легко создать новую управляемую папку

При имеющейся политике сохранения данных необходимо предоставить пользователям простые средства упорядочения и сохранения сообщений, гарантирующие, что сохранение данных будет происходить в соответствии с требованиями организации. Представим, что для пользователей необходимо развернуть три пользовательских папки, с помощью которых они смогут отличать письма, которые следует хранить три, пять и семь лет. Следующим шагом после создания управляемых папок является применение параметров содержимого к каждой из папок. Это делается с помощью мастера параметров управляемого содержимого.

Администратор обмена сообщениями отвечает за настройку истечения срока хранения содержимого (измеряется в днях) и действий, которые следует предпринять после наступления этого срока. Существуют пять возможных вариантов.

  • Удалить с возможностью восстановления
  • Отметить, что период хранения истек
  • Переместить в управляемую пользовательскую папку
  • Переместить в папку «Удаленные»
  • Удалить окончательно

При настройке этих параметров необходимо обратить пристальное внимание на следующие три параметра. Первый – это значение срока хранения сообщения; поскольку он измеряется в днях, следует учитывать високосные годы. Корпоративное управление (не говоря уже о судьях) не одобрит удаление содержимого раньше положенного времени, пусть и всего на один день. Второй параметр – начало периода хранения. Обычно это день доставки сообщения в почтовый ящик, если указания юридического отдела не утверждают иного. Третий параметр – это действие, выполняемое после истечения срока хранения. Наилучшим подходом является окончательное удаление элемента. Кроме того, параметры содержимого позволяют вести журнал сообщений, пересылая их на адрес SMTP.

Управляемые папки применяются к почтовым ящикам с помощью политик почтовых ящиков управляемых папок. Для создания этих политик в консоли управления Exchange имеется еще один мастер. Политики позволяют выбирать и группировать несколько папок. Это позволяет привязать несколько папок к одной политике.

Как правило, политики почтовых ящиков управляемых папок применяются при создании почтовых ящиков. Кроме того, можно применить политику к существующему почтовому ящику с помощью командлета Set-Mailbox командной консоли Exchange. Например, при необходимости применить политику почтовых ящиков управляемых папок под названием retention (сохранение) к учетной записи электронной почты с псевдонимом USER1 используется следующая команда:

Set-Mailbox –Identity USER1
–ManagedFolderMailboxPolicy “retention”

Управляемые папки и соответствующие параметры содержимого предоставляют мощный механизм управления процессами сохранения и соответствия нормативам. Он не только позволяет пользователям упорядочивать соответствующие сообщения электронной почты и сохранять данные в папках, управляемых централизованно, но и вести журнал таких элементов для того, чтобы в случае запроса на раскрытие или указания о сохранении можно было легко выполнить судебный запрос.

Правила транспорта

В Exchange Server 2007 есть два агента правил транспорта. Однако с точки зрения соответствия нас интересует только агент, работающий на транспортных серверах-концентраторах. Этот агент служит для применения правил соответствия на основе политики к сообщениям в организации Exchange. (Агент правил пограничного транспортного сервера, с другой стороны, служит для защиты организации от нежелательной почты и вирусов.)

Ниже приведены некоторые из общих требований по нормативам и соответствию, за соблюдение которых отвечают администраторы.

  • Ограничение взаимодействия между различными группами отправителей и получателей
  • Предотвращение получения компанией или отправки из компании несоответствующего содержимого
  • Фильтрация конфиденциальной информации
  • Отслеживание или архивация сообщений, отправляемых и получаемых конкретными пользователями и группами
  • Перенаправление входящих и исходящих сообщений на проверку перед доставкой
  • Применение заявлений об отказе от ответственности

Транспортный сервер-концентратор был выбран для этого агента благодаря роли, которую он играет в топологии Exchange 2007. В результате значительных изменений в топологии Exchange 2007 теперь Exchange намного теснее интегрируется с топологией Active Directory®. Поток почты в организации в определенный момент проходит через транспортный сервер-концентратор. Транспортный сервер-концентратор запрашивает у Active Directory текущую настройку правил транспорта и применяет правила ко всем обрабатываемым сообщениям.

Любое правило транспорта, настроенное на транспортном сервере-концентраторе, будет реплицировано на все остальные транспортные серверы-концентраторы через службу Active Directory. Необходимо учесть, какие последствия для репликации несут ваш веб-узел и топология, и определить, как быстро вы сможете развернуть правило по всей организации.

Кроме того, необходимо помнить, что транспортный сервер-концентратор поддерживает кэш получателей для получателя и подстановку списка рассылки. Интервал обновления (по умолчанию составляет четыре часа) повлияет на время применения правил к сообщениям.

Правила транспорта на транспортных серверах-концентраторах оценивают все приглашения на собрания, обычные, зашифрованные и защищенные правами сообщения, которые отправляют друг другу пользователи, прошедшие проверку подлинности. Все анонимно отправленные сообщения оцениваются независимо от типа сообщения, отправителя и получателя.

Каждое правило транспорта состоит из следующих компонентов: условия, исключения и действия. Условия используются для указания атрибутов сообщения, например заголовка, получателя или отправителя, с помощью которых будет выполняться идентификация сообщения. Если сообщение удовлетворяет всем условиям определенного правила, к нему применяются действия, пока сообщение не станет соответствовать настроенному исключению. Исключения являются необязательными. Если исключение настроено, оно предотвратит обработку правилом транспорта любых сообщений, отвечающих какому-либо критерию сообщения. Действия, являющиеся необходимым компонентом любого транспортного правила, определяют способ обработки сообщения. В таблице 3 приведены возможные действия, которые могут быть выполнены на основе транспортных правил, настроенных на транспортном сервере-концентраторе.

ДействиеНазвание действияОписание
Занести сообщение о событии в журналLogEventДобавляет событие в журнал приложений локального компьютера.
Добавить к теме строкуPrependSubjectДобавляет строку в начало поля темы сообщения.
Применить классификацию сообщенийApplyClassificationПрименяет классификацию сообщений к сообщению.
Добавить текст заявления об отказе от ответственностиApplyDisclaimerПрименяет к сообщению заявление об отказе от ответственности.
Установить значение для вероятности нежелательной почтыSetSclУстановка для сообщения вероятности нежелательной почты.
Установить значение заголовкаSetHeaderСоздает новое поле заголовка сообщения или изменяет существующее поле заголовка сообщения.
Удалить заголовокRemoveHeaderУдаляет из указанного сообщения поле заголовка.
Добавить получателя к адресам поля «Кому»AddToRecipientДобавляет одного или нескольких получателей к списку адресов «Кому» сообщения. Исходные получатели могу видеть добавленный адрес.
Скопировать сообщение по адресамCopyToДобавляет одного или нескольких получателей к полю «Копия» сообщения. Исходные получатели могут видеть исходный адрес.
Отправить скрытую копию сообщения по адресамBlindCopyToДобавляет одного или нескольких получателей электронной почты к полю скрытой копии «СК» сообщения электронной почты.
Перенаправить сообщение по адресамRedirectMessageПеренаправляет сообщение одному или нескольким получателям, определенным администратором. Сообщение не доставляется исходному получателю или получателям, и ни получатели, ни отправитель не получают уведомления.
Отправить сообщение о недоставке отправителю с расширенным кодом состоянияRejectMessageУдаляет сообщение и отправляет отчет о недоставке отправителю. Получатель не получает ни сообщения, ни уведомления.
Удалить сообщение без уведомленияDeleteMessageУдаляет сообщение. Уведомление не отправляется ни получателю, ни отправителю.

Для создания транспортного правила можно использовать консоль управления Exchange и мастер правил транспорта, показанный на рис. 4. Кроме того, можно использовать командную консоль Exchange для создания правил сценариев.

Рис. 4 Запустите мастер правил транспорта для настройки правила транспорта на транспортном сервере-концентраторе
Рис. 4 Запустите мастер правил транспорта для настройки правила транспорта на транспортном сервере-концентраторе

Обратите внимание, что также можно использовать пакет SDK для написания пользовательских транспортных агентов, обрабатывающих сообщения на основе событий SMTP в Exchange. Однако это не для слабонервных.

Классификация сообщений

Новое средство классификации сообщений использует метаданные для описания предполагаемого использования или целевой аудитории конкретного сообщения. Со стороны клиента эти метаданные можно использовать в Outlook® Web Access (OWA) или Outlook 2007 для отображения описания классификации в приемлемой для чтения форме. Со стороны сервера агенты правил транспорта могут выполнять действия над сообщением в зависимости от его классификации.

Классификации сообщений в Exchange Server 2007 по умолчанию таковы: Привилегированный представитель/клиент (A/C (Attorney/Client) Privileged); Вложение удалено (Attachment Removed); Служебное, конфиденциальное (Company Confidential); Служебное, внутреннее (Company Internal). Однако во многих организациях создают собственные классификации. Создать новые классификации можно с помощью командлета new-MessageClassification в командной консоли Exchange. Например, при необходимости запрета доступа к финансовым данным можно создать классификацию сообщений Financial—Confidential (Финансовое, конфиденциальное):

new-MessageClassification –Name finance –Dis­playName “Financial—Confidential”
-RecipientDescription “This message contains confidential financial data.”
–SenderDescription “Restricts recipients of messages that contain confidential financial data”

Обратите внимание: хотя необходимыми являются только три параметра, Name, DisplayName и SenderDescription, для достижения базового уровня функциональности необходимо добавить по крайней мере RecipientDescription. На рис. 5 показана новая классификация, представленная через интерфейс OWA.

Рис. 5 Список классификаций сообщений содержит созданную классификацию Financial—Confidential
Рис. 5 Список классификаций сообщений содержит созданную классификацию Financial—Confidential

Эта команда не использует параметр языка и будет применена ко всем языкам в организации Exchange. При поддержке глобальных операций может потребоваться сделать пользовательские классификации сообщений применимыми к конкретному языку.

Кроме того, следует верно устанавливать разрешения для классификаций. По умолчанию все новые классификации сообщений создаются с разрешением на чтение для пользователей, прошедших проверку подлинности. Однако классификации сообщений необходимо сегментировать, чтобы пользователи имели доступ только к тем классификациям, которые соответствуют их ролям. Кроме того, каждая классификация может иметь приоритет относительно других классификаций сообщений. Этот приоритет определяет порядок описаний и указывает, какие классификации связываются с сообщением при пересылке или ответе.

Следующим шагом после создания нужных классификаций является создание правил транспорта, использующих эти классификации. (Классификации сообщений не обязательно должны быть связаны с действиями, они могут быть исключительно информационными.) На рис. 6 показаны имеющиеся варианты при комбинировании классификаций сообщений с правилами транспорта. Я создал правило транспорта, отслеживающее сообщения с классификацией Financial (Финансовые). Если сообщение помечено таким образом, агент правил транспорта изучает получателей. Если кто-то из получателей не входит в группу рассылки финансового отдела, сообщение возвращается отправителю с отчетом о недоставке.

Рис. 6 Создание правила транспорта для сообщений с классификацией Financial
Рис. 6 Создание правила транспорта для сообщений с классификацией Financial

Кроме того, классификацию сообщений можно использовать для введения «этических стен» в вашей организации. Например, иногда возникает необходимость запретить связь между определенными личностями или отделами. Для этого можно использовать классификацию сообщений.

Агент ведения журналов

Для гарантии соответствия нормативам ведение журналов является мощным, хотя подчас и непростым оружием. К счастью, в Exchange Server 2007 предоставляются гораздо более гибкие возможности ведения журналов. Теперь поддерживается как стандартное ведение журналов (на уровне базы данных почтовых ящиков), так и новое расширенное ведение журналов (для каждого получателя), позволяющее вести журналы для отдельных пользователей и групп рассылок. Это значительно упрощает процесс соответствия запросам, таким как решения суда или судебные указы о сохранении. Кроме того, увеличиваются возможности по управлению последствиями, которые ведение журналов имеет для хранения и производительности.

Например, одним из наиболее гибких новых параметров является поддержка ведения журналов на основе динамических групп рассылок. Скажем, в организации есть необходимость удерживать сообщения электронной почты определенных пользователей. Это может быть нужно для внутреннего расследования отдела кадров или судебного дела. С помощью динамической группы рассылки администратор может добавлять и удалять пользователей из имеющейся группы, для которой уже ведется журнал. Это простой и быстрый способ прямого ведения журнала.

С помощью консоли управления Exchange и мастера динамической группы рассылки можно выбрать контейнер пользователя и, как показано на рис. 7, фильтровать включенные в него почтовые ящики в соответствии со значениями определенных атрибутов Active Directory. Выбор одного из пользовательских атрибутов, также показанный на рис. 7, позволяет администратору управлять тем, для каких пользователей ведется журнал, добавляя или удаляя это значение.

Рис. 7 Использование мастера динамической группы рассылки для настройки правил ведения журнала
Рис. 7 Использование мастера динамической группы рассылки для настройки правил ведения журнала
© 2006 Корпорация Майкрософт и компания CMP Media, LLC. Все права защищены; полное или частичное воспроизведение без разрешения запрещено.
 
< Инструменты Windows Automated Installation Kit   Поиск при помощи системы Enterprise Search сервера SharePoint 2007 >

Сервер NTP

Время, полученное с NTP-сервера. Для просмотра должен быть разрешён Java-script.
Время, полученное с Вашего компьютера. Для просмотра должен быть разрешён Java-script.

Доступ к серверу NTP первого стратума
Подробнее

На форуме

Лента RSS

Mobatime - Автору - Рекламодателю - Веб-мастеру - Контакт - История - Наверх
© Владислав Семёнов aka SavageNoName 2003-2016
При любом использовании материалов ссылка на WindowsFAQ.ru обязательна
Сайту 12 лет, 7 месяцев и 12 дней. Форуму 15 лет, 11 месяцев и 25 дней.