六、Exchange server

6.1 安全需求

• 使用exchange server作为邮件服务器在医院内部部署

6.2 安装exchange server

6.2.1安装.Net Framework 4.7.2

6.2.2安装.Net Framework 4.8

下载链接：https://dotnet.microsoft.com/download/dotnet-framework/net48

6.2.3以管理员身份运行Windows Powershell，安装必需的 Windows组件

Install-WindowsFeature NET-Framework-45-Features, Server-Media-Foundation, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation, RSAT-ADDS

安装成功

6.2.4安装C++组件

安装Visual C++ Redistributable Package for Visual Studio 2012

网址：https://www.microsoft.com/en-US/download/details.aspx?id=30679

安装

安装成功

安装Visual C++ Redistributable Package for Visual Studio 2013

网址： https://www.microsoft.com/en-us/download/details.aspx?id=40784

安装成功

6.2.5安装API

安装Microsoft统一通信托管API 4.0 核心运行时（64 位）

地址：Download 统一通信托管 API 4.0 运行时 from Official Microsoft Download Center

安装完成后重启服务器

安装exchange server 2016 CU14，下载地址为：

https://www.microsoft.com/en-us/download/details.aspx?id=100302

下载后是一个镜像文件，打开里面的.exe安装即可，文件有点大

复制文件

6.3部署exchange server

服务器角色选择

Ps：如果是矿大的镜像，需要升级一下

升级包地址：

Microsoft Update Catalog

升级后重启然后就能安装exchange server了

邮箱管理登录页面：https://localhost/ecp

个人邮箱用户登录页面：https://localhost/owa

创建 Internet 发送连接器

登陆后进行邮件收发测试，发现可以正常收发邮件

室友信息打码

成功部署

七、规划管理保安部门

7.1安全需求

• 由于保安部门的特殊性，保安部门的用户的电脑主要要用来监控录像，所以需要对保安部门设置强硬的软件限制策略，并设置为强制

7.2安全实现

在安保部门组织单元链接一个组策略

设置为强制

编辑组策略，做软件限制策略

确保系统安全的第一步，就是保证自身不受威胁仿冒，为了保护系统关键进程

进行如下策略配置：

C:\WINDOWS\system32\csrss.exe 不受限的

C:\WINDOWS\system32\ctfmon.exe 不受限的

C:\WINDOWS\system32\lsass.exe 不受限的

C:\WINDOWS\system32\rundll32.exe 不受限的

C:\WINDOWS\system32\services.exe 不受限的

C:\WINDOWS\system32\smss.exe 不受限的

C:\WINDOWS\system32\spoolsv.exe 不受限的

C:\WINDOWS\system32\svchost.exe 不受限的

C:\WINDOWS\system32\winlogon.exe 不受限的

进而再屏蔽掉其他路径下仿冒进程

csrss.* 不允许的 （.* 表示任意后缀名，这样就涵盖了 bat com 等 等可执行的后缀） ctfm?n.* 不允许的

lass.* 不允许的

lssas.* 不允许的

rund*.* 不允许的

services.* 不允许的

smss.* 不允许的

sp???sv.* 不允许的

s??h?st.* 不允许的

s?vch?st.* 不允许的

win??g?n.* 不允许的

防止伪装进程 一些病毒和恶意软件通常喜欢伪装为我们常见的进程来迷惑用户，例如 Windows 常见进程 svchost.exe 就是常见的已被伪装进程。

浏览器安全

浏览网页中毒的主要途径是通过网页的页面缓存，通过缓存的文件，病毒与***会将自身进 行复制、转移等操作，由此，对浏览器缓存文件进行限制，并且限制 IE 对系统敏感位置进 行操作就成为保障浏览器安全环节中的重要一环。我们这里使用的方法就是禁止 IE 在系统 敏感位置创建文件。

创建如下规则：

%ProgramFiles%\Internet Explorer\iexplore.exe 基本用户

%UserProfile%\Local Settings\Temporary Internet Files\*.* 不允许的

%UserProfile%\Local Settings\Temporary Internet Files\* 不允许的

%UserProfile%\Local Settings\Temporary Internet Files\ 不允许的

%UserProfile%\Local Settings\Temporary Internet Files 不允许的

免疫流氓软件与恶意插件可以利用软件限制策略进一步对上网安全进行优化，例如，为了免疫流氓软件与恶意插件，

我们可以配置如下限制规则：

3721.*

不允许的

CNNIC.*

不允许的

*Bar.*

不允许的

禁止从回收站和备份文件夹执行文件

?:\Recycler\**\*.*

不允许的

?:\System Volume Information\**\*.*

不允许的

防范移动存储设备携毒

将系统中可分配给移动设备的盘符通通进行限制

?:\autorun.inf

不允许的

根据需要准确限制目录位置

例如我们需要限制

C: 盘下的程序文件夹下的程序运行，可能会创建如下规则：

C:\Program Files

不允许的

C:\Program Files\*\

不受限的

登陆客户机验证