이 페이지에서
사용자 삽입 이미지 모듈 정보
사용자 삽입 이미지 목적
사용자 삽입 이미지 적용 대상
사용자 삽입 이미지 모듈 사용법
사용자 삽입 이미지 소개
사용자 삽입 이미지 일반적인 Exchange 보안 고려 사항
사용자 삽입 이미지 사용 권한과 관리 그룹을 사용하여 Exchange 2000 액세스 제어
사용자 삽입 이미지 요약

모듈 정보

이 모듈은 Microsoft Exchange 2000 환경에 대한 공격을 최소화하기 위해 수행할 수 있는 여러 가지 작업 단계에 대해 알아봅니다. 이러한 공격은 조직 내부 또는 외부에서 발생할 수 있습니다. Exchange 2000은 내부 및 외부에서 광범위하게 액세스할 수 있으므로 공격받을 가능성이 특히 높습니다. Exchange는 다양한 구성 요소가 복잡하게 얽혀 있는 응용 프로그램입니다. 따라서 Exchange 보안을 성공적으로 수행하려면 이러한 구성 요소 간의 관계를 이해하고 그에 따라 보안을 디자인해야 합니다. 이 모듈에서는 Exchange 2000 환경의 일반적인 위험 요소에 대해 살펴봅니다.

사용자 삽입 이미지페이지 위쪽

목적

이 모듈을 다 읽으면 다음과 같은 작업을 할 수 있습니다.

보안을 강화하기 위해 특정 Exchange 서비스를 안전하게 비활성화합니다.

Exchange 설치에 필요한 최소 사용 권한을 확인합니다.

최신 Exchange 2000 패치를 사용하여 프로그램을 최신 상태로 유지합니다.

SMTP(Simple Mail Transfer Protocol) 스푸핑 공격으로부터 보호합니다.

바이러스 방지 방법을 개발합니다.

Microsoft Outlook 2002 및 Exchange 2000에 기본적으로 제공된 기능을 사용하여 요청되지 않은 전자 메일(스팸)을 방지합니다.

서비스 거부 공격으로부터 보호합니다.

사용 권한 및 관리 그룹을 사용하여 다음을 통해 Exchange 2000에 대한 액세스를 제어합니다.

각 작업에 대한 올바른 관리 역할 위임

회사에 잘 맞는 Exchange용 관리 모델 선택

시스템 정책을 사용하여 사서함 및 공용 폴더 저장소 제어

사용자 삽입 이미지페이지 위쪽

적용 대상

이 모듈은 다음과 같은 제품 및 기술에 적용됩니다.

Microsoft Exchange Server 2000

Microsoft Outlook 2002 메시징 및 공동 작업 클라이언트

Microsoft Windows 2000 운영 체제 Active Directory 디렉터리 서비스

사용자 삽입 이미지페이지 위쪽

모듈 사용법

이 모듈은 Microsoft Windows 2000 Server 보안 작업 가이드(Microsoft Press, ISBN: 0-7356-1823-2)를 보완하도록 고안되었습니다. 따라서 이 Microsoft Windows 2000 Server 보안 작업 가이드를 읽은 다음 이 모듈을 읽는 것이 좋습니다. 이 모듈의 섹션은 직접적으로 Microsoft Windows 2000 Server 보안 작업 가이드을 기반으로 하며, 내용을 살펴보면 이러한 연관 관계를 바로 확인할 수 있습니다. Microsoft Exchange 2000 Server 운영 지침(Microsoft Press, ISBN: 07356-1831-3)에서 일반적인 Exchange 2000 운영에 대한 자세한 내용을 읽어보는 것도 좋습니다.

이 모듈의 목적은 Exchange 핵심 기능에 영향을 주지 않은 채 Exchange 2000 환경을 최대한 안전한 상태로 만들 수 있도록 하는 것입니다. 이 모듈은 Exchange 2000이 실행되는 서버에서 보안 환경을 만들고 유지 관리하는 데 필요한 작업을 주로 다룹니다. 이 가이드는 보안 환경을 만들고 유지하는 모든 측면에 적용할 수 있는 완전한 지침서가 아니며 Exchange에 대한 전체 보안 전략의 일환으로만 사용해야 합니다.

사용자 삽입 이미지페이지 위쪽

소개

수많은 조직에서 Microsoft Exchange의 기능을 토대로 중요한 비즈니스 프로세스를 구축합니다. 전자 메일, 일정, 연락처 정보, 공동 작업 응용 프로그램 등과 같이 Exchange에서 제공하는 다양한 서비스가 없다면 Exchange를 효율적으로 사용하기가 매우 어려울 것입니다.

지속적인 Exchange 2000 운영을 방해하는 위험 중 하나는 조직 내외부에서 발생하는 악의적인 공격입니다. 이 위험은 Exchange의 경우 더 증가하는데, 그 이유는 Exchange를 매우 광범위하게 액세스할 수 있기 때문입니다. 조직 내의 거의 모든 사용자가 Exchange에 액세스할 수 있으며 심지어 인터넷을 통해서 Exchange를 사용할 수 있는 경우도 있습니다.

이 모듈에서는 Exchange 2000 환경에 대한 악의적인 공격을 최소화하기 위해 수행할 수 있는 여러 가지 단계에 대해 알아봅니다.

참고:Exchange 2000 환경을 변경할 때마다 해당 변경 사항을 철저히 문서화해야 합니다. Exchange 변경 및 구성 관리에 대한 자세한 내용은 Microsoft Exchange 2000 Server 운영 지침을 참조하십시오. 자세한 내용은 이 모듈의 뒷부분에 있는 "추가 정보" 절을 참조하십시오.

사용자 삽입 이미지페이지 위쪽

일반적인 Exchange 보안 고려 사항

Exchange 보안을 향상시키는 방법을 고려할 때는 Exchange가 실제로 로컬 컴퓨터와 원격 컴퓨터에서 상호 통신하는 수많은 프로세스로 이루어져 있다는 점을 알아야 합니다. 특히, Exchange 서버는 다른 Exchange 서버, 도메인 컨트롤러 및 여러 다양한 클라이언트와 통신해야 합니다. Exchange가 작동하려면 Microsoft IIS(인터넷 정보 서비스)가 반드시 필요하며, 파일 시스템을 통해서도 Exchange 서버를 액세스할 수 있습니다. 이런 복잡한 관계는 Exchange 서버를 잠그려고 할 때 여러 다양한 구성 요소를 고려해야 한다는 것을 의미합니다. 다음과 같은 경우가 여기에 포함됩니다.

서비스 보안

파일 보안

IIS 보안

레지스트리 항목

기본 Windows 2000 보안

도메인 컨트롤러/글로벌 카탈로그 보안

Active Directory 보안

Exchange 데이터베이스 보안

Exchange 전송 메커니즘

Exchange 서비스 종속 관계

이 모듈의 목적은 Exchange 핵심 기능을 유지하면서 Exchange 2000 환경을 최대한 안전한 상태로 만들 수 있도록 하는 것입니다. 주로 살펴보아야 할 영역 중 하나가 Exchange 서비스입니다. Exchange는 Windows 2000에서 실행되며, Exchange 제품을 설치하거나 Exchange 기능이 계속 제대로 작동하려면 일부 Windows 2000 서비스가 실행되고 있어야 합니다. 다른 Exchange 서비스에 종속된 Exchange 서비스도 있습니다.

그림 1은 Exchange 서버에서 기본적으로 실행되는 서비스와 서비스 상호 간의 종속 관계를 보여 줍니다.

사용자 삽입 이미지

그림 1
Exchange 서버 서비스 종속 관계

이 모듈에서는 대개 기본적으로 시작되도록 구성된 이러한 많은 서비스에 대한 권장 설정을 제공합니다. 일부 서비스를 사용할 수 없도록 설정할 수 있지만 그렇게 하면 서버 기능 중 일부가 누락될 수도 있습니다. 따라서 이러한 기능 누락이 해당 환경에 적절한지 확인해야 합니다.

Exchange 설치

Exchange 2000은 스키마를 수정하는 응용 프로그램입니다. 즉, setup /forestprep가 실행될 때 스키마 컨테이너가 수정됩니다. 따라서 각 Exchange 2000 서버가 설치될 때 구성 컨테이너가 수정되어 해당 Exchange 2000 개체를 포함하게 됩니다. 실제로 setup /forestprep를 실행하는 계정에는 스키마 관리자 권한이 필요한 반면, Exchange를 설치하는 데 사용되는 계정에는 전체 Exchange 관리자 권한이 필요합니다.

참고:Exchange 2000 사용 권한에 대한 자세한 내용은 Microsoft Exchange 2000 내부 설정: 사용 권한 가이드를 참조하십시오. 자세한 내용은 이 모듈의 뒷부분에 있는 "추가 정보" 절을 참조하십시오.

사용 권한 관리의 모든 측면과 마찬가지로 관리자는 자신의 작업을 수행하는 데 필요한 권한만 가져야 합니다. 높은 수준의 사용 권한은 특히 엄밀하게 보호해야 합니다. 기본적으로 스키마 관리자 그룹을 빈 상태로 유지하다가 setup /forestprep를 실행해야 할 때 이 그룹에 사용자를 명시적으로 추가하는 방안을 고려해야 합니다. 스키마 관리자 그룹을 빈 상태로 유지하면 응용 프로그램이 스키마를 수정하기 전에 항상 경고 메시지가 나타나기 때문에 이 방법을 사용하는 것이 좋습니다.

setup /forestprep를 실행하는 동안 Exchange 2000 관리자 계정을 지정할 수 있는 기회가 스키마 관리자에게 제공됩니다. 이 계정은 Exchange 조직에 대해 전체 Exchange 관리자 권한을 갖기 때문에 이후의 Exchange 설치를 수행할 수 있습니다. 설치 과정에서 보안 위험을 최소화하는 방법 중 하나는 Exchange 설치 권한을 부여할 특정 유니버설 보안 그룹을 만든 다음 이 그룹을 전체 Exchange 관리자로 정의하는 것입니다. 이 방법을 사용하면 그룹 구성원 자격을 제어하여 Exchange를 설치할 수 있는 사용자를 엄격하게 제어할 수 있습니다.

Exchange 2000 패치 관리

Exchange를 최대한 안전한 상태로 유지하려면 항상 최신 패치가 설치되어 있어야 합니다. 여기에는 두 가지 요소가 따릅니다. 즉, 운영 체제가 최신이고 Exchange가 최신이어야 합니다. 운영 체제가 취약하면 Exchange 2000도 취약해지기 때문에 Exchange 서버에서 운영 체제 보안을 매우 신중하게 처리해야 합니다.

여러 가지 유틸리티를 사용하여 Windows 2000 서비스 팩, 핫픽스 및 패치를 최신 상태로 유지할 수 있습니다. Microsoft는 이러한 용도로 Hfnetchk와 Microsoft Baseline Security Analyzer라는 두 가지 유틸리티를 제공합니다.

Windows 2000 서비스 팩 2 이후에 나온 보안 업데이트가 많이 있습니다. 다행히 이들 중 대부분은 Windows 2000용 보안 롤업 패키지로 그룹화됩니다. 자세한 내용은 이 모듈의 뒷부분에 있는 "추가 정보" 절을 참조하십시오. IIS 보안 문제와 Microsoft Internet Explorer 보안 문제에 대해서도 완전히 최신 상태로 유지해야 합니다.

Exchange 2000 보안 문제는 Windows 2000 보안 문제보다 훨씬 드물며 아직까지는 이 절에서 설명하는 도구를 통해 보고된 적이 없습니다. Microsoft가 사용자 환경에 제공하는 새로운 패치에 대한 알림 메시지를 받아야 합니다. Microsoft Security Bulletins에 가입하면 이러한 알림 메시지를 자동으로 받을 수 있습니다.

참고:Microsoft Security Bulletins 정보 수신에 대한 자세한 내용은 이 모듈의 뒷부분에 있는 "추가 정보" 절을 참조하십시오.

참고:Windows 2000 환경의 패치 관리에 대한 자세한 내용은 Microsoft Windows 2000 Server 보안 작업 가이드를 참조하십시오.

참고:Exchange 2000의 구성 및 업데이트 권장 사항에 대한 자세한 내용은 이 모듈의 뒷부분에 있는 "추가 정보" 절을 참조하십시오.

클라이언트 환경 보안

Exchange 2000은 클라이언트/서버 응용 프로그램입니다. 따라서 Exchange 환경의 전체 보안을 고려할 때는 사용될 클라이언트도 검토해야 합니다.

Exchange는 수없이 많은 다양한 클라이언트를 지원합니다. 위험 관리 전략의 일환으로, 어떤 클라이언트가 정말로 필요한지 검토하고 이러한 클라이언트만 사용해야 합니다. 서버만큼이나 클라이언트도 중요하므로 패치가 적용된 최신 버전의 클라이언트 소프트웨어를 사용하고 클라이언트 보안 업데이트가 있는지 정기적으로 확인해야 합니다.

클라이언트를 안전한 상태로 유지하는 데 있어서 중요한 것이 바로 사용자입니다. 책임감 있게 클라이언트를 사용하도록 사용자를 교육하면 향후 발생할지 모를 공격의 위험을 줄일 수 있습니다. 예를 들어, 전자 메일 바이러스, 바이러스 거짓 정보, 행운의 편지, 원하지 않는 스팸 메일에 대한 교육을 사용자에게 제공해야 합니다.

참고:클라이언트와 서버 간 통신 보안에 대한 자세한 내용은"Exchange 통신 보안 모듈"을 참조하십시오.

주소 스푸핑 방지

전자 메일 시스템을 공격하는 가장 일반적인 방법 중 하나는 전자 메일 메시지의 "보낸 사람" 필드를 조작하는 것입니다. SMTP는 사용자의 ID를 확인하지 않지만 Exchange에서 몇 가지 작업을 수행하여 메시지 스푸핑을 최소화할 수 있습니다.

가장 골치 아픈 주소 스푸핑 문제 중 하나는 내부 사용자의 전자 메일 주소를 사용하는 외부 공격자입니다. 간혹 사회 공학(social engineering)의 형태를 띠는 이러한 공격은 다양한 방법으로 사용되어 다른 사용자가 기밀 정보를 노출하도록 만들게 되고, 그 결과 다른 공격이 추가로 발생할 수 있습니다.

기본적으로 Exchange 2000은 주소록의 전자 메일 주소를 전체 주소 목록에서 사용하는 이름으로 변환합니다. 따라서 메시지가 실제로 조직 외부에서 보낸 것인지 알아내기가 매우 어려워질 수 있습니다. 기본 동작을 변경하여 조직 외부에서 보내온 메일을 항상 변환되지 않은 채로 둘 수 있습니다. 그런 다음 변환되지 않은 전자 메일 주소를 찾아보도록 사용자를 교육하면 이러한 형태의 주소 스푸핑을 방지하는 데 도움이 됩니다.

참고: Exchange 조직 외부에서 보내온 메일을 변환되지 않은 채로 두는 방법에 대한 자세한 내용은 기술 자료 문서 Q288635, "XIMS: ResolveP2 Functionality in Exchange 2000 Server"를 참조하십시오.

인터넷을 통해 다른 도메인에서 보내온 메시지를 직접 받을 경우에는 받는 전자 메일 메시지에 대해 DNS(Domain Name System) 역방향 조회를 수행하도록 SMTP 가상 서버를 구성할 수 있습니다. 그러면 보낸 사람 메일 서버의 IP(Internet Protocol) 주소와 정규화된 도메인 이름이 해당 메시지에 나열된 도메인 이름과 대응하는지 확인할 수 있습니다.

역방향 조회는 Exchange 서버에 추가 부담을 줍니다. 또한 역방향 조회를 수행하려면 Exchange 서버가 보내는 도메인의 역방향 조회 영역에 연결할 수 있어야 합니다.

참고:DNS 역방향 조회 사용에 대한 자세한 내용은 기술 자료 문서 Q319356, "HOW TO: Exchange 2000 Server에서 원하지 않는 광고용 전자 메일 차단"을 참조하십시오.

바이러스 방지 방법

사용자 환경을 위협하는 보다 심각한 공격 중 하나는 전자 메일을 통해 전송되는 바이러스입니다. 전자 메일 바이러스는 컴퓨터 시스템 자체를 공격할 수도 있고 시스템 과부하가 걸릴 때까지 시스템을 메시지로 가득 채워서 전자 메일 환경을 공격할 수도 있습니다. 사용자 환경에서 바이러스를 적절히 방지해야 합니다.

방화벽에서, SMTP 게이트웨이 또는 그 외부에서, 각 Exchange 서버에서 그리고 모든 클라이언트에서 바이러스를 방지하는 방안을 고려해야 합니다.

참고:Exchange 서버의 바이러스 백신 소프트웨어에 대한 자세한 내용은 기술 자료 문서 Q245822, "XGEN: Recommendations for Troubleshooting an Exchange Computer with Antivirus Software Installed"를 참조하십시오.

클라이언트 수준에서는 Outlook 2002가 많은 첨부 파일을 볼 수 없게 차단하기 때문에 사용자 환경이 손상될 수도 있습니다. 하지만 Outlook Web Access(OWA)를 사용하도록 허용하면 OWA 클라이언트가 이러한 첨부 파일을 차단하지 않습니다.

참고:바이러스 공격 예방 및 바이러스 감염 시 대응 작업에 대한 자세한 내용은 Microsoft Exchange 2000 Server 운영 지침을 참조하십시오.

원하지 않는 스팸 메일 방지

많은 조직에서 원하지 않는 메일이 큰 문제로 대두될 수 있습니다. 원하지 않는 메일은 메일 처리에 소요되는 사용자 시간의 손실에서부터 필요 없는 메일을 전달/저장하기 위해 낭비되는 대역폭과 저장 공간에 이르기까지 여러 측면에서 막대한 손해를 끼칩니다.

원하지 않는 메일은 방어하기가 매우 어려울 수 있지만, 이런 메일의 수신량을 줄일 수 있는 방법이 많이 있습니다.

사용자 교육

네트워크 사용자는 원하지 않는 메일을 막는 데 중요한 역할을 합니다. 네트워크를 통해 이루어지는 사회 공학적 활동으로 인해 이러한 메일이 수신되는 경우도 있기 때문에 그 방지 방법에 대해 사용자를 교육하는 것이 중요합니다. 예를 들어 메일 그룹에서 자신을 제거하려면 제목 줄의 REMOVE 단어를 사용하여 해당 메일에 응답해야만 한다는 메시지 거부 내용을 포함하는 메일이 사용자에게 수신될 수 있습니다. 대개 이는 전자 메일 주소를 다시 사용할 목적으로 해당 주소가 유효한지 확인하는 것에 지나지 않습니다. 어떤 경우에도 원하지 않는 전자 메일에 응답하지 않도록 사용자를 교육해야 합니다. 또한 원하지 않는 메일을 동료에게 전달하지 않도록 사용자를 교육해야 합니다.

Outlook 2002의 원하지 않는 메일 방지 기능

Outlook 2002에서는 원하지 않는 메일로부터 사용자를 보호하는 데 유용한 몇 가지 기능을 기본으로 제공합니다. Outlook의 경우 전자 메일 메시지에서 특정 구를 검색한 다음 이러한 구가 포함된 메시지를받은 편지함에서 지정한 폴더(예: Outlook으로 만든 정크 메일 폴더 또는지운 편지함폴더)로 이동할 수 있습니다.

Outlook에서는 원하지 않는 전자 메일을 필터링하는 데 사용되는 용어 목록이 filters.txt라는 파일에 저장됩니다. 이 파일은 원하지 않는 메일을 보낸 사람의 목록을 포함하고 메일에 나타날 경우 메시지를 원치 않는 메일로 처리하도록 만드는 구도 포함합니다.

이러한 기능을 처음 사용할 때는 받은 편지함에서 제거된 메시지를 확인하여 유효한 메시지가 실수로 제거되지 않았는지 확인하도록 사용자를 교육해야 합니다.

참고:Outlook 2002에서 원치 않는 메일을 방지하는 방법에 대한 자세한 내용은 Microsoft Office 도움말 지원 센터의 "정크 메일 및 성인용 메일 관리"를 참조하십시오. 자세한 내용은 "추가 정보" 절을 참조하십시오.

Exchange 2000의 원하지 않는 메일 방지 기능

Exchange 2000에서 기본으로 제공하는 기능은 원하지 않는 메일을 방지하는 데 유용합니다. 특히 보낸 사람이 지정되어 있지 않거나 특정 도메인에서 보낸 메일인 경우 해당 메일의 전달을 막을 수 있습니다. 모든 Exchange 서버에 대해 필터링을 수행하거나 필터링을 수행할 특정 SMTP 가상 서버를 결정할 수 있습니다.

참고:Exchange 2000 Server에서 원치 않는 메일을 필터링하는 방법에 대한 자세한 내용은 기술 자료 문서 KR276321, "XADM: Exchange 2000에서 정크 메일을 필터링하는 방법"을 참조하십시오.

참고:메시지 차단 프로그램을 사용하여 원하지 않는 전자 메일을 추가로 방지할 수 있습니다. 자세한 내용은 4장 "Exchange 통신 보안" 모듈을 참조하십시오.

서비스 거부 공격 방지

서비스 거부 공격은 일반적으로 방어하기가 매우 어렵습니다. 하지만 이를 방어하는 데 도움이 되는 여러 가지 Exchange 설정이 있습니다. SMTP 가상 서버에서 구성되는 메시지 제한 매개 변수를 사용하여 메시지 당 최대 받는 사람 수, 최대 메시지 크기, 연결 당 최대 메시지 수 등을 지정할 수 있습니다. 이러한 제한을 설정하면 메일 전송을 사용하는 서비스 거부 공격이 매우 어려워집니다.

참고:메시지 제한 설정에 대한 자세한 내용은 기술 자료 문서 Q319356, "HOW TO: Exchange 2000 Server에서 원하지 않는 광고용 전자 메일 차단"을 참조하십시오.

디스크 공간이 부족해질 때까지 특정 서버에 대량의 메일을 보내는 또 다른 형태의 서비스 거부 공격이 발생할 수도 있습니다. 이러한 형태의 공격은 사서함과 공용 폴더에 대한 저장소 제한을 설정하여 최소화할 수 있습니다.

참고:저장소 제한 설정에 대한 자세한 내용은 기술 자료 문서 Q319583, "HOW TO: Configure Storage Limits on Mailboxes in Exchange 2000"을 참조하십시오.

사용자 삽입 이미지페이지 위쪽

사용 권한과 관리 그룹을 사용하여 Exchange

2000 액세스 제어

사용자 환경에 설치된 응용 프로그램과 마찬가지로 Exchange 사용 권한을 정의할 때는 Exchange 관리자가 해당 환경에서 맡을 역할을 확인하고 필요한 사용 권한만 부여해야 합니다. 프로세스를 단순화하기 위해 Exchange 2000에서는 관리 그룹을 사용합니다. 관리 그룹은 사용 권한 관리 및 위임을 위해 서로 묶을 수 있는 Exchange 2000 개체를 모은 것입니다. 관리 그룹에는 정책, 라우팅 그룹, 공용 폴더 계층, 서버, 회의 개체, 채팅 네트워크 등이 포함됩니다. 예를 들어, 조직에 Exchange 2000을 실행하는 두 서버 집합을 관리하는 두 관리자 집합이 있으면 이 두 서버 집합을 포함하는 두 관리 그룹을 만들 수 있습니다. 조직에서 사용하는 관리 모델에 따라 적절한 관리 계획을 개발할 수 있습니다.

가장 쉽게 관리 그룹과 Exchange 조직에 사용 권한을 할당하는 방법은 Exchange 관리 위임 마법사를 사용하는 것입니다. 이 마법사를 사용하려면 Exchange 조직에 대해 모든 권한을 갖는 사용자로 로그온해야 합니다. Exchange 관리 위임 마법사를 시작하려면Exchange System Manager에서 조직이나 관리 그룹을 마우스 오른쪽 단추로 클릭한 다음제어 위임을 클릭하십시오.

다음 세 관리 역할이 제공됩니다.

표 1. Exchange 2000의 관리 역할

역할 설명

보기 권한만 있는 Exchange 관리자

해당 컨테이너 아래에 있는 모든 개체의 속성을 나열하고 읽을 수 있는 권한을 부여합니다. 관리자가 개체 속성을 수정해야 할 경우가 아니면 항상 이 역할을 할당하십시오.

Exchange 관리자

소유권을 가져오거나 사용 권한을 변경하거나 사용자 사서함을 열 수 있는 권한을 제외한 모든 사용 권한을 부여합니다. 관리자가 개체를 추가하거나 개체 속성을 수정해야 하지만 개체에 대한 사용 권한을 위임하지 않아야 할 경우에는 이 역할을 할당하십시오.

전체 Exchange 관리자

사용자 사서함을 열거나 사용자 사서함을 가장할 수 있는 권한을 제외하고 해당 컨테이너 아래에 있는 모든 개체에 대한 모든 사용 권한(사용 권한을 변경할 수 있는 권한 포함)을 부여합니다. 개체에 대한 사용 권한을 위임해야 하는 관리자나 관리 그룹에 새 서버를 추가해야 하는 관리자에게만 이 역할을 할당하십시오.

어떤 경우에는 Exchange 관리 위임 마법사를 사용하는 것만으로는 보안을 할당할 때 부족할 수 있습니다. 이 경우 Exchange 내에서 개별 개체에 대한보안탭을 수정할 수 있습니다. 단,보안탭은 기본적으로 다음 개체에 대해서만 표시됩니다.

주소 목록

전체 주소 목록

데이터베이스(사서함 저장소 및 공용 폴더 저장소)

최상위 공용 폴더 계층

일반적으로 다른 Exchange 개체에 대한 보안 옵션은 수정할 필요가 없지만 모든 Exchange 개체에 대해보안탭을 표시할 수는 있습니다.

참고:Exchange 개체에 대한 사용 권한을 변경할 때는 주의해야 합니다. 거부 권한을 잘못 할당하면 Exchange System Manager에서 Exchange 개체를 보지 못하게 될 수도 있습니다.

모든 Exchange 개체에 대해 Security 탭을 표시하려면 다음과 같이 하십시오.

1.

Regedt32.exe를 시작합니다.

2.

레지스트리에서 다음 키를 찾습니다.
HKEY_CURRENT_USER\Software\Microsoft\Exchange\ExAdmin

3.

편집메뉴에서값 추가를 클릭하고 다음 레지스트리 값을 추가합니다.
값 이름: ShowSecurityPage
데이터 형식: REG_DWORD
: 1

4.

레지스트리 편집기를 닫습니다.

이 변경 내용은 즉시 적용되므로 Exchange System Manager를 다시 시작할 필요가 없습니다.

참고:HKEY_CURRENT_USER내에서 키를 수정하고 있으므로 이 변경 내용은 작업 중인 컴퓨터에 로그온한 사용자에게만 적용됩니다.

중앙 관리 및 분산 관리

일반적으로 관리와 관련된 모델에는 중앙 관리와 분산 관리의 두 가지 모델이 있습니다. 사용할 모델 유형은 해당 조직의 특정 요구에 따라 결정됩니다.

중앙 관리 모델

중앙 관리 모델은 가장 단순한 모델입니다. 이 모델을 사용하는 회사에서는 한 명, 한 부서 또는 한 그룹에 Exchange 서버 관리 권한을 위임합니다. 이 모델을 구현하려면 모든 Exchange 2000 개체를 포함하는 관리 그룹을 하나 만든 다음 이 그룹에 Exchange 2000 조직 개체에 대한 사용 권한을 할당하십시오.

분산 관리 모델

분산 관리 모델에서는 조직의 논리적 그룹화를 표현하는 관리 그룹을 둘 이상 만듭니다. 이러한 그룹화는 지역적 구분, 정치적 구분 또는 조직의 기타 논리적 구분에 따라 이루어질 수 있습니다. 예를 들어, 한 조직이 같은 지역 내에 세 개의 큰 독립 사업 단위를 가질 수 있습니다. 각 사업 단위마다 고유의 IT 부서가 있으며 고유의 IT 직원, 예산 및 업무를 관리할 책임을 집니다. 분산 관리 모델을 사용하면 각 사업 단위마다 고유의 Exchange 관리 작업을 관리할 수 있습니다.

혼합 관리 모델

구현되는 대부분의 모델은 완전한 중앙 관리 모델이나 완전한 분산 관리 모델이 아니라 한 모델이나 다른 모델에 중점을 둔 혼합 관리 모델입니다. 유용한 모델 중 하나는 관리 그룹 수준에서 특정 구성 사항을 선택하고 중앙에서 가장 중요한 구성 사항을 선택할 수 있게 해주는 모델입니다. 예를 들어, 유지 관리 기간은 각 관리 그룹의 관리자가 결정하고 메시지 추적과 사서함 저장소 제한은 조직 전체에 걸쳐 적용되도록 만들 수 있습니다.

혼합 관리 모델을 지원하는 환경 만들기

혼합 관리 모델을 지원하려면 많은 작업 단계를 거쳐야 합니다. 다음과 같은 경우가 여기에 포함됩니다.

각 항목에 대해 중앙에서 제어하는 관리 담당 그룹을 하나 이상 만듭니다.

Exchange 시스템 정책을 만들어 중앙에서 개별 설정을 제어합니다.

로컬 관리자가 특정 설정을 변경할 수 없도록 적절한 보안을 할당합니다.

중앙에서 제어하는 관리 담당 그룹 만들기

일반적으로 관리 그룹은 서버를 관리하는 데 사용됩니다. 하지만 앞서 설명한 것처럼 관리 그룹은 관리를 위해 묶을 수 있는 개체를 모은 것에 지나지 않습니다. 이는 Exchange 조직에 대한 강력한 관리 제어를 유지하는 데 도움이 됩니다. 예를 들어, 일상적인 Exchange 서버 구성은 지역 관리자의 제어 하에 두지만 라우팅 결정 사항과 공용 폴더 계층은 중앙 제어 하에 두려고 할 수 있습니다. 이렇게 하려면 관리 담당 그룹을 하나 만들고 이 관리 그룹으로 라우팅 그룹과 공용 폴더 그룹을 이동하십시오. 그런 다음 이 관리 담당 그룹에 대한 사용 권한을 적절히 제어하면 로컬 관리자가 해당 Exchange 요소를 변경하는 것을 막을 수 있습니다.

Exchange 시스템 정책을 사용하여 혼합 관리 모델 활성화

Exchange 2000을 사용하여 사서함 저장소, 공용 폴더 저장소 및 서버를 제어하는 정책을 만들 수 있습니다. 정책은 해당하는 Exchange 개체의 일부 또는 전부에 적용할 수 있습니다. 적절한 보안 설정과 함께 정책을 사용하면 중앙에서는 구성의 특정 측면을 관리하고 로컬에서는 기타 속성을 변경할 수 있습니다. 이런 방식으로 구성할 수 있는 설정으로는 메시지 추적과 사서함 제한이 있습니다.

관리 담당 그룹과 연계해서 시스템 정책을 사용하는 방안을 고려해야 합니다. 이 그룹에 정책을 배치하면 관리 담당 그룹에 대한 권한이 없는 로컬 관리자가 보안 설정을 변경할 수 없습니다.

표 2는 서버 제어를 위한 관리 그룹이 두 개 있는 단순 환경에서 사용할 수 있는 설정을 보여 줍니다. 이 예에서 "서울" 및 "인천" 관리 그룹의 관리자는 자신의 서버를 제한된 범위에서 제어할 수 있고 일상적인 변경 작업을 수행할 수 있습니다. 하지만 이러한 관리자가 변경할 수 없거나 공용 폴더 계층 또는 서버 간 라우팅에 대한 관리를 제어할 수 없도록 하는 정책이 서버에 적용되어 있습니다.

표 2. Exchange 2000 혼합 관리 모델의 예

내용 포함되는 항목 적용되는 정책 사용 권한

 

관리

 

공용 폴더 컨테이너
라우팅 그룹 컨테이너
시스템 정책 컨테이너

 

없음(None)

 

Exchange Management - 모든 권한 허용
그룹 A 관리자 - 모든 권한 거부
그룹 B 관리자 - 모든 권한 거부

 

서울

 

서버

 

서버 정책
사서함 저장소 정책
공용 폴더 저장소 정책

 

Exchange Management - 모든 권한 허용
그룹 A 관리자 - 모든 권한 허용

 

뉴욕

 

서버

 

서버 정책
사서함 저장소 정책
공용 폴더 저장소 정책

 

Exchange Management - 모든 권한 허용
그룹 B 관리자 - 모든 권한 허용

사용자 관리 제어

Exchange 2000에서는 사서함 사용이 가능한 사용자, 메일 사용이 가능한 사용자 및 메일 사용이 가능한 연락처가 모두 Active Directory 사용자 및 컴퓨터 설정에서 제어됩니다. 따라서 Exchange의 나머지와는 별도로 조직 구성 단위 수준에서 사용자에 대한 관리 권한을 위임할 수 있으므로 사용자를 엄격하게 제어할 수 있습니다.

참고:사용자에 대한 Exchange 설정을 수정하려면 관리자가 Exchange 조직에서 보기 권한만 있는 Exchange 관리자 이상의 사용 권한을 가져야 합니다.

사용자 삽입 이미지페이지 위쪽

요약

Exchange 2000 환경의 보안을 향상시키는 요소는 많습니다. 먼저 기본 Windows 환경을 최대한 안전한 상태로 만들어야 합니다. 자세한 내용은 Microsoft Windows 2000 Server 보안 작업 가이드를 참조하십시오. 둘째로 Exchange 2000의 보안을 향상시키는 작업을 수행해야 합니다. 이 모듈과 다음 모듈에서는 이러한 작업을 수행하는 데 도움이 되는 정보를 제공합니다.

추가 정보

Microsoft Exchange 2000 Server 운영 지침http://www.microsoft.com/korea/technet/prodtechnol/exchange/exchange2000/maintain/operate/opsguide/default.asp

정기 Microsoft Security Bulletins 신청

http://www.microsoft.com/technet/security/bulletin/notify.asp 사용자 삽입 이미지

Windows 2000 Server용 보안 롤업 패키지에 대한 자세한 내용

http://www.microsoft.com/technet/security/news/w2ksrp1.asp 사용자 삽입 이미지

Microsoft Windows 2000 Server 보안 작업 가이드

http://www.microsoft.com/korea/technet/security/prodtech/windows/windows2000/staysecure/DEFAULT.asp

Exchange 2000의 구성 및 보안 업데이트 권장 사항에 대한 자세한 내용

http://www.microsoft.com/korea/Exchange/techinfo/deployment/2000/BestConfig.asp

Exchange 조직 외부에서 보내온 메일을 변환되지 않은 채로 두는 방법에 대한 자세한 내용

http://support.microsoft.com/default.aspx?scid=kb;en-us;Q288635

DNS 역방향 조회 사용에 대한 자세한 내용

http://support.microsoft.com/default.aspx?scid=kb;ko-kr;Q319356

Outlook 2002에서 원하지 않는 메일을 방지하는 방법에 대한 자세한 내용

http://office.microsoft.com/assistance/preview.aspx?AssetID=HA010347791042&CTT=6&Origin=EC010553071042

Exchange 서버의 바이러스 백신 소프트웨어에 대한 자세한 내용

http://support.microsoft.com/default.aspx?scid=kb;ko-kr;Q245822

Exchange 2000 Server에서 원하지 않는 메일을 필터링하는 방법에 대한 자세한 내용

http://support.microsoft.com/?kbid=276321

저장소 제한 설정에 대한 자세한 내용

http://support.microsoft.com/default.aspx?scid=kb;en-us;Q319583

신고
Posted by The.민군


티스토리 툴바