Documente Academic
Documente Profesional
Documente Cultură
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
Al usar este sitio acepta el uso de cookies para anlisis, contenido personalizado y publicidad.
Saber ms
mbito
Exchange 2010 se ha desarrollado segn los principios del ciclo vital del desarrollo de seguridad de Microsoft. Se ha efectuado una revisin de la seguridad en
cada caracterstica y componente. Unos valores predeterminados bien seleccionados permiten una implementacin ms segura. La finalidad de esta gua es
informar a los administradores sobre las caractersticas y los aspectos relacionados con la seguridad. Esta seccin contiene vnculos a documentacin sobre la
seguridad en Exchange 2010. Estos temas figuran en el apndice 1: Documentacin adicional sobre la seguridad. Esta gua no se ocupa de ningn paso sobre
cmo reforzar el sistema operativo Windows Server.
Contenido
Novedades
Ciclo de vida del desarrollo de seguridad de Exchange 2010
Mtodos recomendados para crear un entorno seguro
Mtodos recomendados para mantener un entorno seguro
Uso de los puertos de red y reforzamiento de Firewall
Parmetros de limitacin y directivas de limitacin de clientes
Control de acceso basado en roles
Active Directory
Cuentas de servidores de Exchange
Sistema de archivos
Servicios
Certificados
Consideraciones sobre NTLM
Autenticacin de doble factor
Federacin
Secure/Multipurpose Internet Mail Extensions (S/MIME)
Consideraciones sobre roles del servidor
Apndice 1: Documentacin adicional sobre la seguridad
Novedades
Exchange 2010 incluye las siguientes caractersticas de seguridad:
Control de acceso basado en roles Exchange 2010 presenta un nuevo modelo de control de acceso basado en roles con el que la organizacin
administra de forma pormenorizada los permisos asignados a diferentes partes interesadas, por ejemplo administradores de destinatarios, de servidores y
de organizaciones.
Directivas de limitacin Exchange 2010 incorpora mecanismos de limitacin en los servidores de acceso de cliente, Buzn de correo y Transporte para
proteger la organizacin de los ataques de denegacin de servicio y reducir las repercusiones de dichos ataques.
Delegacin federada Exchange 2010 agrega nuevas caractersticas de federacin delegada para que los usuarios puedan colaborar de manera segura con
1 de 27
25-02-2015 11:41
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
usuarios de otras organizaciones. Mediante la delegacin federada, los usuarios comparten sus calendarios y contactos con usuarios de organizaciones
federadas externas. Tambin es posible la colaboracin entre bosques sin tener que configurar y administrar relaciones de confianza de Active Directory.
Information Rights Management Exchange 2010 incorpora nuevas caractersticas de control y proteccin de la seguridad para proteger el contenido
confidencial de los mensajes en varios niveles; asimismo, mantiene la capacidad de la organizacin de descifrar, buscar y aplicar directivas de mensajera a
contenido protegido.
Sin asistentes para configurar la seguridad En Exchange 2010, el programa de instalacin realiza los cambios de configuracin pertinentes para instalar
y habilitar nicamente los servicios necesarios para un determinado rol de servidor de Exchange, y para limitar la comunicacin solamente a los puertos
requeridos para los servicios y procesos que se ejecutan en cada rol de servidor. De este modo, ya no se necesita el asistente para configuracin de
seguridad (SCW) para configurar estos parmetros.
Seguro en el diseoExchange 2010 se ha diseado y desarrollado segn el ciclo de vida del desarrollo de seguridad de Trustworthy Computing. El primer
paso para crear un sistema de mensajera ms seguro fue disear modelos de amenaza y poner a prueba cada opcin a medida que se iba diseando. Se
integraron mltiples mejoras relacionadas con la seguridad en el proceso y las prcticas de codificacin. Las herramientas de tiempo integradas detectan
excesos en el bfer y otras amenazas potenciales de seguridad. Ningn sistema puede garantizar una seguridad completa. Sin embargo, al incluir principios
de diseo de seguridad en todo el proceso de diseo, Exchange 2010 es ms seguro que versiones anteriores.
Seguro de forma predeterminada Uno de los objetivos de Exchange 2010 era desarrollar un sistema en que la mayora de las comunicaciones de red se
codifiquen de forma predeterminada. Este objetivo se consigui, excepto para las comunicaciones del bloqueo de mensajes de servidor y algunas
comunicaciones de mensajera unificada. Al usar certificados autofirmados, el protocolo Kerberos, el nivel de sockets seguros (SSL) y otras tcnicas
estndares de cifrado, casi toda la informacin en la red de Exchange 2010 queda protegida. Adems, la instalacin basada en roles permite instalar
Exchange 2010, de modo que solamente los servicios, y los permisos relacionados con esos servicios, se instalan con un rol de servidor especfico y
apropiado. En versiones anteriores de Microsoft Exchange haba que instalar todos los servicios de funcionalidad.
Funcionalidad antivirus y contra correo electrnico no deseado Exchange 2010 incluye un conjunto de agentes contra correo electrnico no deseado
que se ejecutan en la red perimetral del rol de servidor Transporte perimetral y que tambin puede instalarse en el rol de servidor Transporte de
concentradores ubicado en la red interna. La funcionalidad del antivirus est mejorada an ms gracias a la adicin de MicrosoftForefront Protection 2010
for Exchange como solucin de Microsoft.
Implementacin segura A medida que se fue desarrollando Exchange 2010, se implement la versin de evaluacin en el entorno de produccin de TI
Microsoft. Basado en datos de esa implementacin, se ha actualizado el MicrosoftExchange Server Best Practices Analyzer para buscar configuraciones de
seguridad reales, y se han documentado consejos para antes y despus de la implementacin en la Ayuda de Exchange 2010.
En el pasado, se documentaba la administracin de permisos y se entregaba una vez finalizada la documentacin bsica. Sin embargo, sabemos que la
administracin de permisos no es un proceso de complementos. Debera integrarse en el planeamiento e implementacin generales de Exchange 2010. Por
lo tanto, hemos simplificado nuestra documentacin sobre permisos y la hemos integrado con la documentacin bsica. De este modo, proporcionamos un
contexto integral para los administradores a la hora de planear e implementar su modelo administrativo. Exchange 2010 contiene un nuevo modelo de
permisos basados en roles con el que pueden concederse permisos de manera pormenorizada a administradores y usuarios para que puedan realizar tareas
con los permisos mnimos que se necesitan.
Comunicaciones Ahora que Exchange 2010 ha salido al mercado, el equipo de Exchange tiene el compromiso de mantener el software actualizado y a los
usuarios informados. Manteniendo su sistema actualizado con Microsoft Update, puede tener la certeza de que su organizacin dispone de las ltimas
actualizaciones de seguridad. Exchange 2010 tambin incluye actualizaciones contra correo electrnico no deseado. Adems, al suscribirse a las
Notificaciones tcnicas de seguridad de Microsoft (posiblemente en ingls), podr consultar las ltimas novedades sobre seguridad en Exchange 2010.
Instalacin delegada El primer servidor de Exchange 2010 que se instala en la organizacin requiere que la cuenta que se usa para ejecutar el
programa de instalacin pertenezca al grupo Administradores de empresa. La cuenta que usa se agrega al grupo de roles de administracin de la
organizacin creado por el programa de instalacin de Exchange 2010. La instalacin delegada puede usarse para que los administradores que no
pertenezcan al grupo de roles de administracin de la organizacin configuren los servidores subsiguientes. Para obtener ms informacin, consulte
Aprovisionar el servidor de Exchange 2010 y delegar la instalacin.
Permisos del sistema de archivos Exchange 2010 El programa de instalacin asigna los permisos mnimos necesarios en el sistema de archivos donde
se almacenan los datos y archivos binarios de Exchange. No haga ningn cambio en las listas de control de acceso de las carpetas raz y Archivos de
programa del sistema de archivos.
Rutas de instalacin Se recomienda instalar los archivos binarios de Exchange 2010 en una unidad que no sea del sistema (un volumen en el que no
2 de 27
25-02-2015 11:41
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
est instalado el sistema operativo). Las bases de datos y los registros de transacciones de Exchange pueden aumentar de tamao rpidamente y deben
ubicarse en volmenes no pertenecientes al sistema para que no disminuya la capacidad ni el rendimiento. Otros registros generados por diferentes
componentes de Exchange, por ejemplo los registros de transporte, se almacenan tambin en la misma ruta de instalacin que los archivos binarios de
Exchange y su tamao puede aumentar considerablemente segn la configuracin y el entorno de mensajera. En Exchange 2010 puede configurarse el
tamao mximo de muchos archivos de registro y el espacio mximo de almacenamiento que puede ocupar una carpeta de archivos de registro, que
tiene un valor predeterminado de 250 Megabytes. Para prevenir una posible interrupcin del sistema debido a poco espacio en disco, recomendamos
que se calculen los requisitos de registro para cada rol del servidor y se configuren las opciones de registro y las ubicaciones de almacenamiento de los
archivos de registro en consonancia con ellos.
Bloqueo de clientes heredados de Outlook Teniendo en cuenta sus requisitos, el bloqueo de clientes de Outlook se puede configurar para que
bloquee las versiones cliente heredadas de Outlook. Algunas caractersticas de Exchange 2010, por ejemplo las reglas de proteccin de Outlook y los
archivos personales, no admiten clientes heredados de Outlook. Para obtener ms informacin sobre el bloqueo de clientes de Outlook, consulte
Configurar el bloqueo de clientes de Outlook para la administracin de registros de mensajera.
Separacin de direcciones SMTP y nombres de usuario De forma predeterminada, Exchange genera alias y direcciones de correo electrnico a partir
del nombre de usuario del buzn de correo. Muchas organizaciones crean una directiva adicional de direcciones de correo electrnico para separar las
direcciones de correo electrnico de los usuarios de los nombres de usuarios con el fin de incrementar la seguridad. Por ejemplo, si el nombre de usuario
de Ben Smith es bsmith y el dominio contoso.com, la direccin de correo electrnico principal generada por la directiva predeterminada de direcciones
de correo electrnico es bsmith@contoso.com. Puede crear otra directiva de direcciones de correo electrnico para generar direcciones que no usen el
alias ni el nombre de usuario del usuario. Por ejemplo, si se crea una directiva de direcciones de correo electrnico que use la plantilla %g.%s@domain,
se generan direcciones de correo electrnico con el formato Nombre.Apellidos@dominio. En el caso de Ben Smith, la directiva generar la direccin
Ben.Smith@contoso.com. Asimismo, puede separar las direcciones de correo electrnico de los nombres de usuario especificando un alias diferente del
nombre de usuario que se usa al crear o habilitar un buzn de correo.
Nota:
Si una direccin SMTP principal no coincide con el UPN en la cuenta, el usuario no puede usar su direccin de correo electrnico para iniciar sesin en
MicrosoftOfficeOutlook Web App; para ello, debe proporcionar un nombre de usuario con el formato DOMINIO\nombre_usuario. En el caso de
MicrosoftOutlook, el usuario debe proporcionar el mismo formato DOMINIO\nombre_usuario si se le solicitan credenciales cuando Outlook se
conecta al servicio Deteccin automtica.
Microsoft Update
Microsoft Update es un servicio que ofrece las mismas descargas que MicrosoftWindows Update, adems de las ltimas actualizaciones para otros programas
de Microsoft. Ayuda a mantener el servidor ms seguro y con un rendimiento ptimo.
Una funcin clave de Microsoft Update es Windows Automatic Update. Esta funcin instala automticamente actualizaciones de prioridad alta fundamentales
para la seguridad y fiabilidad del equipo. Sin estas actualizaciones, el equipo es ms vulnerable a ataques externos y de software malintencionado (malware).
El modo ms confiable de recibir Microsoft Update es de forma automtica en el equipo utilizando Actualizaciones automticas de Windows. Puede activar
Actualizaciones automticas si se suscribe a Microsoft Update.
Windows analizar el software Microsoft instalado en su equipo en busca de actualizaciones actuales y antiguas de alta prioridad necesarias; seguidamente, las
descargar e instalar de manera automtica. A continuacin, cuando se conecte a Internet, Windows repite este proceso para buscar nuevas actualizaciones de
alta prioridad.
Para habilitar Microsoft Update, visite Microsoft Update (en ingls).
El modo predeterminado de Microsoft Update exige que cada servidor de Exchange est conectado a Internet para recibir las actualizaciones automticas. Si
ejecuta servidores sin conexin a Internet, puede instalar Windows Server Update Services (WSUS) para administrar la distribucin de actualizaciones en equipos
de su organizacin. As podr configurar Microsoft Update en los equipos Microsoft Exchange internos para que se ponga en contacto con el servidor WSUS
interno en busca de actualizaciones. Para obtener ms informacin, consulte Microsoft Windows Server Update Services 3.0 (en ingls).
WSUS no es la nica solucin de administracin de Microsoft Update disponible. Para obtener ms informacin sobre herramientas, comunicaciones, procesos y
versiones de seguridad de Microsoft, vea Gua de actualizacin de seguridad de Microsoft (posiblemente en ingls).
3 de 27
25-02-2015 11:41
4 de 27
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
La herramienta de seguridad URLScan no se necesita en IIS 7. En versiones anteriores de Microsoft Exchange, era habitual instalar herramientas de IIS
como URLScan para proteger una instalacin de IIS. Exchange 2010 requiere Windows Server 2008, que incluye IIS 7. Muchas de las caractersticas de
seguridad que originalmente estaban en UrlScan estn disponibles en el Filtrado de solicitudes de IIS 7.
Ya no hace falta instalar Exchange Best Practices Analyzer. En versiones anteriores de Microsoft Exchange era habitual instalar Exchange Best Practices
Analyzer antes de la instalacin y despus ejecutarlo peridicamente. El programa de instalacin de Exchange 2010 incluye los componentes de
Exchange Best Practices Analyzer y los ejecuta durante la instalacin. Antes de la instalacin no hace falta ejecutar Exchange Best Practices Analyzer.
Ya no necesita usar el asistente para configuracin de seguridad (SCW) ni las plantillas de Exchange para SCW. El programa de instalacin de Exchange
2010 instala solamente los servicios necesarios en un determinado rol del servidor de Exchange; asimismo, crea reglas de Firewall de Windows Firewall
con Seguridad avanzada para abrir nicamente los puertos necesarios en los servicios y procesos de ese rol del servidor. Ya no se debe ejecutar el
asistente para configuracin de seguridad (SCW) para configurar estos parmetros. A diferencia de Exchange Server 2007, Exchange 2010 no se incluye
con plantillas de SCW.
A partir de Exchange Server 2007, Microsoft Exchange, la arquitectura en que se basa es de 64 bits.
Exchange 2010 incluye agente de transporte.
Estos dos cambios implican que los proveedores de antivirus deben proporcionar un software especfico para Exchange 2010. Es poco probable que el software
antivirus escrito para versiones anteriores de Exchange funcione correctamente con Exchange 2010.
Para usar un mtodo de defensa en profundidad, se recomienda la implementacin de un software antivirus diseado para sistemas de mensajera ya sea en la
puerta de enlace SMTP o en los servidores de Exchange que hospedan buzones de correo, adems de un software antivirus en el escritorio del usuario.
Suya es la decisin de qu tipos de software antivirus usar y dnde implementar el software buscando el equilibrio adecuado entre el costo que est dispuesto a
aceptar y el riesgo que est dispuesto a asumir. Por ejemplo, algunas organizaciones ejecutan un software antivirus para mensajera en la puerta de enlace
SMTP, anlisis antivirus en el nivel de archivos del servidor de Exchange y un software antivirus del cliente en los equipos de escritorio del usuario. Este mtodo
proporciona proteccin de mensajera en el cliente. Otras organizaciones pueden tolerar costos superiores y mejoran la seguridad ejecutando software antivirus
para mensajera en la puerta de enlace SMTP, anlisis antivirus en el nivel de archivos del servidor de Exchange y software antivirus del cliente en el escritorio de
los usuarios, adems de software antivirus compatible con Exchange Virus Scanning Application Programming Interface (VSAPI) 2.5 en el servidor de buzones de
Exchange.
25-02-2015 11:41
5 de 27
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
manera muy similar a los receptores de eventos en versiones previas de Microsoft Exchange. Para obtener ms informacin, consulte Descripcin de los
agentes de transporte.
Nota:
Los mensajes que no se enrutan mediante transporte, como los elementos de las carpetas pblicas, Elementos enviados y elementos de calendario, que
solo se pueden analizar en un servidor de buzones de correo, no estn protegidos por la deteccin de virus solo de transporte.
Los programadores de terceras partes pueden escribir agentes de transporte personalizados para aprovechar las ventajas del motor de anlisis MIME
subyacente para una mejor deteccin antivirus del nivel de transporte. Para obtener una lista de los asociados de antispam y antivirus de Exchange, vea los
fabricantes de software independientes (posiblemente en ingls).
Adems, Forefront Protection para Exchange Server es un paquete de software antivirus estrechamente integrado con Exchange 2010 y que ofrece proteccin
antivirus adicional para su entorno de Exchange. Para obtener ms informacin, consulte Microsoft Forefront Protection 2010 para Exchange Server (en
ingls).
El lugar ms importante para ejecutar software antivirus de mensajera est en la primera lnea de defensa de la organizacin. Es la puerta de enlace SMTP a
travs de la cual los mensajes externos tienen acceso al entorno de mensajera. En Exchange 2010, la primera lnea de defensa se encuentra es el servidor
Transporte perimetral.
Si usa una puerta de enlace o un servidor SMTP que no es de Exchange para recibir correo electrnico antes que Exchange, debe implementar suficiente
funcionalidad antivirus y contra correo no deseado en los hosts SMTP que no sean Exchange.
En Exchange 2010, todos los mensajes se enrutan a travs de un servidor Transporte de concentradores. Esto incluye mensajes enviados o recibidos desde
fuera de la organizacin de Exchange, as como mensajes enviados dentro de la organizacin de Exchange. Mensajes enviados a un buzn de correo ubicado
en el mismo servidor de buzones que el remitente. Para protegerse mejor contra ataques de virus desde dentro de la organizacin y disponer de una
segunda lnea de defensa, recomendamos tambin ejecutar software antivirus basado en transporte en el servidor Transporte de concentradores.
Las soluciones antivirus que utilizan VSAPI de Exchange se ejecutan directamente en el proceso de almacenamiento de informacin de Exchange. Las
soluciones VSAPI son probablemente las nicas soluciones capaces de proteger contra vectores de ataque que introduzcan contenido infectado en el
almacn de informacin de Exchange a la vez que omiten el anlisis estndar de cliente y transporte. Por ejemplo, VSAPI es la nica solucin que analiza la
informacin enviada a la base de datos por objetos para colaboracin de datos (CDO), WebDAV y los servicios Web Exchange. Adems, cuando se produce
un ataque de virus, una solucin VSAPI suele ofrecer la manera ms rpida de quitar y eliminar los virus de una base de datos de correo infectada.
Debe excluir de la deteccin antivirus del sistema los directorios del servidor de Exchange en los que se almacenan las bases de datos de carpetas
pblicas y buzones de correo de Exchange. Para obtener ms informacin, consulte Anlisis de antivirus de archivos en Exchange 2010.
Los detectores antivirus del sistema de archivos solo protegen archivos. Para proteger mensajes de correo electrnico, es conveniente implementar
productos de seguridad de mensajera o antivirus que estn relacionados con Exchange, por ejemplo MicrosoftForefront, u otros productos de
asociados o de terceros. Para obtener ms informacin sobre la proteccin antivirus y contra correo no deseado, consulte Descripcin de la
funcionalidad contra correo no deseado y antivirus. Para obtener ms informacin, consulte Forefront Protection 2010 para Exchange Server:
informacin general (posiblemente en ingls).
Para disponer de una proteccin eficaz, debe mantener al da las firmas de correo no deseado y los antivirus.
Los informes de los antivirus y el software o los servicios contra correo no deseado deben examinarse peridicamente para asegurarse de que la
proteccin est habilitada y funcione como est previsto, detectar incidencias con rapidez y tomar las medidas oportunas.
25-02-2015 11:41
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
Hosted Filtering, que ayuda a las organizaciones a protegerse a s mismas contra el software malintencionado que circula por el correo electrnico
Hosted Archive, que ayuda a las organizaciones a satisfacer los requisitos legales de conservacin de datos
Hosted Encryption, que ayuda a las organizaciones a cifrar datos por cuestiones de confidencialidad
Hosted Continuity, que ayuda a las organizaciones a conservar el acceso al correo electrnico durante y despus de interrupciones
Estos servicios se integran con cualquier servidor de Exchange que se administre de manera interna. Para obtener ms informacin, consulte Forefront Online
Protection para Exchange (posiblemente en ingls).
Nota:
El agente de filtro de datos adjuntos no puede usarse para filtrar datos adjuntos segn el contenido. Las reglas de transporte pueden usarse para
inspeccionar el contenido del mensaje y los datos adjuntos, as como para ejecutar acciones como eliminar o rechazar el mensaje, o aplicar proteccin de
IRM en el mensaje y los datos adjuntos. Para obtener ms informacin, consulte Descripcin de las reglas de transporte.
PKZip (.zip)
GNU Zip (.gzip)
Archivos comprimidos autoextrables (.zip)
Archivos comprimidos (.zip)
Archivos Java (.jar)
TNEF (winmail.dat)
Almacenamiento estructurado (.doc, .xls, .ppt, etc.)
MIME (.eml)
SMIME (.eml)
UUEncode (.uue)
Archivo de cinta Unix (.tar)
6 de 27
25-02-2015 11:41
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
Nota:
El agente de filtro de datos adjuntos que se incluye con Exchange 2010 detecta los tipos de archivos, incluso si se les ha cambiado el nombre. El filtrado de
datos adjuntos comprueba adems que los archivos Zip y LZH comprimidos no contengan datos adjuntos bloqueados mediante una comparacin de las
extensiones de nombre de archivo con los archivos del archivo Zip o LZH comprimido. El filtrado de archivos de Forefront Protection para Exchange Server
tiene adems la capacidad de determinar si se ha cambiado el nombre de los datos adjuntos bloqueados en un archivo contenedor.
Adems, puede filtrar los archivos por tamao. Asimismo, puede configurar Forefront Protection para Exchange Server para que ponga en cuarentena los
archivos filtrados o para que enve notificaciones de correo electrnico basadas en las coincidencias del filtro de archivos de Exchange.
Para obtener ms informacin, visite Proteger su organizacin Microsoft Exchange con Microsoft Forefront Security para Exchange Server (en ingls).
Filtrado de todo el trfico IP versin 4 (IPv4) e IP versin 6 (IPv6) que entra o sale del equipo. De forma predeterminada, todo el trfico entrante est
bloqueado a menos que sea la respuesta a una solicitud saliente anterior desde el equipo (trfico solicitado) o se permite de manera especfica por parte de
una regla que se ha creado para autorizar dicho trfico. Todo el trfico saliente se permite de forma predeterminada, menos en el caso de reglas de
reforzamiento de servicio que impidan a los servicios estndar comunicarse de manera imprevista. Puede optar por permitir el trfico basado en nmeros
de puerto, direcciones IPv4 o IPv6, el nombre y la ruta de acceso de una aplicacin, el nombre de un servicio que se ejecuta en el equipo u otros criterios.
Proteccin del trfico de red que entra o sale de ordenador mediante el protocolo IPsec para comprobar la integridad del trfico de red, autenticar la
identidad de los usuarios o equipos remitentes o destinatario, as como cifrar el trfico para proporcionar confidencialidad.
Exchange 2010 se ha diseado para ejecutarse con Firewall de Windows Server con Seguridad avanzada habilitada. El programa de instalacin de Exchange crea las
correspondientes reglas de firewall para que los servicios y procesos de Exchange puedan comunicarse. Crea solamente las reglas que se necesitan para los
servicios y procesos instalados en un determinado rol de servidor. Para obtener ms informacin sobre las reglas de uso de puertos y firewall creadas para cada rol
de servidor de Exchange 2010, consulte Referencia del puerto de red de Exchange.
En Windows Server 2008 y Windows Server 2008 R2, Firewall de Windows con Seguridad avanzada permite especificar el proceso o servicio para el que se abre un
puerto. Esta opcin es ms segura porque restringe el uso del puerto al proceso o servicio especificado en la regla. El programa de instalacin de Exchange 2010
crea reglas de firewall con el nombre del proceso especificado. En algunos casos, y por motivos de compatibilidad, se crea una regla adicional que no est
restringida al proceso. Puede deshabilitar o quitar las reglas que no estn restringidas a los procesos y mantener las reglas correspondientes creadas tambin por
el programa de instalacin de Exchange 2010 restringidas a procesos, en el caso de que la implementacin lo admita. Las reglas que no estn restringidas a
procesos se distinguen con la palabra (GFW) en el nombre de regla. Se recomienda realizar pruebas suficientes en las reglas del entorno antes de deshabilitar las
reglas que no se restrinjan a un proceso.
En la tabla siguiente se muestran las reglas de Firewall de Windows creadas con el programa de instalacin de Exchange, con los puertos que se abren en cada rol
de servidor.
7 de 27
Nombre de regla
Roles de servidor
Puerto
RPC-EPMap
RPC dinmica
Acceso de clientes
Acceso de clientes
25-02-2015 11:41
8 de 27
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
Acceso de clientes
MSExchangeMailboxReplication (GFW)
(TCP-In)
Acceso de clientes
808 (TCP)
Buzn de correo
Transporte de concentradores
Mensajera unificada
Cualquiera
Mensajera unificada
Mensajera unificada
Importante:
Al modificar un puerto predeterminado usado por un servicio de Exchange 2010, tambin debe modificarse el correspondiente Firewall de Windows con la regla
de firewall de Seguridad avanzada para permitir la comunicacin sobre el puerto no predeterminado que se decida usar. Exchange 2010 no cambia las reglas de
firewall al cambiar los puertos predeterminados que se usan para un servicio.
Descripcin
MaxConcurrentMailboxDeliveries
MaxConcurrentMailboxSubmissions
MaxConnectionRatePerMinute
MaxOutboundConnections
25-02-2015 11:41
9 de 27
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
PickupDirectoryMaxMessagesPerMinute
Descripcin
ConnectionInactivityTimeOut
El parmetro ConnectionInactivityTimeOut especifica el tiempo mximo que puede permanecer inactiva una conexin
SMTP con un servidor de mensajera de destino antes de que se cierre la conexin.
Valor predeterminado 10 minutos.
SmtpMaxMessagesPerConnection
El parmetro SmtpMaxMessagesPerConnection especifica el nmero mximo de mensajes que este servidor de conector
de envo puede enviar por conexin.
Valor predeterminado 20 mensajes
Descripcin
ConnectionInactivityTimeOut
El parmetro ConnectionInactivityTimeOut especifica el tiempo mximo que puede permanecer inactiva una
conexin SMTP con un servidor de mensajera de origen antes de que se cierre la conexin.
Valor predeterminado en servidores Transporte de concentradores 5 minutos.
Valor predeterminado en servidores Transporte perimetral 1 minuto.
ConnectionTimeOut
El parmetro ConnectionTimeOut especifica el tiempo mximo que puede permanecer abierta una conexin
SMTP con un servidor de mensajera de origen, incluso aunque el servidor de mensajera de origen est
transmitiendo datos.
Valor predeterminado en servidores Transporte de concentradores 10 minutos.
Valor predeterminado en servidores Transporte perimetral 5 minutos.
El valor especificado por el parmetro ConnectionTimeout debe ser mayor que el valor especificado por el
25-02-2015 11:41
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
parmetro ConnectionInactivityTimeout.
El parmetro MaxInboundConnection especifica el nmero mximo de conexiones SMTP entrantes que
permite este conector de recepcin al mismo tiempo.
MaxInboundConnection
MaxInboundConnectionPerSource
MaxProtocolErrors
Descripcin
MaxCommandSize
El parmetro MaxCommandSize especifica el tamao mximo de un nico comando. Los valores posibles van de 40 a
1024 bytes.
Valor predeterminado 40 bytes.
MaxConnectonFromSingleIP
El parmetro MaxConnectionFromSingleIP especifica el nmero de conexiones de una sola direccin IP que acepta el
servidor especificado. Los valores admitidos van de 1 a 25 000.
Valor predeterminado 2000 conexiones.
MaxConnections
El parmetro MaxConnections especifica el nmero total de conexiones que acepta el servidor especificado. Se
incluyen en este nmero tanto las conexiones autenticadas como las que no lo estn. Los valores admitidos van de 1
a 25 000.
Valor predeterminado 2000 conexiones
MaxConnectionsPerUser
PreAuthenticationConnectionTimeOut
El parmetro PreAuthenticatedConnectionTimeout especifica el tiempo que debe transcurrir antes de cerrar una
conexin inactiva que no est autenticada. Los valores admitidos van de 10 a 3600 segundos.
Valor predeterminado 60 segundos.
10 de 27
Parmetro
Descripcin
AuthenticationConnectionTimeOut
El parmetro AuthenticatedConnectionTimeout especifica el perodo de tiempo que debe transcurrir antes de cerrar
25-02-2015 11:41
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
una conexin autenticada inactiva. Los valores admitidos van de 30 a 86 400 segundos.
Valor predeterminado 1800 segundos.
MaxCommandSize
MaxConnectionFromSingleIP
El parmetro MaxConnectionFromSingleIP especifica el nmero de conexiones de una sola direccin IP que acepta el
servidor especificado. Los valores admitidos van de 1 a 25 000.
Valor predeterminado 2000 conexiones.
MaxConnections
El parmetro MaxConnections especifica el nmero total de conexiones que acepta el servidor especificado. Se
incluyen en este nmero tanto las conexiones autenticadas como las que no lo estn. Los valores admitidos van de 1
a 25 000.
Valor predeterminado 2000 conexiones.
MaxConnectionsPerUser
El parmetro MaxConnectionsPerUser especifica el nmero mximo de conexiones de un usuario particular que acepta
el servidor de acceso de cliente. Los valores admitidos van de 1 a 25 000.
Valor predeterminado 16 conexiones
PreAuthenticatedConnectionTimeOut
El parmetro PreAuthenticatedConnectionTimeout especifica el tiempo que debe transcurrir antes de cerrar una
conexin inactiva que no est autenticada. Los valores admitidos van de 10 a 3600 segundos.
Valor predeterminado 60 segundos.
Acceso annimo
Acceso entre sitios (CPA)
Exchange ActiveSync (EAS)
Servicios Web Exchange (EWS)
IMAP
POP
Outlook Web App (OWA)
Acceso de cliente RPC (RCA)
Las configuraciones de limitacin siguientes estn disponibles en directivas de limitacin de clientes para cada uno de estos grupos de usuarios (acceso
annimo y CPA) y mtodos de acceso (EAS, EWS, IMAP, OWA, POP y RCA).
Acceso annimo
CPA
EAS
EWS
IMAP
OWA
POP
RCA
Simultaneidad mxima
Porcentaje de tiempo en AD
NA
11 de 27
25-02-2015 11:41
12 de 27
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
Descripcin
CPUStartPercent
El parmetro CPUStartPercent especifica el porcentaje de CPU por proceso en el que se comienza a interrumpir a los
usuarios regidos por esta directiva. Los valores vlidos van de 0 a 100. Utilice $null para desactivar la limitacin basada
en el porcentaje de la CPU para esta directiva.
EASMaxDeviceDeletesPerMonth
EASMaxDevices
El parmetro EASMaxDevices especifica un lmite al nmero de asociaciones de Exchange ActiveSync que puede eliminar
un usuario de forma simultnea. De forma predeterminada, cada usuario puede crear 10 asociaciones de Exchange
ActiveSync con su cuenta de Exchange. Despus de que un usuario supere el lmite, debe eliminar una de sus
asociaciones existentes antes de poder crear otra asociacin nueva. Cuando se sobrepase el lmite, el usuario recibe un
mensaje de correo electrnico de error que describe la limitacin. Adems, se registra un evento en el registro de
aplicacin cuando un usuario supera el lmite.
EWSFastSearchTimeOutInSeconds
EWSFindCountLimit
El parmetro EWSFindCountLimit especifica el tamao mximo del resultado de las llamadas de FindItem o FindFolder
que puedan existir en la memoria en el servidor de acceso de cliente al mismo tiempo para este usuario en el proceso
actual. Si se intenta encontrar ms elementos o carpetas de los que permite el lmite de la directiva, se genera un error.
Sin embargo, el lmite no se aplica de forma estricta si se hace la llamada en el contexto de una vista de pgina con
ndice. Concretamente, en esta situacin, los resultados de bsqueda quedan truncados para incluir el nmero de
elementos y carpetas que se ajustan al lmite de la directiva. Despus puede continuar hojeando los resultados
establecidos mediante las llamadas de FindItem o FindFolder.
EWSMaxSubscriptions
ExchangeMaxCmdlets
El parmetro ExchangeMaxCmdlets especifica el nmero de cmdlets que se pueden ejecutar en un perodo de tiempo
especfico antes de que su ejecucin se ralentice. El valor especificado por este parmetro debe ser inferior al valor
especificado por el PowerShellMaxCmdlets parameter.
El perodo de tiempo que se usa para este lmite se especifica mediante el parmetro PowerShellMaxCmdletsTimePeriod.
Se recomienda establecer valores para ambos parmetros al mismo tiempo.
ForwardeeLimit
El parmetro ForwardeeLimit especifica los lmites para el nmero de destinatarios que se pueden configurar en Reglas
de Bandeja de entrada al usar la accin de reenviar o redirigir. Este parmetro no limita el nmero de mensajes que se
pueden reenviar o redirigir a los destinatarios que estn configurados.
MessageRateLimit
El parmetro MessageRateLimit especifica el nmero de mensajes por minuto que se pueden enviar al transporte.
Respecto a los mensajes enviados a travs del rol de servidor Buzn de correo (Outlook Web App, Exchange ActiveSync
o servicios Web Exchange), los mensajes se aplazan hasta que la cuota del usuario est disponible. Ms concretamente,
los mensajes aparecen en la carpeta Buzn de salida o Borrador durante largos perodos de tiempo cuando los usuarios
envan mensajes a un ritmo superior al del parmetro MessageRateLimit.
En el caso de los clientes POP o IMAP que envan mensajes directamente al transporte mediante SMTP, los clientes
reciben un error transitorio si efectan envos a una velocidad que supera el parmetro MessageRateLimit. Exchange
intenta conectarse y enviar los mensajes posteriormente.
PowerShellMaxCmdletQueueDepth
PowerShellMaxCmdlets
El parmetro PowerShellMaxCmdlets especifica el nmero de cmdlets que se pueden ejecutar en un perodo de tiempo
especfico antes de que su ejecucin se detenga. El valor especificado por este parmetro debe ser superior al valor
especificado por el parmetro ExchangeMaxCmdlets. El perodo de tiempo que se usa para este lmite se especifica
mediante el parmetro PowerShellMaxCmdletsTimePeriod. Ambos valores se deben establecer al mismo tiempo.
25-02-2015 11:41
13 de 27
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
PowerShellMaxCmdletsTimePeriod
PowerShellMaxConcurrency
RecipientRateLimit
El parmetro RecipientRateLimit especifica los lmites en el nmero de destinatarios que un usuario puede tratar en un
perodo de 24 horas.
Para obtener ms informacin sobre directivas de limitacin de Exchange 2010, consulte Descripcin de las directivas de limitacin de peticiones de clientes.
Importante:
Si se usan los grupos restringidos para restringir la pertenencia a grupo para grupos de roles de RBAC, los cambios que se efecten en un grupo de roles
mediante las herramientas de Exchange 2010 deben aplicarse tambin a la directiva de grupo restringido en Active Directory. Para obtener ms informacin,
consulte Configuracin de la seguridad de las directivas de grupo (en ingls).
Active Directory
Exchange Server almacena datos de configuracin en la particin de configuracin y datos de destinatarios en la particin de dominio de Active Directory Domain
Services. Para obtener ms informacin sobre los permisos que se necesitan para configurar una organizacin de Exchange 2010, consulte Referencia de permisos
de implementacin de Exchange 2010. La comunicacin con los controladores de dominios de Active Directory se asegura mediante la autenticacin y el cifrado de
Kerberos.
Exchange 2010 proporciona un nuevo nivel de autorizacin de Exchange, denominado control de acceso basado en roles (RBAC), en lugar de solicitar entradas de
control de acceso (ACE) para cada cuenta que precise los correspondientes permisos. En versiones anteriores de Microsoft Exchange, el programa de instalacin de
Exchange se basaba en las ACE en Active Directory para que los administradores de Exchange pudieran administrar objetos en la particin de dominio. Los
administradores de Exchange tienen la capacidad de realizar determinadas operaciones en un determinado mbito mediante RBAC. El servidor de Exchange
ejecuta las acciones autorizadas en nombre del administrador o los usuarios mediante los permisos concedidos en Active Directory mediante los grupos de
seguridad Permisos de ExchangeWindows y Subsistemas de confianza de Exchange. Para obtener ms informacin acerca de RBAC, consulte Descripcin del
control de acceso basado en funciones.
En Exchange 2010, /PrepapareDomain no solicita las ACE para el grupo de seguridad universal Permisos de ExchangeWindows del contenedor AdminSDHolder en
Active Directory. Si /PrepareDomain detecta que hay ACE concedidas al grupo de seguridad universal Permisos de ExchangeWindows, las ACE se quitan. Esto tiene
las repercusiones siguientes:
Los miembros del grupo de seguridad universal Permisos de ExchangeWindows no pueden modificar la pertenencia al grupo de los grupos de seguridad
protegidos como Administradores de empresa y Administradores de dominio. Esto tiene las repercusiones siguientes:
Los miembros del grupo de seguridad universal Permisos de ExchangeWindows no pueden forzar el restablecimiento de contrasea de una cuenta que est
protegida por AdminSDHolder.
Los miembros del grupo de seguridad universal Permisos de ExchangeWindows no pueden alterar los permisos de ningn grupo ni cuenta que estn
protegidos por AdminSDHolder.
Se recomienda no habilitar para buzn las cuentas protegidas por AdminSDHolder y mantener cuentas independientes para los administradores de Active
25-02-2015 11:41
14 de 27
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
Directory: una cuenta para administracin de Active Directory, y otra para el uso cotidiano normal, incluido el correo electrnico. Para obtener ms informacin,
consulte los siguientes temas:
Descripcin
Este grupo contiene todos los grupos de buzones de correo de la organizacin hospedados de Exchange. Se usa para aplicar
objetos de configuracin de contrasea a todos los buzones de correo hospedados. Este grupo no debe eliminarse.
Servidores de Exchange
Esto incluye todos los servidores de Exchange. Este grupo no debe eliminarse. Se recomienda encarecidamente abstenerse de
realizar cambios de pertenencia a grupo en este grupo.
Subsistema de confianza
de Exchange
Este grupo contiene servidores de Exchange que ejecutan cmdlets de Exchange en nombre de los usuarios mediante un servicio
de administracin. Sus miembros tendrn permiso para leer y modificar toda la configuracin de Exchange, adems de los grupos
y las cuentas de usuario. Este grupo no debe eliminarse.
Exchange Permisos de
Windows
Este grupo contiene servidores de Exchange que ejecutan cmdlets de Exchange en nombre de los usuarios mediante un servicio
de administracin. Sus miembros tendrn permiso para leer y modificar todos los grupos y las cuentas de Windows. Este grupo
no debe eliminarse. Se recomienda encarecidamente abstenerse de realizar cambios de pertenencia a grupo en este grupo;
asimismo, se recomienda supervisar la pertenencia a grupos.
ExchangeLegacyInterop
Este grupo sirve para interoperar con servidores de Exchange 2003 en el mismo bosque. Este grupo no debe eliminarse.
Adems de estos grupos de seguridad, el programa de instalacin crea los grupos de seguridad siguientes, que corresponden a grupos de roles de RBAC con el
mismo nombre.
Configuracin delegada
Configuracin delegada
Administracin de deteccin
Administracin de la deteccin
Help Desk
Servicio de asistencia
Administracin de higiene
Administracin de higiene
Administracin de la organizacin
Administracin de organizaciones
Administracin de destinatarios
Administracin de destinatarios
Administracin de registros
Administracin de registros
Administracin de servidor
Administracin de servidor
Administracin de MU
Asimismo, al crear un grupo de roles, Exchange 2010 crea un grupo de seguridad con el mismo nombre que el grupo de roles. Para obtener ms informacin,
consulte los siguientes temas:
Los usuarios se agregan o quitan de estos grupos de seguridad cuando se agregan o quitan usuarios de grupos de roles mediante los cmdlets
25-02-2015 11:41
15 de 27
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
Add-RoleGroupMember o Remove-RoleGroupMember, o bien con el Editor de usuarios de control de acceso basado en roles (RBAC) en el Panel de control
de Exchange.
Sistema de archivos
El programa de instalacin de Exchange 2010 crea directorios con los permisos mnimos para que Exchange 2010 pueda funcionar. No se recomienda reforzar los
permisos en las listas de control de acceso de los directorios creados por el programa de instalacin.
Servicios
El programa de instalacin de Exchange 2010 no deshabilita de forma predeterminada ningn servicio de Windows. En la tabla siguiente aparecen los servicios que
estn habilitados de forma predeterminada en cada rol de servidor. De forma predeterminada, solo estn habilitados los servicios necesarios para que funcione un
determinado rol de servidor de Exchange 2010.
Nombre del
servicio
Contexto
de
seguridad
Descripcin y dependencias
Tipo de inicio
predeterminado
Roles de
servidor
Necesario
(R) u
opcional
(O)
Microsoft
Exchange
Topologa de
Active
Directory
MSExchangeADTopology
Sistema
local
Proporciona informacin de
topologa de Active Directory a los
servicios de Exchange. Si el
servicio se detiene, la mayor parte
de los servicios de Exchange no
podr iniciarse. Este servicio no
tiene dependencias.
Automtico
Buzn de correo,
Transporte de
concentradores,
Acceso de
clientes,
Mensajera
unificada
ADAM de
Microsoft
Exchange
ADAM_MSExchange
Servicio de
red
Automtico
Transporte
perimetral
Libreta de
direcciones de
Microsoft
Exchange
MSExchangeAB
Sistema
local
Automtico
Acceso de
clientes
Actualizacin
contra correo
electrnico no
deseado de
Microsoft
Exchange
MSExchangeAntispamUpdate
Sistema
local
Proporciona MicrosoftForefront
Protection 2010 para el servicio de
actualizacin de correo
electrnico no deseado de
Exchange Server. En servidores
Transporte de concentradores,
este servicio depende del servicio
de topologa de Microsoft
Exchange Active Directory. En los
servidores Transporte perimetral,
este servicio depende del servicio
ADAM de Microsoft Exchange.
Automtico
Transporte de
concentradores,
Transporte
perimetral
Servicio de
credenciales de
Microsoft
Exchange
MSExchangeEdgeCredential
Sistema
local
Automtico
Transporte
perimetral
EdgeSync de
Microsoft
Exchange
MSExchangeEdgeSync
Sistema
local
Automtico
Transporte de
concentradores
25-02-2015 11:41
16 de 27
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
MSExchangeFDS
Sistema
local
Automtico
Acceso de cliente,
Mensajera
unificada
Autenticacin
basada en
formularios de
Microsoft
Exchange
MSExchangeFBA
Sistema
local
Automtico
Acceso de
clientes
IMAP4 de
Microsoft
Exchange
MSExchangeIMAP4
Servicio de
red
Manual
Acceso de
clientes
Almacn de
informacin de
Microsoft
Exchange
MSExchangeIS
Sistema
local
Administra el Almacn de
informacin de Exchange. Incluye
bases de datos de buzones de
correo y de carpetas pblicas. Si
se detiene este servicio, no
estarn disponibles las bases de
datos de buzones de correo y de
carpetas pblicas en este equipo.
Si se deshabilita este servicio, no
se podrn iniciar los servicios que
dependan explcitamente de l.
Este servicio depende de los
servicios RPC, Servidor, Registro
de eventos de Windows y Estacin
de trabajo.
Automtico
Buzn de correo
Servicio de
entrega de
correo de
Microsoft
Exchange
MSExchangeMailSubmission
Sistema
local
Automtico
Buzn de correo
Asistentes de
buzn de
Microsoft
Exchange
MSExchangeMailboxAssistants
Sistema
local
Realiza el procesamiento en
segundo plano de los buzones en
el almacn de Exchange. Este
servicio depende del servicio de
topologa de Microsoft
Exchange Active Directory.
Automtico
Buzn de correo
Servicio de
replicacin de
buzones de
Microsoft
Exchange
MSExchangeMailboxReplication
Sistema
local
Automtico
Acceso de
clientes
Supervisin de
Microsoft
Exchange
MSExchangeMonitoring
Sistema
local
Manual
Todos
25-02-2015 11:41
17 de 27
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
Microsoft
Exchange POP3
MSExchangePOP3
Servicio de
red
Manual
Acceso de
clientes
Microsoft
Exchange
Protected
Service Host
MSExchangeProtectedServiceHost
Sistema
local
Automtico
Transporte de
concentradores,
Acceso de
clientes
Servicio de
replicacin de
Microsoft
Exchange
MSExchangeRepl
Sistema
local
Proporciona funciones de
replicacin para bases de datos de
buzones de correo que estn en
servidores Buzones de correo de
un grupo de disponibilidad de
base de datos (DAG). Este servicio
depende del servicio de topologa
de Microsoft Exchange Active
Directory.
Automtico
Buzn de correo
Acceso de
cliente RPC de
Microsoft
Exchange
MSExchangeRPC
Servicio de
red
Automtico
Buzn de correo,
Acceso de
clientes
O (Buzn
de correo),
R (Acceso
de
clientes)
Indizador de
bsqueda de
Microsoft
Exchange
MSExchangeSearch
Sistema
local
Automtico
Buzn de correo
Extensin de
Microsoft
Exchange
Server para
Copias de
seguridad de
Windows
Server
WSBExchange
Sistema
local
Manual
Buzn de correo
Host de
servicio de
Microsoft
Exchange
MSExchangeServiceHost
Sistema
local
Automtico
Todos
Motor de voz
de Microsoft
Exchange
MSSpeechService
Servicio de
red
Proporciona servicios de
procesamiento de voz para
mensajera unificada. Este servicio
depende del servicio Instrumental
de administracin (WMI) de
Windows.
Automtico
Mensajera
unificada
Operador de
sistema de
Microsoft
Exchange
MSExchangeSA
Sistema
local
Automtico
Buzn de correo
25-02-2015 11:41
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
MSExchangeThrottling
Servicio de
red
Automtico
Buzn de correo
Transporte de
Microsoft
Exchange
MSExchangeTransport
Servicio de
red
Automtico
Transporte de
concentradores,
Transporte
perimetral
Bsqueda de
registro de
transporte
Microsoft
Exchange
MSExchangeTransportLogSearch
Sistema
local
Proporciona la capacidad de
bsqueda remota para los
archivos de registro de transporte
de Microsoft Exchange. En
servidores Transporte de
concentradores, este servicio
depende del servicio de topologa
de Microsoft Exchange Active
Directory. En los servidores
Transporte perimetral, este
servicio depende del servicio
ADAM de Microsoft Exchange.
Automtico
Transporte de
concentradores,
Buzn de correo,
Transporte
perimetral
Mensajera
unificada de
Microsoft
Exchange
MSExchangeUM
Sistema
local
Habilita caractersticas de
mensajera unificada de Microsoft
Exchange. Esto permite que los
mensajes de voz y fax se
almacenen en Exchange y
proporciona a los usuarios acceso
telefnico a correo electrnico,
correo de voz, calendario,
contactos u operadores
automticos. Si se detiene este
servicio, la mensajera unificada
no estar disponible. Este servicio
depende del servicio de topologa
de Microsoft ExchangeActive
Directory y del servicio de motor
de voz de Microsoft Exchange.
Automtico
Mensajera
unificada
Bsqueda de
Microsoft
(Exchange
Server)
msftesql-Exchange
Sistema
local
Manual
Transporte de
concentradores,
Buzn de correo
Certificados
El programa de instalacin de Exchange 2010 crea certificados autofirmados para asegurar las comunicaciones entre distintos protocolos, por ejemplo HTTP, SMTP,
POP3 e IMAP4. Los certificados autofirmados creados por el programa de instalacin tienen una validez de cinco aos. De este modo, no hace falta renovar los
certificados autofirmados durante una parte considerable de una implementacin de Exchange 2010 y la expiracin de los certificados autofirmados no afecta a los
servicios de mensajera.
En el caso de los protocolos y mecanismos de acceso de clientes externos, por ejemplo Outlook Web App, POP3, IMAP4, Outlook Anywhere y Deteccin
automtica, se recomienda lo siguiente:
Usar certificados firmados por una entidad de certificacin comercial de confianza entre los clientes que tienen acceso a esos servicios.
Usar el nuevo Asistente para certificados de Exchange o el cmdlet New-ExchangeCertificate para crear solicitudes de firma para entidades de certificacin
comerciales. Las solicitudes de certificado que se generan con estas herramientas aseguran que se cumplan todos los requisitos de certificado de Exchange.
Tenga en cuenta los requisitos de certificado en cada protocolo o servicio para el que desea permitir el acceso de clientes externos.
En los servidores de acceso de clientes, los certificados se usan para proteger el trfico de HTTP (Outlook Anywhere, Outlook Web App,
18 de 27
25-02-2015 11:41
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
AutoDiscover, Exchange ActiveSync y servicios Web Exchange) mediante Capa de sockets seguros (SLL), y el trfico de POP3 e IMAP4 mediante SSL o
Seguridad de la capa de transporte (TLS). Para obtener ms informacin, consulte Administrar SSL para un servidor de Acceso de cliente.
En el caso de los servidores Transporte, los certificados se usan para proteger el trfico de SMTP mediante TLS. Para obtener ms informacin,
consulte Descripcin de los certificados TLS.
En el caso de los servidores Mensajera unificada, los certificados se usan para proteger el trfico de voz sobre IP (VoIP). Para obtener ms
informacin, consulte Descripcin de la seguridad de la mensajera unificada VoIP.
Por lo que respecta a la federacin, los certificados se usan para cifrar tokens de SAML que se intercambian con Microsoft Federation Gateway y con
organizaciones de asociados federadas. Para obtener ms informacin, consulte Descripcin de la federacin.
Supervise las fechas de vigencia de los certificados y renueve los certificados con las entidades de certificacin en el momento oportuno para prevenir la
interrupcin de los servicios.
Cuando almacene certificados exportados con la clave privada asociada, proteja el archivo exportado mediante los oportunos controles de acceso en la
carpeta o el archivo donde se vaya a guardar. Segn los requisitos que tenga la organizacin, considere la posibilidad de habilitar la auditora del acceso de
archivos en las carpetas donde se almacenan los archivos de certificado con claves privadas.
Federacin
Exchange 2010 incorpora nuevas caractersticas de federacin que permiten la colaboracin segura entre organizaciones federadas de Exchange. Las
organizaciones de Exchange 2010 pueden crear una confianza de federacin con Microsoft Federation Gateway y establecer relaciones de organizacin con otras
organizaciones federadas para compartir calendarios e informacin de disponibilidad. Mediante las directivas de uso compartido, las organizaciones tambin
pueden permitir que los usuarios compartan su informacin sobre disponibilidad, el calendario o los contactos con usuarios de organizaciones externas federadas.
Para obtener ms informacin sobre confianzas de generacin y el uso compartido federado, consulte Descripcin de la federacin y Descripcin de la delegacin
federada.
Despus de establecer una confianza de federacin con MFG, el uso compartido entre dos organizaciones federadas no tiene lugar a menos que se cree una
relacin organizativa. Ahora bien, de forma predeterminada el uso compartido entre los usuarios de la organizacin y los de organizaciones externas federadas se
habilita mediante la directiva predeterminada de uso compartido asignada a los usuarios. Esta directiva permite el uso compartido del calendario con informacin
sobre disponibilidad solamente con usuarios de organizaciones externas federadas. Si no desea que los usuarios compartan su informacin sobre disponibilidad
con usuarios de todos los dominios externos federados, deshabilite la directiva predeterminada de uso compartido o cambie el nombre de dominio especificado
en la directiva por los nicos dominios con los que quiera compartir la informacin. Este cambio debe realizarse antes de crear una confianza de federacin con
MFG. Para obtener ms informacin, consulte Deshabilitar una directiva de uso compartido y Configurar propiedades de la directiva de uso compartido.
Todas las caractersticas de federacin de una organizacin, incluidas la delegacin federada, pueden deshabilitarse quitando la confianza de federacin de la
organizacin con MFG. Para obtener ms informacin, consulte Quitar las confianzas de federacin.
19 de 27
25-02-2015 11:41
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
Los mensajes cifrados con S/MIME son opacos para la organizacin. El software de seguridad para mensajera como los antivirus y la deteccin de correo no
deseado no pueden inspeccionar el contenido de los mensajes, tanto el cuerpo de los mensajes como los datos adjuntos.
Como el contenido de los mensajes y los datos adjuntos estn cifrados, las directivas de mensajera de la organizacin, incluidas las reglas de transporte, no
pueden aplicarse a los mensajes cifrados con S/MIME.
Si se modifican los mensajes firmados con S/MIME para adecuarlos a las directivas de mensajera de la organizacin, por ejemplo para aplicar una
declinacin de responsabilidades o una firma personalizada, el mensaje se invalida.
El contenido de los mensajes cifrados no puede inspeccionarse para detectar infracciones de contenido y la organizacin no puede proteger datos
confidenciales. Esto afecta a cualquier informacin de identificacin personal que salga de la organizacin.
Exchange Search no puede indizar los mensajes cifrados con S/MIME; por lo tanto, no pueden buscarse por deteccin.
Para ajustarse a la normativa local o a los requisitos de deteccin en caso de litigio, es posible que la organizacin deba proporcionar copias de todos los
mensajes cifrados que no estn cifrados.
Exchange 2010 proporciona caractersticas de Information Rights Management con las cuales la organizacin puede aplicar proteccin permanente a contenido
confidencial de los mensajes de modo que solamente determinados destinatarios tengan acceso a mensajes protegidos de este modo. Asimismo, la organizacin
puede implementar controles sobre la manera de usar ese contenido una vez lo hayan recibido los destinatarios. Por ejemplo, se puede impedir la impresin, la
respuesta o el reenvo de mensajes dentro o fuera de la organizacin. Adems, la organizacin puede descifrar contenido protegido por IRM para aplicar software
antivirus y deteccin de correo no deseado y otros agentes de transporte, aplicar directivas de mensajera mediante reglas de transporte, as como habilitar la
deteccin y el archivado de mensajes protegidos por IRM. Las caractersticas de IRM tambin estn disponibles en todos los exploradores web compatibles con
Outlook Web App y en dispositivos Windows Mobile. Para obtener ms informacin acerca de IRM, consulte Descripcin de Information Rights Management.
Almacenamiento
El almacenamiento es un componente fundamental en los servidores Buzn de correo. Debe planear el subsistema de almacenamiento del servidor de
buzones de correo para asegurar un rendimiento correcto y un espacio de almacenamiento adecuado para la implementacin. Para obtener ms informacin
sobre la planeacin del almacenamiento de servidores de buzones de correo, consulte Diseo del almacenamiento del servidor de buzones de correo.
Tras implementar el servidor de buzones de correo, debe supervisar los aspectos siguientes:
Use Microsoft Federation Gateway Systems Center Operations Manager para supervisar la disponibilidad de almacenamiento y el espacio libre en disco. Para
obtener ms informacin, vea Systems Center Operations Manager 2007 (posiblemente en ingls).
Al planear y supervisar el almacenamiento, si tiene previsto usar las caractersticas siguientes, debe tener en cuenta sus requisitos de almacenamiento:
Registro en diario Si usa registro en diario para el archivo de mensajes a largo plazo, segn si se usa el registro en diario estndar (por base de
datos de buzones) o registro en diario premium (reglas de diario), los mensajes que se envan y reciben de todos los destinatarios de una base de
datos de buzones de correo o los destinatarios especificados en una regla de diario se distribuyen en un informe de diario al buzn de registro en
diario o al destinatario indicado. El resultado puede ser una gran cantidad de informes de diario entregados a un buzn de correo de registro en
diario. Al planear el almacenamiento para servidores Buzn de correo, tenga en cuenta los tamaos de buzn de correo de registro en diario. Puede
controlar los tamaos de buzones de correo de registro en diario configurando cotas de buzn de correo suficientes para un buzn de correo de
registro en diario. Para obtener ms informacin sobre registro en diario y cuotas de buzones de correo, consulte los temas siguientes:
Descripcin del registro en diario
Configurar cuotas de almacenamiento para un buzn
Retencin por juicio Si coloca un buzn de correo en retencin por juicio, los elementos eliminados por el usuario mediante Recuperar elementos
20 de 27
25-02-2015 11:41
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
eliminados en Outlook y Outlook Web App, y mensajes eliminados por procesos automatizados como MRM se conservan hasta que se quita la
retencin por juicio. En Exchange 2010, la cuota de advertencia de elementos recuperables se establece en 20 GB y 30 GB. Para obtener informacin
detallada, consulte los siguientes temas:
Descripcin de la retencin legal
Descripcin de los elementos recuperables
Alta disponibilidad
La alta disponibilidad en servidores Buzn de correo es fundamental para asegurar la disponibilidad en los servicios de mensajera. Exchange 2010 incluye
grupos de disponibilidad de base de datos para servidores Buzn de correos de alta disponibilidad. Los grupos de disponibilidad de base de datos pueden
proporcionar disponibilidad en caso de error en el subsistema de almacenamiento, el servidor, la conexin de red o una interrupcin de todo un centro de
datos en la implementacin de Exchange. Para obtener ms informacin sobre cmo planear y configurar una implementacin de Exchange 2010 de alta
disponibilidad, consulte Alta disponibilidad y resistencia de sitios.
De forma predeterminada, en Exchange 2010, el trfico de replicacin (trasvase de registros) entre miembros de DAG ubicados en diferentes sitios de Active
Directory est cifrado. Puede cifrar trfico de replicacin entre servidores en el mismo sitio de Active Directory definiendo como deshabilitada (Enabled) la
propiedad NetworkEncryption del DAG. Use el cmdlet Set-DatabaseAvailabilityGroup para modificar esta propiedad para un DAG.
La replicacin se da en un solo puerto TCP, de forma predeterminada el puerto TCP 64327, pero se puede modificar. Para obtener ms informacin, consulte
Configurar las propiedades del grupo de disponibilidad de la base de datos.
Descripcin
NetworkEncryption
El parmetro ReplicationPort especifica un puerto de Protocolo de control de transmisin (TCP) para la actividad de replicacin
(propagacin y trasvase de registros).
Valor predeterminado Si no se especifica este parmetro, el puerto predeterminado para la replicacin es TCP 64327.
Buzones de correo de deteccin Los usa la caracterstica Bsqueda en varios buzones de correo de Exchange 2010. Esto permite que los
administradores de detecciones que pertenecen al grupo de roles Administracin de deteccin busquen mensajes en todos los buzones de correo de
una organizacin de Exchange 2010. Los mensajes devueltos por una bsqueda de deteccin se copian en el buzn de correo de deteccin pertinente.
El programa de instalacin de Exchange 2010 crea un buzn de correo de deteccin predeterminado. Para obtener ms informacin, consulte
Descripcin de la bsqueda en varios buzones.
Buzones de correo de registros en diario Si configura el registro en diario para una base de datos de buzones de correo o crea reglas de diario
para mensajes de diario y para unos destinatarios determinados, los informes de diario se entregan al buzn de correo de registros en diario
especificado. Para obtener informacin detallada, consulte los siguientes temas:
Descripcin del registro en diario
Crear y configurar un buzn de correo de registro en diario
Adems de proteger estos buzones de correo, un administrador puede usar reglas de transporte para inspeccionar el contenido de mensajes, as como
entregar una copia del mensaje a otro destinatario, incluso si es un destinatario CCO. Los permisos necesarios para administrar reglas de transporte figuran
en la entrada sobre reglas de transporte en el tema Permisos de directiva de mensajera y conformidad. Se recomienda aplicar controles adecuados para
supervisar y controlar la creacin y modificacin de reglas de transporte, adems de realizar auditoras peridicas de reglas de transporte para todas las
reglas.
21 de 27
25-02-2015 11:41
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
De forma predeterminada, estos mtodos de acceso de clientes se protegen mediante rutas de acceso a datos cifradas. Tambin de forma predeterminada, los
clientes de Outlook que se conectan a un servidor de acceso de cliente que usa MAPI emplean cifrado RPC. El acceso de Outlook Web App, Outlook Anywhere y
Exchange ActiveSync se protege mediante Capa de sockets seguros.
En el caso del acceso de clientes externos, debe obtener e instalar certificados firmados por una entidad de certificacin que sea de confianza para el cliente.
Para obtener ms informacin, consulte Administrar SSL para un servidor de Acceso de cliente.
De forma predeterminada, los servicios POP3 e IMAP4 estn deshabilitados en los servidores de acceso de clientes de Exchange 2010. Si los habilita, se
recomienda usar Seguridad de la capa de transporte o Capa de sockets seguros para proteger mejor las comunicaciones mediante el uso de estos protocolos.
Para obtener informacin detallada, consulte los siguientes temas:
Se recomienda usar los controles de acceso y firewalls adecuados cuando publique servidores de acceso de clientes para acceso externo. MicrosoftForefront
Threat Management Gateway (TMG) 2010 incluye asistentes para publicacin para publicar de manera fcil y segura servidores de acceso de cliente de Exchange
2010 para acceso externo. Para obtener ms informacin, consulte Forefront Threat Management Gateway (TMG) 2010 (en ingls).
Importante:
No se admite la bsqueda de servidores de acceso de cliente en redes perimetrales
En servidores de acceso de cliente, Internet Information Server (IIS) se usa para proporcionar acceso de protocolo HTTP a servicios como Outlook Web App,
Exchange ActiveSync, Outlook Anywhere, Deteccin automtica, Panel de control de Exchange Control Panel , servicios Web Exchange y libreta de direcciones
sin conexin. Remote PowerShell tambin usa IIS y todas las solicitudes de RPS, incluidas las de la Consola de administracin de Exchange, figuran en registros
de IIS. Los registros de IIS pueden crecer hasta consumir una gran cantidad de espacio en disco. IIS, que es un componente de Windows Server, no tiene un
mecanismo para borrar registros antiguos basados en el tamao del directorio en el que residen los archivos de registro. En este caso, se recomienda trasladar
los registros de IIS a un volumen que no sea del sistema. De este modo, aunque los archivos de registro crezcan en tamao, seguir habiendo espacio
disponible en disco; de lo contrario, el servicio podra interrumpirse. Es conveniente supervisar el crecimiento de los archivos de registro e implementar un
mecanismo que de forma manual los vaya eliminando o archivando. Para obtener ms informacin, vea Configurar el registro en IIS 7 (posiblemente en ingls).
Transporte perimetral El rol de servidor Transporte perimetral consiste en un servidor de transporte que no forma parte de un dominio. En general, se
ubica en redes perimetrales y transfiere mensajes entre los hosts SMTP de una organizacin de Exchange y SMTP hosts SMTP externos. Aunque se haya
diseado para redes perimetrales, los servidores Transporte perimetral tambin pueden ubicarse en la red interna y conectarse al servidor en un dominio
de Active Directory en calidad de servidor miembro.
Transporte de concentradores El rol del servidor Transporte de concentradores transfiera mensajes dentro de la organizacin, incluidos mensajes entre
servidores de Exchange, mensajes de clientes SMTP como usuarios de POP3 e IMAP4, as como dispositivos y servidores de aplicaciones.
22 de 27
25-02-2015 11:41
23 de 27
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
un servidor Transporte perimetral se suscribe a un sitio de Active Directory, la suscripcin perimetral publica el certificado del servidor Transporte perimetral en
Active Directory. Los servidores Transporte de concentradores consideran vlido el certificado publicado. El servicio EdgeSync de Microsoft actualiza AD LDS en
servidores Transporte perimetral que tienen certificados de servidor Transporte de concentradores, considerados vlidos por el servidor Transporte perimetral.
Comunicacin SMTP entre servidores Transporte perimetral y hosts externos En Exchange 2010, la comunicacin SMTP entre servidores Transporte
perimetral y hosts externos queda protegida de forma predeterminada mediante TLS oportunista. No se necesita un certificado emitido por una entidad de
confianza ni realizar ninguna clase de configuracin. Los conectores de recepcin ofrecen negociacin de TLS para conexiones SMTP entrantes. Los conectores
de envo tambin intentan la negociacin de TLS para todas las conexiones SMTP salientes. La TLS oportunista no realiza la validacin de certificados, lo que
permite el uso de certificados autofirmados. Para obtener ms informacin, consulte Funcionalidad de la TLS y terminologa relacionada en Exchange 2010.
Nota:
De forma predeterminada, los servidores Transporte de concentradores no pueden comunicarse con hosts SMTP externos, puesto que en dichos servidores
no hay conectores de recepcin que permitan a los hosts annimos comunicarse. Los servidores Transporte de concentradores pueden configurarse para
comunicarse con hosts annimos. Para obtener ms informacin, consulte Configurar el flujo de correo de Internet directamente a travs de un servidor de
transporte de concentradores. No se recomienda usar esta topologa porque incrementa los riesgos para la seguridad, ya que expone el servidor de
Exchange 2010 y todos los roles instaladas en dicho servidor a Internet. Se recomienda implementar, en cambio, una puerta de enlace SMTP basada en una
red perimetral, como el servidor Transporte perimetral.
Comunicacin SMTP entre servidores Transporte perimetral o de concentradores y hosts inteligentes En Exchange 2010, puede configurarse un conector
de envo para enrutar el correo de dominios remotos, incluido el correo de Internet, a una puerta de enlace SMTP que en general reside en la red perimetral. Si
bien es posible crear un conector de envo para enrutar el correo electrnico a un host inteligente sin ninguna autenticacin, en esta clase de conectores se
recomienda usar la autenticacin pertinente. Si usa autenticacin bsica, se recomienda la autenticacin bsica sobre TLS. Si selecciona la opcin protegida
externamente, se supone que la autenticacin se realiza con un mecanismo que no es de Exchange, por ejemplo IPsec. Al configurar el conector con la direccin
de un host inteligente, puede usar la direccin IP del host o bien su FQDN. Se recomienda usar la direccin IP del host inteligente porque brinda proteccin
contra los DNS dudosos, frente a la comodidad de usar el FQDN.
Uso de seguridad de dominio para comunicacin SMTP con asociados En Exchange 2010, puede usar seguridad de dominio para proteger mejor las rutas
de acceso de comunicacin de mensajes con dominios de asociados. La seguridad de dominio utiliza TLS mutua para proporcionar autenticacin y cifrado
basados en la sesin. En el caso de la autenticacin TLS mutua, los host de origen y destino comprueban la conexin realizando la validacin del certificado
X.509. Los servidores Transporte que se comunican con dominios de asociados configurados para seguridad de dominio requieren un certificado firmado por un
tercero de confianza o por una entidad de certificacin interna. Si se usa una entidad de certificacin interna, la lista de revocacin de certificados debe
configurarse y estar disponible para el host del asociado. Para obtener ms informacin, consulte los siguientes temas:
Exchange 2010 usa el puerto SMTP predeterminado (puerto TCP 25) para la comunicacin SMTP. El programa de instalacin de Exchange crea las
correspondientes reglas de firewall en Windows Firewall con Seguridad avanzada para permitir la comunicacin en los puertos predeterminados. Si especifica un
puerto diferente para un conector, Exchange no modifica las reglas de firewall o crea automticamente una regla que permita la comunicacin en el puerto no
predeterminado. La configuracin del firewall debe modificarse manualmente para permitir la comunicacin en puertos no predeterminados. Si se configura un
conector de recepcin para un puerto no predeterminado, los clientes SMTP que envan mensajes al conector tambin deben configurarse para usar el puerto
no predeterminado.
En Exchange 2010, puede buscar el rol del servidor Transporte de concentradores en un servidor de buzones de correo de Exchange 2010. Esto incluye un
servidor de buzones de correo que pertenezca a un grupo de disponibilidad de base de datos (DAG). Se recomienda no buscar el rol del servidor Transporte de
concentradores en un servidor de buzones de correo, sobre todo en topologas donde no se implementan servidores Transporte perimetral, con el fin de aislar
servidores de buzones de correo de Internet. Puede buscar el rol del servidor Transporte de concentradores en servidores de acceso de cliente. Debe seguir las
directivas de tamao en cada rol del servidor al colocar roles del servidor en el mismo servidor.
Cuando se especifica un host inteligente para un conector de envo en un servidor Transporte de concentradores o perimetral, se recomienda usar direcciones IP
en lugar del FQDN de un host inteligente para proteger el DNS de mensajes dudosos y suplantaciones de identidad. Esto minimiza tambin las repercusiones de
las interrupciones de DNS en la infraestructura de transporte. Los servidores DNS de las redes perimetrales deben usarse solo para resolucin externa. Los
servidores DNS perimetrales pueden contener registros para servidores Transporte de concentradores. Tambin puede usar archivos de hosts en servidores
Transporte perimetral para evitar la creacin de registros para servidores Transporte de concentradores en servidores DNS ubicados en redes perimetrales.
Adems de los pasos tratados en esta seccin, debe considerarse la aplicacin de las correspondientes restricciones de espacio en los mensajes en conectores,
as como la configuracin de limitaciones de mensajes. Para obtener informacin detallada, consulte los siguientes temas:
25-02-2015 11:41
24 de 27
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
recibe de estos. Cuando se agrega un servidor de mensajera unificada a un plan de marcado de mensajera unificada y este ltimo se configura para que use el
modo SIP protegida, solo se cifrar el trfico de sealizacin de SIP, mientras que los canales de medios con RTP seguirn usando TCP. TCP no est cifrado. No
obstante, si se agrega un servidor de mensajera unificada a un plan de marcado y este se configura para usar el modo Protegida, se cifrarn el trfico de
sealizacin de SIP y los canales de medios RTP. Un canal de medios de sealizacin seguro que usa el Protocolo de transporte en tiempo real seguro (SRTP)
tambin usar la TLS mutua para cifrar los datos de VoIP.
Si la puerta de enlace IP o IP PBX que se usan admiten IPsec, tambin puede usar IPsec para proteger mejor la comunicacin entre un servidor de mensajera
unificada y la puerta de enlace IP o IP PBX.
Para obtener ms informacin, consulte Descripcin de la seguridad de la mensajera unificada VoIP.
La mensajera unificada tambin enva mensajes como notificaciones de llamadas perdidas y mensajes de correo de voz a servidores Transporte de
concentradores. De forma predeterminada, esta comunicacin se realiza sobre SMTP con cifrado TLS.
Puede configurar una directiva de buzn de correo de mensajera unificada para acceso sin PIN. Eso permite que el autor de una llamada tenga acceso al correo
de voz sin tener que proporcionar un PIN, basado en el identificador de llamada de la llamada. La suplantacin de identidad de los identificadores de llamada es
muy escasa. Se recomienda no habilitar el acceso al correo de voz sin PIN. Tambin se recomienda comprobar las opciones predeterminadas del PIN y
configurarlas para que se adecuen a los requisitos de seguridad de la organizacin. Las opciones siguientes pueden configurarse para una directiva de buzn de
correo de mensajera unificada mediante el cmdlet Set-UMMailboxPolicy.
Parmetros para controlar el PIN de usuario para tener acceso al correo de voz
Parmetro
Descripcin
AllowCommonPatterns
El parmetro AllowCommonPatterns especifica si se van a permitir PIN obvios. Por ejemplo, PIN obvios pueden ser
subconjuntos de nmeros de telfono, nmeros secuenciales o nmeros repetidos. Si se establece en $false, se rechazarn
los nmeros secuenciales, los nmeros repetidos y el sufijo de la extensin de buzn. Si se establece en $, solo se rechazar
el sufijo de la extensin de buzn.
AllowPinlessVoiceMailAccess
El parmetro AllowPinlessVoiceMailAccess especifica si los usuarios asociados con la directiva de buzones de mensajera
unificada deben usar un nmero de identificacin personal para tener acceso a su correo de voz. El nmero de identificacin
personal tambin ser necesario para tener acceso al correo electrnico y al calendario.
Valor predeterminado deshabilitado ($false).
LogonFailusresBeforePINReset
MaxLogonAttempts
El parmetro MaxLogonAttempts especifica el nmero de intentos incorrectos de inicio de sesin secuenciales que puede
realizar un usuario, antes de que se bloqueen los buzones de mensajera unificada. El intervalo va de 1 a 999.
Valor predeterminado 15 intentos.
MinPINLength
El parmetro MinPINLength especifica el nmero mnimo de dgitos debe tener un PIN para los usuarios habilitados para
mensajera unificada. El intervalo va de 4 a 24.
Valor predeterminado 6 dgitos.
PINHistoryCount
El parmetro PINHistoryCount especifica el nmero de PIN anteriores que se recuerdan y no estn permitidos durante el
restablecimiento de un PIN. Este nmero incluye la primera vez que se estableci el PIN. El intervalo va de 1 a 20.
Valor predeterminado 5 PIN.
PINLifetime
El parmetro PINLifetime especifica el nmero de das que deben transcurrir hasta que se necesite una contrasea nueva. El
intervalo es de 1 a 999. Si se especifica Sin lmite, el PIN del usuario no expirar.
Valor predeterminado 60 das.
En Exchange 2010, los mensajes de correo de voz pueden marcarse como protegidos. Los mensajes de correo de voz se protegen mediante Information Rights
Management (IRM). Las opciones de proteccin del correo de voz pueden configurarse estableciendo el parmetro siguiente en una directiva de buzn de
correo de mensajera unificada. Para obtener informacin detallada, consulte los siguientes temas:
Descripcin
ProtectAuthenticatedVoicemail
El parmetro ProtectAuthenticatedVoiceMail especifica si los servidores de mensajera unificada que responden a llamadas
25-02-2015 11:41
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
de Voice Access de Outlook para usuarios habilitados para mensajera unificada asociados con la directiva de buzones de
mensajera unificada crean mensajes de correo de voz protegidos. Si el valor se establece en Privado, solo se protegen los
mensajes marcados como privados. Si el valor se establece en Todos, se protegen todos los mensajes de correo de voz.
Valor predeterminado Ninguno (no se aplica proteccin a los mensajes de correo electrnico).
ProtectUnauthenticatedVoiceMail
El parmetro ProtectUnauthenticatedVoiceMail especifica si los servidores de mensajera unificada que contestan a las
llamadas de los usuarios habilitados para mensajera unificada asociados con la directiva de buzones de mensajera
unificada crean mensajes de correo de voz protegidos. Esto tambin se aplica cuando se enva un mensaje desde un
operador automtico de mensajera unificada a un usuario habilitado para mensajera unificada asociado con la directiva
de buzones de mensajera unificada. Si el valor se establece en Privado, solo se protegen los mensajes marcados como
privados. Si el valor se establece en Todos, se protegen todos los mensajes de correo de voz.
Valor predeterminado Ninguno (no se aplica proteccin a los mensajes de correo electrnico).
RequireProtectedPlayOnPhone
El parmetro RequireProtectedPlayOnPhone especifica si los usuarios asociados con la directiva de buzones de mensajera
unificada solo pueden usar la funcin Reproducir en telfono para mensajes de correo de voz protegidos, o bien si los
usuarios pueden usar software multimedia para reproducir el mensaje protegido.
Valor predeterminado $false. Los usuarios pueden usar ambos mtodos para escuchar los mensajes de correo de
voz protegidos.
Importante:
Para que los usuarios de mensajera unificada puedan seguir contestando a llamadas, es fundamental que tengan acceso a Active Directory. Se recomienda
supervisar la disponibilidad de Active Directory.
Certificados
Descripcin de los certificados TLS
Administrar SSL para un servidor de Acceso de cliente
Configurar SSL para Exchange ActiveSync
Configurar SSL para Outlook en cualquier lugar
Configuracin de TLS y SSL para acceso POP3 e IMAP4
Configurar los directorios virtuales de Outlook Web App para usar SSL
Crear un nuevo certificado de Exchange
Importar un certificado de Exchange
Ver propiedades de certificado de Exchange
Asignar servicios a un certificado
25 de 27
25-02-2015 11:41
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
Outlook Anywhere
Administracin de la seguridad de Outlook en cualquier lugar
POP3 e IMAP
Administracin de la seguridad de POP3 e IMAP4
Configurar la autenticacin para POP3
Configurar la autenticacin para IMAP4
Configuracin de TLS y SSL para acceso POP3 e IMAP4
Permisos
Referencia de permisos de implementacin de Exchange 2010
Descripcin del control de acceso basado en funciones
Descripcin de los permisos de divisin
Descripcin de la coexistencia de permisos en Exchange 2003
Descripcin de la coexistencia de permisos en Exchange 2007
Descripcin de permisos de varios bosques
Funcin Permisos
Administracin de administradores y usuarios especialistas
Administracin de usuarios finales
Administracin de funciones y entradas de funciones
mbitos de funcin de administracin
Asignaciones de funciones de administracin
Administracin de permisos divididos
Permisos para administrar servidores de buzones
Proteccin de los servidores de mensajera unificada
26 de 27
25-02-2015 11:41
27 de 27
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
Federacin
Descripcin de la federacin
Autoridades de certificacin raz de confianza para confianzas de federacin
25-02-2015 11:41