![Page 1: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/1.jpg)
palais des congrès Paris
7, 8 et 9 février 2012
![Page 2: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/2.jpg)
Jeudi 9 Février 16h00-17h00 Guy GroeneveldPrincipal Premier Field EngineerMicrosoft
Comment sécuriser un serveur Exchange 2010 (MSG305)
![Page 3: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/3.jpg)
Vous êtes dans la salle 352B
![Page 4: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/4.jpg)
Les basicsL’administrationLa protection des serveursLes accès clientsLa protection des donnéesLe transport
Agenda
![Page 5: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/5.jpg)
Rigueur d’exploitation renforcée par MOF ou ITILGestion du changementMaintient à niveau des correctifs de sécuritéDéfinition des règles d’accès et d’auditSurveillance des serveurs pour s’assurer de leur conformité
Sécurité = Excellence Opérationnelle
![Page 6: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/6.jpg)
Accès physique restreintMots de passe renforcés par GPOAccès réseau sécurisé
IpsecNetwork Access Protection (NAP)Pare-Feu
Accès VPN à distanceDouble authentification
Protection des donnéesBit Locker
Un environment sécurisé
![Page 7: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/7.jpg)
Anti-virus serveur transportAnti-virus serveur de boites aux lettres
Si le poste client peut être infectéSi les dossiers publics sont utilisés
Anti-virus fichierAttention aux exclusions
Anti-virus poste clientL’utilisateur n’est pas administrateur localLe poste est exclu si non-conforme (NAP)
Protection contre les virus
![Page 8: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/8.jpg)
Forefront Protection 2010 for Exchange Server
Enterprise Network
External Mail
Unified MessagingVoice mail & voice access
Hub TransportRouting & Policy
Web browser
Outlook (remote user)
Mobile phone
Outlook (local user)Line of business applications
MailboxStorage of
mailbox items
Protection 2010 for Exchange ServerProtection 2010 for Exchange Server
Phone system (PBX or VOIP)
Protection 2010 for Exchange ServerThreat Management Gateway
Edge TransportThreat Management Gateway
Client AccessClient connectivity
Web services
![Page 9: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/9.jpg)
Développé selon le « Trustworthy computing lifecycle »
Conçu pour résister à des attaques malveillantesTest du code lors de la conceptionAnalyse finale réalisée par une équipe indépendante
Le « Security Configuration Wizard » (SCW) est exécuté lors de l’installation
Ne pas dé-valider le pare feux WindowsAttention aux GPO affectant le pare feux
Un certificat auto-signé est créé automatiquementPermet un cryptage immédiatement après l’installationGénère quelques problèmes car non-trusté
Exchange sécurisé par défaut
![Page 10: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/10.jpg)
Détection d’un mail venant de l’extérieur
Utilisation des mailtips (Outlook 2010 et OWA)Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled $true
Sensibilisation des utilisateurs
![Page 11: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/11.jpg)
Les basics
L’administrationLa protection des serveursLes accès clientsLa protection des donnéesLe transport
Agenda
![Page 12: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/12.jpg)
Nouveau modèle de permissions sur Exchange 2010:
Permissions gérées par Exchange en nom de l’administrateurPlus besoin d’aller dans l’AD configurer des droits pour les administrateursGranularité de contrôle jusqu’à la commande ou les paramètres powershellLimite de portée en écriture selon des filtres prédéfinis ou complexesAuto administration des utilisateurs
Role Based Access Control (RBAC)
![Page 13: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/13.jpg)
13
RBAC: Comment ça marche
IIS
WSMan +RBAC stack:
Authorization
PSv2 RBACServer Runspace
> New-Mailbox –Name Bob
PSv2 Client Runspace
Evan Evan: Role AssignmentNew-Mailbox -NameGet-MailboxSet-Mailbox -Name
Cmdlets Available in Runspace:New-PSSession
> New-PSSession –URI https://server.fqdn.com/PowerShell/
Remote Cmdlets Available in Runspace:New-Mailbox -NameGet-MailboxSet-Mailbox -Name
Exchange ServerIIS: Authentication
Active Directory
Cmdlets Available in Runspace:New-Mailbox -NameGet-MailboxSet-Mailbox -Name
[Bob Mailbox Object in Pipeline]
![Page 14: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/14.jpg)
Par défaut les administrateurs Exchange ayant le droit de gérer des boites aux lettres peuvent aussi créer et supprimer des comptesPeut être un risque si les administrateurs Exchange ne sont pas supposés pouvoir le faireRecommandé avec RBAC car plus souplePeut aussi être fait avec « setup.com /PrepareAD /ActiveDirectorySplitPermissions:true”
Nécessite un reboot des serveurs ExchangePeut être revalidé a tout moment en relançant la commande à « false »
Fractionnement des autorisations (split permission)
![Page 15: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/15.jpg)
Utiliser un compte différent pour chaque administrateurRestreindre au maximum les droits RBAC
Toujours partir des droits les plus restreints. N’élargir que si nécessaire
Ne pas utiliser les boite aux lettres des comptes administrateursNe pas utiliser un compte standard pour l’administrationNe pas autoriser par défaut l’ouverture de toutes les boites aux lettres par les administrateursDissocier le poste d’administration du poste standard
Les Administrateurs Exchange
![Page 16: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/16.jpg)
Créés lors du « setup /PrepareAD »Définissent les droits Exchange
Rajouter un membre dans un rôle groupe lui donne tous les rôles assignés au groupeRajouter un membre dans le groupe « Exchange Servers » donne accès à tout ce que les serveurs peuvent accéderRajouter un membre dans « Exchange Windows Permission » donne le droit de modifier tous les comptes et groupes de la forêt
Sécurisation des groupes de sécurité ExchangeDoivent être supervisés avec de l’audit WindowsPeuvent être restreints avec une « Restricted Group Policy »
Suppose une mise à jour de la policy après chaque changement
Les groupes de sécurité Exchange
![Page 17: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/17.jpg)
Actif par défautGarde trace de toutes les actions administratives entrainant des modifications quelle que soit la source EMC, EMS, ECPLa liste des commandes tracées est configurableOn peut écrire dans le log par powershellConserve 90 jours de log par défautEst récupérable par Powershell ou ECP
Administrator Audit Logging
![Page 18: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/18.jpg)
Les basicsL’administration
La protection des serveursLes accès clientsLa protection des donnéesLe transport
Agenda
![Page 19: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/19.jpg)
Seuls les administrateurs supposés administrer les serveurs doivent pouvoir y accéder
Accès Physique et à distance en TSNe pas installer Exchange sur un DC
Local admin pour tous les DCs du domaineDé-valider les fonctionnalités non utilisées sur les boites aux lettresGarder l’ « ExecutionPolicy » Powershell en RemoteSigned (défaut)
Implique de gérer ses scripts (voir about_execution_policy)
Sécurité d’accès aux serveurs
![Page 20: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/20.jpg)
Tous les Correctifs de sécurité doivent être appliquésLes derniers Rollups Exchange doivent être appliquésLes Certificats doivent être valides avec une procédure de renouvellement
Sécuriser les fichiers si ils sont exportés avec la clé privée
Surveillance avec: System Center Operation Manager (SCOM)Microsoft Based Security Analyzer (MBSA)ExBPA (SCOM le lance régulièrement)
Mise à jour des serveurs
![Page 21: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/21.jpg)
Stratégies de limitation du client (Client Throttling)
Prévient la saturation d’un serveur par un utilisateurAttention au comptes pour applications tierce ne pouvant avoir de limites
Troubleshoot-DatabaseLatency.ps1 permet de mettre en quarantaine des utilisateurs trop actifsLimitation des messages (Message Throttling)
Prévient la saturation d’un serveur par des messagesConfigurable au niveau serveur, connecteurs d’envoi et de réception
Protection « Denial of Service » DoS
![Page 22: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/22.jpg)
Les basicsL’administrationLa protection des serveurs
Les accès clientsLa protection des donnéesLe transport
Agenda
![Page 23: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/23.jpg)
Tous les Outlook doivent avoir le dernier service pack ou rollup
2625547 How to install the latest applicable updates for Microsoft Outlook (US English only)
Les serveurs sont configurés pour refuser une connexion d’un Outlook non à jourLes profiles doivent être configuré avec l’encryption RPC
Par défaut sur Outlook 2007 et 2010 pas sur 2003Prérequis dé-validé par défaut coté serveur depuis Exchange 2010 SP1
Set-RpcClientAccess –Server Exchange_server_name –EncryptionRequired $TruePeut être forcé par GPO coté client
Outlook
![Page 24: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/24.jpg)
Kerberos est plus sécurisé que NTLMNTLM peut avoir un impact sur les performances serveur pour les gros déploiementsOutlook se connecte en NTLM sur un CAS Array a moins de configurer Kerberos
Attention: Une erreur de configuration kerberos peut empêcher toute connexion depuis OutlookAprès avoir créé le compte et les SPN on peut utiliser RollAlternateserviceAccountCredential.ps1
Authentification Kerberos
![Page 25: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/25.jpg)
De nombreux clients se connectent par IISOutlook Web AppExchange ActiveSyncOutlook AnywhereAutoDiscoverExchange Web Services Offline Address Book (OAB)
Le trafic doit rester encrypté Si déchargement SSL (offload) assurez vous de la sécurité du réseau sur la zone non cryptéeOAB par défaut non crypté
Encryption SSL
![Page 26: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/26.jpg)
Garder les mobiles à jour2563324 Current issues with Microsoft Exchange ActiveSync and Third Party Devices
Mettre les mobiles inconnus en quarantaine par défautBloquer les mobiles n’étant pas autorisés à se connecter
Il reste possible de les autoriser par utilisateurForcer au minimum les mobiles a avoir un mot de passe avec une stratégie ActivesyncVérifier les fonctionnalités de stratégie implémentées pour le mobile
http://en.wikipedia.org/wiki/Comparison_of_Exchange_ActiveSync_clients
Mobiles - Activesync
![Page 27: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/27.jpg)
Les basicsL’administrationLa protection des serveursLes accès clients
La protection des donnéesLe transport
Agenda
![Page 28: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/28.jpg)
Technologie coté client sans interaction avec le serveurAdd-On ActiveX pour OWAPermet de signer un message afin d’en assurer l’authentification et l’intégrité
Toute modification lors du transit invalide la signature
Permet de crypter les messagesLes antivirus et anti-spam, ne peuvent pas inspecter le contenu des messagesLes règles de transport, ne peuvent pas s’appliquerLes messages ne peuvent pas être indexés
pour plus d’infos http://office.microsoft.com/fr-fr/outlook-help/overview-of-certificates-and-cryptographic-e-mail-messaging-in-outlook-HP001230534.aspx?pid=CH100622191033
S/MIME
![Page 29: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/29.jpg)
29
Confidentialité des messages
![Page 30: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/30.jpg)
Service dans Windows Server 2008 R2Permet de:
Empêcher de transférer, modifier, imprimer, télécopier, enregistrer ou couper et coller les messagesProtéger les formats de fichier de pièce jointe pris en charge en leur conférant le même niveau de protection que celui du messagePrendre en charge l’expiration des messages et pièces jointesEmpêcher la copie d’un contenu protégé par IRM à l’aide de l’outil Capture dans Microsoft Windows.
Gestion des droits relatifs à l'information (IRM)
![Page 31: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/31.jpg)
Manuellement depuis OutlookManuellement depuis OWAManuellement depuis un mobile
Le mobile doit soit avoir un client IRM, soit savoir gérer l’interaction avec le serveur d’accès client (SP1)
Automatiquement depuis Outlook 2010Configuration serveur avec New-OutlookProtectionRule
Automatiquement par le transport
Application des droits
![Page 32: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/32.jpg)
32
IRM par le transport
Application automatique par le transport:
Une règle transport applique le RMS template au message et aux attachements supportésLes règles transport peuvent se déclencher sur le contenu du message ou des attachements
![Page 33: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/33.jpg)
Permet d’auditer l’accès aux boîtes aux lettres par les propriétaires des boîtes aux lettres, les délégués et les administrateursEnregistre l’accès aux dossiers, le déplacement ou la suppression de messages, l’adresse IP et le hostStocké dans la boite aux lettresLes comptes de service pour logiciels tiers peuvent être exclus
Audit d’accès aux boites aux lettres
![Page 34: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/34.jpg)
Les basicsL’administrationLa protection des serveursLes accès clientsLa protection des données
Le transport
Agenda
![Page 35: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/35.jpg)
Le trafic de messages SMTP est encrypté avec TLSIntra Organisation
La génération de certificats auto-signés lors du setup permet de crypter toute communication SMTP par défautPeut être dé-validé si besoin (compresseurs de flux)
Inter OrganisationsNécessite un certificat public valideTLS opportuniste. Exchange essaye d’établir une session TLS si cette option est disponible sur le serveur distantMutual TLS. Permet de forcer la communication cryptée vers un domaine de messagerie particulier
Trafic de messages
![Page 36: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/36.jpg)
Permettent d’appliquer des stratégies aux messages en transit
Intra OrganisationBlocage du contenu inapproprié entrant ou sortantFiltrage des informations confidentielles de l'organisationSuivi ou archivage des messages échangés avec des individus spécifiques Redirection des messages entrants et sortants pour inspection avant remise Application de « disclaimer » à des messages transitant par l'organisation.
Règles transport
![Page 37: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/37.jpg)
Service Internet protégeant vos messages entrant et sortant contre les spams, virus, phishing…Réduit la charge réseau sur votre accès Internet en ne laissant passer que les bon mails
Forefront Online Protection for Exchange (FOPE)
z
Hub Transport Mailbox
External Email
About 90% ofemail is junk
![Page 38: Exchange : Comment sécuriser un serveur Exchange 2010](https://reader036.vdocuments.mx/reader036/viewer/2022081717/547cb2a5b4af9f635b8b47b9/html5/thumbnails/38.jpg)
Questions?