Exchange : Comment sécuriser un serveur Exchange 2010

4 171 vues

Publié le

Cette session se propose de passer en revue la sécurisation des serveurs Exchange afin de réduire leur surface d'exposition.

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
4 171
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
126
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Slide Objective: Explain Remote PowerShell. Instructor Notes:Evan opens PowerShell (2.0) on his machine, which gives him a client side runspace. Evan types New-PSSession –URI https://server.fqdn.com/PowerShell to target this endpoint. Once connected, IIS Authenticates the user (For Datacenter, Live.edu its basic, On-Premise it’s Kerberos).IIS then goes through RBAC process to figure out who Evan is and what he can do and where. Reading Roles, Role assignment from AD DS, etc. It returns the available cmdlets, attributes Evan can run or set.IIS then creates the restricted PowerShell runspace on the Server which only allows these cmdlets to be executed. These cmdlets are then added to Client Side runspace to be executed on Evans computer. When the client then runs New-Mailbox Bob in the client runspace it then gets executed on the Server.The result then gets piped back to the Client runspace which allows further actions (e.g., piping the result into another command on the client). Important Takeaways: There are always 2 separate runspaces, Client and Server (not like Telnet)Cmdlets and usability is just like they were in Exchange Server 2007
  • Slide Objective: You need tools to enforce confidentiality where it is required. Instructor Notes: Many of you may receive emails similar to this one in which the author is essentially begging and pleading with the recipient to “do the right thing” with the information—and prior to RMS we saw a lot of these inside Microsoft as well. In this case, while the organization may have a “policy” for what should and should not be done with the information, there are no mechanisms in place to digitally enforce that policy.  You cannot rely on the fact that all end-users will apply confidentiality measures where required, even with training.
  • Slide Objective: Introduce Automatic Content-Based Privacy, at the Transport Level. Instructor Notes: Today an employee may accidentally include sensitive information that belongs to a consumer in an email which is sent in clear text over the internet. If that data is accidentally emailed the organization may face considerable reputation damage, legal exposure, and reduction in company’s market value. To address this, the Exchange Server can be configured to encrypt messages that contain personal information or critical business information. Sensitive email can be detected, using Transport Rules, by filtering the content of a message (including content of supported attachments). Regular expressions are supported. AD DS RMS uses XML-based policy templates to allow compatible IRM-enabled applications to apply consistent protection policies. In Windows Server 2008, AD DS RMS server exposes a web service that can be used to enumerate and acquire templates. Exchange Server 2010 SP1 ships with the following template: Do Not Forward: When the Do Not Forward template is applied to a message, only the specified recipients can decrypt the message. The recipients can't forward the message to anyone else, copy content from the message, or print the message. For example: Ed is a nurse at Contoso, a large hospital. Ed is sending Chris the results of his recent blood test. When Ed’s email reaches the Exchange Server, the server is able to examine the message and determine that personal information is included in the mail. Because personal information is included in the message, the Exchange Server encrypts the message before it leaves the organization. The message that gets to Chris is an encrypted copy of the message.
  • Exchange : Comment sécuriser un serveur Exchange 2010

    1. 1. palais descongrèsParis7, 8 et 9février 2012
    2. 2. Comment sécuriser unserveur Exchange 2010(MSG305)Jeudi 9 Février 16h00-17h00Guy GroeneveldPrincipal Premier Field EngineerMicrosoft
    3. 3. Vous êtes dans la salle 352B
    4. 4. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
    5. 5. Sécurité = ExcellenceOpérationnelle Rigueur d’exploitation renforcée par MOF ou ITIL Gestion du changement Maintient à niveau des correctifs de sécurité Définition des règles d’accès et d’audit Surveillance des serveurs pour s’assurer de leur conformité
    6. 6. Un environment sécurisé Accès physique restreint Mots de passe renforcés par GPO Accès réseau sécurisé Ipsec Network Access Protection (NAP) Pare-Feu Accès VPN à distance Double authentification Protection des données Bit Locker
    7. 7. Protection contre les virus Anti-virus serveur transport Anti-virus serveur de boites aux lettres Si le poste client peut être infecté Si les dossiers publics sont utilisés Anti-virus fichier Attention aux exclusions Anti-virus poste client L’utilisateur n’est pas administrateur local Le poste est exclu si non-conforme (NAP)
    8. 8. Forefront Protection 2010for Exchange Server Threat Management Gateway Enterprise Network Edge Transport Hub Transport Routing & PolicyExternal Mail Protection 2010 for Exchange Server Protection 2010 for Exchange Server Mailbox Unified Storage of Messaging mailbox items Voice mail & voice access Mobile phone Protection 2010 for Exchange Server Threat Management Gateway Client Access Phone system Web browser Client connectivity (PBX or VOIP) Web services Outlook (remote user) Line of business applications Outlook (local user)
    9. 9. Exchange sécurisé par défaut Développé selon le « Trustworthy computing lifecycle » Conçu pour résister à des attaques malveillantes Test du code lors de la conception Analyse finale réalisée par une équipe indépendante Le « Security Configuration Wizard » (SCW) est exécuté lors de l’installation Ne pas dé-valider le pare feux Windows Attention aux GPO affectant le pare feux Un certificat auto-signé est créé automatiquement Permet un cryptage immédiatement après l’installation Génère quelques problèmes car non-trusté
    10. 10. Sensibilisation des utilisateurs Détection d’un mail venant de l’extérieur Utilisation des mailtips (Outlook 2010 et OWA) Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled $true
    11. 11. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
    12. 12. Role Based AccessControl (RBAC) Nouveau modèle de permissions sur Exchange 2010: Permissions gérées par Exchange en nom de l’administrateur Plus besoin d’aller dans l’AD configurer des droits pour les administrateurs Granularité de contrôle jusqu’à la commande ou les paramètres powershell Limite de portée en écriture selon des filtres prédéfinis ou complexes Auto administration des utilisateurs
    13. 13. RBAC: Comment ça marche > New-PSSession –URI https://server.fqdn.com/PowerShell/ > New-Mailbox –Name Bob [Bob Mailbox Object in IIS Pipeline] PSv2 ClientEvan Evan: Role Assignment Runspace PSv2 RBAC Server Runspace New-Mailbox -Name Get-Mailbox WSMan + Set-Mailbox -Name RBAC stack: Authorization Active Directory Exchange IIS: Authentication Server Cmdlets Available in Runspace: New-PSSession Remote Cmdlets Available in Runspace: New-Mailbox -Name Cmdlets Available in Runspace: Get-Mailbox New-Mailbox -Name Set-Mailbox -Name Get-Mailbox Set-Mailbox -Name 13
    14. 14. Fractionnement desautorisations (split permission) Par défaut les administrateurs Exchange ayant le droit de gérer des boites aux lettres peuvent aussi créer et supprimer des comptes Peut être un risque si les administrateurs Exchange ne sont pas supposés pouvoir le faire Recommandé avec RBAC car plus souple Peut aussi être fait avec « setup.com /PrepareAD /ActiveDirectorySplitPermissions:true” Nécessite un reboot des serveurs Exchange Peut être revalidé a tout moment en relançant la commande à « false »
    15. 15. Les Administrateurs Exchange Utiliser un compte différent pour chaque administrateur Restreindre au maximum les droits RBAC Toujours partir des droits les plus restreints. N’élargir que si nécessaire Ne pas utiliser les boite aux lettres des comptes administrateurs Ne pas utiliser un compte standard pour l’administration Ne pas autoriser par défaut l’ouverture de toutes les boites aux lettres par les administrateurs Dissocier le poste d’administration du poste standard
    16. 16. Les groupes de sécuritéExchange « setup /PrepareAD » Créés lors du Définissent les droits Exchange Rajouter un membre dans un rôle groupe lui donne tous les rôles assignés au groupe Rajouter un membre dans le groupe « Exchange Servers » donne accès à tout ce que les serveurs peuvent accéder Rajouter un membre dans « Exchange Windows Permission » donne le droit de modifier tous les comptes et groupes de la forêt Sécurisation des groupes de sécurité Exchange Doivent être supervisés avec de l’audit Windows Peuvent être restreints avec une « Restricted Group Policy » Suppose une mise à jour de la policy après chaque changement
    17. 17. Administrator Audit Logging Actif par défaut Garde trace de toutes les actions administratives entrainant des modifications quelle que soit la source EMC, EMS, ECP La liste des commandes tracées est configurable On peut écrire dans le log par powershell Conserve 90 jours de log par défaut Est récupérable par Powershell ou ECP
    18. 18. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
    19. 19. Sécurité d’accès aux serveurs Seuls les administrateurs supposés administrer les serveurs doivent pouvoir y accéder Accès Physique et à distance en TS Ne pas installer Exchange sur un DC Local admin pour tous les DCs du domaine Dé-valider les fonctionnalités non utilisées sur les boites aux lettres Garder l’ « ExecutionPolicy » Powershell en RemoteSigned (défaut) Implique de gérer ses scripts (voir about_execution_policy)
    20. 20. Mise à jour des serveurs Tous les Correctifs de sécurité doivent être appliqués Les derniers Rollups Exchange doivent être appliqués Les Certificats doivent être valides avec une procédure de renouvellement Sécuriser les fichiers si ils sont exportés avec la clé privée Surveillance avec: System Center Operation Manager (SCOM) Microsoft Based Security Analyzer (MBSA) ExBPA (SCOM le lance régulièrement)
    21. 21. Protection « Denial of Service »DoS Stratégies de limitation du client (Client Throttling) Prévient la saturation d’un serveur par un utilisateur Attention au comptes pour applications tierce ne pouvant avoir de limites Troubleshoot-DatabaseLatency.ps1 permet de mettre en quarantaine des utilisateurs trop actifs Limitation des messages (Message Throttling) Prévient la saturation d’un serveur par des messages Configurable au niveau serveur, connecteurs d’envoi et de réception
    22. 22. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
    23. 23. Outlook Tous les Outlook doivent avoir le dernier service pack ou rollup 2625547 How to install the latest applicable updates for Microsoft Outlook (US English only) Les serveurs sont configurés pour refuser une connexion d’un Outlook non à jour Les profiles doivent être configuré avec l’encryption RPC Par défaut sur Outlook 2007 et 2010 pas sur 2003 Prérequis dé-validé par défaut coté serveur depuis Exchange 2010 SP1 Set-RpcClientAccess –Server Exchange_server_name –EncryptionRequired $True Peut être forcé par GPO coté client
    24. 24. Authentification Kerberos Kerberos est plus sécurisé que NTLM NTLM peut avoir un impact sur les performances serveur pour les gros déploiements Outlook se connecte en NTLM sur un CAS Array a moins de configurer Kerberos Attention: Une erreur de configuration kerberos peut empêcher toute connexion depuis Outlook Après avoir créé le compte et les SPN on peut utiliser RollAlternateserviceAccountCredential.ps1
    25. 25. Encryption SSL De nombreux clients se connectent par IIS Outlook Web App Exchange ActiveSync Outlook Anywhere AutoDiscover Exchange Web Services Offline Address Book (OAB) Le trafic doit rester encrypté Si déchargement SSL (offload) assurez vous de la sécurité du réseau sur la zone non cryptée OAB par défaut non crypté
    26. 26. Mobiles - Activesync Garder les mobiles à jour 2563324 Current issues with Microsoft Exchange ActiveSync and Third Party Devices Mettre les mobiles inconnus en quarantaine par défaut Bloquer les mobiles n’étant pas autorisés à se connecter Il reste possible de les autoriser par utilisateur Forcer au minimum les mobiles a avoir un mot de passe avec une stratégie Activesync Vérifier les fonctionnalités de stratégie implémentées pour le mobile
    27. 27. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
    28. 28. S/MIME Technologie coté client sans interaction avec le serveur Add-On ActiveX pour OWA Permet de signer un message afin d’en assurer l’authentification et l’intégrité Toute modification lors du transit invalide la signature Permet de crypter les messages Les antivirus et anti-spam, ne peuvent pas inspecter le contenu des messages Les règles de transport, ne peuvent pas s’appliquer Les messages ne peuvent pas être indexés pour plus d’infos http://office.microsoft.com/fr-fr/outlook-help/overview-of- certificates-and-cryptographic-e-mail-messaging-in- outlook-HP001230534.aspx?pid=CH100622191033
    29. 29. Confidentialité des messages 29
    30. 30. Gestion des droits relatifs àlinformation (IRM) Service dans Windows Server 2008 R2 Permet de: Empêcher de transférer, modifier, imprimer, télécopier, enregistrer ou couper et coller les messages Protéger les formats de fichier de pièce jointe pris en charge en leur conférant le même niveau de protection que celui du message Prendre en charge l’expiration des messages et pièces jointes Empêcher la copie d’un contenu protégé par IRM à l’aide de l’outil Capture dans Microsoft Windows.
    31. 31. Application des droits Manuellement depuis Outlook Manuellement depuis OWA Manuellement depuis un mobile Le mobile doit soit avoir un client IRM, soit savoir gérer l’interaction avec le serveur d’accès client (SP1) Automatiquement depuis Outlook 2010 Configuration serveur avec New- OutlookProtectionRule Automatiquement par le transport
    32. 32. IRM par le transport Application automatique par le transport: Une règle transport applique le RMS template au message et aux attachements supportés Les règles transport peuvent se déclencher sur le contenu du message ou des attachements 32
    33. 33. Audit d’accès aux boites auxlettres Permet d’auditer l’accès aux boîtes aux lettres par les propriétaires des boîtes aux lettres, les délégués et les administrateurs Enregistre l’accès aux dossiers, le déplacement ou la suppression de messages, l’adresse IP et le host Stocké dans la boite aux lettres Les comptes de service pour logiciels tiers peuvent être exclus
    34. 34. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
    35. 35. Trafic de messages Le trafic de messages SMTP est encrypté avec TLS Intra Organisation La génération de certificats auto-signés lors du setup permet de crypter toute communication SMTP par défaut Peut être dé-validé si besoin (compresseurs de flux) Inter Organisations Nécessite un certificat public valide TLS opportuniste. Exchange essaye d’établir une session TLS si cette option est disponible sur le serveur distant Mutual TLS. Permet de forcer la communication cryptée vers un domaine de messagerie particulier
    36. 36. Règles transport Permettent d’appliquer des stratégies aux messages en transit Intra Organisation Blocage du contenu inapproprié entrant ou sortant Filtrage des informations confidentielles de lorganisation Suivi ou archivage des messages échangés avec des individus spécifiques Redirection des messages entrants et sortants pour inspection avant remise Application de « disclaimer » à des messages transitant par lorganisation.
    37. 37. Forefront Online Protection forExchange (FOPE) External Email Hub Transport Mailbox About 90% of email is junk Service Internet protégeant vos messages entrant et sortant contre les spams, virus, phishing… Réduit la charge réseau sur votre accès Internet en ne laissant passer que les bon mails
    38. 38. Questions?

    ×