Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Exchange : Comment sécuriser un serveur Exchange 2010

4 721 vues

Publié le

Cette session se propose de passer en revue la sécurisation des serveurs Exchange afin de réduire leur surface d'exposition.

Publié dans : Technologie
  • Soyez le premier à commenter

Exchange : Comment sécuriser un serveur Exchange 2010

  1. 1. palais descongrèsParis7, 8 et 9février 2012
  2. 2. Comment sécuriser unserveur Exchange 2010(MSG305)Jeudi 9 Février 16h00-17h00Guy GroeneveldPrincipal Premier Field EngineerMicrosoft
  3. 3. Vous êtes dans la salle 352B
  4. 4. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
  5. 5. Sécurité = ExcellenceOpérationnelle Rigueur d’exploitation renforcée par MOF ou ITIL Gestion du changement Maintient à niveau des correctifs de sécurité Définition des règles d’accès et d’audit Surveillance des serveurs pour s’assurer de leur conformité
  6. 6. Un environment sécurisé Accès physique restreint Mots de passe renforcés par GPO Accès réseau sécurisé Ipsec Network Access Protection (NAP) Pare-Feu Accès VPN à distance Double authentification Protection des données Bit Locker
  7. 7. Protection contre les virus Anti-virus serveur transport Anti-virus serveur de boites aux lettres Si le poste client peut être infecté Si les dossiers publics sont utilisés Anti-virus fichier Attention aux exclusions Anti-virus poste client L’utilisateur n’est pas administrateur local Le poste est exclu si non-conforme (NAP)
  8. 8. Forefront Protection 2010for Exchange Server Threat Management Gateway Enterprise Network Edge Transport Hub Transport Routing & PolicyExternal Mail Protection 2010 for Exchange Server Protection 2010 for Exchange Server Mailbox Unified Storage of Messaging mailbox items Voice mail & voice access Mobile phone Protection 2010 for Exchange Server Threat Management Gateway Client Access Phone system Web browser Client connectivity (PBX or VOIP) Web services Outlook (remote user) Line of business applications Outlook (local user)
  9. 9. Exchange sécurisé par défaut Développé selon le « Trustworthy computing lifecycle » Conçu pour résister à des attaques malveillantes Test du code lors de la conception Analyse finale réalisée par une équipe indépendante Le « Security Configuration Wizard » (SCW) est exécuté lors de l’installation Ne pas dé-valider le pare feux Windows Attention aux GPO affectant le pare feux Un certificat auto-signé est créé automatiquement Permet un cryptage immédiatement après l’installation Génère quelques problèmes car non-trusté
  10. 10. Sensibilisation des utilisateurs Détection d’un mail venant de l’extérieur Utilisation des mailtips (Outlook 2010 et OWA) Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled $true
  11. 11. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
  12. 12. Role Based AccessControl (RBAC) Nouveau modèle de permissions sur Exchange 2010: Permissions gérées par Exchange en nom de l’administrateur Plus besoin d’aller dans l’AD configurer des droits pour les administrateurs Granularité de contrôle jusqu’à la commande ou les paramètres powershell Limite de portée en écriture selon des filtres prédéfinis ou complexes Auto administration des utilisateurs
  13. 13. RBAC: Comment ça marche > New-PSSession –URI https://server.fqdn.com/PowerShell/ > New-Mailbox –Name Bob [Bob Mailbox Object in IIS Pipeline] PSv2 ClientEvan Evan: Role Assignment Runspace PSv2 RBAC Server Runspace New-Mailbox -Name Get-Mailbox WSMan + Set-Mailbox -Name RBAC stack: Authorization Active Directory Exchange IIS: Authentication Server Cmdlets Available in Runspace: New-PSSession Remote Cmdlets Available in Runspace: New-Mailbox -Name Cmdlets Available in Runspace: Get-Mailbox New-Mailbox -Name Set-Mailbox -Name Get-Mailbox Set-Mailbox -Name 13
  14. 14. Fractionnement desautorisations (split permission) Par défaut les administrateurs Exchange ayant le droit de gérer des boites aux lettres peuvent aussi créer et supprimer des comptes Peut être un risque si les administrateurs Exchange ne sont pas supposés pouvoir le faire Recommandé avec RBAC car plus souple Peut aussi être fait avec « setup.com /PrepareAD /ActiveDirectorySplitPermissions:true” Nécessite un reboot des serveurs Exchange Peut être revalidé a tout moment en relançant la commande à « false »
  15. 15. Les Administrateurs Exchange Utiliser un compte différent pour chaque administrateur Restreindre au maximum les droits RBAC Toujours partir des droits les plus restreints. N’élargir que si nécessaire Ne pas utiliser les boite aux lettres des comptes administrateurs Ne pas utiliser un compte standard pour l’administration Ne pas autoriser par défaut l’ouverture de toutes les boites aux lettres par les administrateurs Dissocier le poste d’administration du poste standard
  16. 16. Les groupes de sécuritéExchange « setup /PrepareAD » Créés lors du Définissent les droits Exchange Rajouter un membre dans un rôle groupe lui donne tous les rôles assignés au groupe Rajouter un membre dans le groupe « Exchange Servers » donne accès à tout ce que les serveurs peuvent accéder Rajouter un membre dans « Exchange Windows Permission » donne le droit de modifier tous les comptes et groupes de la forêt Sécurisation des groupes de sécurité Exchange Doivent être supervisés avec de l’audit Windows Peuvent être restreints avec une « Restricted Group Policy » Suppose une mise à jour de la policy après chaque changement
  17. 17. Administrator Audit Logging Actif par défaut Garde trace de toutes les actions administratives entrainant des modifications quelle que soit la source EMC, EMS, ECP La liste des commandes tracées est configurable On peut écrire dans le log par powershell Conserve 90 jours de log par défaut Est récupérable par Powershell ou ECP
  18. 18. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
  19. 19. Sécurité d’accès aux serveurs Seuls les administrateurs supposés administrer les serveurs doivent pouvoir y accéder Accès Physique et à distance en TS Ne pas installer Exchange sur un DC Local admin pour tous les DCs du domaine Dé-valider les fonctionnalités non utilisées sur les boites aux lettres Garder l’ « ExecutionPolicy » Powershell en RemoteSigned (défaut) Implique de gérer ses scripts (voir about_execution_policy)
  20. 20. Mise à jour des serveurs Tous les Correctifs de sécurité doivent être appliqués Les derniers Rollups Exchange doivent être appliqués Les Certificats doivent être valides avec une procédure de renouvellement Sécuriser les fichiers si ils sont exportés avec la clé privée Surveillance avec: System Center Operation Manager (SCOM) Microsoft Based Security Analyzer (MBSA) ExBPA (SCOM le lance régulièrement)
  21. 21. Protection « Denial of Service »DoS Stratégies de limitation du client (Client Throttling) Prévient la saturation d’un serveur par un utilisateur Attention au comptes pour applications tierce ne pouvant avoir de limites Troubleshoot-DatabaseLatency.ps1 permet de mettre en quarantaine des utilisateurs trop actifs Limitation des messages (Message Throttling) Prévient la saturation d’un serveur par des messages Configurable au niveau serveur, connecteurs d’envoi et de réception
  22. 22. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
  23. 23. Outlook Tous les Outlook doivent avoir le dernier service pack ou rollup 2625547 How to install the latest applicable updates for Microsoft Outlook (US English only) Les serveurs sont configurés pour refuser une connexion d’un Outlook non à jour Les profiles doivent être configuré avec l’encryption RPC Par défaut sur Outlook 2007 et 2010 pas sur 2003 Prérequis dé-validé par défaut coté serveur depuis Exchange 2010 SP1 Set-RpcClientAccess –Server Exchange_server_name –EncryptionRequired $True Peut être forcé par GPO coté client
  24. 24. Authentification Kerberos Kerberos est plus sécurisé que NTLM NTLM peut avoir un impact sur les performances serveur pour les gros déploiements Outlook se connecte en NTLM sur un CAS Array a moins de configurer Kerberos Attention: Une erreur de configuration kerberos peut empêcher toute connexion depuis Outlook Après avoir créé le compte et les SPN on peut utiliser RollAlternateserviceAccountCredential.ps1
  25. 25. Encryption SSL De nombreux clients se connectent par IIS Outlook Web App Exchange ActiveSync Outlook Anywhere AutoDiscover Exchange Web Services Offline Address Book (OAB) Le trafic doit rester encrypté Si déchargement SSL (offload) assurez vous de la sécurité du réseau sur la zone non cryptée OAB par défaut non crypté
  26. 26. Mobiles - Activesync Garder les mobiles à jour 2563324 Current issues with Microsoft Exchange ActiveSync and Third Party Devices Mettre les mobiles inconnus en quarantaine par défaut Bloquer les mobiles n’étant pas autorisés à se connecter Il reste possible de les autoriser par utilisateur Forcer au minimum les mobiles a avoir un mot de passe avec une stratégie Activesync Vérifier les fonctionnalités de stratégie implémentées pour le mobile
  27. 27. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
  28. 28. S/MIME Technologie coté client sans interaction avec le serveur Add-On ActiveX pour OWA Permet de signer un message afin d’en assurer l’authentification et l’intégrité Toute modification lors du transit invalide la signature Permet de crypter les messages Les antivirus et anti-spam, ne peuvent pas inspecter le contenu des messages Les règles de transport, ne peuvent pas s’appliquer Les messages ne peuvent pas être indexés pour plus d’infos http://office.microsoft.com/fr-fr/outlook-help/overview-of- certificates-and-cryptographic-e-mail-messaging-in- outlook-HP001230534.aspx?pid=CH100622191033
  29. 29. Confidentialité des messages 29
  30. 30. Gestion des droits relatifs àlinformation (IRM) Service dans Windows Server 2008 R2 Permet de: Empêcher de transférer, modifier, imprimer, télécopier, enregistrer ou couper et coller les messages Protéger les formats de fichier de pièce jointe pris en charge en leur conférant le même niveau de protection que celui du message Prendre en charge l’expiration des messages et pièces jointes Empêcher la copie d’un contenu protégé par IRM à l’aide de l’outil Capture dans Microsoft Windows.
  31. 31. Application des droits Manuellement depuis Outlook Manuellement depuis OWA Manuellement depuis un mobile Le mobile doit soit avoir un client IRM, soit savoir gérer l’interaction avec le serveur d’accès client (SP1) Automatiquement depuis Outlook 2010 Configuration serveur avec New- OutlookProtectionRule Automatiquement par le transport
  32. 32. IRM par le transport Application automatique par le transport: Une règle transport applique le RMS template au message et aux attachements supportés Les règles transport peuvent se déclencher sur le contenu du message ou des attachements 32
  33. 33. Audit d’accès aux boites auxlettres Permet d’auditer l’accès aux boîtes aux lettres par les propriétaires des boîtes aux lettres, les délégués et les administrateurs Enregistre l’accès aux dossiers, le déplacement ou la suppression de messages, l’adresse IP et le host Stocké dans la boite aux lettres Les comptes de service pour logiciels tiers peuvent être exclus
  34. 34. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
  35. 35. Trafic de messages Le trafic de messages SMTP est encrypté avec TLS Intra Organisation La génération de certificats auto-signés lors du setup permet de crypter toute communication SMTP par défaut Peut être dé-validé si besoin (compresseurs de flux) Inter Organisations Nécessite un certificat public valide TLS opportuniste. Exchange essaye d’établir une session TLS si cette option est disponible sur le serveur distant Mutual TLS. Permet de forcer la communication cryptée vers un domaine de messagerie particulier
  36. 36. Règles transport Permettent d’appliquer des stratégies aux messages en transit Intra Organisation Blocage du contenu inapproprié entrant ou sortant Filtrage des informations confidentielles de lorganisation Suivi ou archivage des messages échangés avec des individus spécifiques Redirection des messages entrants et sortants pour inspection avant remise Application de « disclaimer » à des messages transitant par lorganisation.
  37. 37. Forefront Online Protection forExchange (FOPE) External Email Hub Transport Mailbox About 90% of email is junk Service Internet protégeant vos messages entrant et sortant contre les spams, virus, phishing… Réduit la charge réseau sur votre accès Internet en ne laissant passer que les bon mails
  38. 38. Questions?

×