SlideShare une entreprise Scribd logo

Exchange : Comment sécuriser un serveur Exchange 2010

Télécharger en tant que PPTX, PDF
Microsoft Technet France
Microsoft Technet France

Cette session se propose de passer en revue la sécurisation des serveurs Exchange afin de réduire leur surface d'exposition.

Technologie
1  sur  38
palais des congrès Paris 7, 8 et 9 février 2012
Comment sécuriser un serveur Exchange 2010 (MSG305) Jeudi 9 Février 16h00-17h00 Guy Groeneveld Principal Premier Field Engineer Microsoft
Vous êtes dans la salle 352B
Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
Sécurité = Excellence Opérationnelle Rigueur d’exploitation renforcée par MOF ou ITIL Gestion du changement Maintient à niveau des correctifs de sécurité Définition des règles d’accès et d’audit Surveillance des serveurs pour s’assurer de leur conformité
Un environment sécurisé Accès physique restreint Mots de passe renforcés par GPO Accès réseau sécurisé Ipsec Network Access Protection (NAP) Pare-Feu Accès VPN à distance Double authentification Protection des données Bit Locker
Protection contre les virus Anti-virus serveur transport Anti-virus serveur de boites aux lettres Si le poste client peut être infecté Si les dossiers publics sont utilisés Anti-virus fichier Attention aux exclusions Anti-virus poste client L’utilisateur n’est pas administrateur local Le poste est exclu si non-conforme (NAP)
Forefront Protection 2010 for Exchange Server Threat Management Gateway Enterprise Network Edge Transport Hub Transport Routing & Policy External Mail Protection 2010 for Exchange Server Protection 2010 for Exchange Server Mailbox Unified Storage of Messaging mailbox items Voice mail & voice access Mobile phone Protection 2010 for Exchange Server Threat Management Gateway Client Access Phone system Web browser Client connectivity (PBX or VOIP) Web services Outlook (remote user) Line of business applications Outlook (local user)
Exchange sécurisé par défaut Développé selon le « Trustworthy computing lifecycle » Conçu pour résister à des attaques malveillantes Test du code lors de la conception Analyse finale réalisée par une équipe indépendante Le « Security Configuration Wizard » (SCW) est exécuté lors de l’installation Ne pas dé-valider le pare feux Windows Attention aux GPO affectant le pare feux Un certificat auto-signé est créé automatiquement Permet un cryptage immédiatement après l’installation Génère quelques problèmes car non-trusté
Sensibilisation des utilisateurs Détection d’un mail venant de l’extérieur Utilisation des mailtips (Outlook 2010 et OWA) Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled $true
Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
Role Based Access Control (RBAC) Nouveau modèle de permissions sur Exchange 2010: Permissions gérées par Exchange en nom de l’administrateur Plus besoin d’aller dans l’AD configurer des droits pour les administrateurs Granularité de contrôle jusqu’à la commande ou les paramètres powershell Limite de portée en écriture selon des filtres prédéfinis ou complexes Auto administration des utilisateurs
RBAC: Comment ça marche > New-PSSession –URI https://server.fqdn.com/PowerShell/ > New-Mailbox –Name Bob [Bob Mailbox Object in IIS Pipeline] PSv2 Client Evan Evan: Role Assignment Runspace PSv2 RBAC Server Runspace New-Mailbox -Name Get-Mailbox WSMan + Set-Mailbox -Name RBAC stack: Authorization Active Directory Exchange IIS: Authentication Server Cmdlets Available in Runspace: New-PSSession Remote Cmdlets Available in Runspace: New-Mailbox -Name Cmdlets Available in Runspace: Get-Mailbox New-Mailbox -Name Set-Mailbox -Name Get-Mailbox Set-Mailbox -Name 13
Fractionnement des autorisations (split permission) Par défaut les administrateurs Exchange ayant le droit de gérer des boites aux lettres peuvent aussi créer et supprimer des comptes Peut être un risque si les administrateurs Exchange ne sont pas supposés pouvoir le faire Recommandé avec RBAC car plus souple Peut aussi être fait avec « setup.com /PrepareAD /ActiveDirectorySplitPermissions:true” Nécessite un reboot des serveurs Exchange Peut être revalidé a tout moment en relançant la commande à « false »
Les Administrateurs Exchange Utiliser un compte différent pour chaque administrateur Restreindre au maximum les droits RBAC Toujours partir des droits les plus restreints. N’élargir que si nécessaire Ne pas utiliser les boite aux lettres des comptes administrateurs Ne pas utiliser un compte standard pour l’administration Ne pas autoriser par défaut l’ouverture de toutes les boites aux lettres par les administrateurs Dissocier le poste d’administration du poste standard
Les groupes de sécurité Exchange « setup /PrepareAD » Créés lors du Définissent les droits Exchange Rajouter un membre dans un rôle groupe lui donne tous les rôles assignés au groupe Rajouter un membre dans le groupe « Exchange Servers » donne accès à tout ce que les serveurs peuvent accéder Rajouter un membre dans « Exchange Windows Permission » donne le droit de modifier tous les comptes et groupes de la forêt Sécurisation des groupes de sécurité Exchange Doivent être supervisés avec de l’audit Windows Peuvent être restreints avec une « Restricted Group Policy » Suppose une mise à jour de la policy après chaque changement
Administrator Audit Logging Actif par défaut Garde trace de toutes les actions administratives entrainant des modifications quelle que soit la source EMC, EMS, ECP La liste des commandes tracées est configurable On peut écrire dans le log par powershell Conserve 90 jours de log par défaut Est récupérable par Powershell ou ECP
Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
Sécurité d’accès aux serveurs Seuls les administrateurs supposés administrer les serveurs doivent pouvoir y accéder Accès Physique et à distance en TS Ne pas installer Exchange sur un DC Local admin pour tous les DCs du domaine Dé-valider les fonctionnalités non utilisées sur les boites aux lettres Garder l’ « ExecutionPolicy » Powershell en RemoteSigned (défaut) Implique de gérer ses scripts (voir about_execution_policy)
Mise à jour des serveurs Tous les Correctifs de sécurité doivent être appliqués Les derniers Rollups Exchange doivent être appliqués Les Certificats doivent être valides avec une procédure de renouvellement Sécuriser les fichiers si ils sont exportés avec la clé privée Surveillance avec: System Center Operation Manager (SCOM) Microsoft Based Security Analyzer (MBSA) ExBPA (SCOM le lance régulièrement)
Protection « Denial of Service » DoS Stratégies de limitation du client (Client Throttling) Prévient la saturation d’un serveur par un utilisateur Attention au comptes pour applications tierce ne pouvant avoir de limites Troubleshoot-DatabaseLatency.ps1 permet de mettre en quarantaine des utilisateurs trop actifs Limitation des messages (Message Throttling) Prévient la saturation d’un serveur par des messages Configurable au niveau serveur, connecteurs d’envoi et de réception
Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
Outlook Tous les Outlook doivent avoir le dernier service pack ou rollup 2625547 How to install the latest applicable updates for Microsoft Outlook (US English only) Les serveurs sont configurés pour refuser une connexion d’un Outlook non à jour Les profiles doivent être configuré avec l’encryption RPC Par défaut sur Outlook 2007 et 2010 pas sur 2003 Prérequis dé-validé par défaut coté serveur depuis Exchange 2010 SP1 Set-RpcClientAccess –Server Exchange_server_name –EncryptionRequired $True Peut être forcé par GPO coté client
Authentification Kerberos Kerberos est plus sécurisé que NTLM NTLM peut avoir un impact sur les performances serveur pour les gros déploiements Outlook se connecte en NTLM sur un CAS Array a moins de configurer Kerberos Attention: Une erreur de configuration kerberos peut empêcher toute connexion depuis Outlook Après avoir créé le compte et les SPN on peut utiliser RollAlternateserviceAccountCredential.ps1
Encryption SSL De nombreux clients se connectent par IIS Outlook Web App Exchange ActiveSync Outlook Anywhere AutoDiscover Exchange Web Services Offline Address Book (OAB) Le trafic doit rester encrypté Si déchargement SSL (offload) assurez vous de la sécurité du réseau sur la zone non cryptée OAB par défaut non crypté
Mobiles - Activesync Garder les mobiles à jour 2563324 Current issues with Microsoft Exchange ActiveSync and Third Party Devices Mettre les mobiles inconnus en quarantaine par défaut Bloquer les mobiles n’étant pas autorisés à se connecter Il reste possible de les autoriser par utilisateur Forcer au minimum les mobiles a avoir un mot de passe avec une stratégie Activesync Vérifier les fonctionnalités de stratégie implémentées pour le mobile
Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
S/MIME Technologie coté client sans interaction avec le serveur Add-On ActiveX pour OWA Permet de signer un message afin d’en assurer l’authentification et l’intégrité Toute modification lors du transit invalide la signature Permet de crypter les messages Les antivirus et anti-spam, ne peuvent pas inspecter le contenu des messages Les règles de transport, ne peuvent pas s’appliquer Les messages ne peuvent pas être indexés pour plus d’infos http://office.microsoft.com/fr-fr/outlook-help/overview-of- certificates-and-cryptographic-e-mail-messaging-in- outlook-HP001230534.aspx?pid=CH100622191033
Confidentialité des messages 29
Gestion des droits relatifs à l'information (IRM) Service dans Windows Server 2008 R2 Permet de: Empêcher de transférer, modifier, imprimer, télécopier, enregistrer ou couper et coller les messages Protéger les formats de fichier de pièce jointe pris en charge en leur conférant le même niveau de protection que celui du message Prendre en charge l’expiration des messages et pièces jointes Empêcher la copie d’un contenu protégé par IRM à l’aide de l’outil Capture dans Microsoft Windows.
Application des droits Manuellement depuis Outlook Manuellement depuis OWA Manuellement depuis un mobile Le mobile doit soit avoir un client IRM, soit savoir gérer l’interaction avec le serveur d’accès client (SP1) Automatiquement depuis Outlook 2010 Configuration serveur avec New- OutlookProtectionRule Automatiquement par le transport
IRM par le transport Application automatique par le transport: Une règle transport applique le RMS template au message et aux attachements supportés Les règles transport peuvent se déclencher sur le contenu du message ou des attachements 32
Audit d’accès aux boites aux lettres Permet d’auditer l’accès aux boîtes aux lettres par les propriétaires des boîtes aux lettres, les délégués et les administrateurs Enregistre l’accès aux dossiers, le déplacement ou la suppression de messages, l’adresse IP et le host Stocké dans la boite aux lettres Les comptes de service pour logiciels tiers peuvent être exclus
Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
Trafic de messages Le trafic de messages SMTP est encrypté avec TLS Intra Organisation La génération de certificats auto-signés lors du setup permet de crypter toute communication SMTP par défaut Peut être dé-validé si besoin (compresseurs de flux) Inter Organisations Nécessite un certificat public valide TLS opportuniste. Exchange essaye d’établir une session TLS si cette option est disponible sur le serveur distant Mutual TLS. Permet de forcer la communication cryptée vers un domaine de messagerie particulier
Règles transport Permettent d’appliquer des stratégies aux messages en transit Intra Organisation Blocage du contenu inapproprié entrant ou sortant Filtrage des informations confidentielles de l'organisation Suivi ou archivage des messages échangés avec des individus spécifiques Redirection des messages entrants et sortants pour inspection avant remise Application de « disclaimer » à des messages transitant par l'organisation.
Forefront Online Protection for Exchange (FOPE) External Email Hub Transport Mailbox About 90% of email is junk Service Internet protégeant vos messages entrant et sortant contre les spams, virus, phishing… Réduit la charge réseau sur votre accès Internet en ne laissant passer que les bon mails
Questions?

Recommandé

Ad設計
Ad設計Ad設計
Ad設計Naoki Abe
 
Java entreprise edition et industrialisation du génie logiciel par m.youssfi
Java entreprise edition et industrialisation du génie logiciel par m.youssfiJava entreprise edition et industrialisation du génie logiciel par m.youssfi
Java entreprise edition et industrialisation du génie logiciel par m.youssfiENSET, Université Hassan II Casablanca
 
COD2012 九州会場 Active Directory 障害対策
COD2012 九州会場 Active Directory 障害対策COD2012 九州会場 Active Directory 障害対策
COD2012 九州会場 Active Directory 障害対策wintechq
 
Microsoft Windows Server 2012 R2 Hyper V server overview
Microsoft Windows Server 2012 R2 Hyper V server overviewMicrosoft Windows Server 2012 R2 Hyper V server overview
Microsoft Windows Server 2012 R2 Hyper V server overviewaboobakar sanjar
 
VMware vSphere Networking deep dive
VMware vSphere Networking deep diveVMware vSphere Networking deep dive
VMware vSphere Networking deep diveSanjeev Kumar
 
From frustration to fascination: dissecting Replication
From frustration to fascination: dissecting ReplicationFrom frustration to fascination: dissecting Replication
From frustration to fascination: dissecting ReplicationBenedek Menesi
 
Architectures orientés services (SOA)
Architectures orientés services (SOA)Architectures orientés services (SOA)
Architectures orientés services (SOA)Heithem Abbes
 
How to use ADMT on Windows Server 2022
How to use ADMT on Windows Server 2022How to use ADMT on Windows Server 2022
How to use ADMT on Windows Server 2022Michinari Kobuna
 

Recommandé

Ad設計
Ad設計Ad設計
Ad設計Naoki Abe
 
Java entreprise edition et industrialisation du génie logiciel par m.youssfi
Java entreprise edition et industrialisation du génie logiciel par m.youssfiJava entreprise edition et industrialisation du génie logiciel par m.youssfi
Java entreprise edition et industrialisation du génie logiciel par m.youssfiENSET, Université Hassan II Casablanca
 
COD2012 九州会場 Active Directory 障害対策
COD2012 九州会場 Active Directory 障害対策COD2012 九州会場 Active Directory 障害対策
COD2012 九州会場 Active Directory 障害対策wintechq
 
Microsoft Windows Server 2012 R2 Hyper V server overview
Microsoft Windows Server 2012 R2 Hyper V server overviewMicrosoft Windows Server 2012 R2 Hyper V server overview
Microsoft Windows Server 2012 R2 Hyper V server overviewaboobakar sanjar
 
VMware vSphere Networking deep dive
VMware vSphere Networking deep diveVMware vSphere Networking deep dive
VMware vSphere Networking deep diveSanjeev Kumar
 
From frustration to fascination: dissecting Replication
From frustration to fascination: dissecting ReplicationFrom frustration to fascination: dissecting Replication
From frustration to fascination: dissecting ReplicationBenedek Menesi
 
Architectures orientés services (SOA)
Architectures orientés services (SOA)Architectures orientés services (SOA)
Architectures orientés services (SOA)Heithem Abbes
 
How to use ADMT on Windows Server 2022
How to use ADMT on Windows Server 2022How to use ADMT on Windows Server 2022
How to use ADMT on Windows Server 2022Michinari Kobuna
 
Workshop Spring - Session 1 - L'offre Spring et les bases
Workshop Spring - Session 1 - L'offre Spring et les basesWorkshop Spring - Session 1 - L'offre Spring et les bases
Workshop Spring - Session 1 - L'offre Spring et les basesAntoine Rey
 
Apache Camel - Parte II
Apache Camel - Parte IIApache Camel - Parte II
Apache Camel - Parte IIAbimael Desales López
 
eServices-Chp4: ESB
eServices-Chp4: ESBeServices-Chp4: ESB
eServices-Chp4: ESBLilia Sfaxi
 
Concevoir, développer et sécuriser des micro-services avec Spring Boot
Concevoir, développer et sécuriser des micro-services avec Spring BootConcevoir, développer et sécuriser des micro-services avec Spring Boot
Concevoir, développer et sécuriser des micro-services avec Spring BootDNG Consulting
 
Recap: Windows Server 2019 Failover Clustering
Recap: Windows Server 2019 Failover ClusteringRecap: Windows Server 2019 Failover Clustering
Recap: Windows Server 2019 Failover ClusteringKazuki Takai
 
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門Trainocate Japan, Ltd.
 
Engage2022 - Domino Admin Tips
Engage2022 - Domino Admin TipsEngage2022 - Domino Admin Tips
Engage2022 - Domino Admin TipsGabriella Davis
 
Angular Best Practices - Perfomatix
Angular Best Practices - PerfomatixAngular Best Practices - Perfomatix
Angular Best Practices - PerfomatixPerfomatix Solutions
 
Alphorm.com Formation RDS Windows Server 2012 R2
Alphorm.com Formation RDS Windows Server 2012 R2Alphorm.com Formation RDS Windows Server 2012 R2
Alphorm.com Formation RDS Windows Server 2012 R2Alphorm
 
Veeam back up and replication presentation
Veeam back up and replication presentation Veeam back up and replication presentation
Veeam back up and replication presentation BlueChipICT
 
Introduction àJava
Introduction àJavaIntroduction àJava
Introduction àJavaChristophe Vaudry
 
Active Directory をInternetから使用するための4つのシナリオ
Active Directory をInternetから使用するための4つのシナリオActive Directory をInternetから使用するための4つのシナリオ
Active Directory をInternetから使用するための4つのシナリオjunichi anno
 
Daos
DaosDaos
DaosUlrich Krause
 
Fighting Abuse with DNS
Fighting Abuse with DNSFighting Abuse with DNS
Fighting Abuse with DNSMen and Mice
 
Oracle OSB Tutorial 1
Oracle OSB Tutorial 1Oracle OSB Tutorial 1
Oracle OSB Tutorial 1Rakesh Gujjarlapudi
 
Best Practice TLS for IBM Domino
Best Practice TLS for IBM DominoBest Practice TLS for IBM Domino
Best Practice TLS for IBM DominoJared Roberts
 
Introduction to thymeleaf
Introduction to thymeleafIntroduction to thymeleaf
Introduction to thymeleafNexThoughts Technologies
 
Alphorm.com Formation Red Hat RH124
Alphorm.com Formation Red Hat RH124Alphorm.com Formation Red Hat RH124
Alphorm.com Formation Red Hat RH124Alphorm
 
Domino Adminblast
Domino AdminblastDomino Adminblast
Domino AdminblastGabriella Davis
 
Salesforce SOAP API + C#
Salesforce SOAP API + C#Salesforce SOAP API + C#
Salesforce SOAP API + C#Tomoyuki Okada
 
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012Manassé Achim kpaya
 
Exchange 2013 Bonnes pratiques
Exchange 2013 Bonnes pratiques Exchange 2013 Bonnes pratiques
Exchange 2013 Bonnes pratiques Microsoft Technet France
 

Contenu connexe

Tendances

Workshop Spring - Session 1 - L'offre Spring et les bases
Workshop Spring - Session 1 - L'offre Spring et les basesWorkshop Spring - Session 1 - L'offre Spring et les bases
Workshop Spring - Session 1 - L'offre Spring et les basesAntoine Rey
 
eServices-Chp4: ESB
eServices-Chp4: ESBeServices-Chp4: ESB
eServices-Chp4: ESBLilia Sfaxi
 
Concevoir, développer et sécuriser des micro-services avec Spring Boot
Concevoir, développer et sécuriser des micro-services avec Spring BootConcevoir, développer et sécuriser des micro-services avec Spring Boot
Concevoir, développer et sécuriser des micro-services avec Spring BootDNG Consulting
 
Recap: Windows Server 2019 Failover Clustering
Recap: Windows Server 2019 Failover ClusteringRecap: Windows Server 2019 Failover Clustering
Recap: Windows Server 2019 Failover ClusteringKazuki Takai
 
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門Trainocate Japan, Ltd.
 
Engage2022 - Domino Admin Tips
Engage2022 - Domino Admin TipsEngage2022 - Domino Admin Tips
Engage2022 - Domino Admin TipsGabriella Davis
 
Angular Best Practices - Perfomatix
Angular Best Practices - PerfomatixAngular Best Practices - Perfomatix
Angular Best Practices - PerfomatixPerfomatix Solutions
 
Alphorm.com Formation RDS Windows Server 2012 R2
Alphorm.com Formation RDS Windows Server 2012 R2Alphorm.com Formation RDS Windows Server 2012 R2
Alphorm.com Formation RDS Windows Server 2012 R2Alphorm
 
Veeam back up and replication presentation
Veeam back up and replication presentation Veeam back up and replication presentation
Veeam back up and replication presentation BlueChipICT
 
Active Directory をInternetから使用するための4つのシナリオ
Active Directory をInternetから使用するための4つのシナリオActive Directory をInternetから使用するための4つのシナリオ
Active Directory をInternetから使用するための4つのシナリオjunichi anno
 
Fighting Abuse with DNS
Fighting Abuse with DNSFighting Abuse with DNS
Fighting Abuse with DNSMen and Mice
 
Best Practice TLS for IBM Domino
Best Practice TLS for IBM DominoBest Practice TLS for IBM Domino
Best Practice TLS for IBM DominoJared Roberts
 
Alphorm.com Formation Red Hat RH124
Alphorm.com Formation Red Hat RH124Alphorm.com Formation Red Hat RH124
Alphorm.com Formation Red Hat RH124Alphorm
 
Salesforce SOAP API + C#
Salesforce SOAP API + C#Salesforce SOAP API + C#
Salesforce SOAP API + C#Tomoyuki Okada
 

Tendances (20)

Workshop Spring - Session 1 - L'offre Spring et les bases
Workshop Spring - Session 1 - L'offre Spring et les basesWorkshop Spring - Session 1 - L'offre Spring et les bases
Workshop Spring - Session 1 - L'offre Spring et les bases
 
Apache Camel - Parte II
Apache Camel - Parte IIApache Camel - Parte II
Apache Camel - Parte II
 
eServices-Chp4: ESB
eServices-Chp4: ESBeServices-Chp4: ESB
eServices-Chp4: ESB
 
Concevoir, développer et sécuriser des micro-services avec Spring Boot
Concevoir, développer et sécuriser des micro-services avec Spring BootConcevoir, développer et sécuriser des micro-services avec Spring Boot
Concevoir, développer et sécuriser des micro-services avec Spring Boot
 
Recap: Windows Server 2019 Failover Clustering
Recap: Windows Server 2019 Failover ClusteringRecap: Windows Server 2019 Failover Clustering
Recap: Windows Server 2019 Failover Clustering
 
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
 
Engage2022 - Domino Admin Tips
Engage2022 - Domino Admin TipsEngage2022 - Domino Admin Tips
Engage2022 - Domino Admin Tips
 
Angular Best Practices - Perfomatix
Angular Best Practices - PerfomatixAngular Best Practices - Perfomatix
Angular Best Practices - Perfomatix
 
Alphorm.com Formation RDS Windows Server 2012 R2
Alphorm.com Formation RDS Windows Server 2012 R2Alphorm.com Formation RDS Windows Server 2012 R2
Alphorm.com Formation RDS Windows Server 2012 R2
 
Veeam back up and replication presentation
Veeam back up and replication presentation Veeam back up and replication presentation
Veeam back up and replication presentation
 
Introduction àJava
Introduction àJavaIntroduction àJava
Introduction àJava
 
Active Directory をInternetから使用するための4つのシナリオ
Active Directory をInternetから使用するための4つのシナリオActive Directory をInternetから使用するための4つのシナリオ
Active Directory をInternetから使用するための4つのシナリオ
 
Daos
DaosDaos
Daos
 
Fighting Abuse with DNS
Fighting Abuse with DNSFighting Abuse with DNS
Fighting Abuse with DNS
 
Oracle OSB Tutorial 1
Oracle OSB Tutorial 1Oracle OSB Tutorial 1
Oracle OSB Tutorial 1
 
Best Practice TLS for IBM Domino
Best Practice TLS for IBM DominoBest Practice TLS for IBM Domino
Best Practice TLS for IBM Domino
 
Introduction to thymeleaf
Introduction to thymeleafIntroduction to thymeleaf
Introduction to thymeleaf
 
Alphorm.com Formation Red Hat RH124
Alphorm.com Formation Red Hat RH124Alphorm.com Formation Red Hat RH124
Alphorm.com Formation Red Hat RH124
 
Domino Adminblast
Domino AdminblastDomino Adminblast
Domino Adminblast
 
Salesforce SOAP API + C#
Salesforce SOAP API + C#Salesforce SOAP API + C#
Salesforce SOAP API + C#
 

En vedette

MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012Manassé Achim kpaya
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIPapa Cheikh Cisse
 
alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)Alphorm
 
JSS2014 – Automatiser l’administration SQL avec SMO et C#
JSS2014 – Automatiser l’administration SQL avec SMO et C#JSS2014 – Automatiser l’administration SQL avec SMO et C#
JSS2014 – Automatiser l’administration SQL avec SMO et C#GUSS
 
Messagerie Collaborative Zimbra Maroc
Messagerie Collaborative Zimbra MarocMessagerie Collaborative Zimbra Maroc
Messagerie Collaborative Zimbra MarocTech-IT Maroc
 
Exchange 2013 Dimensionnement et Performance
Exchange 2013 Dimensionnement et Performance Exchange 2013 Dimensionnement et Performance
Exchange 2013 Dimensionnement et Performance Microsoft Technet France
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAManassé Achim kpaya
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOManassé Achim kpaya
 
Microsoft Exchange 2013 architecture
Microsoft Exchange 2013 architectureMicrosoft Exchange 2013 architecture
Microsoft Exchange 2013 architectureMotty Ben Atia
 
Microsoft Exchange 2013 Introduction
Microsoft Exchange 2013 IntroductionMicrosoft Exchange 2013 Introduction
Microsoft Exchange 2013 IntroductionMotty Ben Atia
 
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...Manassé Achim kpaya
 
Pidgins and creoles
Pidgins and creolesPidgins and creoles
Pidgins and creolesHassa Alfafa
 
Rapport de stage exchange
Rapport de stage exchangeRapport de stage exchange
Rapport de stage exchangehindif
 
Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm.com Formation Lync Server 2013 (70-336)Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm.com Formation Lync Server 2013 (70-336)Alphorm
 
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...Microsoft Décideurs IT
 
Les solutions d’Email Retargeting par Clic et Site
Les solutions d’Email Retargeting par Clic et SiteLes solutions d’Email Retargeting par Clic et Site
Les solutions d’Email Retargeting par Clic et SiteJonathan Loriaux
 

En vedette (20)

MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
 
Exchange 2013 Bonnes pratiques
Exchange 2013 Bonnes pratiques Exchange 2013 Bonnes pratiques
Exchange 2013 Bonnes pratiques
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
 
alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)
 
JSS2014 – Automatiser l’administration SQL avec SMO et C#
JSS2014 – Automatiser l’administration SQL avec SMO et C#JSS2014 – Automatiser l’administration SQL avec SMO et C#
JSS2014 – Automatiser l’administration SQL avec SMO et C#
 
Messagerie Collaborative Zimbra Maroc
Messagerie Collaborative Zimbra MarocMessagerie Collaborative Zimbra Maroc
Messagerie Collaborative Zimbra Maroc
 
Exchange 2013 Dimensionnement et Performance
Exchange 2013 Dimensionnement et Performance Exchange 2013 Dimensionnement et Performance
Exchange 2013 Dimensionnement et Performance
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
 
Microsoft Exchange 2013 architecture
Microsoft Exchange 2013 architectureMicrosoft Exchange 2013 architecture
Microsoft Exchange 2013 architecture
 
Microsoft Exchange 2013 Introduction
Microsoft Exchange 2013 IntroductionMicrosoft Exchange 2013 Introduction
Microsoft Exchange 2013 Introduction
 
Exchange 2013
Exchange 2013Exchange 2013
Exchange 2013
 
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
 
Pidgins and creoles
Pidgins and creolesPidgins and creoles
Pidgins and creoles
 
Exchange 2013 ABC's: Architecture, Best Practices and Client Access
Exchange 2013 ABC's: Architecture, Best Practices and Client AccessExchange 2013 ABC's: Architecture, Best Practices and Client Access
Exchange 2013 ABC's: Architecture, Best Practices and Client Access
 
Rapport de stage exchange
Rapport de stage exchangeRapport de stage exchange
Rapport de stage exchange
 
Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm.com Formation Lync Server 2013 (70-336)Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm.com Formation Lync Server 2013 (70-336)
 
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
 
Les solutions d’Email Retargeting par Clic et Site
Les solutions d’Email Retargeting par Clic et SiteLes solutions d’Email Retargeting par Clic et Site
Les solutions d’Email Retargeting par Clic et Site
 
Clefs GPG
Clefs GPGClefs GPG
Clefs GPG
 

Similaire à Exchange : Comment sécuriser un serveur Exchange 2010

Présentation Exchange 2010
Présentation Exchange 2010Présentation Exchange 2010
Présentation Exchange 2010Majid CHADAD
 
Mise en place d'un serveur de mail complet linux server wiki
Mise en place d'un serveur de mail complet linux server wikiMise en place d'un serveur de mail complet linux server wiki
Mise en place d'un serveur de mail complet linux server wikidebaros
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIPapa Cheikh Cisse
 
Webcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de chargeWebcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de chargeiTProFR
 
GlassFish ESB Ch'ti JUG
GlassFish ESB Ch'ti JUGGlassFish ESB Ch'ti JUG
GlassFish ESB Ch'ti JUGCh'ti JUG
 
Café techno: nouveautes vSphere5 solution de virtualisation
Café techno: nouveautes vSphere5 solution de virtualisationCafé techno: nouveautes vSphere5 solution de virtualisation
Café techno: nouveautes vSphere5 solution de virtualisationGroupe D.FI
 
Soirée SOA - 2010-06-15 - Présentation de l'ESB Petals
Soirée SOA - 2010-06-15 - Présentation de l'ESB PetalsSoirée SOA - 2010-06-15 - Présentation de l'ESB Petals
Soirée SOA - 2010-06-15 - Présentation de l'ESB PetalsNormandy JUG
 
L'optimisation des réseaux WAN avec CISCO WAAS
L'optimisation des réseaux WAN avec CISCO WAASL'optimisation des réseaux WAN avec CISCO WAAS
L'optimisation des réseaux WAN avec CISCO WAASGroupe IDYAL
 
La collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineLa collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineMicrosoft Technet France
 
La collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineLa collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineMicrosoft Décideurs IT
 
Scom et orchestrator main dans la main (ser214)
Scom et orchestrator main dans la main (ser214)Scom et orchestrator main dans la main (ser214)
Scom et orchestrator main dans la main (ser214)Jean-François BERENGUER
 
Rapport MS Exchange 2010
Rapport MS Exchange 2010Rapport MS Exchange 2010
Rapport MS Exchange 2010Majid CHADAD
 
Sécurité des web services soap
Sécurité des web services soapSécurité des web services soap
Sécurité des web services soapZakaria SMAHI
 
Rencontre mensuelle Montreal - juillet 2012 - kerberos
Rencontre mensuelle Montreal - juillet 2012 - kerberosRencontre mensuelle Montreal - juillet 2012 - kerberos
Rencontre mensuelle Montreal - juillet 2012 - kerberosNicolas Georgeault
 
Mule ESB Summit 2010 avec Ippon
Mule ESB Summit 2010 avec IpponMule ESB Summit 2010 avec Ippon
Mule ESB Summit 2010 avec IpponIppon
 
[GAB2016] La sécurité dans Azure - Estelle Auberix
[GAB2016] La sécurité dans Azure - Estelle Auberix[GAB2016] La sécurité dans Azure - Estelle Auberix
[GAB2016] La sécurité dans Azure - Estelle AuberixCellenza
 
Optimisation du stockage share point 2010
Optimisation du stockage share point 2010Optimisation du stockage share point 2010
Optimisation du stockage share point 2010Nicolas Georgeault
 

Similaire à Exchange : Comment sécuriser un serveur Exchange 2010 (20)

Présentation Exchange 2010
Présentation Exchange 2010Présentation Exchange 2010
Présentation Exchange 2010
 
Mise en place d'un serveur de mail complet linux server wiki
Mise en place d'un serveur de mail complet linux server wikiMise en place d'un serveur de mail complet linux server wiki
Mise en place d'un serveur de mail complet linux server wiki
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
 
Webcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de chargeWebcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de charge
 
GlassFish ESB Ch'ti JUG
GlassFish ESB Ch'ti JUGGlassFish ESB Ch'ti JUG
GlassFish ESB Ch'ti JUG
 
Café techno: nouveautes vSphere5 solution de virtualisation
Café techno: nouveautes vSphere5 solution de virtualisationCafé techno: nouveautes vSphere5 solution de virtualisation
Café techno: nouveautes vSphere5 solution de virtualisation
 
Soirée SOA - 2010-06-15 - Présentation de l'ESB Petals
Soirée SOA - 2010-06-15 - Présentation de l'ESB PetalsSoirée SOA - 2010-06-15 - Présentation de l'ESB Petals
Soirée SOA - 2010-06-15 - Présentation de l'ESB Petals
 
L'optimisation des réseaux WAN avec CISCO WAAS
L'optimisation des réseaux WAN avec CISCO WAASL'optimisation des réseaux WAN avec CISCO WAAS
L'optimisation des réseaux WAN avec CISCO WAAS
 
Support JEE Servlet Jsp MVC M.Youssfi
Support JEE Servlet Jsp MVC M.YoussfiSupport JEE Servlet Jsp MVC M.Youssfi
Support JEE Servlet Jsp MVC M.Youssfi
 
La collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineLa collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et online
 
La collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineLa collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et online
 
Scom et orchestrator main dans la main (ser214)
Scom et orchestrator main dans la main (ser214)Scom et orchestrator main dans la main (ser214)
Scom et orchestrator main dans la main (ser214)
 
Rapport MS Exchange 2010
Rapport MS Exchange 2010Rapport MS Exchange 2010
Rapport MS Exchange 2010
 
Sécurité des web services soap
Sécurité des web services soapSécurité des web services soap
Sécurité des web services soap
 
Rencontre mensuelle Montreal - juillet 2012 - kerberos
Rencontre mensuelle Montreal - juillet 2012 - kerberosRencontre mensuelle Montreal - juillet 2012 - kerberos
Rencontre mensuelle Montreal - juillet 2012 - kerberos
 
Mule ESB Summit 2010 avec Ippon
Mule ESB Summit 2010 avec IpponMule ESB Summit 2010 avec Ippon
Mule ESB Summit 2010 avec Ippon
 
[GAB2016] La sécurité dans Azure - Estelle Auberix
[GAB2016] La sécurité dans Azure - Estelle Auberix[GAB2016] La sécurité dans Azure - Estelle Auberix
[GAB2016] La sécurité dans Azure - Estelle Auberix
 
Pourquoi migrer vers exchange 2010
Pourquoi migrer vers exchange 2010Pourquoi migrer vers exchange 2010
Pourquoi migrer vers exchange 2010
 
E4 sp2 Exchange
E4 sp2 ExchangeE4 sp2 Exchange
E4 sp2 Exchange
 
Optimisation du stockage share point 2010
Optimisation du stockage share point 2010Optimisation du stockage share point 2010
Optimisation du stockage share point 2010
 

Plus de Microsoft Technet France

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Microsoft Technet France
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Microsoft Technet France
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...Microsoft Technet France
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesMicrosoft Technet France
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureMicrosoft Technet France
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityMicrosoft Technet France
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationMicrosoft Technet France
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeMicrosoft Technet France
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceMicrosoft Technet France
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Microsoft Technet France
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Microsoft Technet France
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftMicrosoft Technet France
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Microsoft Technet France
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudMicrosoft Technet France
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Microsoft Technet France
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesMicrosoft Technet France
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneMicrosoft Technet France
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsMicrosoft Technet France
 

Plus de Microsoft Technet France (20)

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
 

Exchange : Comment sécuriser un serveur Exchange 2010

  • 1. palais des congrès Paris 7, 8 et 9 février 2012
  • 2. Comment sécuriser un serveur Exchange 2010 (MSG305) Jeudi 9 Février 16h00-17h00 Guy Groeneveld Principal Premier Field Engineer Microsoft
  • 3. Vous êtes dans la salle 352B
  • 4. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
  • 5. Sécurité = Excellence Opérationnelle Rigueur d’exploitation renforcée par MOF ou ITIL Gestion du changement Maintient à niveau des correctifs de sécurité Définition des règles d’accès et d’audit Surveillance des serveurs pour s’assurer de leur conformité
  • 6. Un environment sécurisé Accès physique restreint Mots de passe renforcés par GPO Accès réseau sécurisé Ipsec Network Access Protection (NAP) Pare-Feu Accès VPN à distance Double authentification Protection des données Bit Locker
  • 7. Protection contre les virus Anti-virus serveur transport Anti-virus serveur de boites aux lettres Si le poste client peut être infecté Si les dossiers publics sont utilisés Anti-virus fichier Attention aux exclusions Anti-virus poste client L’utilisateur n’est pas administrateur local Le poste est exclu si non-conforme (NAP)
  • 8. Forefront Protection 2010 for Exchange Server Threat Management Gateway Enterprise Network Edge Transport Hub Transport Routing & Policy External Mail Protection 2010 for Exchange Server Protection 2010 for Exchange Server Mailbox Unified Storage of Messaging mailbox items Voice mail & voice access Mobile phone Protection 2010 for Exchange Server Threat Management Gateway Client Access Phone system Web browser Client connectivity (PBX or VOIP) Web services Outlook (remote user) Line of business applications Outlook (local user)
  • 9. Exchange sécurisé par défaut Développé selon le « Trustworthy computing lifecycle » Conçu pour résister à des attaques malveillantes Test du code lors de la conception Analyse finale réalisée par une équipe indépendante Le « Security Configuration Wizard » (SCW) est exécuté lors de l’installation Ne pas dé-valider le pare feux Windows Attention aux GPO affectant le pare feux Un certificat auto-signé est créé automatiquement Permet un cryptage immédiatement après l’installation Génère quelques problèmes car non-trusté
  • 10. Sensibilisation des utilisateurs Détection d’un mail venant de l’extérieur Utilisation des mailtips (Outlook 2010 et OWA) Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled $true
  • 11. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
  • 12. Role Based Access Control (RBAC) Nouveau modèle de permissions sur Exchange 2010: Permissions gérées par Exchange en nom de l’administrateur Plus besoin d’aller dans l’AD configurer des droits pour les administrateurs Granularité de contrôle jusqu’à la commande ou les paramètres powershell Limite de portée en écriture selon des filtres prédéfinis ou complexes Auto administration des utilisateurs
  • 13. RBAC: Comment ça marche > New-PSSession –URI https://server.fqdn.com/PowerShell/ > New-Mailbox –Name Bob [Bob Mailbox Object in IIS Pipeline] PSv2 Client Evan Evan: Role Assignment Runspace PSv2 RBAC Server Runspace New-Mailbox -Name Get-Mailbox WSMan + Set-Mailbox -Name RBAC stack: Authorization Active Directory Exchange IIS: Authentication Server Cmdlets Available in Runspace: New-PSSession Remote Cmdlets Available in Runspace: New-Mailbox -Name Cmdlets Available in Runspace: Get-Mailbox New-Mailbox -Name Set-Mailbox -Name Get-Mailbox Set-Mailbox -Name 13
  • 14. Fractionnement des autorisations (split permission) Par défaut les administrateurs Exchange ayant le droit de gérer des boites aux lettres peuvent aussi créer et supprimer des comptes Peut être un risque si les administrateurs Exchange ne sont pas supposés pouvoir le faire Recommandé avec RBAC car plus souple Peut aussi être fait avec « setup.com /PrepareAD /ActiveDirectorySplitPermissions:true” Nécessite un reboot des serveurs Exchange Peut être revalidé a tout moment en relançant la commande à « false »
  • 15. Les Administrateurs Exchange Utiliser un compte différent pour chaque administrateur Restreindre au maximum les droits RBAC Toujours partir des droits les plus restreints. N’élargir que si nécessaire Ne pas utiliser les boite aux lettres des comptes administrateurs Ne pas utiliser un compte standard pour l’administration Ne pas autoriser par défaut l’ouverture de toutes les boites aux lettres par les administrateurs Dissocier le poste d’administration du poste standard
  • 16. Les groupes de sécurité Exchange « setup /PrepareAD » Créés lors du Définissent les droits Exchange Rajouter un membre dans un rôle groupe lui donne tous les rôles assignés au groupe Rajouter un membre dans le groupe « Exchange Servers » donne accès à tout ce que les serveurs peuvent accéder Rajouter un membre dans « Exchange Windows Permission » donne le droit de modifier tous les comptes et groupes de la forêt Sécurisation des groupes de sécurité Exchange Doivent être supervisés avec de l’audit Windows Peuvent être restreints avec une « Restricted Group Policy » Suppose une mise à jour de la policy après chaque changement
  • 17. Administrator Audit Logging Actif par défaut Garde trace de toutes les actions administratives entrainant des modifications quelle que soit la source EMC, EMS, ECP La liste des commandes tracées est configurable On peut écrire dans le log par powershell Conserve 90 jours de log par défaut Est récupérable par Powershell ou ECP
  • 18. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
  • 19. Sécurité d’accès aux serveurs Seuls les administrateurs supposés administrer les serveurs doivent pouvoir y accéder Accès Physique et à distance en TS Ne pas installer Exchange sur un DC Local admin pour tous les DCs du domaine Dé-valider les fonctionnalités non utilisées sur les boites aux lettres Garder l’ « ExecutionPolicy » Powershell en RemoteSigned (défaut) Implique de gérer ses scripts (voir about_execution_policy)
  • 20. Mise à jour des serveurs Tous les Correctifs de sécurité doivent être appliqués Les derniers Rollups Exchange doivent être appliqués Les Certificats doivent être valides avec une procédure de renouvellement Sécuriser les fichiers si ils sont exportés avec la clé privée Surveillance avec: System Center Operation Manager (SCOM) Microsoft Based Security Analyzer (MBSA) ExBPA (SCOM le lance régulièrement)
  • 21. Protection « Denial of Service » DoS Stratégies de limitation du client (Client Throttling) Prévient la saturation d’un serveur par un utilisateur Attention au comptes pour applications tierce ne pouvant avoir de limites Troubleshoot-DatabaseLatency.ps1 permet de mettre en quarantaine des utilisateurs trop actifs Limitation des messages (Message Throttling) Prévient la saturation d’un serveur par des messages Configurable au niveau serveur, connecteurs d’envoi et de réception
  • 22. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
  • 23. Outlook Tous les Outlook doivent avoir le dernier service pack ou rollup 2625547 How to install the latest applicable updates for Microsoft Outlook (US English only) Les serveurs sont configurés pour refuser une connexion d’un Outlook non à jour Les profiles doivent être configuré avec l’encryption RPC Par défaut sur Outlook 2007 et 2010 pas sur 2003 Prérequis dé-validé par défaut coté serveur depuis Exchange 2010 SP1 Set-RpcClientAccess –Server Exchange_server_name –EncryptionRequired $True Peut être forcé par GPO coté client
  • 24. Authentification Kerberos Kerberos est plus sécurisé que NTLM NTLM peut avoir un impact sur les performances serveur pour les gros déploiements Outlook se connecte en NTLM sur un CAS Array a moins de configurer Kerberos Attention: Une erreur de configuration kerberos peut empêcher toute connexion depuis Outlook Après avoir créé le compte et les SPN on peut utiliser RollAlternateserviceAccountCredential.ps1
  • 25. Encryption SSL De nombreux clients se connectent par IIS Outlook Web App Exchange ActiveSync Outlook Anywhere AutoDiscover Exchange Web Services Offline Address Book (OAB) Le trafic doit rester encrypté Si déchargement SSL (offload) assurez vous de la sécurité du réseau sur la zone non cryptée OAB par défaut non crypté
  • 26. Mobiles - Activesync Garder les mobiles à jour 2563324 Current issues with Microsoft Exchange ActiveSync and Third Party Devices Mettre les mobiles inconnus en quarantaine par défaut Bloquer les mobiles n’étant pas autorisés à se connecter Il reste possible de les autoriser par utilisateur Forcer au minimum les mobiles a avoir un mot de passe avec une stratégie Activesync Vérifier les fonctionnalités de stratégie implémentées pour le mobile
  • 27. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
  • 28. S/MIME Technologie coté client sans interaction avec le serveur Add-On ActiveX pour OWA Permet de signer un message afin d’en assurer l’authentification et l’intégrité Toute modification lors du transit invalide la signature Permet de crypter les messages Les antivirus et anti-spam, ne peuvent pas inspecter le contenu des messages Les règles de transport, ne peuvent pas s’appliquer Les messages ne peuvent pas être indexés pour plus d’infos http://office.microsoft.com/fr-fr/outlook-help/overview-of- certificates-and-cryptographic-e-mail-messaging-in- outlook-HP001230534.aspx?pid=CH100622191033
  • 30. Gestion des droits relatifs à l'information (IRM) Service dans Windows Server 2008 R2 Permet de: Empêcher de transférer, modifier, imprimer, télécopier, enregistrer ou couper et coller les messages Protéger les formats de fichier de pièce jointe pris en charge en leur conférant le même niveau de protection que celui du message Prendre en charge l’expiration des messages et pièces jointes Empêcher la copie d’un contenu protégé par IRM à l’aide de l’outil Capture dans Microsoft Windows.
  • 31. Application des droits Manuellement depuis Outlook Manuellement depuis OWA Manuellement depuis un mobile Le mobile doit soit avoir un client IRM, soit savoir gérer l’interaction avec le serveur d’accès client (SP1) Automatiquement depuis Outlook 2010 Configuration serveur avec New- OutlookProtectionRule Automatiquement par le transport
  • 32. IRM par le transport Application automatique par le transport: Une règle transport applique le RMS template au message et aux attachements supportés Les règles transport peuvent se déclencher sur le contenu du message ou des attachements 32
  • 33. Audit d’accès aux boites aux lettres Permet d’auditer l’accès aux boîtes aux lettres par les propriétaires des boîtes aux lettres, les délégués et les administrateurs Enregistre l’accès aux dossiers, le déplacement ou la suppression de messages, l’adresse IP et le host Stocké dans la boite aux lettres Les comptes de service pour logiciels tiers peuvent être exclus
  • 34. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
  • 35. Trafic de messages Le trafic de messages SMTP est encrypté avec TLS Intra Organisation La génération de certificats auto-signés lors du setup permet de crypter toute communication SMTP par défaut Peut être dé-validé si besoin (compresseurs de flux) Inter Organisations Nécessite un certificat public valide TLS opportuniste. Exchange essaye d’établir une session TLS si cette option est disponible sur le serveur distant Mutual TLS. Permet de forcer la communication cryptée vers un domaine de messagerie particulier
  • 36. Règles transport Permettent d’appliquer des stratégies aux messages en transit Intra Organisation Blocage du contenu inapproprié entrant ou sortant Filtrage des informations confidentielles de l'organisation Suivi ou archivage des messages échangés avec des individus spécifiques Redirection des messages entrants et sortants pour inspection avant remise Application de « disclaimer » à des messages transitant par l'organisation.
  • 37. Forefront Online Protection for Exchange (FOPE) External Email Hub Transport Mailbox About 90% of email is junk Service Internet protégeant vos messages entrant et sortant contre les spams, virus, phishing… Réduit la charge réseau sur votre accès Internet en ne laissant passer que les bon mails

Notes de l'éditeur

  1. Slide Objective: Explain Remote PowerShell. Instructor Notes:Evan opens PowerShell (2.0) on his machine, which gives him a client side runspace. Evan types New-PSSession –URI https://server.fqdn.com/PowerShell to target this endpoint. Once connected, IIS Authenticates the user (For Datacenter, Live.edu its basic, On-Premise it’s Kerberos).IIS then goes through RBAC process to figure out who Evan is and what he can do and where. Reading Roles, Role assignment from AD DS, etc. It returns the available cmdlets, attributes Evan can run or set.IIS then creates the restricted PowerShell runspace on the Server which only allows these cmdlets to be executed. These cmdlets are then added to Client Side runspace to be executed on Evans computer. When the client then runs New-Mailbox Bob in the client runspace it then gets executed on the Server.The result then gets piped back to the Client runspace which allows further actions (e.g., piping the result into another command on the client). Important Takeaways: There are always 2 separate runspaces, Client and Server (not like Telnet)Cmdlets and usability is just like they were in Exchange Server 2007
  2. Slide Objective: You need tools to enforce confidentiality where it is required. Instructor Notes: Many of you may receive emails similar to this one in which the author is essentially begging and pleading with the recipient to “do the right thing” with the information—and prior to RMS we saw a lot of these inside Microsoft as well. In this case, while the organization may have a “policy” for what should and should not be done with the information, there are no mechanisms in place to digitally enforce that policy.  You cannot rely on the fact that all end-users will apply confidentiality measures where required, even with training.
  3. Slide Objective: Introduce Automatic Content-Based Privacy, at the Transport Level. Instructor Notes: Today an employee may accidentally include sensitive information that belongs to a consumer in an email which is sent in clear text over the internet. If that data is accidentally emailed the organization may face considerable reputation damage, legal exposure, and reduction in company’s market value. To address this, the Exchange Server can be configured to encrypt messages that contain personal information or critical business information. Sensitive email can be detected, using Transport Rules, by filtering the content of a message (including content of supported attachments). Regular expressions are supported. AD DS RMS uses XML-based policy templates to allow compatible IRM-enabled applications to apply consistent protection policies. In Windows Server 2008, AD DS RMS server exposes a web service that can be used to enumerate and acquire templates. Exchange Server 2010 SP1 ships with the following template: Do Not Forward: When the Do Not Forward template is applied to a message, only the specified recipients can decrypt the message. The recipients can't forward the message to anyone else, copy content from the message, or print the message. For example: Ed is a nurse at Contoso, a large hospital. Ed is sending Chris the results of his recent blood test. When Ed’s email reaches the Exchange Server, the server is able to examine the message and determine that personal information is included in the mail. Because personal information is included in the message, the Exchange Server encrypts the message before it leaves the organization. The message that gets to Chris is an encrypted copy of the message.