SlideShare une entreprise Scribd logo
palais des
congrès
Paris




7, 8 et 9
février 2012
Comment sécuriser un
serveur Exchange 2010
(MSG305)
Jeudi 9 Février 16h00-17h00
Guy Groeneveld
Principal Premier Field Engineer
Microsoft
Vous êtes dans la salle 352B
Agenda

  Les basics
  L’administration
  La protection des serveurs
  Les accès clients
  La protection des données
  Le transport
Sécurité = Excellence
Opérationnelle

  Rigueur d’exploitation renforcée par MOF ou
  ITIL
  Gestion du changement
  Maintient à niveau des correctifs de sécurité
  Définition des règles d’accès et d’audit
  Surveillance des serveurs pour s’assurer de
  leur conformité
Un environment sécurisé

  Accès physique restreint
  Mots de passe renforcés par GPO
  Accès réseau sécurisé
     Ipsec
     Network Access Protection (NAP)
     Pare-Feu
  Accès VPN à distance
     Double authentification
  Protection des données
     Bit Locker
Protection contre les virus

  Anti-virus serveur transport
  Anti-virus serveur de boites aux lettres
    Si le poste client peut être infecté
    Si les dossiers publics sont utilisés
  Anti-virus fichier
    Attention aux exclusions
  Anti-virus poste client
    L’utilisateur n’est pas administrateur local
    Le poste est exclu si non-conforme (NAP)
Forefront Protection 2010
for Exchange Server
                Threat Management Gateway
                                                                        Enterprise Network
                      Edge Transport
                                                                 Hub Transport
                                                                  Routing & Policy
External Mail
                                                                      Protection 2010 for Exchange Server
                        Protection 2010 for Exchange Server
                                                                     Mailbox                              Unified
                                                                    Storage of                           Messaging
                                                                   mailbox items                         Voice mail &
                                                                                                         voice access
    Mobile phone                                                   Protection 2010 for Exchange Server
                                Threat Management Gateway
                                                                   Client Access                            Phone system
 Web browser
                                                                  Client connectivity                       (PBX or VOIP)
                                                                     Web services
     Outlook
  (remote user)
                                                                                              Line of business applications
                                                     Outlook (local user)
Exchange sécurisé par défaut

  Développé selon le « Trustworthy computing lifecycle »
      Conçu pour résister à des attaques malveillantes
      Test du code lors de la conception
      Analyse finale réalisée par une équipe indépendante
  Le « Security Configuration Wizard » (SCW) est exécuté
  lors de l’installation
      Ne pas dé-valider le pare feux Windows
      Attention aux GPO affectant le pare feux
  Un certificat auto-signé est créé automatiquement
      Permet un cryptage immédiatement après l’installation
      Génère quelques problèmes car non-trusté
Sensibilisation des utilisateurs

  Détection d’un mail venant de l’extérieur




  Utilisation des mailtips (Outlook 2010 et OWA)
   Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled
   $true
Agenda

  Les basics
  L’administration
  La protection des serveurs
  Les accès clients
  La protection des données
  Le transport
Role Based Access
Control (RBAC)
  Nouveau modèle de permissions sur Exchange
  2010:
    Permissions gérées par Exchange en nom de
    l’administrateur
    Plus besoin d’aller dans l’AD configurer des
    droits pour les administrateurs
    Granularité de contrôle jusqu’à la commande
    ou les paramètres powershell
    Limite de portée en écriture selon des filtres
    prédéfinis ou complexes
    Auto administration des utilisateurs
RBAC: Comment ça marche
                           > New-PSSession –URI https://server.fqdn.com/PowerShell/
                           > New-Mailbox –Name Bob

                                 [Bob Mailbox Object in
                                                                     IIS
                                       Pipeline]
             PSv2 Client
Evan                                                                                             Evan: Role Assignment
              Runspace                                                        PSv2 RBAC
                                                                           Server Runspace       New-Mailbox -Name
                                                                                                 Get-Mailbox
                                                                              WSMan +
                                                                                                 Set-Mailbox -Name
                                                                             RBAC stack:
                                                                            Authorization
                                                 Active Directory                                         Exchange
                                                                           IIS: Authentication            Server
  Cmdlets Available in Runspace:
  New-PSSession


  Remote Cmdlets Available in Runspace:
  New-Mailbox -Name                                                 Cmdlets Available in Runspace:
  Get-Mailbox                                                       New-Mailbox -Name
  Set-Mailbox -Name                                                 Get-Mailbox
                                                                    Set-Mailbox -Name

                                                                                                                         13
Fractionnement des
autorisations (split permission)
   Par défaut les administrateurs Exchange ayant le droit de
   gérer des boites aux lettres peuvent aussi créer et
   supprimer des comptes
   Peut être un risque si les administrateurs Exchange ne
   sont pas supposés pouvoir le faire
   Recommandé avec RBAC car plus souple
   Peut aussi être fait avec « setup.com /PrepareAD
   /ActiveDirectorySplitPermissions:true”
      Nécessite un reboot des serveurs Exchange
      Peut être revalidé a tout moment en relançant la
      commande à « false »
Les Administrateurs Exchange

  Utiliser un compte différent pour chaque
  administrateur
  Restreindre au maximum les droits RBAC
      Toujours partir des droits les plus restreints.
      N’élargir que si nécessaire
  Ne pas utiliser les boite aux lettres des comptes
  administrateurs
  Ne pas utiliser un compte standard pour
  l’administration
  Ne pas autoriser par défaut l’ouverture de toutes
  les boites aux lettres par les administrateurs
  Dissocier le poste d’administration du poste
  standard
Les groupes de sécurité
Exchange « setup /PrepareAD »
  Créés lors du
   Définissent les droits Exchange
      Rajouter un membre dans un rôle groupe lui donne
      tous les rôles assignés au groupe
      Rajouter un membre dans le groupe « Exchange
      Servers » donne accès à tout ce que les serveurs
      peuvent accéder
      Rajouter un membre dans « Exchange Windows
      Permission » donne le droit de modifier tous les
      comptes et groupes de la forêt
   Sécurisation des groupes de sécurité Exchange
      Doivent être supervisés avec de l’audit Windows
      Peuvent être restreints avec une « Restricted Group
      Policy »
          Suppose une mise à jour de la policy après chaque
          changement
Administrator Audit Logging

  Actif par défaut
  Garde trace de toutes les actions administratives
  entrainant des modifications quelle que soit la
  source EMC, EMS, ECP
  La liste des commandes tracées est configurable
  On peut écrire dans le log par powershell
  Conserve 90 jours de log par défaut
  Est récupérable par Powershell ou ECP
Agenda

  Les basics
  L’administration
  La protection des serveurs
  Les accès clients
  La protection des données
  Le transport
Sécurité d’accès aux serveurs

  Seuls les administrateurs supposés administrer les
  serveurs doivent pouvoir y accéder
     Accès Physique et à distance en TS
  Ne pas installer Exchange sur un DC
     Local admin pour tous les DCs du domaine
  Dé-valider les fonctionnalités non utilisées sur les
  boites aux lettres
  Garder l’ « ExecutionPolicy » Powershell en
  RemoteSigned (défaut)
     Implique de gérer ses scripts (voir
     about_execution_policy)
Mise à jour des serveurs

  Tous les Correctifs de sécurité doivent être
  appliqués
  Les derniers Rollups Exchange doivent être
  appliqués
  Les Certificats doivent être valides avec une
  procédure de renouvellement
     Sécuriser les fichiers si ils sont exportés avec
     la clé privée
  Surveillance avec:
     System Center Operation Manager (SCOM)
     Microsoft Based Security Analyzer (MBSA)
     ExBPA (SCOM le lance régulièrement)
Protection « Denial of Service »
DoS
  Stratégies de limitation du client (Client Throttling)
     Prévient la saturation d’un serveur par un
     utilisateur
     Attention au comptes pour applications tierce ne
     pouvant avoir de limites
  Troubleshoot-DatabaseLatency.ps1 permet de mettre
  en quarantaine des utilisateurs trop actifs
  Limitation des messages (Message Throttling)
     Prévient la saturation d’un serveur par des
     messages
     Configurable au niveau serveur, connecteurs
     d’envoi et de réception
Agenda

  Les basics
  L’administration
  La protection des serveurs
  Les accès clients
  La protection des données
  Le transport
Outlook
  Tous les Outlook doivent avoir le dernier service pack ou
  rollup
      2625547 How to install the latest applicable updates
      for Microsoft Outlook (US English only)
  Les serveurs sont configurés pour refuser une connexion
  d’un Outlook non à jour
  Les profiles doivent être configuré avec l’encryption RPC
      Par défaut sur Outlook 2007 et 2010 pas sur 2003
      Prérequis dé-validé par défaut coté serveur depuis
      Exchange 2010 SP1
          Set-RpcClientAccess –Server
          Exchange_server_name –EncryptionRequired
          $True
          Peut être forcé par GPO coté client
Authentification Kerberos

  Kerberos est plus sécurisé que NTLM
  NTLM peut avoir un impact sur les performances
  serveur pour les gros déploiements
  Outlook se connecte en NTLM sur un CAS Array
  a moins de configurer Kerberos
     Attention: Une erreur de configuration kerberos
     peut empêcher toute connexion depuis
     Outlook
     Après avoir créé le compte et les SPN on peut
     utiliser
     RollAlternateserviceAccountCredential.ps1
Encryption SSL

  De nombreux clients se connectent par IIS
     Outlook Web App
     Exchange ActiveSync
     Outlook Anywhere
     AutoDiscover
     Exchange Web Services
     Offline Address Book (OAB)
  Le trafic doit rester encrypté
     Si déchargement SSL (offload) assurez vous
     de la sécurité du réseau sur la zone non
     cryptée
     OAB par défaut non crypté
Mobiles - Activesync

  Garder les mobiles à jour
     2563324 Current issues with Microsoft Exchange
     ActiveSync and Third Party Devices
  Mettre les mobiles inconnus en quarantaine par
  défaut
  Bloquer les mobiles n’étant pas autorisés à se
  connecter
     Il reste possible de les autoriser par utilisateur
  Forcer au minimum les mobiles a avoir un mot de
  passe avec une stratégie Activesync
  Vérifier les fonctionnalités de stratégie implémentées
  pour le mobile
Agenda

  Les basics
  L’administration
  La protection des serveurs
  Les accès clients
  La protection des données
  Le transport
S/MIME
  Technologie coté client sans interaction avec le serveur
  Add-On ActiveX pour OWA
  Permet de signer un message afin d’en assurer
  l’authentification et l’intégrité
       Toute modification lors du transit invalide la signature
  Permet de crypter les messages
       Les antivirus et anti-spam, ne peuvent pas inspecter le
       contenu des messages
       Les règles de transport, ne peuvent pas s’appliquer
       Les messages ne peuvent pas être indexés
  pour plus d’infos
    http://office.microsoft.com/fr-fr/outlook-help/overview-of-
    certificates-and-cryptographic-e-mail-messaging-in-
    outlook-HP001230534.aspx?pid=CH100622191033
Confidentialité des messages




                               29
Gestion des droits relatifs à
l'information (IRM)
  Service dans Windows Server 2008 R2
  Permet de:
     Empêcher de transférer, modifier, imprimer, télécopier,
     enregistrer ou couper et coller les messages
     Protéger les formats de fichier de pièce jointe pris en
     charge en leur conférant le même niveau de protection
     que celui du message
     Prendre en charge l’expiration des messages et pièces
     jointes
     Empêcher la copie d’un contenu protégé par IRM à
     l’aide de l’outil Capture dans Microsoft Windows.
Application des droits

  Manuellement depuis Outlook
  Manuellement depuis OWA
  Manuellement depuis un mobile
    Le mobile doit soit avoir un client IRM, soit
    savoir gérer l’interaction avec le serveur
    d’accès client (SP1)
  Automatiquement depuis Outlook 2010
    Configuration serveur avec New-
    OutlookProtectionRule
  Automatiquement par le transport
IRM par le transport




             Application automatique par le transport:
                Une règle transport applique le RMS template au message
                et aux attachements supportés
                Les règles transport peuvent se déclencher sur le contenu
                du message ou des attachements



                                                                    32
Audit d’accès aux boites aux
lettres
  Permet d’auditer l’accès aux boîtes aux lettres par
  les propriétaires des boîtes aux lettres, les
  délégués et les administrateurs
  Enregistre l’accès aux dossiers, le déplacement
  ou la suppression de messages, l’adresse IP et le
  host
  Stocké dans la boite aux lettres
  Les comptes de service pour logiciels tiers
  peuvent être exclus
Agenda

  Les basics
  L’administration
  La protection des serveurs
  Les accès clients
  La protection des données
  Le transport
Trafic de messages

  Le trafic de messages SMTP est encrypté avec TLS
     Intra Organisation
          La génération de certificats auto-signés lors du
          setup permet de crypter toute communication
          SMTP par défaut
          Peut être dé-validé si besoin (compresseurs de
          flux)
     Inter Organisations
          Nécessite un certificat public valide
          TLS opportuniste. Exchange essaye d’établir une
          session TLS si cette option est disponible sur le
          serveur distant
          Mutual TLS. Permet de forcer la communication
          cryptée vers un domaine de messagerie particulier
Règles transport

  Permettent d’appliquer des stratégies aux messages
  en transit
     Intra Organisation
     Blocage du contenu inapproprié entrant ou sortant
     Filtrage des informations confidentielles de
     l'organisation
     Suivi ou archivage des messages échangés avec
     des individus spécifiques
     Redirection des messages entrants et sortants
     pour inspection avant remise
     Application de « disclaimer » à des messages
     transitant par l'organisation.
Forefront Online Protection for
Exchange (FOPE)
     External Email


                                   Hub Transport   Mailbox




     About 90% of
     email is junk




  Service Internet protégeant vos messages entrant et
  sortant contre les spams, virus, phishing…
  Réduit la charge réseau sur votre accès Internet en ne
  laissant passer que les bon mails
Questions?

Contenu connexe

Tendances

Vpc notes
Vpc notesVpc notes
Vpc notes
Krunal Shah
 
Network management
Network management Network management
Network management
Manali Wadnerkar
 
Chapter 10 -Vlsm
Chapter 10 -VlsmChapter 10 -Vlsm
Chapter 10 -Vlsm
phanleson
 
HCL Domino V12 Key Security Features Overview
HCL Domino V12 Key Security Features Overview HCL Domino V12 Key Security Features Overview
HCL Domino V12 Key Security Features Overview
hemantnaik
 
Port numbers
Port numbersPort numbers
Port numbers
Jagannadh Rao
 
Grundlagen der Kommunikation - von Binär zum OSI Modell
Grundlagen der Kommunikation - von Binär zum OSI ModellGrundlagen der Kommunikation - von Binär zum OSI Modell
Grundlagen der Kommunikation - von Binär zum OSI Modell
Christian Höserle
 
Cisco packet tracer dhcp
Cisco packet tracer   dhcpCisco packet tracer   dhcp
Cisco packet tracer dhcp
rishi ram khanal
 
MikroTik MTCNA
MikroTik MTCNAMikroTik MTCNA
MikroTik MTCNA
Ali Layth
 
60 Admin Tips
60 Admin Tips60 Admin Tips
60 Admin Tips
Gabriella Davis
 
VM Console Enhancements
VM Console EnhancementsVM Console Enhancements
VM Console Enhancements
ShapeBlue
 
Chapter 8 - IP Subnetting, Troubleshooting and Introduction to NAT 9e
Chapter 8 - IP Subnetting, Troubleshooting and Introduction to NAT 9eChapter 8 - IP Subnetting, Troubleshooting and Introduction to NAT 9e
Chapter 8 - IP Subnetting, Troubleshooting and Introduction to NAT 9e
adpeer
 
Tutoriel nat pat
Tutoriel nat patTutoriel nat pat
Tutoriel nat pat
Dimitri LEMBOKOLO
 
Lan & vlan
Lan & vlanLan & vlan
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Papa Cheikh Cisse
 
IBM Domino / IBM Notes Performance Tuning
IBM Domino / IBM Notes Performance Tuning IBM Domino / IBM Notes Performance Tuning
IBM Domino / IBM Notes Performance Tuning
Vladislav Tatarincev
 
Subnetting Basics Tutorial
Subnetting Basics TutorialSubnetting Basics Tutorial
Subnetting Basics Tutorial
mikem801
 
NAT (network address translation) & PAT (port address translation)
NAT (network address translation) & PAT (port address translation)NAT (network address translation) & PAT (port address translation)
NAT (network address translation) & PAT (port address translation)
Netwax Lab
 
Vlsm and supernetting
Vlsm and supernettingVlsm and supernetting
Vlsm and supernetting
Nahian Ahmed
 
Microsoft Exchange Technology Overview
Microsoft Exchange Technology OverviewMicrosoft Exchange Technology Overview
Microsoft Exchange Technology Overview
Mike Pruett
 
Bewährte Praktiken für HCL Notes/Domino-Sicherheit. Teil 2: Der Domino-Server
Bewährte Praktiken für HCL Notes/Domino-Sicherheit. Teil 2: Der Domino-ServerBewährte Praktiken für HCL Notes/Domino-Sicherheit. Teil 2: Der Domino-Server
Bewährte Praktiken für HCL Notes/Domino-Sicherheit. Teil 2: Der Domino-Server
panagenda
 

Tendances (20)

Vpc notes
Vpc notesVpc notes
Vpc notes
 
Network management
Network management Network management
Network management
 
Chapter 10 -Vlsm
Chapter 10 -VlsmChapter 10 -Vlsm
Chapter 10 -Vlsm
 
HCL Domino V12 Key Security Features Overview
HCL Domino V12 Key Security Features Overview HCL Domino V12 Key Security Features Overview
HCL Domino V12 Key Security Features Overview
 
Port numbers
Port numbersPort numbers
Port numbers
 
Grundlagen der Kommunikation - von Binär zum OSI Modell
Grundlagen der Kommunikation - von Binär zum OSI ModellGrundlagen der Kommunikation - von Binär zum OSI Modell
Grundlagen der Kommunikation - von Binär zum OSI Modell
 
Cisco packet tracer dhcp
Cisco packet tracer   dhcpCisco packet tracer   dhcp
Cisco packet tracer dhcp
 
MikroTik MTCNA
MikroTik MTCNAMikroTik MTCNA
MikroTik MTCNA
 
60 Admin Tips
60 Admin Tips60 Admin Tips
60 Admin Tips
 
VM Console Enhancements
VM Console EnhancementsVM Console Enhancements
VM Console Enhancements
 
Chapter 8 - IP Subnetting, Troubleshooting and Introduction to NAT 9e
Chapter 8 - IP Subnetting, Troubleshooting and Introduction to NAT 9eChapter 8 - IP Subnetting, Troubleshooting and Introduction to NAT 9e
Chapter 8 - IP Subnetting, Troubleshooting and Introduction to NAT 9e
 
Tutoriel nat pat
Tutoriel nat patTutoriel nat pat
Tutoriel nat pat
 
Lan & vlan
Lan & vlanLan & vlan
Lan & vlan
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
 
IBM Domino / IBM Notes Performance Tuning
IBM Domino / IBM Notes Performance Tuning IBM Domino / IBM Notes Performance Tuning
IBM Domino / IBM Notes Performance Tuning
 
Subnetting Basics Tutorial
Subnetting Basics TutorialSubnetting Basics Tutorial
Subnetting Basics Tutorial
 
NAT (network address translation) & PAT (port address translation)
NAT (network address translation) & PAT (port address translation)NAT (network address translation) & PAT (port address translation)
NAT (network address translation) & PAT (port address translation)
 
Vlsm and supernetting
Vlsm and supernettingVlsm and supernetting
Vlsm and supernetting
 
Microsoft Exchange Technology Overview
Microsoft Exchange Technology OverviewMicrosoft Exchange Technology Overview
Microsoft Exchange Technology Overview
 
Bewährte Praktiken für HCL Notes/Domino-Sicherheit. Teil 2: Der Domino-Server
Bewährte Praktiken für HCL Notes/Domino-Sicherheit. Teil 2: Der Domino-ServerBewährte Praktiken für HCL Notes/Domino-Sicherheit. Teil 2: Der Domino-Server
Bewährte Praktiken für HCL Notes/Domino-Sicherheit. Teil 2: Der Domino-Server
 

En vedette

Exchange 2013 Bonnes pratiques
Exchange 2013 Bonnes pratiques Exchange 2013 Bonnes pratiques
Exchange 2013 Bonnes pratiques
Microsoft Technet France
 
alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)
Alphorm
 
JSS2014 – Automatiser l’administration SQL avec SMO et C#
JSS2014 – Automatiser l’administration SQL avec SMO et C#JSS2014 – Automatiser l’administration SQL avec SMO et C#
JSS2014 – Automatiser l’administration SQL avec SMO et C#
GUSS
 
Messagerie Collaborative Zimbra Maroc
Messagerie Collaborative Zimbra MarocMessagerie Collaborative Zimbra Maroc
Messagerie Collaborative Zimbra Maroc
Tech-IT Maroc
 
Exchange 2013 Dimensionnement et Performance
Exchange 2013 Dimensionnement et Performance Exchange 2013 Dimensionnement et Performance
Exchange 2013 Dimensionnement et Performance
Microsoft Technet France
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
Manassé Achim kpaya
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
Manassé Achim kpaya
 
Microsoft Exchange 2013 architecture
Microsoft Exchange 2013 architectureMicrosoft Exchange 2013 architecture
Microsoft Exchange 2013 architecture
Motty Ben Atia
 
Microsoft Exchange 2013 Introduction
Microsoft Exchange 2013 IntroductionMicrosoft Exchange 2013 Introduction
Microsoft Exchange 2013 Introduction
Motty Ben Atia
 
Exchange 2013
Exchange 2013Exchange 2013
Exchange 2013
Somdeep Yadav
 
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Manassé Achim kpaya
 
Pidgins and creoles
Pidgins and creolesPidgins and creoles
Pidgins and creoles
Hassa Alfafa
 
Exchange 2013 ABC's: Architecture, Best Practices and Client Access
Exchange 2013 ABC's: Architecture, Best Practices and Client AccessExchange 2013 ABC's: Architecture, Best Practices and Client Access
Exchange 2013 ABC's: Architecture, Best Practices and Client Access
Microsoft TechNet - Belgium and Luxembourg
 
Rapport de stage exchange
Rapport de stage exchangeRapport de stage exchange
Rapport de stage exchange
hindif
 
Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm.com Formation Lync Server 2013 (70-336)Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm
 
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
Microsoft Décideurs IT
 
Les solutions d’Email Retargeting par Clic et Site
Les solutions d’Email Retargeting par Clic et SiteLes solutions d’Email Retargeting par Clic et Site
Les solutions d’Email Retargeting par Clic et Site
Jonathan Loriaux
 

En vedette (18)

Exchange 2013 Bonnes pratiques
Exchange 2013 Bonnes pratiques Exchange 2013 Bonnes pratiques
Exchange 2013 Bonnes pratiques
 
alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)
 
JSS2014 – Automatiser l’administration SQL avec SMO et C#
JSS2014 – Automatiser l’administration SQL avec SMO et C#JSS2014 – Automatiser l’administration SQL avec SMO et C#
JSS2014 – Automatiser l’administration SQL avec SMO et C#
 
Messagerie Collaborative Zimbra Maroc
Messagerie Collaborative Zimbra MarocMessagerie Collaborative Zimbra Maroc
Messagerie Collaborative Zimbra Maroc
 
Exchange 2013 Dimensionnement et Performance
Exchange 2013 Dimensionnement et Performance Exchange 2013 Dimensionnement et Performance
Exchange 2013 Dimensionnement et Performance
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
 
Microsoft Exchange 2013 architecture
Microsoft Exchange 2013 architectureMicrosoft Exchange 2013 architecture
Microsoft Exchange 2013 architecture
 
Microsoft Exchange 2013 Introduction
Microsoft Exchange 2013 IntroductionMicrosoft Exchange 2013 Introduction
Microsoft Exchange 2013 Introduction
 
Exchange 2013
Exchange 2013Exchange 2013
Exchange 2013
 
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
 
Pidgins and creoles
Pidgins and creolesPidgins and creoles
Pidgins and creoles
 
Exchange 2013 ABC's: Architecture, Best Practices and Client Access
Exchange 2013 ABC's: Architecture, Best Practices and Client AccessExchange 2013 ABC's: Architecture, Best Practices and Client Access
Exchange 2013 ABC's: Architecture, Best Practices and Client Access
 
Rapport de stage exchange
Rapport de stage exchangeRapport de stage exchange
Rapport de stage exchange
 
Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm.com Formation Lync Server 2013 (70-336)Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm.com Formation Lync Server 2013 (70-336)
 
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
 
Les solutions d’Email Retargeting par Clic et Site
Les solutions d’Email Retargeting par Clic et SiteLes solutions d’Email Retargeting par Clic et Site
Les solutions d’Email Retargeting par Clic et Site
 
Clefs GPG
Clefs GPGClefs GPG
Clefs GPG
 

Similaire à Exchange : Comment sécuriser un serveur Exchange 2010

Présentation Exchange 2010
Présentation Exchange 2010Présentation Exchange 2010
Présentation Exchange 2010
Majid CHADAD
 
Mise en place d'un serveur de mail complet linux server wiki
Mise en place d'un serveur de mail complet   linux server wikiMise en place d'un serveur de mail complet   linux server wiki
Mise en place d'un serveur de mail complet linux server wikidebaros
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIPapa Cheikh Cisse
 
Webcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de chargeWebcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de charge
iTProFR
 
GlassFish ESB Ch'ti JUG
GlassFish ESB Ch'ti JUGGlassFish ESB Ch'ti JUG
GlassFish ESB Ch'ti JUGCh'ti JUG
 
Café techno: nouveautes vSphere5 solution de virtualisation
Café techno: nouveautes vSphere5 solution de virtualisationCafé techno: nouveautes vSphere5 solution de virtualisation
Café techno: nouveautes vSphere5 solution de virtualisation
Groupe D.FI
 
Soirée SOA - 2010-06-15 - Présentation de l'ESB Petals
Soirée SOA - 2010-06-15 - Présentation de l'ESB PetalsSoirée SOA - 2010-06-15 - Présentation de l'ESB Petals
Soirée SOA - 2010-06-15 - Présentation de l'ESB PetalsNormandy JUG
 
L'optimisation des réseaux WAN avec CISCO WAAS
L'optimisation des réseaux WAN avec CISCO WAASL'optimisation des réseaux WAN avec CISCO WAAS
L'optimisation des réseaux WAN avec CISCO WAAS
Groupe IDYAL
 
Support JEE Servlet Jsp MVC M.Youssfi
Support JEE Servlet Jsp MVC M.YoussfiSupport JEE Servlet Jsp MVC M.Youssfi
Support JEE Servlet Jsp MVC M.Youssfi
ENSET, Université Hassan II Casablanca
 
La collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineLa collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et online
Microsoft Décideurs IT
 
La collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineLa collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et online
Microsoft Technet France
 
Scom et orchestrator main dans la main (ser214)
Scom et orchestrator main dans la main (ser214)Scom et orchestrator main dans la main (ser214)
Scom et orchestrator main dans la main (ser214)Jean-François BERENGUER
 
Rapport MS Exchange 2010
Rapport MS Exchange 2010Rapport MS Exchange 2010
Rapport MS Exchange 2010
Majid CHADAD
 
Sécurité des web services soap
Sécurité des web services soapSécurité des web services soap
Sécurité des web services soap
Zakaria SMAHI
 
Rencontre mensuelle Montreal - juillet 2012 - kerberos
Rencontre mensuelle Montreal - juillet 2012 - kerberosRencontre mensuelle Montreal - juillet 2012 - kerberos
Rencontre mensuelle Montreal - juillet 2012 - kerberos
Nicolas Georgeault
 
Mule ESB Summit 2010 avec Ippon
Mule ESB Summit 2010 avec IpponMule ESB Summit 2010 avec Ippon
Mule ESB Summit 2010 avec Ippon
Ippon
 
[GAB2016] La sécurité dans Azure - Estelle Auberix
[GAB2016] La sécurité dans Azure - Estelle Auberix[GAB2016] La sécurité dans Azure - Estelle Auberix
[GAB2016] La sécurité dans Azure - Estelle Auberix
Cellenza
 
E4 sp2 Exchange
E4 sp2 ExchangeE4 sp2 Exchange
E4 sp2 Exchange
Armand LAUGA
 
Optimisation du stockage share point 2010
Optimisation du stockage share point 2010Optimisation du stockage share point 2010
Optimisation du stockage share point 2010
Nicolas Georgeault
 

Similaire à Exchange : Comment sécuriser un serveur Exchange 2010 (20)

Présentation Exchange 2010
Présentation Exchange 2010Présentation Exchange 2010
Présentation Exchange 2010
 
Mise en place d'un serveur de mail complet linux server wiki
Mise en place d'un serveur de mail complet   linux server wikiMise en place d'un serveur de mail complet   linux server wiki
Mise en place d'un serveur de mail complet linux server wiki
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
 
Webcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de chargeWebcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de charge
 
GlassFish ESB Ch'ti JUG
GlassFish ESB Ch'ti JUGGlassFish ESB Ch'ti JUG
GlassFish ESB Ch'ti JUG
 
Café techno: nouveautes vSphere5 solution de virtualisation
Café techno: nouveautes vSphere5 solution de virtualisationCafé techno: nouveautes vSphere5 solution de virtualisation
Café techno: nouveautes vSphere5 solution de virtualisation
 
Soirée SOA - 2010-06-15 - Présentation de l'ESB Petals
Soirée SOA - 2010-06-15 - Présentation de l'ESB PetalsSoirée SOA - 2010-06-15 - Présentation de l'ESB Petals
Soirée SOA - 2010-06-15 - Présentation de l'ESB Petals
 
L'optimisation des réseaux WAN avec CISCO WAAS
L'optimisation des réseaux WAN avec CISCO WAASL'optimisation des réseaux WAN avec CISCO WAAS
L'optimisation des réseaux WAN avec CISCO WAAS
 
Support JEE Servlet Jsp MVC M.Youssfi
Support JEE Servlet Jsp MVC M.YoussfiSupport JEE Servlet Jsp MVC M.Youssfi
Support JEE Servlet Jsp MVC M.Youssfi
 
La collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineLa collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et online
 
La collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineLa collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et online
 
Scom et orchestrator main dans la main (ser214)
Scom et orchestrator main dans la main (ser214)Scom et orchestrator main dans la main (ser214)
Scom et orchestrator main dans la main (ser214)
 
Rapport MS Exchange 2010
Rapport MS Exchange 2010Rapport MS Exchange 2010
Rapport MS Exchange 2010
 
Sécurité des web services soap
Sécurité des web services soapSécurité des web services soap
Sécurité des web services soap
 
Rencontre mensuelle Montreal - juillet 2012 - kerberos
Rencontre mensuelle Montreal - juillet 2012 - kerberosRencontre mensuelle Montreal - juillet 2012 - kerberos
Rencontre mensuelle Montreal - juillet 2012 - kerberos
 
Mule ESB Summit 2010 avec Ippon
Mule ESB Summit 2010 avec IpponMule ESB Summit 2010 avec Ippon
Mule ESB Summit 2010 avec Ippon
 
[GAB2016] La sécurité dans Azure - Estelle Auberix
[GAB2016] La sécurité dans Azure - Estelle Auberix[GAB2016] La sécurité dans Azure - Estelle Auberix
[GAB2016] La sécurité dans Azure - Estelle Auberix
 
Pourquoi migrer vers exchange 2010
Pourquoi migrer vers exchange 2010Pourquoi migrer vers exchange 2010
Pourquoi migrer vers exchange 2010
 
E4 sp2 Exchange
E4 sp2 ExchangeE4 sp2 Exchange
E4 sp2 Exchange
 
Optimisation du stockage share point 2010
Optimisation du stockage share point 2010Optimisation du stockage share point 2010
Optimisation du stockage share point 2010
 

Plus de Microsoft Technet France

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Microsoft Technet France
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
Microsoft Technet France
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
Microsoft Technet France
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Microsoft Technet France
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
Microsoft Technet France
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Microsoft Technet France
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
Microsoft Technet France
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
Microsoft Technet France
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
Microsoft Technet France
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
Microsoft Technet France
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
Microsoft Technet France
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Microsoft Technet France
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
Microsoft Technet France
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Microsoft Technet France
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
Microsoft Technet France
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
Microsoft Technet France
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Microsoft Technet France
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
Microsoft Technet France
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
Microsoft Technet France
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
Microsoft Technet France
 

Plus de Microsoft Technet France (20)

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
 

Exchange : Comment sécuriser un serveur Exchange 2010

  • 1. palais des congrès Paris 7, 8 et 9 février 2012
  • 2. Comment sécuriser un serveur Exchange 2010 (MSG305) Jeudi 9 Février 16h00-17h00 Guy Groeneveld Principal Premier Field Engineer Microsoft
  • 3. Vous êtes dans la salle 352B
  • 4. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
  • 5. Sécurité = Excellence Opérationnelle Rigueur d’exploitation renforcée par MOF ou ITIL Gestion du changement Maintient à niveau des correctifs de sécurité Définition des règles d’accès et d’audit Surveillance des serveurs pour s’assurer de leur conformité
  • 6. Un environment sécurisé Accès physique restreint Mots de passe renforcés par GPO Accès réseau sécurisé Ipsec Network Access Protection (NAP) Pare-Feu Accès VPN à distance Double authentification Protection des données Bit Locker
  • 7. Protection contre les virus Anti-virus serveur transport Anti-virus serveur de boites aux lettres Si le poste client peut être infecté Si les dossiers publics sont utilisés Anti-virus fichier Attention aux exclusions Anti-virus poste client L’utilisateur n’est pas administrateur local Le poste est exclu si non-conforme (NAP)
  • 8. Forefront Protection 2010 for Exchange Server Threat Management Gateway Enterprise Network Edge Transport Hub Transport Routing & Policy External Mail Protection 2010 for Exchange Server Protection 2010 for Exchange Server Mailbox Unified Storage of Messaging mailbox items Voice mail & voice access Mobile phone Protection 2010 for Exchange Server Threat Management Gateway Client Access Phone system Web browser Client connectivity (PBX or VOIP) Web services Outlook (remote user) Line of business applications Outlook (local user)
  • 9. Exchange sécurisé par défaut Développé selon le « Trustworthy computing lifecycle » Conçu pour résister à des attaques malveillantes Test du code lors de la conception Analyse finale réalisée par une équipe indépendante Le « Security Configuration Wizard » (SCW) est exécuté lors de l’installation Ne pas dé-valider le pare feux Windows Attention aux GPO affectant le pare feux Un certificat auto-signé est créé automatiquement Permet un cryptage immédiatement après l’installation Génère quelques problèmes car non-trusté
  • 10. Sensibilisation des utilisateurs Détection d’un mail venant de l’extérieur Utilisation des mailtips (Outlook 2010 et OWA) Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled $true
  • 11. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
  • 12. Role Based Access Control (RBAC) Nouveau modèle de permissions sur Exchange 2010: Permissions gérées par Exchange en nom de l’administrateur Plus besoin d’aller dans l’AD configurer des droits pour les administrateurs Granularité de contrôle jusqu’à la commande ou les paramètres powershell Limite de portée en écriture selon des filtres prédéfinis ou complexes Auto administration des utilisateurs
  • 13. RBAC: Comment ça marche > New-PSSession –URI https://server.fqdn.com/PowerShell/ > New-Mailbox –Name Bob [Bob Mailbox Object in IIS Pipeline] PSv2 Client Evan Evan: Role Assignment Runspace PSv2 RBAC Server Runspace New-Mailbox -Name Get-Mailbox WSMan + Set-Mailbox -Name RBAC stack: Authorization Active Directory Exchange IIS: Authentication Server Cmdlets Available in Runspace: New-PSSession Remote Cmdlets Available in Runspace: New-Mailbox -Name Cmdlets Available in Runspace: Get-Mailbox New-Mailbox -Name Set-Mailbox -Name Get-Mailbox Set-Mailbox -Name 13
  • 14. Fractionnement des autorisations (split permission) Par défaut les administrateurs Exchange ayant le droit de gérer des boites aux lettres peuvent aussi créer et supprimer des comptes Peut être un risque si les administrateurs Exchange ne sont pas supposés pouvoir le faire Recommandé avec RBAC car plus souple Peut aussi être fait avec « setup.com /PrepareAD /ActiveDirectorySplitPermissions:true” Nécessite un reboot des serveurs Exchange Peut être revalidé a tout moment en relançant la commande à « false »
  • 15. Les Administrateurs Exchange Utiliser un compte différent pour chaque administrateur Restreindre au maximum les droits RBAC Toujours partir des droits les plus restreints. N’élargir que si nécessaire Ne pas utiliser les boite aux lettres des comptes administrateurs Ne pas utiliser un compte standard pour l’administration Ne pas autoriser par défaut l’ouverture de toutes les boites aux lettres par les administrateurs Dissocier le poste d’administration du poste standard
  • 16. Les groupes de sécurité Exchange « setup /PrepareAD » Créés lors du Définissent les droits Exchange Rajouter un membre dans un rôle groupe lui donne tous les rôles assignés au groupe Rajouter un membre dans le groupe « Exchange Servers » donne accès à tout ce que les serveurs peuvent accéder Rajouter un membre dans « Exchange Windows Permission » donne le droit de modifier tous les comptes et groupes de la forêt Sécurisation des groupes de sécurité Exchange Doivent être supervisés avec de l’audit Windows Peuvent être restreints avec une « Restricted Group Policy » Suppose une mise à jour de la policy après chaque changement
  • 17. Administrator Audit Logging Actif par défaut Garde trace de toutes les actions administratives entrainant des modifications quelle que soit la source EMC, EMS, ECP La liste des commandes tracées est configurable On peut écrire dans le log par powershell Conserve 90 jours de log par défaut Est récupérable par Powershell ou ECP
  • 18. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
  • 19. Sécurité d’accès aux serveurs Seuls les administrateurs supposés administrer les serveurs doivent pouvoir y accéder Accès Physique et à distance en TS Ne pas installer Exchange sur un DC Local admin pour tous les DCs du domaine Dé-valider les fonctionnalités non utilisées sur les boites aux lettres Garder l’ « ExecutionPolicy » Powershell en RemoteSigned (défaut) Implique de gérer ses scripts (voir about_execution_policy)
  • 20. Mise à jour des serveurs Tous les Correctifs de sécurité doivent être appliqués Les derniers Rollups Exchange doivent être appliqués Les Certificats doivent être valides avec une procédure de renouvellement Sécuriser les fichiers si ils sont exportés avec la clé privée Surveillance avec: System Center Operation Manager (SCOM) Microsoft Based Security Analyzer (MBSA) ExBPA (SCOM le lance régulièrement)
  • 21. Protection « Denial of Service » DoS Stratégies de limitation du client (Client Throttling) Prévient la saturation d’un serveur par un utilisateur Attention au comptes pour applications tierce ne pouvant avoir de limites Troubleshoot-DatabaseLatency.ps1 permet de mettre en quarantaine des utilisateurs trop actifs Limitation des messages (Message Throttling) Prévient la saturation d’un serveur par des messages Configurable au niveau serveur, connecteurs d’envoi et de réception
  • 22. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
  • 23. Outlook Tous les Outlook doivent avoir le dernier service pack ou rollup 2625547 How to install the latest applicable updates for Microsoft Outlook (US English only) Les serveurs sont configurés pour refuser une connexion d’un Outlook non à jour Les profiles doivent être configuré avec l’encryption RPC Par défaut sur Outlook 2007 et 2010 pas sur 2003 Prérequis dé-validé par défaut coté serveur depuis Exchange 2010 SP1 Set-RpcClientAccess –Server Exchange_server_name –EncryptionRequired $True Peut être forcé par GPO coté client
  • 24. Authentification Kerberos Kerberos est plus sécurisé que NTLM NTLM peut avoir un impact sur les performances serveur pour les gros déploiements Outlook se connecte en NTLM sur un CAS Array a moins de configurer Kerberos Attention: Une erreur de configuration kerberos peut empêcher toute connexion depuis Outlook Après avoir créé le compte et les SPN on peut utiliser RollAlternateserviceAccountCredential.ps1
  • 25. Encryption SSL De nombreux clients se connectent par IIS Outlook Web App Exchange ActiveSync Outlook Anywhere AutoDiscover Exchange Web Services Offline Address Book (OAB) Le trafic doit rester encrypté Si déchargement SSL (offload) assurez vous de la sécurité du réseau sur la zone non cryptée OAB par défaut non crypté
  • 26. Mobiles - Activesync Garder les mobiles à jour 2563324 Current issues with Microsoft Exchange ActiveSync and Third Party Devices Mettre les mobiles inconnus en quarantaine par défaut Bloquer les mobiles n’étant pas autorisés à se connecter Il reste possible de les autoriser par utilisateur Forcer au minimum les mobiles a avoir un mot de passe avec une stratégie Activesync Vérifier les fonctionnalités de stratégie implémentées pour le mobile
  • 27. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
  • 28. S/MIME Technologie coté client sans interaction avec le serveur Add-On ActiveX pour OWA Permet de signer un message afin d’en assurer l’authentification et l’intégrité Toute modification lors du transit invalide la signature Permet de crypter les messages Les antivirus et anti-spam, ne peuvent pas inspecter le contenu des messages Les règles de transport, ne peuvent pas s’appliquer Les messages ne peuvent pas être indexés pour plus d’infos http://office.microsoft.com/fr-fr/outlook-help/overview-of- certificates-and-cryptographic-e-mail-messaging-in- outlook-HP001230534.aspx?pid=CH100622191033
  • 30. Gestion des droits relatifs à l'information (IRM) Service dans Windows Server 2008 R2 Permet de: Empêcher de transférer, modifier, imprimer, télécopier, enregistrer ou couper et coller les messages Protéger les formats de fichier de pièce jointe pris en charge en leur conférant le même niveau de protection que celui du message Prendre en charge l’expiration des messages et pièces jointes Empêcher la copie d’un contenu protégé par IRM à l’aide de l’outil Capture dans Microsoft Windows.
  • 31. Application des droits Manuellement depuis Outlook Manuellement depuis OWA Manuellement depuis un mobile Le mobile doit soit avoir un client IRM, soit savoir gérer l’interaction avec le serveur d’accès client (SP1) Automatiquement depuis Outlook 2010 Configuration serveur avec New- OutlookProtectionRule Automatiquement par le transport
  • 32. IRM par le transport Application automatique par le transport: Une règle transport applique le RMS template au message et aux attachements supportés Les règles transport peuvent se déclencher sur le contenu du message ou des attachements 32
  • 33. Audit d’accès aux boites aux lettres Permet d’auditer l’accès aux boîtes aux lettres par les propriétaires des boîtes aux lettres, les délégués et les administrateurs Enregistre l’accès aux dossiers, le déplacement ou la suppression de messages, l’adresse IP et le host Stocké dans la boite aux lettres Les comptes de service pour logiciels tiers peuvent être exclus
  • 34. Agenda Les basics L’administration La protection des serveurs Les accès clients La protection des données Le transport
  • 35. Trafic de messages Le trafic de messages SMTP est encrypté avec TLS Intra Organisation La génération de certificats auto-signés lors du setup permet de crypter toute communication SMTP par défaut Peut être dé-validé si besoin (compresseurs de flux) Inter Organisations Nécessite un certificat public valide TLS opportuniste. Exchange essaye d’établir une session TLS si cette option est disponible sur le serveur distant Mutual TLS. Permet de forcer la communication cryptée vers un domaine de messagerie particulier
  • 36. Règles transport Permettent d’appliquer des stratégies aux messages en transit Intra Organisation Blocage du contenu inapproprié entrant ou sortant Filtrage des informations confidentielles de l'organisation Suivi ou archivage des messages échangés avec des individus spécifiques Redirection des messages entrants et sortants pour inspection avant remise Application de « disclaimer » à des messages transitant par l'organisation.
  • 37. Forefront Online Protection for Exchange (FOPE) External Email Hub Transport Mailbox About 90% of email is junk Service Internet protégeant vos messages entrant et sortant contre les spams, virus, phishing… Réduit la charge réseau sur votre accès Internet en ne laissant passer que les bon mails

Notes de l'éditeur

  1. Slide Objective: Explain Remote PowerShell. Instructor Notes:Evan opens PowerShell (2.0) on his machine, which gives him a client side runspace. Evan types New-PSSession –URI https://server.fqdn.com/PowerShell to target this endpoint. Once connected, IIS Authenticates the user (For Datacenter, Live.edu its basic, On-Premise it’s Kerberos).IIS then goes through RBAC process to figure out who Evan is and what he can do and where. Reading Roles, Role assignment from AD DS, etc. It returns the available cmdlets, attributes Evan can run or set.IIS then creates the restricted PowerShell runspace on the Server which only allows these cmdlets to be executed. These cmdlets are then added to Client Side runspace to be executed on Evans computer. When the client then runs New-Mailbox Bob in the client runspace it then gets executed on the Server.The result then gets piped back to the Client runspace which allows further actions (e.g., piping the result into another command on the client). Important Takeaways: There are always 2 separate runspaces, Client and Server (not like Telnet)Cmdlets and usability is just like they were in Exchange Server 2007
  2. Slide Objective: You need tools to enforce confidentiality where it is required. Instructor Notes: Many of you may receive emails similar to this one in which the author is essentially begging and pleading with the recipient to “do the right thing” with the information—and prior to RMS we saw a lot of these inside Microsoft as well. In this case, while the organization may have a “policy” for what should and should not be done with the information, there are no mechanisms in place to digitally enforce that policy.  You cannot rely on the fact that all end-users will apply confidentiality measures where required, even with training.
  3. Slide Objective: Introduce Automatic Content-Based Privacy, at the Transport Level. Instructor Notes: Today an employee may accidentally include sensitive information that belongs to a consumer in an email which is sent in clear text over the internet. If that data is accidentally emailed the organization may face considerable reputation damage, legal exposure, and reduction in company’s market value. To address this, the Exchange Server can be configured to encrypt messages that contain personal information or critical business information. Sensitive email can be detected, using Transport Rules, by filtering the content of a message (including content of supported attachments). Regular expressions are supported. AD DS RMS uses XML-based policy templates to allow compatible IRM-enabled applications to apply consistent protection policies. In Windows Server 2008, AD DS RMS server exposes a web service that can be used to enumerate and acquire templates. Exchange Server 2010 SP1 ships with the following template: Do Not Forward: When the Do Not Forward template is applied to a message, only the specified recipients can decrypt the message. The recipients can't forward the message to anyone else, copy content from the message, or print the message. For example: Ed is a nurse at Contoso, a large hospital. Ed is sending Chris the results of his recent blood test. When Ed’s email reaches the Exchange Server, the server is able to examine the message and determine that personal information is included in the mail. Because personal information is included in the message, the Exchange Server encrypts the message before it leaves the organization. The message that gets to Chris is an encrypted copy of the message.