4. Agenda
Les basics
L’administration
La protection des serveurs
Les accès clients
La protection des données
Le transport
5. Sécurité = Excellence
Opérationnelle
Rigueur d’exploitation renforcée par MOF ou
ITIL
Gestion du changement
Maintient à niveau des correctifs de sécurité
Définition des règles d’accès et d’audit
Surveillance des serveurs pour s’assurer de
leur conformité
6. Un environment sécurisé
Accès physique restreint
Mots de passe renforcés par GPO
Accès réseau sécurisé
Ipsec
Network Access Protection (NAP)
Pare-Feu
Accès VPN à distance
Double authentification
Protection des données
Bit Locker
7. Protection contre les virus
Anti-virus serveur transport
Anti-virus serveur de boites aux lettres
Si le poste client peut être infecté
Si les dossiers publics sont utilisés
Anti-virus fichier
Attention aux exclusions
Anti-virus poste client
L’utilisateur n’est pas administrateur local
Le poste est exclu si non-conforme (NAP)
8. Forefront Protection 2010
for Exchange Server
Threat Management Gateway
Enterprise Network
Edge Transport
Hub Transport
Routing & Policy
External Mail
Protection 2010 for Exchange Server
Protection 2010 for Exchange Server
Mailbox Unified
Storage of Messaging
mailbox items Voice mail &
voice access
Mobile phone Protection 2010 for Exchange Server
Threat Management Gateway
Client Access Phone system
Web browser
Client connectivity (PBX or VOIP)
Web services
Outlook
(remote user)
Line of business applications
Outlook (local user)
9. Exchange sécurisé par défaut
Développé selon le « Trustworthy computing lifecycle »
Conçu pour résister à des attaques malveillantes
Test du code lors de la conception
Analyse finale réalisée par une équipe indépendante
Le « Security Configuration Wizard » (SCW) est exécuté
lors de l’installation
Ne pas dé-valider le pare feux Windows
Attention aux GPO affectant le pare feux
Un certificat auto-signé est créé automatiquement
Permet un cryptage immédiatement après l’installation
Génère quelques problèmes car non-trusté
10. Sensibilisation des utilisateurs
Détection d’un mail venant de l’extérieur
Utilisation des mailtips (Outlook 2010 et OWA)
Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled
$true
11. Agenda
Les basics
L’administration
La protection des serveurs
Les accès clients
La protection des données
Le transport
12. Role Based Access
Control (RBAC)
Nouveau modèle de permissions sur Exchange
2010:
Permissions gérées par Exchange en nom de
l’administrateur
Plus besoin d’aller dans l’AD configurer des
droits pour les administrateurs
Granularité de contrôle jusqu’à la commande
ou les paramètres powershell
Limite de portée en écriture selon des filtres
prédéfinis ou complexes
Auto administration des utilisateurs
13. RBAC: Comment ça marche
> New-PSSession –URI https://server.fqdn.com/PowerShell/
> New-Mailbox –Name Bob
[Bob Mailbox Object in
IIS
Pipeline]
PSv2 Client
Evan Evan: Role Assignment
Runspace PSv2 RBAC
Server Runspace New-Mailbox -Name
Get-Mailbox
WSMan +
Set-Mailbox -Name
RBAC stack:
Authorization
Active Directory Exchange
IIS: Authentication Server
Cmdlets Available in Runspace:
New-PSSession
Remote Cmdlets Available in Runspace:
New-Mailbox -Name Cmdlets Available in Runspace:
Get-Mailbox New-Mailbox -Name
Set-Mailbox -Name Get-Mailbox
Set-Mailbox -Name
13
14. Fractionnement des
autorisations (split permission)
Par défaut les administrateurs Exchange ayant le droit de
gérer des boites aux lettres peuvent aussi créer et
supprimer des comptes
Peut être un risque si les administrateurs Exchange ne
sont pas supposés pouvoir le faire
Recommandé avec RBAC car plus souple
Peut aussi être fait avec « setup.com /PrepareAD
/ActiveDirectorySplitPermissions:true”
Nécessite un reboot des serveurs Exchange
Peut être revalidé a tout moment en relançant la
commande à « false »
15. Les Administrateurs Exchange
Utiliser un compte différent pour chaque
administrateur
Restreindre au maximum les droits RBAC
Toujours partir des droits les plus restreints.
N’élargir que si nécessaire
Ne pas utiliser les boite aux lettres des comptes
administrateurs
Ne pas utiliser un compte standard pour
l’administration
Ne pas autoriser par défaut l’ouverture de toutes
les boites aux lettres par les administrateurs
Dissocier le poste d’administration du poste
standard
16. Les groupes de sécurité
Exchange « setup /PrepareAD »
Créés lors du
Définissent les droits Exchange
Rajouter un membre dans un rôle groupe lui donne
tous les rôles assignés au groupe
Rajouter un membre dans le groupe « Exchange
Servers » donne accès à tout ce que les serveurs
peuvent accéder
Rajouter un membre dans « Exchange Windows
Permission » donne le droit de modifier tous les
comptes et groupes de la forêt
Sécurisation des groupes de sécurité Exchange
Doivent être supervisés avec de l’audit Windows
Peuvent être restreints avec une « Restricted Group
Policy »
Suppose une mise à jour de la policy après chaque
changement
17. Administrator Audit Logging
Actif par défaut
Garde trace de toutes les actions administratives
entrainant des modifications quelle que soit la
source EMC, EMS, ECP
La liste des commandes tracées est configurable
On peut écrire dans le log par powershell
Conserve 90 jours de log par défaut
Est récupérable par Powershell ou ECP
18. Agenda
Les basics
L’administration
La protection des serveurs
Les accès clients
La protection des données
Le transport
19. Sécurité d’accès aux serveurs
Seuls les administrateurs supposés administrer les
serveurs doivent pouvoir y accéder
Accès Physique et à distance en TS
Ne pas installer Exchange sur un DC
Local admin pour tous les DCs du domaine
Dé-valider les fonctionnalités non utilisées sur les
boites aux lettres
Garder l’ « ExecutionPolicy » Powershell en
RemoteSigned (défaut)
Implique de gérer ses scripts (voir
about_execution_policy)
20. Mise à jour des serveurs
Tous les Correctifs de sécurité doivent être
appliqués
Les derniers Rollups Exchange doivent être
appliqués
Les Certificats doivent être valides avec une
procédure de renouvellement
Sécuriser les fichiers si ils sont exportés avec
la clé privée
Surveillance avec:
System Center Operation Manager (SCOM)
Microsoft Based Security Analyzer (MBSA)
ExBPA (SCOM le lance régulièrement)
21. Protection « Denial of Service »
DoS
Stratégies de limitation du client (Client Throttling)
Prévient la saturation d’un serveur par un
utilisateur
Attention au comptes pour applications tierce ne
pouvant avoir de limites
Troubleshoot-DatabaseLatency.ps1 permet de mettre
en quarantaine des utilisateurs trop actifs
Limitation des messages (Message Throttling)
Prévient la saturation d’un serveur par des
messages
Configurable au niveau serveur, connecteurs
d’envoi et de réception
22. Agenda
Les basics
L’administration
La protection des serveurs
Les accès clients
La protection des données
Le transport
23. Outlook
Tous les Outlook doivent avoir le dernier service pack ou
rollup
2625547 How to install the latest applicable updates
for Microsoft Outlook (US English only)
Les serveurs sont configurés pour refuser une connexion
d’un Outlook non à jour
Les profiles doivent être configuré avec l’encryption RPC
Par défaut sur Outlook 2007 et 2010 pas sur 2003
Prérequis dé-validé par défaut coté serveur depuis
Exchange 2010 SP1
Set-RpcClientAccess –Server
Exchange_server_name –EncryptionRequired
$True
Peut être forcé par GPO coté client
24. Authentification Kerberos
Kerberos est plus sécurisé que NTLM
NTLM peut avoir un impact sur les performances
serveur pour les gros déploiements
Outlook se connecte en NTLM sur un CAS Array
a moins de configurer Kerberos
Attention: Une erreur de configuration kerberos
peut empêcher toute connexion depuis
Outlook
Après avoir créé le compte et les SPN on peut
utiliser
RollAlternateserviceAccountCredential.ps1
25. Encryption SSL
De nombreux clients se connectent par IIS
Outlook Web App
Exchange ActiveSync
Outlook Anywhere
AutoDiscover
Exchange Web Services
Offline Address Book (OAB)
Le trafic doit rester encrypté
Si déchargement SSL (offload) assurez vous
de la sécurité du réseau sur la zone non
cryptée
OAB par défaut non crypté
26. Mobiles - Activesync
Garder les mobiles à jour
2563324 Current issues with Microsoft Exchange
ActiveSync and Third Party Devices
Mettre les mobiles inconnus en quarantaine par
défaut
Bloquer les mobiles n’étant pas autorisés à se
connecter
Il reste possible de les autoriser par utilisateur
Forcer au minimum les mobiles a avoir un mot de
passe avec une stratégie Activesync
Vérifier les fonctionnalités de stratégie implémentées
pour le mobile
27. Agenda
Les basics
L’administration
La protection des serveurs
Les accès clients
La protection des données
Le transport
28. S/MIME
Technologie coté client sans interaction avec le serveur
Add-On ActiveX pour OWA
Permet de signer un message afin d’en assurer
l’authentification et l’intégrité
Toute modification lors du transit invalide la signature
Permet de crypter les messages
Les antivirus et anti-spam, ne peuvent pas inspecter le
contenu des messages
Les règles de transport, ne peuvent pas s’appliquer
Les messages ne peuvent pas être indexés
pour plus d’infos
http://office.microsoft.com/fr-fr/outlook-help/overview-of-
certificates-and-cryptographic-e-mail-messaging-in-
outlook-HP001230534.aspx?pid=CH100622191033
30. Gestion des droits relatifs à
l'information (IRM)
Service dans Windows Server 2008 R2
Permet de:
Empêcher de transférer, modifier, imprimer, télécopier,
enregistrer ou couper et coller les messages
Protéger les formats de fichier de pièce jointe pris en
charge en leur conférant le même niveau de protection
que celui du message
Prendre en charge l’expiration des messages et pièces
jointes
Empêcher la copie d’un contenu protégé par IRM à
l’aide de l’outil Capture dans Microsoft Windows.
31. Application des droits
Manuellement depuis Outlook
Manuellement depuis OWA
Manuellement depuis un mobile
Le mobile doit soit avoir un client IRM, soit
savoir gérer l’interaction avec le serveur
d’accès client (SP1)
Automatiquement depuis Outlook 2010
Configuration serveur avec New-
OutlookProtectionRule
Automatiquement par le transport
32. IRM par le transport
Application automatique par le transport:
Une règle transport applique le RMS template au message
et aux attachements supportés
Les règles transport peuvent se déclencher sur le contenu
du message ou des attachements
32
33. Audit d’accès aux boites aux
lettres
Permet d’auditer l’accès aux boîtes aux lettres par
les propriétaires des boîtes aux lettres, les
délégués et les administrateurs
Enregistre l’accès aux dossiers, le déplacement
ou la suppression de messages, l’adresse IP et le
host
Stocké dans la boite aux lettres
Les comptes de service pour logiciels tiers
peuvent être exclus
34. Agenda
Les basics
L’administration
La protection des serveurs
Les accès clients
La protection des données
Le transport
35. Trafic de messages
Le trafic de messages SMTP est encrypté avec TLS
Intra Organisation
La génération de certificats auto-signés lors du
setup permet de crypter toute communication
SMTP par défaut
Peut être dé-validé si besoin (compresseurs de
flux)
Inter Organisations
Nécessite un certificat public valide
TLS opportuniste. Exchange essaye d’établir une
session TLS si cette option est disponible sur le
serveur distant
Mutual TLS. Permet de forcer la communication
cryptée vers un domaine de messagerie particulier
36. Règles transport
Permettent d’appliquer des stratégies aux messages
en transit
Intra Organisation
Blocage du contenu inapproprié entrant ou sortant
Filtrage des informations confidentielles de
l'organisation
Suivi ou archivage des messages échangés avec
des individus spécifiques
Redirection des messages entrants et sortants
pour inspection avant remise
Application de « disclaimer » à des messages
transitant par l'organisation.
37. Forefront Online Protection for
Exchange (FOPE)
External Email
Hub Transport Mailbox
About 90% of
email is junk
Service Internet protégeant vos messages entrant et
sortant contre les spams, virus, phishing…
Réduit la charge réseau sur votre accès Internet en ne
laissant passer que les bon mails
Slide Objective: Explain Remote PowerShell. Instructor Notes:Evan opens PowerShell (2.0) on his machine, which gives him a client side runspace. Evan types New-PSSession –URI https://server.fqdn.com/PowerShell to target this endpoint. Once connected, IIS Authenticates the user (For Datacenter, Live.edu its basic, On-Premise it’s Kerberos).IIS then goes through RBAC process to figure out who Evan is and what he can do and where. Reading Roles, Role assignment from AD DS, etc. It returns the available cmdlets, attributes Evan can run or set.IIS then creates the restricted PowerShell runspace on the Server which only allows these cmdlets to be executed. These cmdlets are then added to Client Side runspace to be executed on Evans computer. When the client then runs New-Mailbox Bob in the client runspace it then gets executed on the Server.The result then gets piped back to the Client runspace which allows further actions (e.g., piping the result into another command on the client). Important Takeaways: There are always 2 separate runspaces, Client and Server (not like Telnet)Cmdlets and usability is just like they were in Exchange Server 2007
Slide Objective: You need tools to enforce confidentiality where it is required. Instructor Notes: Many of you may receive emails similar to this one in which the author is essentially begging and pleading with the recipient to “do the right thing” with the information—and prior to RMS we saw a lot of these inside Microsoft as well. In this case, while the organization may have a “policy” for what should and should not be done with the information, there are no mechanisms in place to digitally enforce that policy. You cannot rely on the fact that all end-users will apply confidentiality measures where required, even with training.
Slide Objective: Introduce Automatic Content-Based Privacy, at the Transport Level. Instructor Notes: Today an employee may accidentally include sensitive information that belongs to a consumer in an email which is sent in clear text over the internet. If that data is accidentally emailed the organization may face considerable reputation damage, legal exposure, and reduction in company’s market value. To address this, the Exchange Server can be configured to encrypt messages that contain personal information or critical business information. Sensitive email can be detected, using Transport Rules, by filtering the content of a message (including content of supported attachments). Regular expressions are supported. AD DS RMS uses XML-based policy templates to allow compatible IRM-enabled applications to apply consistent protection policies. In Windows Server 2008, AD DS RMS server exposes a web service that can be used to enumerate and acquire templates. Exchange Server 2010 SP1 ships with the following template: Do Not Forward: When the Do Not Forward template is applied to a message, only the specified recipients can decrypt the message. The recipients can't forward the message to anyone else, copy content from the message, or print the message. For example: Ed is a nurse at Contoso, a large hospital. Ed is sending Chris the results of his recent blood test. When Ed’s email reaches the Exchange Server, the server is able to examine the message and determine that personal information is included in the mail. Because personal information is included in the message, the Exchange Server encrypts the message before it leaves the organization. The message that gets to Chris is an encrypted copy of the message.