palais des congrès Paris 7, 8 et 9 février 2012
Dec 02, 2014
palais des congrès Paris
7, 8 et 9 février 2012
Jeudi 9 Février 16h00-17h00 Guy GroeneveldPrincipal Premier Field EngineerMicrosoft
Comment sécuriser un serveur Exchange 2010 (MSG305)
Vous êtes dans la salle 352B
Les basicsL’administrationLa protection des serveursLes accès clientsLa protection des donnéesLe transport
Agenda
Rigueur d’exploitation renforcée par MOF ou ITILGestion du changementMaintient à niveau des correctifs de sécuritéDéfinition des règles d’accès et d’auditSurveillance des serveurs pour s’assurer de leur conformité
Sécurité = Excellence Opérationnelle
Accès physique restreintMots de passe renforcés par GPOAccès réseau sécurisé
IpsecNetwork Access Protection (NAP)Pare-Feu
Accès VPN à distanceDouble authentification
Protection des donnéesBit Locker
Un environment sécurisé
Anti-virus serveur transportAnti-virus serveur de boites aux lettres
Si le poste client peut être infectéSi les dossiers publics sont utilisés
Anti-virus fichierAttention aux exclusions
Anti-virus poste clientL’utilisateur n’est pas administrateur localLe poste est exclu si non-conforme (NAP)
Protection contre les virus
Forefront Protection 2010 for Exchange Server
Enterprise Network
External Mail
Unified MessagingVoice mail & voice access
Hub TransportRouting & Policy
Web browser
Outlook (remote user)
Mobile phone
Outlook (local user)Line of business applications
MailboxStorage of
mailbox items
Protection 2010 for Exchange ServerProtection 2010 for Exchange Server
Phone system (PBX or VOIP)
Protection 2010 for Exchange ServerThreat Management Gateway
Edge TransportThreat Management Gateway
Client AccessClient connectivity
Web services
Développé selon le « Trustworthy computing lifecycle »
Conçu pour résister à des attaques malveillantesTest du code lors de la conceptionAnalyse finale réalisée par une équipe indépendante
Le « Security Configuration Wizard » (SCW) est exécuté lors de l’installation
Ne pas dé-valider le pare feux WindowsAttention aux GPO affectant le pare feux
Un certificat auto-signé est créé automatiquementPermet un cryptage immédiatement après l’installationGénère quelques problèmes car non-trusté
Exchange sécurisé par défaut
Détection d’un mail venant de l’extérieur
Utilisation des mailtips (Outlook 2010 et OWA)Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled $true
Sensibilisation des utilisateurs
Les basics
L’administrationLa protection des serveursLes accès clientsLa protection des donnéesLe transport
Agenda
Nouveau modèle de permissions sur Exchange 2010:
Permissions gérées par Exchange en nom de l’administrateurPlus besoin d’aller dans l’AD configurer des droits pour les administrateursGranularité de contrôle jusqu’à la commande ou les paramètres powershellLimite de portée en écriture selon des filtres prédéfinis ou complexesAuto administration des utilisateurs
Role Based Access Control (RBAC)
13
RBAC: Comment ça marche
IIS
WSMan +RBAC stack:
Authorization
PSv2 RBACServer Runspace
> New-Mailbox –Name Bob
PSv2 Client Runspace
Evan Evan: Role AssignmentNew-Mailbox -NameGet-MailboxSet-Mailbox -Name
Cmdlets Available in Runspace:New-PSSession
> New-PSSession –URI https://server.fqdn.com/PowerShell/
Remote Cmdlets Available in Runspace:New-Mailbox -NameGet-MailboxSet-Mailbox -Name
Exchange ServerIIS: Authentication
Active Directory
Cmdlets Available in Runspace:New-Mailbox -NameGet-MailboxSet-Mailbox -Name
[Bob Mailbox Object in Pipeline]
Par défaut les administrateurs Exchange ayant le droit de gérer des boites aux lettres peuvent aussi créer et supprimer des comptesPeut être un risque si les administrateurs Exchange ne sont pas supposés pouvoir le faireRecommandé avec RBAC car plus souplePeut aussi être fait avec « setup.com /PrepareAD /ActiveDirectorySplitPermissions:true”
Nécessite un reboot des serveurs ExchangePeut être revalidé a tout moment en relançant la commande à « false »
Fractionnement des autorisations (split permission)
Utiliser un compte différent pour chaque administrateurRestreindre au maximum les droits RBAC
Toujours partir des droits les plus restreints. N’élargir que si nécessaire
Ne pas utiliser les boite aux lettres des comptes administrateursNe pas utiliser un compte standard pour l’administrationNe pas autoriser par défaut l’ouverture de toutes les boites aux lettres par les administrateursDissocier le poste d’administration du poste standard
Les Administrateurs Exchange
Créés lors du « setup /PrepareAD »Définissent les droits Exchange
Rajouter un membre dans un rôle groupe lui donne tous les rôles assignés au groupeRajouter un membre dans le groupe « Exchange Servers » donne accès à tout ce que les serveurs peuvent accéderRajouter un membre dans « Exchange Windows Permission » donne le droit de modifier tous les comptes et groupes de la forêt
Sécurisation des groupes de sécurité ExchangeDoivent être supervisés avec de l’audit WindowsPeuvent être restreints avec une « Restricted Group Policy »
Suppose une mise à jour de la policy après chaque changement
Les groupes de sécurité Exchange
Actif par défautGarde trace de toutes les actions administratives entrainant des modifications quelle que soit la source EMC, EMS, ECPLa liste des commandes tracées est configurableOn peut écrire dans le log par powershellConserve 90 jours de log par défautEst récupérable par Powershell ou ECP
Administrator Audit Logging
Les basicsL’administration
La protection des serveursLes accès clientsLa protection des donnéesLe transport
Agenda
Seuls les administrateurs supposés administrer les serveurs doivent pouvoir y accéder
Accès Physique et à distance en TSNe pas installer Exchange sur un DC
Local admin pour tous les DCs du domaineDé-valider les fonctionnalités non utilisées sur les boites aux lettresGarder l’ « ExecutionPolicy » Powershell en RemoteSigned (défaut)
Implique de gérer ses scripts (voir about_execution_policy)
Sécurité d’accès aux serveurs
Tous les Correctifs de sécurité doivent être appliquésLes derniers Rollups Exchange doivent être appliquésLes Certificats doivent être valides avec une procédure de renouvellement
Sécuriser les fichiers si ils sont exportés avec la clé privée
Surveillance avec: System Center Operation Manager (SCOM)Microsoft Based Security Analyzer (MBSA)ExBPA (SCOM le lance régulièrement)
Mise à jour des serveurs
Stratégies de limitation du client (Client Throttling)
Prévient la saturation d’un serveur par un utilisateurAttention au comptes pour applications tierce ne pouvant avoir de limites
Troubleshoot-DatabaseLatency.ps1 permet de mettre en quarantaine des utilisateurs trop actifsLimitation des messages (Message Throttling)
Prévient la saturation d’un serveur par des messagesConfigurable au niveau serveur, connecteurs d’envoi et de réception
Protection « Denial of Service » DoS
Les basicsL’administrationLa protection des serveurs
Les accès clientsLa protection des donnéesLe transport
Agenda
Tous les Outlook doivent avoir le dernier service pack ou rollup
2625547 How to install the latest applicable updates for Microsoft Outlook (US English only)
Les serveurs sont configurés pour refuser une connexion d’un Outlook non à jourLes profiles doivent être configuré avec l’encryption RPC
Par défaut sur Outlook 2007 et 2010 pas sur 2003Prérequis dé-validé par défaut coté serveur depuis Exchange 2010 SP1
Set-RpcClientAccess –Server Exchange_server_name –EncryptionRequired $TruePeut être forcé par GPO coté client
Outlook
Kerberos est plus sécurisé que NTLMNTLM peut avoir un impact sur les performances serveur pour les gros déploiementsOutlook se connecte en NTLM sur un CAS Array a moins de configurer Kerberos
Attention: Une erreur de configuration kerberos peut empêcher toute connexion depuis OutlookAprès avoir créé le compte et les SPN on peut utiliser RollAlternateserviceAccountCredential.ps1
Authentification Kerberos
De nombreux clients se connectent par IISOutlook Web AppExchange ActiveSyncOutlook AnywhereAutoDiscoverExchange Web Services Offline Address Book (OAB)
Le trafic doit rester encrypté Si déchargement SSL (offload) assurez vous de la sécurité du réseau sur la zone non cryptéeOAB par défaut non crypté
Encryption SSL
Garder les mobiles à jour2563324 Current issues with Microsoft Exchange ActiveSync and Third Party Devices
Mettre les mobiles inconnus en quarantaine par défautBloquer les mobiles n’étant pas autorisés à se connecter
Il reste possible de les autoriser par utilisateurForcer au minimum les mobiles a avoir un mot de passe avec une stratégie ActivesyncVérifier les fonctionnalités de stratégie implémentées pour le mobile
http://en.wikipedia.org/wiki/Comparison_of_Exchange_ActiveSync_clients
Mobiles - Activesync
Les basicsL’administrationLa protection des serveursLes accès clients
La protection des donnéesLe transport
Agenda
Technologie coté client sans interaction avec le serveurAdd-On ActiveX pour OWAPermet de signer un message afin d’en assurer l’authentification et l’intégrité
Toute modification lors du transit invalide la signature
Permet de crypter les messagesLes antivirus et anti-spam, ne peuvent pas inspecter le contenu des messagesLes règles de transport, ne peuvent pas s’appliquerLes messages ne peuvent pas être indexés
pour plus d’infos http://office.microsoft.com/fr-fr/outlook-help/overview-of-certificates-and-cryptographic-e-mail-messaging-in-outlook-HP001230534.aspx?pid=CH100622191033
S/MIME
29
Confidentialité des messages
Service dans Windows Server 2008 R2Permet de:
Empêcher de transférer, modifier, imprimer, télécopier, enregistrer ou couper et coller les messagesProtéger les formats de fichier de pièce jointe pris en charge en leur conférant le même niveau de protection que celui du messagePrendre en charge l’expiration des messages et pièces jointesEmpêcher la copie d’un contenu protégé par IRM à l’aide de l’outil Capture dans Microsoft Windows.
Gestion des droits relatifs à l'information (IRM)
Manuellement depuis OutlookManuellement depuis OWAManuellement depuis un mobile
Le mobile doit soit avoir un client IRM, soit savoir gérer l’interaction avec le serveur d’accès client (SP1)
Automatiquement depuis Outlook 2010Configuration serveur avec New-OutlookProtectionRule
Automatiquement par le transport
Application des droits
32
IRM par le transport
Application automatique par le transport:
Une règle transport applique le RMS template au message et aux attachements supportésLes règles transport peuvent se déclencher sur le contenu du message ou des attachements
Permet d’auditer l’accès aux boîtes aux lettres par les propriétaires des boîtes aux lettres, les délégués et les administrateursEnregistre l’accès aux dossiers, le déplacement ou la suppression de messages, l’adresse IP et le hostStocké dans la boite aux lettresLes comptes de service pour logiciels tiers peuvent être exclus
Audit d’accès aux boites aux lettres
Les basicsL’administrationLa protection des serveursLes accès clientsLa protection des données
Le transport
Agenda
Le trafic de messages SMTP est encrypté avec TLSIntra Organisation
La génération de certificats auto-signés lors du setup permet de crypter toute communication SMTP par défautPeut être dé-validé si besoin (compresseurs de flux)
Inter OrganisationsNécessite un certificat public valideTLS opportuniste. Exchange essaye d’établir une session TLS si cette option est disponible sur le serveur distantMutual TLS. Permet de forcer la communication cryptée vers un domaine de messagerie particulier
Trafic de messages
Permettent d’appliquer des stratégies aux messages en transit
Intra OrganisationBlocage du contenu inapproprié entrant ou sortantFiltrage des informations confidentielles de l'organisationSuivi ou archivage des messages échangés avec des individus spécifiques Redirection des messages entrants et sortants pour inspection avant remise Application de « disclaimer » à des messages transitant par l'organisation.
Règles transport
Service Internet protégeant vos messages entrant et sortant contre les spams, virus, phishing…Réduit la charge réseau sur votre accès Internet en ne laissant passer que les bon mails
Forefront Online Protection for Exchange (FOPE)
z
Hub Transport Mailbox
External Email
About 90% ofemail is junk
Questions?