Protection de Exchange Server 2003
Rick ClausRick ClausConseillers professionnels en TIConseillers professionnels en TIMicrosoft CanadaMicrosoft Canada
Objectifs de la présentation
• Présenter les notions et les mécanismes de protection de Exchange 2003.• Examiner les techniques et les outils utilisés pour aider à retirer les messages indésirables comme le
polluriel. • Démontrer les façons d’activer l’accès protégé de clients externes.• Méthodes éprouvées, outils et conseils.
Programme
• Survol de la sécurité dans Exchange 2003• Technologie SmartScreen et de filtrage
antipolluriel• Accès protégé de clients externes• Méthodes et outils éprouvés pour protéger
Exchange
La sécurité dans Exchange 2003
Fonctions et aspects :Fonctions et aspects :Sécurisé par conception et par défaut
Nombreux clients et méthodes de connexion différents
Scénarios de déploiement
Mises en oeuvre du pare-feu au réseau périphérique
SMTP anti-relais
Filtrage du courriel selon l’expéditeur, le destinataire et filtrage des connexions incluant des services de liste de blocage
Filtrage antipollutiel
Soutien antivirus
Publication OWA (Outlook Web Access)
Sécurisé par conception et par défaut
Nombreux clients et méthodes de connexion différents
Scénarios de déploiement
Mises en oeuvre du pare-feu au réseau périphérique
SMTP anti-relais
Filtrage du courriel selon l’expéditeur, le destinataire et filtrage des connexions incluant des services de liste de blocage
Filtrage antipollutiel
Soutien antivirus
Publication OWA (Outlook Web Access)
Scénarios de déploiement de Exchange Server
ISA Server intégréISA Server intégré
Déploiement général Déploiement général Déploiement frontal/dorsalDéploiement frontal/dorsal
Serveur ExchangeServeur
Exchange
InternetInternet
Serveur Exchange
frontal
Serveur Exchange
frontal
Serveurs Exchange
dorsaux
Serveurs Exchange
dorsaux
ISA ServerISA Server
Serveur ExchangeServeur
Exchange
Protection de Exchange en périphérie Interaction avec le pare-feu ISA 2004 (SMTP)
Exchange Exchange ServerServer
Le trafic inspecté peut être envoyé au serveur Le trafic inspecté peut être envoyé au serveur interne chiffré à nouveau ou en clair.interne chiffré à nouveau ou en clair.
ISA Server avec filtrage HTTP ISA Server avec filtrage HTTP
Le serveur Web Le serveur Web demande une demande une
authentification — tout authentification — tout utilisateur Internet peut utilisateur Internet peut
avoir accès à ce avoir accès à ce message-guidemessage-guide
ISA Server peut ISA Server peut déchiffrer et déchiffrer et
inspecter le trafic inspecter le trafic SSLSSL
……ce qui permet aux ce qui permet aux virus et aux vers de virus et aux vers de
passer sans être passer sans être détectés…détectés…
filtrage HTTP filtrage HTTP URLScan for ISA Server peut URLScan for ISA Server peut
arrêter les attaques à la arrêter les attaques à la périphérie du réseau, même s’il périphérie du réseau, même s’il
s’agit de trafic chiffré SSLs’agit de trafic chiffré SSL
Publication OWA avec ISA 2004
Pare-feu Pare-feu traditionneltraditionnel
Pare-feu Pare-feu traditionneltraditionnel
WebWebSrv/ Srv/ OWA OWA
WebWebSrv/ Srv/ OWA OWA
clientclientclientclient
SSLSSLSSLSSL
Le trafic SSL traverse les Le trafic SSL traverse les pare-feu traditionnels pare-feu traditionnels
parce qu’il est chiffré…parce qu’il est chiffré… ……et infecte les serveurs et infecte les serveurs internes!internes!
ISA Server 2004ISA Server 2004ISA Server 2004ISA Server 2004
ISA Server pré-authentifie les ISA Server pré-authentifie les utilisateurs, ce qui élimine de utilisateurs, ce qui élimine de multiples boîtes de dialogue et multiples boîtes de dialogue et ne laisse passer que le trafic ne laisse passer que le trafic
validevalide
SSL or SSL or HTTPHTTP
SSL or SSL or HTTPHTTP
SSLSSLSSLSSL
InternetInternet
Publication sécurisée de Publication sécurisée de Exchange avec ISA 2004Exchange avec ISA 2004
Publication SMTPPublication SMTPFiltrage des mots-clés et des pièces Filtrage des mots-clés et des pièces jointes SMTPjointes SMTPPublication OWA Publication OWA
démonstrationdémonstration
Programme
• Survol de la sécurité dans Exchange 2003• Technologie SmartScreen et de filtrage
antipolluriel• Accès protégé de clients externes• Méthodes et outils éprouvés pour protéger
Exchange
Filtrage des messages de Exchange
Listes Listes
accept./refusaccept./refus
Listes de blocageListes de blocage
Filtre destinatairesFiltre destinataires
Filtre expéditeursFiltre expéditeurs
Filtre de messages intelligentFiltre de messages intelligent
Mémoire d’information Mémoire d’information
Filtre de messages intelligent
• Exploite l’apprentissage machine SmartScreen• Appliqué à la passerelle
– Attribue au message un niveau de confiance concernant les polluriels (SCL)
• Utilisé tout au long du parcours du courriel• Analyse les en-têtes, le corps du message et d’autres attributs
SCL 5SCL 5
Filtrage antipolluriel avec IMFTechnologie SmartScreen
SCL 8SCL 8
Algorithme Algorithme
SmartScreenSmartScreen
Serveur de passerelleServeur de passerelleServeur de mémoire Serveur de mémoire
de boîte aux lettresde boîte aux lettres
Outils de tiers Outils de tiers
(Antivirus)(Antivirus)
Dossier Dossier
de pollurielde pollurielBoîte Boîte
de réceptionde réception
SCL 5SCL 5
Le filtre de messages intelligent Le filtre de messages intelligent
Fonctions de contrôle UCE de Exchange Fonctions de contrôle UCE de Exchange 2003 2003 Installation de IMFInstallation de IMFConfiguration de IMFConfiguration de IMF
démonstrationdémonstration
Programme
• Survol de la sécurité dans Exchange 2003• Technologie SmartScreen et de filtrage
antipolluriel• Accès protégé de clients externes• Méthodes et outils éprouvés pour protéger
Exchange
Défis de l’accès protégé de clients externes à Exchange Server
Outlook Mobile AccessXHTML, cHTML, HTMLOutlook Mobile AccessXHTML, cHTML, HTML
Dispositifs mobiles compatibles avec
ActiveSync
Dispositifs mobiles compatibles avec
ActiveSync
Réseau sans filRéseau sans fil
ISAServer
ISAServer
Outlook Web AccessOutlook avec RPCOutlook avec RPC
over HTTP(S)Outlook Express
avec IMAP4 ou POP3
Outlook Web AccessOutlook avec RPCOutlook avec RPC
over HTTP(S)Outlook Express
avec IMAP4 ou POP3
Serveur Exchange
frontal
Serveur Exchange
frontal
Serveurs Exchange
dorsaux
Serveurs Exchange
dorsaux
Configurer l’accès protégé de clients à Outlook RPC / RPC over HTTP(S)
Client OutlookClient
Outlook
Serveurs ExchangeServeurs Exchange
ISAServer
ISAServer
Utilisez les règles de publication du serveur de courriel pour activer les connexions Outlook RPC
Utilisez les règles de publication du serveur de courriel pour activer les connexions Outlook RPC
Facteurs de configuration de l’accès client par RPC over HTTP(S)
Les connexions RPC over HTTP(S) nécessitent :Les connexions RPC over HTTP(S) nécessitent :
Exchange Server 2003 sous Windows Server 2003 et les serveurs de catalogue global de Windows Server 2003 Exchange Server 2003 sous Windows Server 2003 et les serveurs de catalogue global de Windows Server 2003
Outlook 2003 sous Windows XPOutlook 2003 sous Windows XP
Windows Server 2003 exécutant un serveur mandataire RPCWindows Server 2003 exécutant un serveur mandataire RPC
La modification du profil Outlook pour utiliser RPC over HTTP(S) pour la connexion à Exchange serverLa modification du profil Outlook pour utiliser RPC over HTTP(S) pour la connexion à Exchange server
Pour activer les connexions RPC over HTTP(S) avec ISA Server, utilisez l’Assistant Publication de sites Web sécurisés pour publier le répertoire virtuel /rpc/*virtual directory.
Pour activer les connexions RPC over HTTP(S) avec ISA Server, utilisez l’Assistant Publication de sites Web sécurisés pour publier le répertoire virtuel /rpc/*virtual directory.
RPC over HTTPS RPC over HTTPS
Installation de RPC over HTTPSInstallation de RPC over HTTPSConfiguration de ISA ServerConfiguration de ISA Server
démonstrationdémonstration
Programme
• Survol de la sécurité dans Exchange 2003• Technologie SmartScreen et de filtrage
antipolluriel• Accès protégé de clients externes• Méthodes et outils éprouvés pour protéger
Exchange
Défis liés au maintien de la sécurité de Exchange Server
Défis liés au maintien de la sécurité de Exchange Server :Défis liés au maintien de la sécurité de Exchange Server :
Blindage des serveurs
Installer systématiquement les mises à jour de sécurité les plus récentes
Appliquer systématiquement les méthodes éprouvées recommandées
Comprendre les répercussions de la configuration des diverses options de Exchange Server
Tenir à jour la documentation sur les paramètres de configuration et de sécurité
Blindage des serveurs
Installer systématiquement les mises à jour de sécurité les plus récentes
Appliquer systématiquement les méthodes éprouvées recommandées
Comprendre les répercussions de la configuration des diverses options de Exchange Server
Tenir à jour la documentation sur les paramètres de configuration et de sécurité
Blindage des serveurs Exchange dorsaux
Tâches de blindage des serveurs Exchange dorsaux :Tâches de blindage des serveurs Exchange dorsaux :
Services de blindage (réduire la surface vulnérable)
Blindage des listes de contrôle d’accès aux fichiers (ACL)
Modifier les privilèges
Activer des services additionnels (facultatif)
Services de blindage (réduire la surface vulnérable)
Blindage des listes de contrôle d’accès aux fichiers (ACL)
Modifier les privilèges
Activer des services additionnels (facultatif)
Appliquez le modèle de sécurité de Exchange 2003 Backend.inf à vos serveurs dorsauxAppliquez le modèle de sécurité de Exchange 2003 Backend.inf à vos serveurs dorsaux
Blindage des serveurs Exchange frontaux
Tâches de blindage des serveurs Exchange frontaux :Tâches de blindage des serveurs Exchange frontaux :
Services de blindage (réduire la surface vulnérable)
Blindage des listes de contrôle d’accès aux fichiers (ACL)
Activer des services additionnels (facultatif)
Exécuter URLScan (facultatif mais recommandé)
Démonter la mémoire de la boîte aux lettres et supprimer la mémoire du dossier public (facultatif mais recommandé)
Services de blindage (réduire la surface vulnérable)
Blindage des listes de contrôle d’accès aux fichiers (ACL)
Activer des services additionnels (facultatif)
Exécuter URLScan (facultatif mais recommandé)
Démonter la mémoire de la boîte aux lettres et supprimer la mémoire du dossier public (facultatif mais recommandé)
Appliquer le modèle de sécurité de Exchange 2003 Frontend.inf à vos serveurs frontauxAppliquer le modèle de sécurité de Exchange 2003 Frontend.inf à vos serveurs frontaux
Analyse de Exchange Server 2003 avec MBSA
MBSA vérifie les problèmes touchant :MBSA vérifie les problèmes touchant :Les problèmes de sécurité connus liés à Windows et à Internet Les problèmes de sécurité connus liés à Windows et à Internet
Les mises à jour de sécurité manquantes Les mises à jour de sécurité manquantes
Les mots de passe de compte fragiles Les mots de passe de compte fragiles
Les problèmes de sécurité liés à Internet Information Services (IIS) Les problèmes de sécurité liés à Internet Information Services (IIS)
Les problèmes de sécurité liés à Exchange Server Les problèmes de sécurité liés à Exchange Server
Les problèmes de sécurité liés à SQL Server Les problèmes de sécurité liés à SQL Server
Validation des paramètres de configuration de Exchange Server
ExBPA peut examiner vos serveurs Exchange pour :ExBPA peut examiner vos serveurs Exchange pour :Produire une liste de problèmes tels que les erreurs de configuration ou les options non prises en charge ou déconseillées
Produire une liste de problèmes tels que les erreurs de configuration ou les options non prises en charge ou déconseillées
Évaluer la santé générale du systèmeÉvaluer la santé générale du système
Aider à régler des problèmes précisAider à régler des problèmes précis
Intégrer l’outil MBSAIntégrer l’outil MBSA
Méthodes éprouvées de protection des serveurs Exchange
Limitez la fonctionnalité de Exchange Server aux clients strictement nécessairesLimitez la fonctionnalité de Exchange Server aux clients strictement nécessaires
Installez systématiquement les dernières mises à jour de Exchange Server 2003 et du système d’exploitationInstallez systématiquement les dernières mises à jour de Exchange Server 2003 et du système d’exploitation
Utilisez SSL/TLS et l’authentification fondée sur des formulaires pour Outlook Web AccessUtilisez SSL/TLS et l’authentification fondée sur des formulaires pour Outlook Web Access
Utilisez ISA Server 2004 pour régir l’accès du trafic HTTP, RPC over HTTPS, POP3 et IMAP4Utilisez ISA Server 2004 pour régir l’accès du trafic HTTP, RPC over HTTPS, POP3 et IMAP4
Déterminez la topologie de Exchange Server et blindez les serveurs selon leurs rôlesDéterminez la topologie de Exchange Server et blindez les serveurs selon leurs rôles
Outils Exchange Outils Exchange
Exchange Best Practice AnalyzerExchange Best Practice Analyzer
démonstrationdémonstration
Résumé
Déployez Exchange Server 2003 et Microsoft Office Outlook 2003 pour profiter des récentes améliorations à la sécurité Déployez Exchange Server 2003 et Microsoft Office Outlook 2003 pour profiter des récentes améliorations à la sécurité
Mettez en oeuvre les modèles de sécurité de base et additionnels de façon à protéger pleinement Exchange Server Mettez en oeuvre les modèles de sécurité de base et additionnels de façon à protéger pleinement Exchange Server
Installez des antivirus sensibles à Exchange et assurez la sécurité grâce aux outils MBSA et ExBPA Installez des antivirus sensibles à Exchange et assurez la sécurité grâce aux outils MBSA et ExBPA
Protégez-vous contre les messages indésirables en ayant recours à plusieurs couches de filtrage et en exploitant le filtre de messages intelligent
Protégez-vous contre les messages indésirables en ayant recours à plusieurs couches de filtrage et en exploitant le filtre de messages intelligent
Appliquez systématiquement les méthodes et techniques éprouvées les plus récentes pour protéger Exchange Server 2003
Appliquez systématiquement les méthodes et techniques éprouvées les plus récentes pour protéger Exchange Server 2003
Pour plus d’information…
Microsoft TechNet
http://www.microsoft.ca/technet
Rick Claus
http://blogs.msdn.com/rclaus
Votre potentiel. Notre passion.MC