palais des congrès Paris

7, 8 et 9 février 2012

Jeudi 9 Février 16h00-17h00 Guy GroeneveldPrincipal Premier Field EngineerMicrosoft

Comment sécuriser un serveur Exchange 2010 (MSG305)

Vous êtes dans la salle 352B

Les basicsL’administrationLa protection des serveursLes accès clientsLa protection des donnéesLe transport

Agenda

Rigueur d’exploitation renforcée par MOF ou ITILGestion du changementMaintient à niveau des correctifs de sécuritéDéfinition des règles d’accès et d’auditSurveillance des serveurs pour s’assurer de leur conformité

Sécurité = Excellence Opérationnelle

Accès physique restreintMots de passe renforcés par GPOAccès réseau sécurisé

IpsecNetwork Access Protection (NAP)Pare-Feu

Accès VPN à distanceDouble authentification

Protection des donnéesBit Locker

Un environment sécurisé

Anti-virus serveur transportAnti-virus serveur de boites aux lettres

Si le poste client peut être infectéSi les dossiers publics sont utilisés

Anti-virus fichierAttention aux exclusions

Anti-virus poste clientL’utilisateur n’est pas administrateur localLe poste est exclu si non-conforme (NAP)

Protection contre les virus

Forefront Protection 2010 for Exchange Server

Enterprise Network

External Mail

Unified MessagingVoice mail & voice access

Hub TransportRouting & Policy

Web browser

Outlook (remote user)

Mobile phone

Outlook (local user)Line of business applications

MailboxStorage of

mailbox items

Protection 2010 for Exchange ServerProtection 2010 for Exchange Server

Phone system (PBX or VOIP)

Protection 2010 for Exchange ServerThreat Management Gateway

Edge TransportThreat Management Gateway

Client AccessClient connectivity

Web services

Développé selon le « Trustworthy computing lifecycle »

Conçu pour résister à des attaques malveillantesTest du code lors de la conceptionAnalyse finale réalisée par une équipe indépendante

Le « Security Configuration Wizard » (SCW) est exécuté lors de l’installation

Ne pas dé-valider le pare feux WindowsAttention aux GPO affectant le pare feux

Un certificat auto-signé est créé automatiquementPermet un cryptage immédiatement après l’installationGénère quelques problèmes car non-trusté

Exchange sécurisé par défaut

Détection d’un mail venant de l’extérieur

Utilisation des mailtips (Outlook 2010 et OWA)Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled $true

Sensibilisation des utilisateurs

Les basics

L’administrationLa protection des serveursLes accès clientsLa protection des donnéesLe transport

Agenda

Nouveau modèle de permissions sur Exchange 2010:

Permissions gérées par Exchange en nom de l’administrateurPlus besoin d’aller dans l’AD configurer des droits pour les administrateursGranularité de contrôle jusqu’à la commande ou les paramètres powershellLimite de portée en écriture selon des filtres prédéfinis ou complexesAuto administration des utilisateurs

Role Based Access Control  (RBAC)

13

RBAC: Comment ça marche

IIS

WSMan +RBAC stack:

Authorization

PSv2 RBACServer Runspace

> New-Mailbox –Name Bob

PSv2 Client Runspace

Evan Evan: Role AssignmentNew-Mailbox -NameGet-MailboxSet-Mailbox -Name

Cmdlets Available in Runspace:New-PSSession

> New-PSSession –URI https://server.fqdn.com/PowerShell/

Remote Cmdlets Available in Runspace:New-Mailbox -NameGet-MailboxSet-Mailbox -Name

Exchange ServerIIS: Authentication

Active Directory

Cmdlets Available in Runspace:New-Mailbox -NameGet-MailboxSet-Mailbox -Name

[Bob Mailbox Object in Pipeline]

Par défaut les administrateurs Exchange ayant le droit de gérer des boites aux lettres peuvent aussi créer et supprimer des comptesPeut être un risque si les administrateurs Exchange ne sont pas supposés pouvoir le faireRecommandé avec RBAC car plus souplePeut aussi être fait avec « setup.com /PrepareAD /ActiveDirectorySplitPermissions:true”

Nécessite un reboot des serveurs ExchangePeut être revalidé a tout moment en relançant la commande à « false »

Fractionnement des autorisations (split permission)

Utiliser un compte différent pour chaque administrateurRestreindre au maximum les droits RBAC

Toujours partir des droits les plus restreints. N’élargir que si nécessaire

Ne pas utiliser les boite aux lettres des comptes administrateursNe pas utiliser un compte standard pour l’administrationNe pas autoriser par défaut l’ouverture de toutes les boites aux lettres par les administrateursDissocier le poste d’administration du poste standard

Les Administrateurs Exchange

Créés lors du « setup /PrepareAD »Définissent les droits Exchange

Rajouter un membre dans un rôle groupe lui donne tous les rôles assignés au groupeRajouter un membre dans le groupe « Exchange Servers » donne accès à tout ce que les serveurs peuvent accéderRajouter un membre dans « Exchange Windows Permission » donne le droit de modifier tous les comptes et groupes de la forêt

Sécurisation des groupes de sécurité ExchangeDoivent être supervisés avec de l’audit WindowsPeuvent être restreints avec une « Restricted Group Policy »

Suppose une mise à jour de la policy après chaque changement

Les groupes de sécurité Exchange

Actif par défautGarde trace de toutes les actions administratives entrainant des modifications quelle que soit la source EMC, EMS, ECPLa liste des commandes tracées est configurableOn peut écrire dans le log par powershellConserve 90 jours de log par défautEst récupérable par Powershell ou ECP

Administrator Audit Logging

Les basicsL’administration

La protection des serveursLes accès clientsLa protection des donnéesLe transport

Agenda

Seuls les administrateurs supposés administrer les serveurs doivent pouvoir y accéder

Accès Physique et à distance en TSNe pas installer Exchange sur un DC

Local admin pour tous les DCs du domaineDé-valider les fonctionnalités non utilisées sur les boites aux lettresGarder l’ « ExecutionPolicy » Powershell en RemoteSigned (défaut)

Implique de gérer ses scripts (voir about_execution_policy)

Sécurité d’accès aux serveurs

Tous les Correctifs de sécurité doivent être appliquésLes derniers Rollups Exchange doivent être appliquésLes Certificats doivent être valides avec une procédure de renouvellement

Sécuriser les fichiers si ils sont exportés avec la clé privée

Surveillance avec: System Center Operation Manager (SCOM)Microsoft Based Security Analyzer (MBSA)ExBPA (SCOM le lance régulièrement)

Mise à jour des serveurs

Stratégies de limitation du client (Client Throttling)

Prévient la saturation d’un serveur par un utilisateurAttention au comptes pour applications tierce ne pouvant avoir de limites

Troubleshoot-DatabaseLatency.ps1 permet de mettre en quarantaine des utilisateurs trop actifsLimitation des messages (Message Throttling)

Prévient la saturation d’un serveur par des messagesConfigurable au niveau serveur, connecteurs d’envoi et de réception

Protection « Denial of Service » DoS

Les basicsL’administrationLa protection des serveurs

Les accès clientsLa protection des donnéesLe transport

Agenda

Tous les Outlook doivent avoir le dernier service pack ou rollup

2625547 How to install the latest applicable updates for Microsoft Outlook (US English only)

Les serveurs sont configurés pour refuser une connexion d’un Outlook non à jourLes profiles doivent être configuré avec l’encryption RPC

Par défaut sur Outlook 2007 et 2010 pas sur 2003Prérequis dé-validé par défaut coté serveur depuis Exchange 2010 SP1

Set-RpcClientAccess –Server Exchange_server_name –EncryptionRequired $TruePeut être forcé par GPO coté client

Outlook

Kerberos est plus sécurisé que NTLMNTLM peut avoir un impact sur les performances serveur pour les gros déploiementsOutlook se connecte en NTLM sur un CAS Array a moins de configurer Kerberos

Attention: Une erreur de configuration kerberos peut empêcher toute connexion depuis OutlookAprès avoir créé le compte et les SPN on peut utiliser RollAlternateserviceAccountCredential.ps1

Authentification Kerberos

De nombreux clients se connectent par IISOutlook Web AppExchange ActiveSyncOutlook AnywhereAutoDiscoverExchange Web Services Offline Address Book (OAB)

Le trafic doit rester encrypté Si déchargement SSL (offload) assurez vous de la sécurité du réseau sur la zone non cryptéeOAB par défaut non crypté

Encryption SSL

Garder les mobiles à jour2563324 Current issues with Microsoft Exchange ActiveSync and Third Party Devices

Mettre les mobiles inconnus en quarantaine par défautBloquer les mobiles n’étant pas autorisés à se connecter

Il reste possible de les autoriser par utilisateurForcer au minimum les mobiles a avoir un mot de passe avec une stratégie ActivesyncVérifier les fonctionnalités de stratégie implémentées pour le mobile

http://en.wikipedia.org/wiki/Comparison_of_Exchange_ActiveSync_clients

Mobiles - Activesync

Les basicsL’administrationLa protection des serveursLes accès clients

La protection des donnéesLe transport

Agenda

Technologie coté client sans interaction avec le serveurAdd-On ActiveX pour OWAPermet de signer un message afin d’en assurer l’authentification et l’intégrité

Toute modification lors du transit invalide la signature

Permet de crypter les messagesLes antivirus et anti-spam, ne peuvent pas inspecter le contenu des messagesLes règles de transport, ne peuvent pas s’appliquerLes messages ne peuvent pas être indexés

pour plus d’infos http://office.microsoft.com/fr-fr/outlook-help/overview-of-certificates-and-cryptographic-e-mail-messaging-in-outlook-HP001230534.aspx?pid=CH100622191033

S/MIME

29

Confidentialité des messages

Service dans Windows Server 2008 R2Permet de:

Empêcher de transférer, modifier, imprimer, télécopier, enregistrer ou couper et coller les messagesProtéger les formats de fichier de pièce jointe pris en charge en leur conférant le même niveau de protection que celui du messagePrendre en charge l’expiration des messages et pièces jointesEmpêcher la copie d’un contenu protégé par IRM à l’aide de l’outil Capture dans Microsoft Windows.

Gestion des droits relatifs à l'information (IRM)

Manuellement depuis OutlookManuellement depuis OWAManuellement depuis un mobile

Le mobile doit soit avoir un client IRM, soit savoir gérer l’interaction avec le serveur d’accès client (SP1)

Automatiquement depuis Outlook 2010Configuration serveur avec New-OutlookProtectionRule

Automatiquement par le transport

Application des droits

32

IRM par le transport

Application automatique par le transport:

Une règle transport applique le RMS template au message et aux attachements supportésLes règles transport peuvent se déclencher sur le contenu du message ou des attachements

Permet d’auditer l’accès aux boîtes aux lettres par les propriétaires des boîtes aux lettres, les délégués et les administrateursEnregistre l’accès aux dossiers, le déplacement ou la suppression de messages, l’adresse IP et le hostStocké dans la boite aux lettresLes comptes de service pour logiciels tiers peuvent être exclus

Audit d’accès aux boites aux lettres

Les basicsL’administrationLa protection des serveursLes accès clientsLa protection des données

Le transport

Agenda

Le trafic de messages SMTP est encrypté avec TLSIntra Organisation

La génération de certificats auto-signés lors du setup permet de crypter toute communication SMTP par défautPeut être dé-validé si besoin (compresseurs de flux)

Inter OrganisationsNécessite un certificat public valideTLS opportuniste. Exchange essaye d’établir une session TLS si cette option est disponible sur le serveur distantMutual TLS. Permet de forcer la communication cryptée vers un domaine de messagerie particulier

Trafic de messages

Permettent d’appliquer des stratégies aux messages en transit

Intra OrganisationBlocage du contenu inapproprié entrant ou sortantFiltrage des informations confidentielles de l'organisationSuivi ou archivage des messages échangés avec des individus spécifiques Redirection des messages entrants et sortants pour inspection avant remise Application de « disclaimer » à des messages transitant par l'organisation.

Règles transport

Service Internet protégeant vos messages entrant et sortant contre les spams, virus, phishing…Réduit la charge réseau sur votre accès Internet en ne laissant passer que les bon mails

Forefront Online Protection for Exchange (FOPE)

z

Hub Transport Mailbox

External Email

About 90% ofemail is junk

Questions?