3/25/2017 1:09 AM Exchange Server 2003 : Opportunités et menaces, des réponses en matière de sécurité Thierry Picq Architecte Sécurité Microsoft France.

Présentation au sujet: "3/25/2017 1:09 AM Exchange Server 2003 : Opportunités et menaces, des réponses en matière de sécurité Thierry Picq Architecte Sécurité Microsoft France."— Transcription de la présentation:

1 3/25/2017 1:09 AM Exchange Server 2003 : Opportunités et menaces, des réponses en matière de sécurité Thierry Picq Architecte Sécurité Microsoft France © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

2 Agenda Evolution des besoins Évolution des menaces
3/25/2017 1:09 AM Agenda Evolution des besoins Je veux / je ne veux pas… Évolution des menaces Analyse des solutions sous l’angle de la sécurité, de la complexité et de l’ergonomie Le cordonnier est-il correctement chaussé? Cette session ne traite pas: Les processus opérationnels (sauvegardes, etc). L’architecture et l’infrastructure d’un système Exchange 2003 La configuration d’Exchange 2003 pour la mobilité © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3 Avec quel niveau de Sécurité ?
Je veux (D.G.)… 3/25/2017 1:09 AM Accéder à la messagerie depuis mon (nouveau) téléphone Etre en permanence informé de mes nouveaux mails Syndrome « Frigidaire » Que mes forces commerciales soient en permanence connectées Comment ? Avec quel niveau de Sécurité ? Que mes collaborateurs puissent accéder au S.I. en dehors de l’entreprise Que cela soit simple Tout sur tous les terminaux que j’utilise Que cela soit réalisé le plus vite possible… © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4 Mais je ne veux pas (D.S.I.)…
3/25/2017 1:09 AM Dupliquer le système d’information: j’utilise Exchange 2003 Perdre le contrôle sur les éléments du S.I. (contrôle de bout en bout) Multiplier les points d’accès à l’entreprise Comment ? Avec quel niveau de Sécurité ? Affaiblir la sécurité (contrôle de bout en bout) Multiplier les exceptions dans mon pare-feu (au fait combien en ai-je ?) Faire des mauvais choix pour l’avenir (standards) Que cela soit complexe Perdre la maîtrise des coûts © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

5 Scénarios et risques Accès à Exchange via Internet
3/25/2017 1:09 AM Terminaux (utilisateurs) Entreprise Opérateurs mobiles ou fixes WLAN WAN PAN Infrared LAN Applications Accès à Exchange via Internet Extranet Mobilité Télétravail Kiosques et accès à domicile Internet comme réseau d’entreprise Nouvelle opportunités business, réactivité, … Comprendre les risques Erreurs de déploiement/configuration Contenu des messages Envoyés depuis Internet et ouverts à l’intérieur Envoyés depuis l’Intranet et exploités depuis Internet Couche 8 : l’erreur/le comportement humain (utilisateurs) Et les menaces: Spam, hameçonnage (phising), vols d’identités, virus, spyware, intelligence économique, etc. © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

6 La stratégie sécurité de Microsoft
3/25/2017 1:09 AM La stratégie sécurité de Microsoft Authentification, Autorisation, Contrôle d’accès Excellence de l’engineering Mise à jour Avancée Isolation et Résilience Conseils, Outils, Réponse Défense en profondeur Les 5 axes de la sécurité © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

7 Connecté ou non connecté…
3/25/2017 1:09 AM Connecté ou non connecté… Deux grands principes entrainant des usages différents: Connecté: pas d’accès à l’information si la connexion n’existe pas (pas de synchronisation locale) ex: Modèle Web: Outlook Web Access, accès Wap, Outlook Mobile Access Non connecté, ou plutôt connecté épisodiquement: principe entrainant une synchronisation (régulière et/ou à la demande) pour un accès local à l’information indépendamment de l’état du réseau ex: Outlook 32 bits, Windows Mobile (Activesync serveur) Il faut néanmoins un point d’accès… © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

8 Architecture type Terminaux Accès et Authentification Communications
3/25/2017 1:09 AM Architecture type Accès Distants (RAS) Terminaux Internet (Réseaux cellulaires : GSM/GPRS) Frontières de l’Entreprise Accès et Authentification Wireless PDA Serveur FE Mailbox Server Communications Communications Internet DMZ Smart phone Mailbox Server Wifi Interne Internet Haut débit (VPN, …) POP FAI Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Filaire Sans fil Légende Il est indispensable d'avoir une approche de bout en bout !!! Wi-Fi PDA Wi-Fi Smart phone Accès unique “nom du server” = “monentreprise.com” © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

9 Les choix de connectivité
3/25/2017 1:09 AM Alternatives RAS, VPNs Internet comme réseau d’entreprise OWA RPC - natif vs. sur HTTP Traditionnel vs. innovant Trouver des réponses aux problèmes d’hier ou d’aujourd’hui ? La question peut sembler stupide, mail il existe beaucoup d’à priori et de préconçus… Le Design idéal ??? “To DMZ or not to DMZ…that is the question” © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

10 VPN : choix classique (extension logique du périmètre de l’entreprise)
3/25/2017 1:09 AM Client VPN dans toutes les versions de Windows PPTP L2TP+IPsec Bien connu ainsi que les algorithmes La technologie est bien comprise Mais nécessite malgré tout une organisation interne maîtrisant le sujet. Peut impliquer une charge importante parfois incompatible avec petites ou moyennes structures Quarantaine indispensable afin de vérifier “l’état de santé” du poste de travail (cf. session de 11h ce matin)… Parfois trop « lourd » pour une solution mobile © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

11 Exchange Server 2003 Les consommateurs
3/25/2017 1:09 AM Pare-feu/périmètre de l’entreprise (DMZ) PC Portables / Fixes RPC/HTTP & Outlook Web Access POP3, IMAP Navigateurs téléphones & PDA Outlook Mobile Access Front End BAL (Back End) Clients ActiveSync (PPC, SP) Exchange ActiveSync Flux entrants SMTP: 25 POP3 : 110 SSL : 443 RPC : 135 Demain ? ? © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

12 Le mode connecté : OWA et OMA Exchange Server 2003
3/25/2017 1:09 AM Le mode connecté : OWA et OMA Exchange Server 2003 Outlook Web Access Correcteur orthographique, Règles, Tâches et toutes les fonctions appréciables de Outlook 2003 Performance accrue (plus de 50% vs Exchange 2000 Serveur) Sécurité Authentification via formulaires, blocage des attachements, blocage des contenus externes, chiffrement et signature S/MIME Outlook Mobile Access Outlook Web Access pour les terminaux mobiles Acceptant potentiellement tout type de clients Génère du WML, HTML, xHTML et cHTML correspondant aux différents terminaux .NET Framework Device Updates accroît le nombre de terminaux supportés © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

13 Architecture classique
3/25/2017 1:09 AM Communications entre serveurs FE et BE Protocol Port Destination HTTP 80 TCP Serveurs Back-end POP3 110 TCP IMAP4 143 TCP RPC-HTTP 6001 & 6004 TCP, 6002 (SP1) Kerberos 88 TCP & UDP Global catalogs LDAP 389 TCP & UDP, 3268 TCP RPC 135 TCP,  port fxe  DNS 53 TCP & UDP Serveurs DNS Positif:  Performance Séparation des protocoles interne / externe (message store) Protection réseau Négatif:  Sécurité Tunnel au travers des pare-feux: pas d’inspection De nombreuses exceptions dans les pare-feux pour l’authentification OWA / OMA ExBE AD Le concept de la “défense en profondeur” nécessite une inspection du trafic OWA au niveau du pare-feu © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

14 Protection de OWA avec ISA Serveur Réduction de la surface exposée (cf. session du 14 juin à 14h00) 3/25/2017 1:09 AM URLScan Délégation d’authentification Basic ISA Server peut déchiffrer et inspecter le trafic SSL …ce qui permet aux virus et aux vers de se propager sans être détectés… L’analyse des URL par ISA Server peut stopper les attaques Web au périmètre du réseau, y compris en cas d’utilisation de SSL ISA Server pré authentifie les utilisateurs, éliminant les boites de dialogues redondantes et n’autorise que le trafic valide à passer Le serveur OWA fait une demande d’authentification - tout utilisateur sur Internet peut accéder à cette demande Analyse URL par ISA Server SSL SSL SSL ou HTTP Internet ISA Server 2004 Pare-feu traditionnel OWA Client SSL passe au travers des pare-feu traditionnels sans contrôle du fait du chiffrement… Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair. …et d’infecter les serveurs internes ! © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

15 Besoins évolués et évolution des besoins
3/25/2017 1:09 AM Besoins évolués et évolution des besoins Certains utilisateurs doivent disposer d’Outlook complet / riche Plugins tiers Synchronisation de la BAL et accès aux dossiers locaux Règles clientes Carnet d’adresses complet Confort d’utilisation et productivité Les accès VPNs sont trop coûteux et complexes si la messagerie en est l’unique justification. Certaines contraintes techniques sont incompatibles avec un usage mobile (téléphone) « L’expérience utilisateur » n’est souvent pas des plus ergonomiques… © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

16 Des RPC sur Internet ? 3/25/2017 1:09 AM
© Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

17 Fonctionnement des RPC avec Exchange
3/25/2017 1:09 AM RPC Server (Exchange 2000/2003) Le serveur RPC maintient une table de correspondances (Universally Unique Identifiers - UUID) et les ports de communication associés 1 Le client se connecte au serveur via le port TCP 135 et demande le port associé à un UUID 2 Port 4402: Data Server: Port 4402 TCP 135: Port for {0E4A…} Le serveur répond avec l’information correspondante 3 Le client se reconnecte au serveur en utilisant le port indiqué. 4 Internet Service UUID Port Exchange Info Store {0E4A0156-DD5D-11D2-8C2F-00CD4FB6BCDE} 4402 Active Directory {E B06-11D1-AB04-00C04C2DCD2} 3544 Performance Monitor {A00C021C-2BE2-11D2-B F87A8F8E} 9233 RPC Client (Outlook) © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

18 Les RPC et les pare-feux classiques
3/25/2017 1:09 AM RPC Server (Exchange 2000) Ouverture du port 135 pour le trafic entrant Ouverture de la totalité des ports susceptibles d’être utilisés en entrée Port 4402: Data Server: Port 4402 TCP 135: Port for {0E4A… ? Internet La sécurité ne peut être assurée dans ces conditions RPC Client (Outlook) © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

19 Pb potentiel vis à vis de l’infrastructure Internet
3/25/2017 1:09 AM Les RPC d’Exchange et ISA Serveur (cf. session du 14 juin à 14h00) RPC Server (Exchange 2000) Connexion initiale: Seul le trafic RPC valide est accepté Rejette les requêtes non Exchange Connexion suivante Seules les connexions vers des ports utilisés par Exchange sont autorisées Chiffrement Port 4402: Data Server: Port 4402 TCP 135: Port for {0E4A… ? Internet Pb potentiel vis à vis de l’infrastructure Internet Outlook © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

20 Exchange Client Access Services
Exchange 2003 : Proxy RPC 3/25/2017 1:09 AM RPC/HTTP encapsule le trafic RPC dans HTTP (https bien sûr…) La session RPC est établie après l’authentification (dans HTTPS …) Les serveur Web interne (RPC proxy) extrait le trafic RPC de HTTP Avantage: la majorité des pare-feux laisse passer HTTP Outlook 2003 est suffisamment « intelligent » pour basculer de HTTP à TCP et inversement: expérience utilisateur uniforme ! Problème: Les pare-feux traditionnels exposent le Proxy RPC aux attaques Web RPC Traffic HTTP Traffic Internet Exchange Client Access Services Web Server Attacks © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

21 RPC sur HTTP avec ISA Serveur 2004
3/25/2017 1:09 AM RPC sur HTTP avec ISA Serveur 2004 Demo ISA Serveur termine le tunnel SSL Inspecte le trafic HTTP afin de garantir la conformité des protocoles N’accepte que des demandes vers : le reste est rejeté Pas de connexion directe depuis Internet vers le serveur Exchange Protection au niveau de la couche Application pour le flux HTTP. RPC Traffic Internet Exchange Client Access Services Web Server Attacks © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

22 Configuration & Administration simplifiées
3/25/2017 1:09 AM Configuration & Administration simplifiées L’assistant de publication de messagerie facilite la configuration et limite les erreurs potentielles pouvant entrainer des failles de sécurité © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

23 Exchange ActiveSync (EAS)
3/25/2017 1:09 AM Exchange ActiveSync (EAS) Synchronisation des , agenda, et contacts (plus avec E2K3SP2 et WM5.0) Windows Mobile™, PalmOne, Symbian, Nokia, DataViz, etc. Architecture identique à OWA/RPC-HTTP Perimeter Network (DMZ) Windows 2003 or 2000 AD Ex2003 Front-End Ex2003 Back-End Servers ISA or 3rd party Firewall SSL ISA © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

24 Processus de synchronisation
3/25/2017 1:09 AM Processus de synchronisation Le client ActiveSync est configuré pour utiliser mail.contoso.com ISA Serveur DNS interne Exchange FrontEnd1 Domain Controller DNS externe Exchange Backend1 IP de mail.contoso.com? SSL avec SSL valide /microsoft-server-activesync/ Règle de publication: IP pour mail.contoso.com? SSL avec SSL valide /microsoft-server-activesync/ Authentification Basic? Authentification Basic? contoso\user1, contoso\user1, IP pour un DC du domaine contoso? Authorisation OK? Oui Quel BE ? IP pour Backend1? Backend1 IPSec (BAL pour user1?) SSL (Data) SSL (Data) IPSec (Data) © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

25 Architecture classique
3/25/2017 1:09 AM ExFE SMTP ExBE AD © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

26 Nouveaux besoins, nouvelles architectures
3/25/2017 1:09 AM Nouveaux besoins, nouvelles architectures Serveurs critiques au sein du périmètre de l’entreprise pour une protection accrue Ajouter ISA Serveur à votre DMZ Ne remplacez rien, ajoutez !!! Elevez le niveau de sécurité par la publication de: Exchange RPC OWA sur HTTPS RPC sur HTTPS SMTP (filtrage du contenu) ExFE SMTP ISA Server ExBE AD © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

27 Conclusion provisoire:
3/25/2017 1:09 AM Je maîtrise et sécurise les communications de bout en bout en maintenant un niveau de sécurité élévé Internet (Réseaux cellulaires : GSM/GPRS) Segmentation Frontières de l’Entreprise Analyse des flux Wireless PDA Serveur FE Mailbox Server Internet DMZ Smart phone Mailbox Server Wifi Interne Internet Haut débit (VPN, …) SSL 128 bits POP FAI Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Filaire Sans fil Légende Wi-Fi PDA Wi-Fi Smart phone Accès unique “nom du server” = “monentreprise.com” © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

28 Les Opérateurs Télécoms: simples fournisseurs d’accès ?
3/25/2017 1:09 AM Contributeurs aux solutions de sécurité et de qualité de service… Accès Distants (RAS) Internet (Réseaux cellulaires : GSM/GPRS) Frontières de l’Entreprise Wireless PDA Serveur FE Mailbox Server Internet DMZ Smart phone Mailbox Server Wifi Interne Internet Haut débit (VPN, …) POP FAI APN et points d’accès dédiés / LS / VPN – IPsec… Wi-Fi PDA Wi-Fi Smart phone Filaire Sans fil Légende Wi-Fi PDA Wi-Fi Smart phone Accès unique “nom du server” = “monentreprise.com” © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

29 Les voies de communications et les points d’accès sont contrôlés mais:
3/25/2017 1:09 AM Il faut sécuriser les terminaux Il faut gérer les données sur ces terminaux Il est nécessaire d’administrer ces terminaux © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

30 Risques de sécurité : Les terminaux mobiles doivent être considérés comme des ordinateurs…
3/25/2017 1:09 AM Opérateurs Mobiles et Fixes Terminaux Entreprise WAN WAN WLAN Infrared LAN PAN Applications Disposez-vous d’une politique de sécurité pour les terminaux mobiles ? Les ordinateurs portables, mais aussi les autres…? © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

31 Sécurité au niveau du terminal
3/25/2017 1:09 AM Périmètre Protection des données Sécurité du réseau (PAN) Sécurité matérielle Sachant que sur un terminal mobile, l’ergonomie est fondamentale: Usage avec seule main, en mouvement, clavier limité Pas de Smartcard, pas de clefs USB, la biométrie peu répandue, etc. Et que Les utilisateurs vont naturellement rejeter ou contourner des mesures de sécurité limitant ce qu’ils souhaitent faire. …ou si ces mesures représentent «trop de travail » Ne jamais sous estimer la « créativité » des utilisateurs… © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

32 Sécurité du périmètre Pointsec Software Biométrie
3/25/2017 1:09 AM Mots de passe: PocketPC: 4 digit pin, mots de passe forts Smartphone: > 4 digit pin Mots de passe stockés dans une partie sécurisée (privilégiée) de la Registry Accroissement exponentiel des délais en cas de mauvais mot de passe Partenariat Activesync protégé par mot de passe Protocoles: PAP, CHAP, MS-CHAP, TLS, NTLM support SSL 3.0 Exchange ActiveSync & IE Mobile Biométrie Potentiellement très pratique Identifiant ou authentifiant? HP iPAQ série 5400 avec lecteur d’empreintes digitales Lecteurs de cartes à puces Applications Accès réseau Solutions tierces Pointsec Software © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

33 Protection des données
3/25/2017 1:09 AM Plus exposé qu’un PC traditionnel Intégration des services de crypto pour les applications Certification FIPS (WM 5.0) S/MIME (WM 5.0) 128-bit Cryptographic services: Crypto API v2 Signature de code (limite l’installation : SP) API Anti-virus: ces virus peuvent exister et se propager (cf. Cabir (fin 2004) et Commwarrior.A (mars 2005) pour Symbian se propageant via une combinaison de Bluetooth et MMS) A ce jour nous ne connaissons pas de virus pouvant se propager d’une plateforme PC vers un PDA/Smarphone. SQL-CE fourni un chiffrement 128-bits (PPC uniquement) Nombreux outils tiers pour chiffrer les données: Computer Associates; F-Secure; McAfee; Symantec; SOFTWIN; Trend Micro; Bluefire Security Technologies; Check Point VPN-1 SecureClient. © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

34 Sécurité réseau Client VPN intégré Wireless
3/25/2017 1:09 AM Sécurité réseau Client VPN intégré PPTP, L2TP, L2TP/IPSEC (PSK, ou certificat) IPSEC: le mode tunnel nécessite un client tiers Wireless WEP, 802.1X (EAP-TLS, PEAP), WPA (incluant PSK) Secure Browsing: HTTP (SSL), WAP (WTLS), Zones de Sécurité Certification FIPS 140-2 OTA device management security: OMA DM provision settings & certs Windows CE 5.0 : Stockage persistant Offres tierces: VPN Checkpoint, Bluefire, Funk Software, Certicom Movian VPN (OEM uniquement) Authentification à deux facteurs RSA SecureID (supporte la synchronisation Exchange EAS) Sécurité du PAN : Bluetooth “Bluesnarfing”: Vol de données personnelles via une connexion Bluetooth. Virus Recommandation de Microsoft aux OEM de désactiver BT par défaut. © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

35 3/25/2017 1:09 AM Sécurité: gestion des terminaux System Management Server 2003 feature pack Inventaire matériel & logiciel Collecte de fichiers Distribution logiciel Scripts Gestion des configurations (mots de passe, etc.) Distribution automatique via le PC (sous SMS) Device Management Feature Pack CE Device Management Client XP Embedded Advanced Client Windows Mobile Windows XP Embedded Windows CE © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

36 Sécurité: gestion des terminaux
3/25/2017 1:09 AM Sécurité: Credant Mobile Guardian- Enterprise Edition Intégration AD et groupes Gestion des mots de passe, synchronisation PC, chiffrement, Firewall, autorisations et accès Logging Bluefire Security Firewall et politiques de mots de passe Gestion de bout en bout Xcellenet Afaria, Intellisync, Extended Systems, JP Mobile Exchange 2003 SP2 Sécurité Support S/MIME, Certification FIPS Centralisation de la sécurité des terminaux Garantie d’application des politiques de sécurité: PIN code (complexité, longueur), effacement des données après X tentatives, impossible de synchroniser si les politiques ne sont pas suivies Possibilité de forcer une mise à jour régulière des politiques de sécurité “Formatage” à distance Intégration des certificats x509 Fonctionnel Direct Push Technology: AUTD sans SMS, indépendant du média de connexion, recherche dans la GAL, Synchronisation des Taches, etc… © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

37 Seconde Conclusion provisoire:
3/25/2017 1:09 AM Je maîtrise et sécurise les communications de bout en bout ainsi que les terminaux en maintenant un niveau de sécurité élevé Internet (Réseaux cellulaires : GSM/GPRS) Segmentation Frontières de l’Entreprise Analyse des flux Wireless PDA Serveur FE Mailbox Server Internet DMZ Smart phone Mailbox Server Wifi Interne Internet Haut débit (VPN, …) SSL 128 bits POP FAI Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Filaire Sans fil Légende Wi-Fi PDA Wi-Fi Smart phone Accès unique “nom du server” = “monentreprise.com” © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

38 Le cordonnier est-il bien chaussé
3/25/2017 1:09 AM Le cordonnier est-il bien chaussé Les meilleurs pratiques de l’informatique interne de Microsoft… © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

39 Pluralité des accès à la messagerie Une stratégie d’entreprise
Accès hétérogènes Outlook Web Access Outlook 2003 via RPC/HTTPs Wireless LAN (laptop, PPC, Tablet PC) PPCpe/Smartphone (GPRS, …) RAS/VPN Utilisation Outlook Web Access ~55,000 utilisateurs uniques Outlook Mobile Access ~2,500 utilisateurs uniques Exchange ActiveSync ~14,000 utilisateurs uniques Outlook RPC/HTTPs ~23,000 utilisateurs uniques en croissance! ~15,000 connexions HTTPs concurrentes par serveur frontal © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

40 Pluralité des accès à la messagerie Architecture
Multiples organisations Exchange Infrastructure ISA: clients hétérogènes, point d’accès homogène (unique) © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

41 Pluralité des accès à la messagerie Architecture & sécurité
SSL obligatoire pour les communications ISA vers FE Authentification via formulaires HTML pour OWA Compression=Active ISA: Gestion tunnel SSL Stateful inspection (sessions) Filtrage Applicatif Les utilisateurs mobiles internes se connectent aux FE Répartition de charge (NLB) – Une adresse IP vituelle unique pour tous les services de messagerie “externes” Windows Integrated Auth obligatoire pour les BE IPSec si nécessaire SSL obligatoire pour toutes les connexions clientes Infrastructure frontale redondante Infrastructure ISA redondante © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

42 Flux de messagerie Internet Topologie
3/25/2017 1:09 AM Répartition de charge et redondance Architecture multi-niveaux (couches) Passerelles Exchange Server 2003 comme plates-formes anti-spam et antivirus Dissociation des flux entrant et sortant (authentification, filtrage, politiques différentes) Administration et surveillance intégrées Volumes: ~10 millions de mails/jour en provenance d’Internet ~15 msgs/sec en entrée par passerelle (pointes à ) 85% du trafic est filtré/rejeté (spam, virus) ~1 million de mails/jour légitimes venant d’Internet ~500, ,000 mails/jour émis vers Internet. Plate-forme pour IMF (anti-spam) et autres filtrages Plate-forme pour les antivirus et la gestion des attachements Exchange 2003 Gateways Exchange 2003 Routing HUBs Serveurs de BALs © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

43 Antivirus et Anti-Spam Défense en profondeur: couches…
Exchange 2003 Gateways Exchange 2003 Hubs Mailbox Servers Clients ~ 85% des s entrants est filtré au niveau des passerelles © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

44 (Réseaux cellulaires : GSM/GPRS) Frontières de l’Entreprise
Conclusion : 3/25/2017 1:09 AM Je peux capitaliser sur mes investissements pour gagner en productivité tout en restant sécurisé et en maîtrisant les coûts dans un environnement ouvert … Internet (Réseaux cellulaires : GSM/GPRS) Segmentation Frontières de l’Entreprise Analyse des flux clients & serveurs Wireless PDA Serveur FE Mailbox Server Internet DMZ Smart phone Mailbox Server Wifi Interne Internet Haut débit (VPN, …) SSL 128 bits POP FAI Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Filaire Sans fil Légende Wi-Fi PDA Wi-Fi Smart phone Accès unique “nom du server” = “monentreprise.com” © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

45 Ressources La messagerie “de confiance” chez Microsoft
« Hygiène » d’une messagerie: le cas de Microsoft Processus de sauvegarde d’un système Exchange 2003 en Cluster L’informatique interne de Microsoft © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

46 Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex
3/25/2017 1:09 AM Microsoft France 18, avenue du Québec Courtaboeuf Cedex © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.