La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 Protéger votre messagerie et redonner accès aux informations de l'entreprise à vos utilisateurs nomades Damien Caro – Microsoft France

Présentations similaires


Présentation au sujet: "1 Protéger votre messagerie et redonner accès aux informations de l'entreprise à vos utilisateurs nomades Damien Caro – Microsoft France"— Transcription de la présentation:

1 1 Protéger votre messagerie et redonner accès aux informations de l'entreprise à vos utilisateurs nomades Damien Caro – Microsoft France

2 2 Quest ce que ? Un site Web très orienté technique –http://www.microsoft.com/france/technet/default.mspx Une newsletter personnalisable –http://www.microsoft.com/france/technet/presentation/flash/default.mspx Des séminaires techniques toute lannée, partout en France –http://www.microsoft.com/france/technet/seminaires/seminaires.mspx Des webcasts et e-démos accessibles à tout instant –http://www.microsoft.com/france/technet/seminaires/webcasts.mspx Un abonnement –http://www.microsoft.com/france/technet/presentation/cd/default.mspx

3 3 Logistique Pause en milieu de session Vos questions sont les bienvenues. Nhésitez pas ! Feuille dévaluation à remettre remplie en fin de session Commodités Merci déteindre ou de mettre en mode vibreur vos téléphones

4 4 Agenda Etat des lieux sur la messagerie et la mobilité Besoin des utilisateurs: –Différents accès : Web Access, Windows Mobile, Outlook Anywhere –Accès aux données de façon sécurisée Besoins des professionnels de l'informatique: –Filtrage et contrôle du contenu –Gestion du transport des messages –Contrôle des usages Conclusion et feuille de route

5 5 Unifier les Communications Travailler ensemble en temps réel ResterSynchronisés Capitaliser sur les espaces d'équipes Partager l'information Connecter les personnes, les processus et l'information Travailler depuis tout lieu, à tout moment Permettre le travail en tout lieu

6 6 Etat des lieux sur la messagerie Elle est au cœur des entreprises. C'est une source d'information et de collaboration critique. Les utilisateurs sont de plus en plus nomades: –Au sein de l'entreprise –Chez les clients et partenaires Le besoin d'accès à ses messages est permanent. Le flux de messagerie est grandissant. La criticité augmente avec l'unification des messageries : –Messagerie instantanée –Messagerie vocale

7 7 Besoins des utilisateurs Pouvoir synchroniser ses messages depuis n'importe quel réseau : –À l'hôtel, depuis l'aéroport –Sur son PC portable Consulter sa boite aux lettres, répondre aux messages urgents, accéder à ses données de n'importe quel emplacement Avoir accès aux données de l'entreprise de façon sécurisée.

8 8 Besoins des professionnels de l'informatique Pouvoir contrôler le contenu entrant et sortant: –Les messages délivrés dans les boites aux lettres sont sain. –Aucune donnée sensible ne sort de l'entreprise. Pouvoir forcer le chiffrement des échanges: –Les échanges avec certains partenaires sont chiffrés. Etre capable de contrôler finement les modes d'accès distants.

9 9 Menaces et risques sur les systèmes dinformations Les attaques virales génèrent la plus grande perte financière pour les entreprises (étude CSI/FBI 2006). Les systèmes dinformations des entreprises sont des cibles classiques pour les codes malicieux et le contenu inapproprié: –Virus, contenu offensant, … La messagerie (asynchrone ou instantanée) est un vecteur majeur pour ces menaces. 55 Milliards de SPAMs sont envoyés par jour (estimation).

10 10 Les réponses aux besoins des utilisateurs avec Exchange 2007

11 11 Différents accès nomades

12 12 OWA – Outlook Web Access Accès à sa messagerie depuis un navigateur. Risques liés à Outlook Web Access: –Session restée active, réutilisation des informations de sécurité. –Analyse du cache à postériori, récupération de pièces jointes téléchargées ou simplement ouvertes. –Exécution de scripts cachés dans des mails en HTML. –Téléchargement d'images sur des liens externes. –Divulgation de l'adresse du site OWA via les "referrer headers".

13 13 Réseau d'entreprise Serveurs SMTP externes Boites aux Lettres Routage / Antispam Routage et Stratégies Boites Vocales PBX ou VoIP Dossiers Publics Fax Applications OWA Protocoles ActiveSync, POP, IMAP, RPC / HTTP … Programmability Web services, Web parts INTERNETINTERNET Messagerie Unifiée Serveur de périmètre (Edge) Serveur Hub de Transport Boites aux Lettres Accès clients Topologie de déploiement avec Exchange 2007

14 14 Serveur de boites aux lettres MS- RPC Fonctionnement de OWA Client OWA Serveur d'accès client (CAS) Périmètre de lentreprise (DMZ) ISA Server Analyse HTTP (URL, entêtes, contenu…) Réécriture dURLs Pré-Authentification sur : -Active Directory -LDAP (AD) -SecureID -Radius OTP -Radius Délégation dauthentification SSLSSL ou HTTP

15 15 Gestion des sessions OWA 2007 OWA est délivré par le serveur ayant le rôle CAS (Client Access Server) Accès par défaut en HTTPS avec un certificat autosigné. Mode d'authentification par formulaire par défaut –Méthodes d'authentification tierces supportées (avec ISA 2006) : RSA SecurID, Radius. –Authentifications classiques supportées nativement (NTLM, Kerberos, en clair). Cookie de session chiffré : –Chiffrement effectué coté serveur –Durée de vie des clefs courte : Moitié de la duré de vie de la session utilisateur.

16 16 Cookie de session avec OWA 2007 Client OWA Serveur CAS Credentials transmis Cookie chiffré 7,5 minutes s'écoulent Cookie transmis Clef 1 Clef 2 Clef 3 Cookie chiffré Cookie transmis Cookie chiffré 7,5 minutes s'écoulent Clef 4 Activité utilisateur

17 17 Gestion des sessions avec OWA Activité utilisateur sur le poste de client: –Toutes les interactions initiées par l'utilisateur sont considérées comme activité utilisateur (ex: ouvrir, envoyer, sauvegarder un élément; basculer sur une autre vue ou demander à rafraichir la vue) –Sur "OWA Light" toutes les actions sont considérées comme activité sauf la saisie de texte Expiration des sessions (publique ou privée) basée sur l'activité du poste client : –15 minutes par défaut pour un accès publique –8 heures par défaut pour un accès privé

18 18 WebReady – Coté client ! Danger ! L'ouverture d'une pièce jointe à un mail crée une copie dans le cache du navigateur. Web Ready – fonctionnalité nouvelle avec Exchange 2007 : –Exchange 2007 lit les documents –Affichage sous forme de code HTML –Support des formats Office 2003 et PDF –Office 2007 supporté avec le SP1 –Possibilité d'ajouter des filtres

19 19 WebReady – Coté client

20 20 Coté administrateur – Gestion des pièces jointes Bloquer les pièces jointes: –Interdire l'ouverture des pièces jointes –Forcer la lecture des documents via WebReady –Forcer la sauvegarde des pièces jointes Gestion granulaire selon le type de document (basé sur l'extension). Configuration différente selon le type d'accès: ordinateur public ou privé.

21 21 Gestion des pièces jointes

22 22 Gestion des pièces jointes Accès relayé aux points de partage internes par Exchange Partages SMB ou Sharepoint. Liste de serveurs autorisés. Liste de serveurs interdits. Comportement par défaut définissable.

23 23 Gestion des contenus externes Les images sur des sites distants ne sont pas téléchargées automatiquement: –L'utilisateur peut valider le téléchargement. –L'administrateur peut bloquer la fonction définitivement.

24 24 Gestion des contenus externes Le code HTML est analysé et filtré par Exchange pour éviter l'exécution de scripts (cross-site scripting) : –À l'ouverture du message –Lors de la prévisualisation du message Les "referrer headers" sont filtrés lors de l'accès à des sites externes –Confidentialité des adresses des sites OWA internes et externes

25 25 Démonstration: Configuration de Web Ready. Utilisation sur un ordinateur public et privé.

26 26 Signature et chiffrement des messages Composant ActiveX à installer: –Composant Exchange 2007 compatible avec le composant Exchange 2003 SSL est requis entre le client et le serveur CAS. Fonctionne uniquement avec IE 7. Apporte la compatibilité avec le standard S/MIME 3.1. Attention à l'utilisation sur des postes libre service …

27 27 Signature et chiffrement des messages Choix lors de la composition des messages: Nécessite un certificat: –Chiffrement: sur carte à puce ou sur le poste de travail. –Signature: certificat public dans AD ou contacts locaux. Chiffrement effectué par le poste client. Validation des signatures effectué par le serveur. –L'administrateur contrôle les autorités de certification de confiance. Le WebReady ne fonctionne qu'avec les pièces jointes des messages signés non chiffrés

28 28 Démonstration: Signature et chiffrement des messages avec OWA 2007

29 29 Outlook Mobile Accès à sa messagerie depuis un périphérique tournant avec Windows Mobile. Risques liés à cet usage : –Divulgation d'information confidentielles lors de la perte du périphérique: Mail Contacts, Rendez-vous en cours et à venir … –Accès aux données stockées sur la carte de stockage amovible (pièces jointes, photos …) –Communications entre le périphérique et la boite aux lettres non sécurisées ou reposant sur un tiers –Explosion du nombre d'appels au help desk et consommation de données non contrôlée

30 30 Périphériques Windows Mobile Système d'exploitation du périphérique fournit par Microsoft aux constructeurs. Les constructeurs fabriquent le périphérique et adaptent le système (drivers, fonctionnalités …). Deux grandes catégories de périphériques : Sans écran tactileAvec écran tactile

31 31 Fonctionnement d'Outlook Mobile Accès aux serveurs Exchange de l'entreprise à travers un canal de communication sécurisé en HTTPS. Aucune donnée ne transite sur des systèmes tiers. C'est l'utilisateur qui accède à sa boite aux lettres: –Pas de comptes système ou super utilisateur –Confidentialité des données garantie de bout en bout.

32 32 Serveur de boites aux lettres MS- RPC Fonctionnement d'Outlook Mobile Périphérique Windows Mobile Exchange CAS Périmètre de lentreprise (DMZ) ISA Server 2004/2006 Analyse HTTP (URL, entêtes, contenu…) SSL ou HTTP Taille max de lURL : 1024 Max Query length : 512 Bloquer les signatures./ \.. % : SSL URL: mail.mycompany.com/Microsoft- Server-ActiveSync/*, Méthodes: POST, OPTIONS Extensions autorisées :.

33 33 Gestion des périphériques mobiles En cas de perte ou vol : –Périphérique mobile verrouillé par code PIN. –Effacement du contenu du périphérique automatiquement après plusieurs tentatives (nombre définir par l'administrateur). –Chiffrement des données enregistrées sur la carte de stockage amovible. –Code IMEI pour bloquer l'appareil sur les réseaux. –Effacement déclenchable depuis OWA par l'utilisateur. En cas d'oubli : –Code de déverrouillage du mobile accessible sur Outlook Web Access (pas d'appels au helpdesk).

34 34 Gestion des mobiles depuis OWA

35 35 Gestion des périphériques mobiles Stratégies d'entreprise permettant : –D'imposer le support du verrouillage par code PIN. –D'autoriser ou non le téléchargement des pièces jointes et de limiter la taille –D'imposer la durée d'inactivité entrainant le verrouillage de périphérique Choix de la stratégie définie pour chaque utilisateur. Accès aux partages internes ou sites sharepoint : –Pas de VPN, Exchange télécharge le document pour l'utilisateur (similaire à WebReady pour OWA). –Sites accessibles définis par l'administrateur.

36 36 Gestion des pièces jointes Même principe que pour Outlook Web Access. Configuration spécifique à ActiveSync. Les serveurs peuvent être différents.

37 37 Démonstration Application de politique de sécurité depuis Exchange

38 38 Outlook Anywhere Synchronisation de son client Outlook depuis n'importe quel réseau: –Opération en tâche de fond. –Aucun VPN à établir, communications sur HTTPS. Risques liés à cet usage : –Perte de l'ordinateur portable. –Analyse des flux échangés entre le client et le serveur.

39 39 Fonctionnement de Outlook Anywhere RPC sur HTTP Outlook 2003 ou 2007 SSL RPC sur HTTP Serveur CAS (Accès Client) Serveur de boites aux lettres MS- RPC Périmètre de lentreprise (DMZ) ISA Server 2004 / 2006 Analyse HTTP (URL, entêtes, contenu…) Méthodes HTTP : RPC_IN_DATA RPC_OUT_DATA Extension : *.DLL Signature :./.. % &

40 40 Mise en œuvre des accès clients distants Serveurs d'accès client (CAS) non supportés en DMZ. ISA 2006 ou 2004+SP3 recommandé pour la publication. Par défaut Exchange 2007 utilise des certificats auto- signés: –A remplacer par des certificats émis par une autorité de certification dans le cas d'une publication. Certificats publics recommandés sur les interfaces publiques: –Comportement des postes hors de l'organisation. –Evolutions en terme de sécurité avec Vista.

41 41 Publications pour accès distants Protection par certificat nécessaire pour assurer la confidentialité des échanges. Les publications concernent : –OWA, ActiveSync, Outlook Anywhere (anciennement RPC sur HTTPS) –Offline Address Book, Unified Messaging, Availability Service –Autodiscover Service "Autodiscover": –Configuration automatique des clients Outlook 2007 basée sur l'adresse de l'utilisateur. –Renvoie les informations d'accès à l'OAB, Availability Service, Unified Messaging.

42 42 Publications pour accès distants Codé en dur dans le client Outlook 2007, l'autodiscover cherche à se connecter à : –https:// /autodiscover/autodiscover.xml –https://autodiscover. /autodiscover/autodiscover.xml Les autres publications accèdent à: –https://mail.ma-societe.com/owa (par exemple) On a deux sites public publiés : –autodiscover –mail (par exemple) Problème avec les certificats !

43 43 Fonctionnement Autodiscover

44 44 Fonctionnement Autodiscover

45 45 Certificats pour accès externes Solution 1 (recommandée par Microsoft): Utiliser un certificat unified communications ou certificat avec SAN (Subject Alternate Name): –Un seul certificats pour de multiples sites : mail.ma- societe.com, autodiscover.ma-societe.com, societe.com … –Seulement quelques autorités de certification délivrent des certificats SAN. Liste des autorités de certifications compatibles avec Unified Communications:

46 46 Certificats pour accès externes Solution 2 : Utiliser deux certificats publics et deux adresses IP publiques: autodiscover.ma-societe.com mail.ma-societe.com –Attention à la disponibilité des adresses publiques Solution 3 : Utiliser des certificats émis par une autorité de certification interne: –Autant de certificats émis que nécessaire. –L'autorité de certification doit être reconnue par les postes de travail. –Installation à prévoir sur les périphériques mobiles.

47 47 Les réponses aux besoins des professionnels de l'informatique avec Exchange 2007

48 48 Les besoins Pouvoir contrôler le contenu des messages entrant, sortant et échangés au sein de l'organisation: –Elimination des SPAM et Virus. –Les messages délivrés dans les boites aux lettres sont sain. Pour appliquer des règles de conformité: –Aucune donnée sensible ne sort de l'entreprise. Pouvoir forcer le chiffrement des échanges: –Les échanges avec certains partenaires sont chiffrés.

49 49 Contrôle des flux de messages Approche en couche sur le flux entrant : –Filtrage avant l'arrivée au sein de l'entreprise. –Rejet à la connexion. –Analyse du protocole. –Analyse du contenu. –Analyse anti-virale. Approche en couche sur le flux sortant : –Analyse du contenu. –Analyse anti-virale. Les mécanismes les plus couteux en ressources sont effectués à la fin.

50 50 Deux options possibles Serveurs SMTP sur Internet Exchange 2007 Rôle Edge Server Lute anti-spam ForeFront Security for Exchange Lute anti-virus Serveur Hub de Transport Serveur de Boites aux lettres Serveur Edge

51 51 Exchange Hosted Services Mise en œuvre par mise à jour du champ MX Remise des messages via TLS à l'organisation finale si possible (bascule en SMTP sinon). Rapport de SPAMs envoyé à chaque utilisateur Test gratuit pendant 30 jours : https://provisioning.frontbridge.com/trial.aspxhttps://provisioning.frontbridge.com/trial.aspx

52 52 Différents types de courriers Courriers légitimes - Courriers professionnels - Courriers personnels - Courriers publicitaires sollicités Courriers SPAM - Publicité non sollicitée - Contenus pour adulte - Phishing - SCAM Courriers destructifs - Virus - Malware - Spyware Niveau connexion - relais SMTP ouverts - sources connues de SPAM Niveau protocole - expéditeurs - destinataires - "directory harvesting" Niveau contenu - phishing - pièces jointes - publicité

53 53 Lutte anti-spam avec Exchange Outlook Boite de réception Outlook Courrier indésirable Filtrage au niveau connexion Filtrage niveau protocole Filtrage niveau contenu entrant

54 54 1 – Filtrage au niveau connexion Listes dadresses IP autorisées / refusées –Filtrage prioritaire. –Listes d'adresses définies par l'administrateur. Support des listes publiques ou RBL : Real-time SPAM Black Lists. –Exemple de RBL : lists.htm.http://www. -policy.com/spam-black- lists.htm –Peut-être configuré pour fonctionner derrière des relais SMTP (les entêtes de messages doivent être acceptées).

55 55 1 – Filtrage au niveau connexion Activation spécifique pour le Microsoft IP Reputation Service. Microsoft IP Reputation Service –Réputation des émetteurs construite à partir des données dHotmail. –Distribué via des packages Microsoft Updates.

56 56 Démonstration Filtrage au niveau connexion

57 57 2 – Filtrage au niveau protocole Filtrage des expéditeurs : –Filtrage de messages basé sur lexpéditeur ou le domaine SMTP –Filtrage de messages SANS expéditeur Filtrage de destinataires –Filtrage des messages adressés à un destinataire particulier –Coupure de la connexion après remise de 20 messages non résolus EdgeSync maintient la liste des destinataires possibles sur le serveur en périmètre (rôle Edge d'Exchange 2007)

58 58 2 – Filtrage au niveau protocole : Sender ID Vérification de la légitimité du du serveur émetteur du message. Compare le serveur émetteur du message avec le domaine SMTP de son émetteur. Lutte contre le spoofing ou usurpation d'identité Plus d'information sur

59 59 Démonstration: Filtrage au niveau protocole

60 60 3 – Filtrage au niveau du contenu Si l'un des 5 points suivant est vrai, le message est directement analysé par l'anti-virus : –Adresse IP de l'émetteur dans la liste des IP autorisées au niveau connexion. –Tous les destinataires sont dans la liste des exceptions pour le filtrage de contenu. –Tous destinataires ont le paramètre AntiSpamBypassEnabled d'activé. –Tous les destinataires ont cet émetteur dans leur liste blanche (qui a été mise à jour sur le serveur Edge). –L'émetteur est un partenaire de confiance et est dans la liste des émetteur non filtrés. Dans les autres cas, on analyse le contenu du message.

61 61 3 – Fonctionnement des listes blanches Les émetteurs autorisés sont stockés dans la boite de l'utilisateur. Un hash est généré par émetteur autorisé et stocké dans Active Directory. C'est le hash qui est comparé lors de l'analyse de protocole: –Confidentialité préservée : l'émetteur n'est pas diffusé même en cas de compromission du serveur Edge. –Taille minimale réduisant l'impact sur AD: un hash de 200 entrées "pèse" 800 octets.

62 62 3 – Analyse de contenu: IMF IMF : Intelligent Message Filtering v3.0 Définit la probabilité que le message soit un SPAM : Niveau de SCL (Spam Confidence Level) Niveau de SCL entre 0 et 9: –Basé sur les caractéristiques du message. –Utilise la technologie "SmartScreen" développée par Microsoft Research. –Apprentissage effectué sur les bases de Hotmail. Mise à jour par Microsoft Update.

63 63 3 – Analyse de contenu: IMF L'administrateur peut ajouter des mots autorisés ou interdits. En fonction du niveau de SCL, plusieurs actions: –Suppression du messages. –Rejet du message. –Mise en quarantaine dans une boite aux lettres spécifique.

64 64 Démonstration: Analyse de contenu

65 65 Mise en quarantaine Nouveauté d'Exchange Remise dans une boite aux lettres Exchange 2007 spécifique: –Recommandation : créer une base dédiée à cet effet. Messages en quarantaine avec Edge Serveur: –Stockés sous forme d'avis de non remise. –Simplification pour la réémission du message. –Gestion effectuée par les administrateurs ou personnes déléguées. Messages en quarantaine avec Exchange Hosted Services –Directement depuis une interface Web avec Exchange Hosted Services.

66 66 Gestion des SPAMs coté client Quarantaine "légère" – remise dans le dossier courrier indésirable: –Pour Outlook –Pour Outlook Web Access 2007 Niveau de SCL: –Configurable au niveau de l'organisation Exchange –Configurable au niveau de chaque boite aux lettres pour les exceptions –Activation pour OWA Activation et configuration uniquement par Powershell.

67 67 3 – Analyse de contenu : Pièces jointes Filtrage définit par l'administrateur. Identification par : –Type MIME. –Nom de la pièce jointe. –Extension du fichier. Actions possibles: –Avis de non remise. –Suppression du message. –Suppression de la pièce jointe. Reste l'analyse anti-virale !

68 68 Evolution des fonctionnalités Anti-Spam Anti-spam Feature Exchange 2003 RTM Exchange 2003 SP1 Exchange 2003 SP2 Exchange 2007 RTM IP Allow / Deny ListsYes IP DNS Block / Allow ListsYes Yes (Add Allow) Recipient FilteringYes Sender FilteringYes Content Filtering (Smartscreen)Yes Content Filter Updates (Smartcreen)Bi-weeklyDaily+ Sender ID CheckYes IP Safe Lists (Bonded Sender)Yes Computational Puzzle ValidationYes Protocol Analysis-Data GatheringYes Protocol Analysis-Sender ReputationYes Open Proxy BlockYes Enterprise Spam Data Update ServiceYes Per User/OU Spam SettingsYes Admin QuarantineYes

69 69 Niveau de protection Anti-Spam Type de CALs Exchange 2007 CAL Standard CAL Entreprise ForeFront (AntiVirus) Licenses ForeFront ForeFront installé ou non Niveau de protection StandardDonne le droit au niveau Premium Premium Définition des niveaux : Type de mise à jourStandardPremium Filtre de contenuToutes les 2 semainesTous les jours Signatures des SPAMsn/aPlusieurs fois par jour Listes de répudiations d'IP n/aPlusieurs fois par jour

70 70 Transport et analyse anti-virale Etiquette sécurisée écrite dans l'entête du message lors de la première analyse anti-virale (Serveur Edge ou Hub de Transport). Vérification de l'étiquette à chaque analyse: banque d'information ou transport. –Si étiquette présente : pas d'analyse. –Si pas d'étiquette ou étiquette non valable : analyse effectuée. L'étiquette suit le message lors la remise dans la boite aux lettres.

71 71 Serveur Edge INTERNETINTERNET Serveur Hub Transport Serveur de Boites aux lettres Serveur de Boites aux lettres Dossiers publics Client SCAN & ETIQUETTE PAS de SCAN Mail analysé une seule fois sur le serveur avec le rôle edge. Economie de ressources sur les serveurs hub de transport et boites aux lettres. Messages entrants

72 72 Serveur Edge INTERNETINTERNET Serveur Hub Transport Serveur de Boites aux lettres Dossiers Publics Client SCAN et ETIQUETTE PAS de SCAN L'analyse pro-active au niveau du serveur de boites aux lettres est désactivée par défaut. L'analyse se passe sur le serveur hub de transport. Economie de charge sur les serveurs edge et boites aux lettres. Messages sortants

73 73 Serveur Edge INTERNETINTERNET Serveur Hub Transport Serveur de Boites aux lettres Dossiers Publics Client SCAN & ETIQUETTE PAS de SCAN Tous les messages interne passent pas le serveur hub de transport Analyse pro-active sur le serveur de boites aux lettres est désactivé par défaut Economie de charge sur le serveur de boites aux lettres PAS de SCAN Messages internes

74 74 Contrôle du contenu des messages Règles de transport : –stockées dans Active Directory (ADAM pour les serveurs Edge) –S'appliquent à tous les messages transmis au sein de l'organisation Peuvent être déclenchées sur mots clefs, expéditeur, destinataire … Actions multiples: classification, suppression … Gestion des exceptions Condition -> Action -> Exception

75 75 Démonstration: Règle de Transport

76 76 Chiffrement des échanges Plus de 80% des utilisateurs de la messagerie ne chiffrent pas leurs messages: –Espionnage, divulgation d'information … Il est impossible de forcer les utilisateurs à chiffrer tous les échanges. Echanges de certificats au préalable. Impacts sur la mobilité : –Outlook Mobile : Il faut télécharger le message en entier. –Outlook Web Acces : Il faut le composant S/MIME

77 77 Chiffrement des échanges Exchange 2007 permet de chiffrer de tous les échanges avec un tiers: "Domain Security" Chiffrement au niveau du transport SMTP: TLS – Transport Layer Security Authentification mutuelle des deux parties: mTLS – mutual Transport Layer Security L'émetteur authentifie le receveur. Le receveur authentifier l'émetteur. La plupart des systèmes de messagerie connus sur le marché (Lotus Notes, Sendmail, …) supportent mTLS.

78 78 Mise en œuvre de mTLS Pré-requis: –Serveur de transport (hub ou edge) en émission directe (pas de relais SMTP). Rôle Edge fortement recommandé mais non nécessaire. –Une PKI mise en place avec liste de révocation accessible depuis Internet. Pas à pas pour une mise en œuvre détaillée dans ce livre blanc:

79 79 Mise en œuvre de mTLS Serveur mail émetteur Serveur mail récepteur EHLO edge.mycompany.com ESMTP … ENHANCEDSTATUSCODES … STARTTLS Certificate Revocation List domaine: constoso.com Certificate Revocation List domaine: masociete.com Emission du certificat de l'émetteur Validation du certificat de l'émetteur auprès de la CRL Sending certificate

80 80 Mise en œuvre de mTLS Serveur mail Emetteur Serveur mail Récepteur MAIL FROM: RCPT TO: ENHANCEDSTATUSCODES … DELIVERYBY Certificate Revocation List domaine: constoso.com Certificate Revocation List domaine: masociete.com Emission du certificat émetteur Validation du certificat du récepteur auprès de la CRL DATA: Canal de communication sécurisé

81 81 Expérience utilisateur

82 82 Démonstration Mise en œuvre de mTLS

83 83 En résumé Des accès clients multiples ayant intégré les enjeux de la mobilité aujourd'hui: –Accès OWA, ActiveSync, Outlook Anywhere –Réduction des besoin de VPNs Approche "Software + Services" avec Exchange Hosted Services Assainissement du flux de messages reçu et émis avec : –Approche Anti-SPAM en couche –Gestion Anti-Virus intelligente –Règles de transport Chiffrement des échanges avec les partenaires

84 84 Feuille de route Serveurs Clients & Mobilité Services Service Pack

85 85 Les liens et ressources utiles Sites Technet: FR:http://technet.microsoft.com/fr-frhttp://technet.microsoft.com/fr-fr US:http://technet.microsoft.com/en-ushttp://technet.microsoft.com/en-us Blogs (FR) (US) Site produit (FR)

86 86 Questions / Réponses

87 87 Microsoft France 18, avenue du Québec Courtaboeuf Cedex

88 88 ANNEXES

89 89 Modèle de License Exchange 2007 Enterprise Edition Server Standard Edition Server Exchange Standard CAL Exchange Enterprise CAL Note: Customers can purchase either CAL with either Server Edition Serveurs CALs 5 bases de données Réplication des logs Pas de limite de stockage logicielle 50 bases de données Réplication des logs Mise en cluster Std vers Ent sans réinstallation Unified Messaging Granular Journaling Managed Custom Folders AV/AS (Services offering) Exchange Hosted Filtering Forefront Security for Exchange Server 2007


Télécharger ppt "1 Protéger votre messagerie et redonner accès aux informations de l'entreprise à vos utilisateurs nomades Damien Caro – Microsoft France"

Présentations similaires


Annonces Google