22 Forefront pour la sécurité de votre PME SEI février Chesne Pierre ITE TPE/PME Microsoft France
33 Agenda L’offre serveur pour TPE/PME L’offre ForeFront pour TPE/PME ForeFront TMG 2010 dans SBS 2008 Installation TMG 2010 dans SBS 2008
44 L’offre serveur pour TPE/PME
55 L’offre serveur pour les TPE et les PME
66 L’offre ForeFront pour TPE/PME
77 - Windows 2008 STD x64 - Exchange Server 2007 Std sp1 - Windows SharePoint 3.0 sp1 (companyWeb) - Windows Server Update Services - Solution Fax - Console d’Administration Simplifiée - Forefront Security for Exchange (120 j) - Poste de travail Web à distance - Intégration avec les services Microsoft Office Live Small Business - Windows 2008 STD x64 ou x86 - SQL 2008 Server std pour SBS - Applications Métier - Terminal Server (Cal suppl.) Small Business Server 2008
88 Windows Small Business Server 2008 Maintenant dans SBS 2008 premium ! SRV-SBS SRV-SBS-PREM / Port Forwarding HTTPS TCP SMTP TCP SharePoint TCP PPTP TCP Externe Interne
99 Console d’administration SBS
10 Microsoft Forefront for Exchange Solution de lutte Antivirale Solution de filtrage de contenu
11
12 Windows Essential Business Server 2008 AdministrationAdministration - Windows 2008 STD x64 - System Center Essential - Console d’administration - Windows 2008 STD x64 - Exchange Server 2007 STD - Forefront Security for Exchange MessagerieMessagerie Sécurité - Windows 2008 STD x64 - Forefront Threat Management Gateway Medium Business Edition - Exchange Server « Edge » PremiumPremium - Windows 2008 STD x64 ou x86 - SQL 2008 Server STD - Applications Métier - Terminal Server Internet
13 Console d’administration EBS
14 Qu’est-ce que TMG MBE ? Proxy/Pare-feu de périmètre ciblant les organisations de taille moyenne (jusqu’à 300 utilisateurs) Nouveau nom de ISA Server mais n’est pas TMG 2010 Disponible également en version Standalone mais avec les mêmes contraintes de déploiement que pour Windows EBS Appartenance à un domaine Limite de 300 utilisateurs
15 Caractéristiques de TMG MBE TMG MBE étend les capacités de ISA Server 2006 en ajoutant: Le support de Windows bits (uniquement) Un antimalware pour les flux HTTP sortants, disponible sous forme d’abonnement Des améliorations au niveau de la journalisation et des rapports Des améliorations au niveau de la console d’administration
16
17 ForeFront TMG 2010 dans SBS 2008
18 Windows Small Business Server 2008 SRV-SBS SRV-SBS-PREM / Contrôle d’ accès Utilisateurs Logs Utilisateurs Port Forwarding Filtrage Niv 3 (TCP/UDP/IP) Le strict minimum ! Externe Interne
19 Objectifs de Forefront TMG dans SBS 2008 Contrôler les accès entrant et sortant au niveau du périmètre de votre réseau Protéger les utilisateurs lors de la navigation sur le Web Protéger les infrastructures de messagerie (uniquement filtre applicatif SMTP) Faciliter l’administration
20 Déploiement et administration Windows Server bit ou Windows Server 2008 R2 Assistant de validation des pré-requis.NET Framework 3.5 SP1, Microsoft Installer 4.5… Assistant de démarrage (configuration initiale) Interface orientée tâches Amélioration de la journalisation et des rapports
21 Protection des clients Web Analyse anti logiciels malveillants Analyse des fichiers téléchargés Paramétrage de l’analyse global ou par règle Filtrage d’URLs Catégories d’URL et exclusions Inspection du trafic sortant HTTPS Filtrage d’URLs, analyse AV et protection IPS Zone d’administration dédiée au contrôle des accès Web sortants
22 Prévention des intrusions réseaux Détection et prévention des attaques sur des vulnérabilités connues Permet de “fermer la fenêtre” le temps nécessaire aux tests et au déploiement des correctifs de sécurité Forefront Network Inspection System (NIS) Basé sur GAPA provenant de Microsoft Research Generic Application Level Protocol Analyzer Basé sur des signatures de vulnérabilités Mise à jour via Microsoft Update
23 Améliorations du pare-feu Filtrage SIP Redondance des connexions Internet (2 FAI) NAT « avancé » Nouveau client pare-feu
24 Améliorations du pare-feu Filtrage SIP Local IP PBX support SIP messages quota protection Support de SIP trunk
25 Améliorations du pare-feu Redondance des connexions FAI 2 options d’utilisation : Tolérance de panne Agrégation de liens Uniquement pour le trafic sortant Trafic réseau « NATé » par Forefront TMG pour le réseau Externe
26 Améliorations du VPN nomade Support de Network Access Protection Mise en conformité et quarantaine Support des nouveaux algorithmes (AES…) Support de SSTP
27 Déploiement de TMG avec SBS 2008
28 Déploiement de TMG avec SBS 2008 Les assistants d’installation de SBS sont fait correctement : Gestion du réseau interne (DHCP, DNS, Routage Internet) Gestion du paramétrage Internet (Domaine DNS Public, Connecteur Exchange, site Remote, Certificat Web,port Fordwarding etc..) Ajouter un certificat approuvé (Achat de certificat au près d’une autorité tiers) SRV-SBS-2008.ma-tpe.local Port Forwarding HTTPS TCP SMTP TCP SharePoint TCP PPTP TCP Cn=Remote.ma-tpe.biz
29 Déploiement de TMG avec SBS 2008 SBS 2008 Standard achat d’un deuxième serveur (Proc x64) SBS 2008 Premium possibilité de l’installer sur le 2 e Serveur TMG (Windows 2008 x64 std sp2 ou Windows 2008 R2) Pour une authentification Web des utilisateurs TMG doit être membre du domaine SBS (ou=\Mybusiness\Computers\SBSServer) SRV-SBS-2008ma-tpe.local ForeFront TMG 2010 Port Forwarding HTTPS TCP SMTP TCP SharePoint TCP PPTP TCP Cn=Remote.ma-tpe.biz
30 Déploiement de TMG avec SBS 2008 Stratégies Web Filtrage d’URL Antivirus Inspection Inspection des flux HTTPS sortants Activation du cache
31 Déploiement de TMG avec SBS 2008 Le certificat WEB SRV-SBS-2008.ma-tpe.local ForeFront TMG 2010 Cn=Remote.ma-tpe.biz Exportation/Importation du certificat au format « PFX » -ForeFront TMG doit être capable de résoudre « remote.ma-tpe.biz » (en définissant la priorité de « binding » sur le serveur SBS) ou en inscrivant l’adresse sur le fichier host du serveur TMG Cn=Remote.ma-tpe.biz
32 Déploiement de TMG avec SBS Ports d’écoute - Port d’écoute SBS NIC externe /tcp 443/ certificat importé / authentification HTTP via Active Directory - Port d’écoute CompanyWeb NIC externe /tcp 987/ certificat importé / authentification HTTP via Active Directory SRV-SBS-2008.ma-tpe.local ForeFront TMG 2010 Cn=Remote.ma-tpe.biz Cn=Remote.ma-tpe.biz
33 Déploiement de TMG avec SBS 2008 Règles de publication : les règles de publication des sites Exchange (OWA, Outlook Anywhere/TS Gateway, ActiveSync) la règle de publication site « Poste de Travail Web à Distance » /remote la règle de publication site Sharepoint « CompanyWeb » SRV-SBS-2008.ma-tpe.local ForeFront TMG 2010 Cn=Remote.ma-tpe.biz Cn=Remote.ma-tpe.biz
34 Déploiement de TMG avec SBS 2008 Règles de publication pour Exchange /Microsoft-Server-ActiveSync/* /unifiedmessaging/* /rpc/* /OAB/* /ews/* /AutoDiscover/* /Exchange/* /Exchweb/* /OWA/* /public/* Règles de publication pour Windows Sharepoint Services /_layouts/* /_upresources/* /_vti_bin/* /_vti_inf.html*
35 Déploiement de TMG avec SBS 2008 Règles d’accès « mon serveur SBS» -> Création d’objet réseau « SMTP entrant » ->Création d’une règle d’accès « WSUS TCP 8530 (sortant) » -> Création d’un protocole « WSUS » -> Création d’une règle d’accès « Utilisateurs/groupes/planing » -> Création d’une règle d’accès « Client Proxy Web/Client TMG/ Secure NAT »
36 Synthèse des nouveautés VoIP traversal (SIP) NAT « avancé » Redondance des connexions FAI Pare-feu Anti-virus/spyware HTTP(s) Filtrage d’URLs Inspection https sortant Accès Web sécurisés Intégration d’Exchange Edge/FSE Anti-virus Anti-spam Protection messagerie Network Inspection System Security Assessment and Response (SAS) Prévention des intrusions VPN avec support de Network Access Protection (NAP) SSTP Accès distants W2K8, 64-bit natif Assistants adaptés aux scénarios Amélioration des journaux et des rapports Déploiement et admin. Update Center : HTTP: AV AV+Anti- Spam Signatures NIS Abonnement Services 36
37 Pare feu réseau Pare- feu applicatif Protection des accès Internet (Proxy) Publication basique Web IPSec VPN (remote & site-to-site) Web caching, HTTP compression Web anti-virus, anti malware URL filtering anti-malware, anti-spam Network intrusion prevention Tableau récapitulatif des fonctions ISA 2006 ForefrontTMG Integration with codename “Stirling” Enhanced UI, management, reporting Exchange publishing (RPC over HTTP) Windows Server 2008, 64-Bit (only) TMG dans EBS* Nouveau * “EBS” = Windows Essential Business Server Nouveau Nouveau Nouveau Nouveau Nouveau Nouveau Nouveau Nouveau