Protection de Exchange Server 2003
Protection de Exchange Server 2003 Rick Claus Conseillers professionnels en TI Microsoft Canada
Objectifs de la présentation Présenter les notions et les mécanismes de protection de Exchange 2003. Examiner les techniques et les outils utilisés pour aider à retirer les messages indésirables comme le polluriel. Démontrer les façons d’activer l’accès protégé de clients externes. Méthodes éprouvées, outils et conseils.
Programme Survol de la sécurité dans Exchange 2003 Technologie SmartScreen et de filtrage antipolluriel Accès protégé de clients externes Méthodes et outils éprouvés pour protéger Exchange
La sécurité dans Exchange 2003 Fonctions et aspects : Sécurisé par conception et par défaut Nombreux clients et méthodes de connexion différents Scénarios de déploiement Mises en oeuvre du pare-feu au réseau périphérique SMTP anti-relais Filtrage du courriel selon l’expéditeur, le destinataire et filtrage des connexions incluant des services de liste de blocage Filtrage antipollutiel Soutien antivirus Publication OWA (Outlook Web Access)
Scénarios de déploiement de Exchange Server Déploiement général Déploiement frontal/dorsal Serveur Exchange frontal Serveurs Exchange dorsaux Serveur Exchange ISA Server intégré Serveur Exchange ISA Server Internet
Protection de Exchange en périphérie Interaction avec le pare-feu ISA 2004 (SMTP) Exchange Server
Publication OWA avec ISA 2004 ISA Server avec filtrage HTTP ISA Server peut déchiffrer et inspecter le trafic SSL ISA Server pré-authentifie les utilisateurs, ce qui élimine de multiples boîtes de dialogue et ne laisse passer que le trafic valide Le serveur Web demande une authentification — tout utilisateur Internet peut avoir accès à ce message-guide URLScan for ISA Server peut arrêter les attaques à la périphérie du réseau, même s’il s’agit de trafic chiffré SSL …ce qui permet aux virus et aux vers de passer sans être détectés… filtrage HTTP SSL SSL SSL or HTTP Internet ISA Server 2004 Pare-feu traditionnel WebSrv/ OWA client Le trafic SSL traverse les pare-feu traditionnels parce qu’il est chiffré… Le trafic inspecté peut être envoyé au serveur interne chiffré à nouveau ou en clair. …et infecte les serveurs internes!
démonstration Publication sécurisée de Exchange avec ISA 2004 Publication SMTP Filtrage des mots-clés et des pièces jointes SMTP Publication OWA
Programme Survol de la sécurité dans Exchange 2003 Technologie SmartScreen et de filtrage antipolluriel Accès protégé de clients externes Méthodes et outils éprouvés pour protéger Exchange
Filtrage des messages de Exchange Listes accept./refus Mémoire d’information Listes de blocage Filtre destinataires Filtre expéditeurs Filtre de messages intelligent
Filtre de messages intelligent Exploite l’apprentissage machine SmartScreen Appliqué à la passerelle Attribue au message un niveau de confiance concernant les polluriels (SCL) Utilisé tout au long du parcours du courriel Analyse les en-têtes, le corps du message et d’autres attributs
Filtrage antipolluriel avec IMF Technologie SmartScreen Serveur de passerelle Outils de tiers (Antivirus) Serveur de mémoire de boîte aux lettres SCL 5 SCL 8 SCL 5 Algorithme SmartScreen Dossier de polluriel Boîte de réception
Activation et configuration de IMF Configurer IMF
démonstration Le filtre de messages intelligent Fonctions de contrôle UCE de Exchange 2003 Installation de IMF Configuration de IMF
Programme Survol de la sécurité dans Exchange 2003 Technologie SmartScreen et de filtrage antipolluriel Accès protégé de clients externes Méthodes et outils éprouvés pour protéger Exchange
Défis de l’accès protégé de clients externes à Exchange Server Dispositifs mobiles compatibles avec ActiveSync Outlook Mobile Access XHTML, cHTML, HTML ADP (appel de procédures à distance) = RPC (remote procedure call) Serveur Exchange frontal Réseau sans fil Outlook Web Access Outlook avec RPC Outlook avec RPC over HTTP(S) Outlook Express avec IMAP4 ou POP3 ISA Server Serveurs Exchange dorsaux
Configurer l’accès protégé de clients à Outlook RPC / RPC over HTTP(S) ISA Server Client Outlook Serveurs Exchange Utilisez les règles de publication du serveur de courriel pour activer les connexions Outlook RPC
Facteurs de configuration de l’accès client par RPC over HTTP(S) Les connexions RPC over HTTP(S) nécessitent : Outlook 2003 sous Windows XP Exchange Server 2003 sous Windows Server 2003 et les serveurs de catalogue global de Windows Server 2003 Windows Server 2003 exécutant un serveur mandataire RPC La modification du profil Outlook pour utiliser RPC over HTTP(S) pour la connexion à Exchange server Pour activer les connexions RPC over HTTP(S) avec ISA Server, utilisez l’Assistant Publication de sites Web sécurisés pour publier le répertoire virtuel /rpc/*virtual directory.
démonstration RPC over HTTPS Installation de RPC over HTTPS Configuration de ISA Server
Programme Survol de la sécurité dans Exchange 2003 Technologie SmartScreen et de filtrage antipolluriel Accès protégé de clients externes Méthodes et outils éprouvés pour protéger Exchange
Défis liés au maintien de la sécurité de Exchange Server Blindage des serveurs Installer systématiquement les mises à jour de sécurité les plus récentes Appliquer systématiquement les méthodes éprouvées recommandées Comprendre les répercussions de la configuration des diverses options de Exchange Server Tenir à jour la documentation sur les paramètres de configuration et de sécurité
Blindage des serveurs Exchange dorsaux Tâches de blindage des serveurs Exchange dorsaux : Services de blindage (réduire la surface vulnérable) Blindage des listes de contrôle d’accès aux fichiers (ACL) Modifier les privilèges Activer des services additionnels (facultatif) Appliquez le modèle de sécurité de Exchange 2003 Backend.inf à vos serveurs dorsaux
Blindage des serveurs Exchange frontaux Tâches de blindage des serveurs Exchange frontaux : Services de blindage (réduire la surface vulnérable) Blindage des listes de contrôle d’accès aux fichiers (ACL) Activer des services additionnels (facultatif) Exécuter URLScan (facultatif mais recommandé) Démonter la mémoire de la boîte aux lettres et supprimer la mémoire du dossier public (facultatif mais recommandé) Appliquer le modèle de sécurité de Exchange 2003 Frontend.inf à vos serveurs frontaux
Analyse de Exchange Server 2003 avec MBSA MBSA vérifie les problèmes touchant : ü Les problèmes de sécurité connus liés à Windows et à Internet ü Les mises à jour de sécurité manquantes ü Les mots de passe de compte fragiles ü Les problèmes de sécurité liés à Internet Information Services (IIS) ü Les problèmes de sécurité liés à SQL Server ü Les problèmes de sécurité liés à Exchange Server
Validation des paramètres de configuration de Exchange Server ExBPA peut examiner vos serveurs Exchange pour : Produire une liste de problèmes tels que les erreurs de configuration ou les options non prises en charge ou déconseillées ü ü Évaluer la santé générale du système ü Aider à régler des problèmes précis ü Intégrer l’outil MBSA
Méthodes éprouvées de protection des serveurs Exchange Déterminez la topologie de Exchange Server et blindez les serveurs selon leurs rôles ü ü Limitez la fonctionnalité de Exchange Server aux clients strictement nécessaires ü Installez systématiquement les dernières mises à jour de Exchange Server 2003 et du système d’exploitation ü Utilisez ISA Server 2004 pour régir l’accès du trafic HTTP, RPC over HTTPS, POP3 et IMAP4 ü Utilisez SSL/TLS et l’authentification fondée sur des formulaires pour Outlook Web Access
démonstration Outils Exchange Exchange Best Practice Analyzer
Résumé Déployez Exchange Server 2003 et Microsoft Office Outlook 2003 pour profiter des récentes améliorations à la sécurité ü Mettez en oeuvre les modèles de sécurité de base et additionnels de façon à protéger pleinement Exchange Server ü Appliquez systématiquement les méthodes et techniques éprouvées les plus récentes pour protéger Exchange Server 2003 ü Installez des antivirus sensibles à Exchange et assurez la sécurité grâce aux outils MBSA et ExBPA ü Protégez-vous contre les messages indésirables en ayant recours à plusieurs couches de filtrage et en exploitant le filtre de messages intelligent ü
Pour en savoir plus… Site Web principal de TechNet www.microsoft.ca/technet Fonctions antipolluriel de Exchange 2003 www.microsoft.com/exchange/techinfo/security/antispam.asp Technologie antipolluriel de Microsoft www.microsoft.com/mscorp/twc/privacy/spam.mspx Téléchargement de IMF www.microsoft.com/exchange/imf
Pour plus d’information… Microsoft TechNet http://www.microsoft.ca/technet Rick Claus http://blogs.msdn.com/rclaus
Votre potentiel. Notre passion.MC
Où trouver TechNet? Visitez TechNet en ligne à www.microsoft.ca/technet Abonnez-vous à TechNet Flash /technet/abouttn/subscriptions/flash_register.mspx Joignez-vous au forum TechNet en ligne www.microsoft.ca/technet/community Devenez membre de TechNet www.microsoft.ca/technet/abouttn/Subscriptions Assistez à davantage d’événements TechNet ou voyez-les en ligne www.microsoft.ca/technet/community/events