Exchange 2003 SP2 : nouveautés en matière de mobilité 3/26/2017 3:56 PM Exchange 2003 SP2 : nouveautés en matière de mobilité Thierry Picq Managing Consultant Microsoft Services France © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

L’identité du Conseil Microsoft Rôle d’avant-garde Catalyseur du changement chez nos clients pour l’emploi des technologies Microsoft et l’adoption des nouvelles versions Effet de levier maximum en début de cycle de vie des technologies Effacement progressif quand : La technologie est installée dans le compte Le savoir-faire et les compétences sont largement diffusées Assistance aux partenaires mettant l’accent sur le transfert de compétences et de connaissances sur les technologies Microsoft Cadres méthodologiques éprouvés : Microsoft Solutions Framework (MSF) et Microsoft Operations Framework (MOF) Capacité d’engagement sur les projets stratégiques Risque Partenaires Conseil Microsoft Support Adoption des Technologies

Scénarios et risques Accès à Exchange via Internet 3/26/2017 3:56 PM Scénarios et risques Terminaux (utilisateurs) Entreprise Opérateurs mobiles ou fixes WLAN WAN PAN Infrared LAN Applications Accès à Exchange via Internet Extranet Mobilité Télétravail Kiosques et accès à domicile Internet comme réseau d’entreprise Nouvelle opportunités business, réactivité, … Comprendre les risques Erreurs de déploiement/configuration Contenu des messages Envoyés depuis Internet et ouverts à l’intérieur Envoyés depuis l’Intranet et exploités depuis Internet Couche 8 : l’erreur/le comportement humain (utilisateurs) Et les menaces: Spam, hameçonnage (phising), vols d’identités, virus, spyware, intelligence économique, etc. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Architecture type Terminaux Accès et Authentification Communications 3/26/2017 3:56 PM Architecture type Accès Distants (RAS) Terminaux Internet (Réseaux cellulaires : GSM/GPRS) Frontières de l’Entreprise Accès et Authentification Wireless PDA Serveur FE Mailbox Server Communications Communications Internet DMZ Smart phone Mailbox Server Wifi Interne Internet Haut débit (VPN, …) POP FAI Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Filaire Sans fil Légende Il est indispensable d'avoir une approche de bout en bout !!! Wi-Fi PDA Wi-Fi Smart phone Accès unique “nom du server” = “monentreprise.com” Pas de compte spécifique © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Les choix de connectivité 3/26/2017 3:56 PM Les choix de connectivité Alternatives RAS, VPNs Internet comme réseau d’entreprise OWA RPC - natif vs. sur HTTP Traditionnel vs. innovant Trouver des réponses aux problèmes d’hier ou d’aujourd’hui ? La question peut sembler stupide, mail il existe beaucoup d’à priori et de préconçus… Le Design idéal ??? “To DMZ or not to DMZ…that is the question” © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

VPN : choix classique (extension logique du périmètre de l’entreprise) 3/26/2017 3:56 PM VPN : choix classique (extension logique du périmètre de l’entreprise) Client VPN dans toutes les versions de Windows PPTP L2TP+IPsec Bien connu ainsi que les algorithmes La technologie est bien comprise Mais nécessite malgré tout une organisation interne maîtrisant le sujet. Peut impliquer une charge importante parfois incompatible avec petites ou moyennes structures Quarantaine indispensable afin de vérifier “l’état de santé” du poste de travail Parfois trop « lourd » pour une solution mobile © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Exchange Server 2003 SP2 Les consommateurs 3/26/2017 3:56 PM Exchange Server 2003 SP2 Les consommateurs Pare-feu/périmètre de l’entreprise (DMZ) PC Portables / Fixes RPC/HTTP (SP1) & Outlook Web Access POP3, IMAP Navigateurs téléphones & PDA Outlook Mobile Access Front End BAL (Back End) Clients ActiveSync (PPC, SP) Exchange ActiveSync Flux entrants SMTP: 25 POP3 : 110 SSL : 443 RPC : 135 Demain ? ? © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Le mode connecté : OWA et OMA Exchange Server 2003 3/26/2017 3:56 PM Le mode connecté : OWA et OMA Exchange Server 2003 Outlook Web Access Correcteur orthographique, Règles, Tâches et toutes les fonctions appréciables de Outlook 2003 Performance accrue (plus de 50% vs Exchange 2000 Serveur) Sécurité Authentification via formulaires, blocage des attachements, blocage des contenus externes, chiffrement et signature S/MIME Outlook Mobile Access Outlook Web Access pour les terminaux mobiles Acceptant potentiellement tout type de clients Génère du WML, HTML, xHTML et cHTML correspondant aux différents terminaux .NET Framework Device Updates accroît le nombre de terminaux supportés © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Le mode synchronisé : Exchange ActiveSync (EAS) 3/26/2017 3:56 PM Le mode synchronisé : Exchange ActiveSync (EAS) Synchronisation des E-mail, agenda, et contacts (plus avec E2K3SP2 et WM5.0) Protocole adopté par: PalmOne (Treo650 & LifeDrive) Motorola (A780) DataViz (RoadSync) Nokia Symbian Architecture identique à OWA/RPC-HTTP Perimeter Network (DMZ) Windows 2003 AD Ex2003 Front-End Ex2003 Back-End Servers ISA or 3rd party Firewall SSL ISA Principe fondamental de sécurité: aucune information ne « sort » du périmètre de l’entreprise si elle n’a pas été sollicitée (contrôlée) par un client. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Protection de OWA/Activesync avec ISA Serveur 2004 Réduction de la surface exposée et simplification de publilcation 3/26/2017 3:56 PM URLScan Délégation d’authentification Basic ISA Server peut déchiffrer et inspecter le trafic SSL …ce qui permet aux virus et aux vers de se propager sans être détectés… L’analyse des URL par ISA Server peut stopper les attaques Web au périmètre du réseau, y compris en cas d’utilisation de SSL ISA Server pré authentifie les utilisateurs, éliminant les boites de dialogues redondantes et n’autorise que le trafic valide à passer Le serveur OWA fait une demande d’authentification - tout utilisateur sur Internet peut accéder à cette demande Analyse URL par ISA Server SSL SSL SSL ou HTTP Internet ISA Server 2004 Pare-feu traditionnel OWA Client SSL passe au travers des pare-feu traditionnels sans contrôle du fait du chiffrement… Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair. …et d’infecter les serveurs internes ! © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Configuration & Administration simplifiées 3/26/2017 3:56 PM Configuration & Administration simplifiées L’assistant de publication de messagerie facilite la configuration et limite les erreurs potentielles pouvant entrainer des failles de sécurité © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Processus de synchronisation 3/26/2017 3:56 PM Processus de synchronisation Le client ActiveSync est configuré pour utiliser mail.contoso.com DNS externe ISA Serveur DNS interne Exchange FrontEnd1 Domain Controller Exchange Backend1 IP de mail.contoso.com? 131.107.76.146 SSL avec 131.107.76.146 SSL valide /microsoft-server-activesync/00101001 Règle de publication: IP pour mail.contoso.com? 192.168.1.101 SSL avec 192.168.1.101 SSL valide /microsoft-server-activesync/00101001 Authentification Basic? Authentification Basic? contoso\user1, p@ssw0rd contoso\user1, p@ssw0rd IP pour un DC du domaine contoso? 192.168.1.201 Authorisation OK? Oui Quel BE ? IP pour Backend1? Backend1 192.168.1.251 IPSec (BAL pour user1?) SSL (Data) SSL (Data) IPSec (Data) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Exchange Service Pack 2 et Windows Mobile 5 Messaging and Security Feature Pack Direct Push Améliorations fonctionnelles (recherche dans la GAL, tâches, …) et ergonomiques Gestion distante des politiques de sécurité Gestion distante des terminaux Support de S/MIME et FIPS-140-2

3/26/2017 3:56 PM Disponibilité du MSFP Windows Mobile 5.0 AKU2 est le vecteur de diffusion de cette version AKU = Adaptation Kit Update Les AKUs sont à destination des OEM / constructeurs uniquement (pas un fichier .CAB) Mise à disposition via: OEM -> Opérateur Mobile -> Utilisateur Les AKUs sont cumulatifs (ie. Services Packs…). L’AKU2 hérite des améliorations précédentes Gestionnaire réseaux (Wireless Manager) Explorateur de fichiers pour Smartphone Améliorations Bluetooth & Windows Media Player © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Cinématique Direct Push Serveur Exchange 2003 SP2 1. Le terminal envoie une requête au serveur Exchange 2003 SP2 server 5. Le terminal déclenche immédiatement une requête de synchronisation. 2. Exchange 2003 maintient la requête en attente jusqu’à l’expiration de l’intervalle (heartbeat) 4. Si un mail arrive afin la fin de l’intervalle, Exchange 2003 notifie le terminal qu’une modification est survenue dans la BAL Terminal Windows Mobile 5 avec le MSFP 3. Si aucun mail n’arrive avant la fin de l’intervalle (heartbit) le terminal renvoie une requête (keep alive)

Impact sur la bande passante Serveur Exchange 2003 SP2 Le terminal envoie une requête au serveur Exchange 2003 SP2 afin de générer une connexion IP Cette connexion permanente génère un surcoût Par défaut l’intervalle (Heartbeat) est de 15min, le “surcoût” incrémental de cette solution est de: 370 bytes par heartbeat * 4 heartbeats par heure * 24 heures par jour * 30 jours = 1.06MB par mois Cette architecture permet néanmoins de rester indépendant du transport et de l’opérateur (fixe ou mobile) Terminal Windows Mobile 5 avec le MSFP

Optimisation de la bande passant via compression (GZIP) Compression GZIP sur le serveur Efficacité Compression avant envoi Gains importants en bande passante et en latence (rapidité) entre Windows Mobile 2003 et Windows Mobile 5 Les test initiaux indiquent des gains entre 35% et 60% Index = 100

Remarques concernant le Direct Push 3/26/2017 3:56 PM Remarques concernant le Direct Push Chiffrement de la connexion SSL est utilisé pour négocier la sécurité du transport. Par défaut le chiffrement est de type RC4 3DES peut être utilisé (impact sur tous les trafics SSL du frontal) http://support.microsoft.com/default.aspx?scid=kb;en-us;245030 Configuration des pare-feux: Afin de conserver la connexion il peut être nécessaire de paramétrer les pare-feux de telle façon que les timeout de session pour accès vers EAS soient de 15-30mins http://support.microsoft.com/default.aspx?scid=kb;en-us;905013 Le Wifi n’est pas supporté La Registry est votre amie (attention quand même)… © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Accès à l’annuaire (GAL) 3/26/2017 3:56 PM Accès à l’annuaire (GAL) Conçu pour un accès simplifié depuis Contacts Sélection d’un contact intégrée avec la messagerie, téléphone, calendrier, etc. Accès aux propriétés majeures des contacts dans la GAL (Global Address List) Gestion des ambigüités et des listes de distribution Remarque: l’accès à la GAL nécessite l’implémentation de OWA et la configuration de permissions © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Considérations sur l’usage de S/MIME en mobilité 3/26/2017 3:56 PM Considérations sur l’usage de S/MIME en mobilité Pré-requis: Messaging and Security Feature Pack for Windows Mobile 5.0 (AKU2) Exchange 2003 SP2 La signature et le chiffrement interopérables avec la version poste de travail Utilisable avec un lecteur de SC externe uniquement Le serveur Exchange décharge le client des opérations de Clefs Publiques © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Accès Politique sécurité Réinitialisation à distance 3/26/2017 3:56 PM Démonstration Accès Politique sécurité Réinitialisation à distance © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Gestion distante des terminaux et politiques de sécurité

Gestion distante des terminaux et politiques de sécurité

Mécanisme de contrôle en cas “d’accident”

Utilisation de certificats pour l’authentification 3/26/2017 3:56 PM Pas de nécessité de stocker des credentials (username/password) du réseau sur le terminal Acquisition du certificat via la connexion PC (socle) A la discrétion de l’IT Authentification basique (SSL) Authentification par certificat © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Remarques sur l’usage des certificats dans ce contexte 3/26/2017 3:56 PM Remarques sur l’usage des certificats dans ce contexte Lors de l’expiration du certificat, les utilisateurs doivent connecter physiquement (socle) le terminal sur le réseau Alerte 14 jours avant expiration L’usage des certificats dans l’implémentation du MSFP entraine la nécessité d’une connexion directe chiffrée entre le frontal et le terminal (pas de possibilité d’arrêter le protocole pour inspection au niveau des proxy/pare-feux !!!). Outil: CertAuthTool disponible en téléchargement http://www.microsoft.com/downloads/details.aspx?FamilyId=82510E18-7965-4883-A8C3-F73F1F4733AC&displaylang=en © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Réinitialisation à distance 3/26/2017 3:56 PM Remarque: Réinitialisation complète du terminal uniquement (ne concerne pas le stockage amovible) Géré par un outil Web (IIS 6 nécessaire) Peut être délégué au centre de support Historique (Transaction log) Microsoft Exchange ActiveSync Mobile Web Administration tool : http://www.microsoft.com/downloads/details.aspx?familyid=E6851D23-D145-4DBF-A2CC-E0B4C6301453&displaylang=en © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Architecture classique 3/26/2017 3:56 PM Architecture classique ExFE SMTP ExBE AD © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Nouveaux besoins, nouvelles architectures 3/26/2017 3:56 PM Nouveaux besoins, nouvelles architectures Serveurs critiques au sein du périmètre de l’entreprise pour une protection accrue Ajouter ISA Serveur à votre DMZ Ne remplacez rien, ajoutez !!! Elevez le niveau de sécurité par la publication de: Exchange RPC OWA sur HTTPS RPC sur HTTPS SMTP (filtrage du contenu) ExFE SMTP ISA Server ExBE AD © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Synthèse des moyens nécessaires… 3/26/2017 3:56 PM Synthèse des moyens nécessaires… Windows Mobile 5.0 et le Messaging & Security Feature Pack Direct Push Sécurité contrôlée à distance Accès GAL etc Service Pack 2 – Serveur frontal (FE) Exchange 2003 © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Conclusion (hors terminaux): 3/26/2017 3:56 PM Je maîtrise et sécurise les communications de bout en bout en maintenant un niveau de sécurité élévé Internet (Réseaux cellulaires : GSM/GPRS) Segmentation Frontières de l’Entreprise Analyse des flux Wireless PDA Serveur FE Mailbox Server Internet DMZ Smart phone Mailbox Server Wifi Interne Internet Haut débit (VPN, …) SSL 128 bits POP FAI Internet sans fil (802.11x - hotspots) Wi-Fi PDA Wi-Fi Smart phone Filaire Sans fil Légende Wi-Fi PDA Wi-Fi Smart phone Accès unique “nom du server” = “monentreprise.com” © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex 3/26/2017 3:56 PM Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.