You are on page 1of 29

Protection de Exchange Server 2003

Rick Claus
Conseillers professionnels en TI Microsoft Canada

Objectifs de la prsentation
Prsenter les notions et les mcanismes de protection de Exchange 2003. Examiner les techniques et les outils utiliss pour aider retirer les messages indsirables comme le polluriel. Dmontrer les faons dactiver laccs protg de clients externes. Mthodes prouves, outils et conseils.

Programme
Survol de la scurit dans Exchange 2003 Technologie SmartScreen et de filtrage antipolluriel Accs protg de clients externes Mthodes et outils prouvs pour protger Exchange

La scurit dans Exchange 2003


Fonctions et aspects :
Scuris par conception et par dfaut

Nombreux clients et mthodes de connexion diffrents


Scnarios de dploiement Mises en oeuvre du pare-feu au rseau priphrique

SMTP anti-relais
Filtrage du courriel selon lexpditeur, le destinataire et filtrage des connexions incluant des services de liste de blocage Filtrage antipollutiel

Soutien antivirus
Publication OWA (Outlook Web Access)

Scnarios de dploiement de Exchange Server


Dploiement gnral Dploiement frontal/dorsal
Serveur Exchange frontal Serveur Exchange Serveurs Exchange dorsaux

ISA Server intgr


Serveur Exchange

ISA Server

Internet

Protection de Exchange en priphrie


Interaction avec le pare-feu ISA 2004 (SMTP)

Exchange Server

Publication OWA avec ISA 2004


ISA Server avec filtrage HTTP
ISA Server peut Le Web peut ISA Server pr-authentifie dchiffrer les URLScan for ISA Server etserveur demande utilisateurs, ce qui limine de arrter ce qui auxune la les attaques inspecter lepermet trafic filtrage HTTP authentification tout sil multiples botes de dialogue et SSL virus et auxdu vers de priphrie rseau, mme utilisateur Internet peut ne laisse passer que le trafic passer sans tre sagit de trafic chiffr SSL avoir accs ce valide dtects SSL message-guide SSL or SSL

HTTP

Internet

client

Le trafic SSL traverse les pare-feu traditionnels parce quil est chiffr Le trafic inspect et infecte serveurs peut tre les envoy au serveur interne chiffrinternes! nouveau ou en clair.

Pare-feu ISA Server 2004 traditionnel

Web Srv/ OWA

dmonstration
Publication scurise de Exchange avec ISA 2004
Publication SMTP Filtrage des mots-cls et des pices jointes SMTP Publication OWA

Programme
Survol de la scurit dans Exchange 2003 Technologie SmartScreen et de filtrage antipolluriel Accs protg de clients externes Mthodes et outils prouvs pour protger Exchange

Filtrage des messages de Exchange

Listes accept./refus Listes de blocage Filtre destinataires Filtre expditeurs Filtre de messages intelligent

Mmoire dinformation

Filtre de messages intelligent


Exploite lapprentissage machine SmartScreen Appliqu la passerelle
Attribue au message un niveau de confiance concernant les polluriels (SCL)

Utilis tout au long du parcours du courriel Analyse les en-ttes, le corps du message et dautres attributs

Filtrage antipolluriel avec IMF


Technologie SmartScreen
Serveur de passerelle

Outils de tiers Serveur de mmoire (Antivirus) de bote aux lettres

Algorithme SmartScreen

Dossier de polluriel

Bote de rception

dmonstration
Le filtre de messages intelligent
Fonctions de contrle UCE de Exchange 2003 Installation de IMF Configuration de IMF

Programme
Survol de la scurit dans Exchange 2003 Technologie SmartScreen et de filtrage antipolluriel Accs protg de clients externes Mthodes et outils prouvs pour protger Exchange

Dfis de laccs protg de clients externes Exchange Server Dispositifs mobiles


Outlook Mobile Access XHTML, cHTML, HTML compatibles avec ActiveSync

Serveur Exchange frontal

Rseau sans fil

ISA Server Serveurs Exchange dorsaux

Outlook Web Access Outlook avec RPC Outlook avec RPC over HTTP(S) Outlook Express avec IMAP4 ou POP3

Configurer laccs protg de clients Outlook RPC / RPC over HTTP(S)


ISA Server Client Outlook

Serveurs Exchange

Utilisez les rgles de publication du serveur de courriel pour activer les connexions Outlook RPC

Facteurs de configuration de laccs client par RPC over HTTP(S)


Les connexions RPC over HTTP(S) ncessitent :
Outlook 2003 sous Windows XP
Exchange Server 2003 sous Windows Server 2003 et les serveurs de catalogue global de Windows Server 2003

Windows Server 2003 excutant un serveur mandataire RPC


La modification du profil Outlook pour utiliser RPC over HTTP(S) pour la connexion Exchange server

Pour activer les connexions RPC over HTTP(S) avec ISA Server, utilisez lAssistant Publication de sites Web scuriss pour publier le rpertoire virtuel /rpc/*virtual directory.

dmonstration
RPC over HTTPS
Installation de RPC over HTTPS Configuration de ISA Server

Programme
Survol de la scurit dans Exchange 2003 Technologie SmartScreen et de filtrage antipolluriel Accs protg de clients externes Mthodes et outils prouvs pour protger Exchange

Dfis lis au maintien de la scurit de Exchange Server


Dfis lis au maintien de la scurit de Exchange Server :
Blindage des serveurs

Installer systmatiquement les mises jour de scurit les plus rcentes


Appliquer systmatiquement les mthodes prouves recommandes

Comprendre les rpercussions de la configuration des diverses options de Exchange Server


Tenir jour la documentation sur les paramtres de configuration et de scurit

Blindage des serveurs Exchange dorsaux


Tches de blindage des serveurs Exchange dorsaux :
Services de blindage (rduire la surface vulnrable)

Blindage des listes de contrle daccs aux fichiers (ACL)


Modifier les privilges Activer des services additionnels (facultatif)

Appliquez le modle de scurit de Exchange 2003 Backend.inf vos serveurs dorsaux

Blindage des serveurs Exchange frontaux


Tches de blindage des serveurs Exchange frontaux :
Services de blindage (rduire la surface vulnrable)

Blindage des listes de contrle daccs aux fichiers (ACL)


Activer des services additionnels (facultatif) Excuter URLScan (facultatif mais recommand)

Dmonter la mmoire de la bote aux lettres et supprimer la mmoire du dossier public (facultatif mais recommand)
Appliquer le modle de scurit de Exchange 2003 Frontend.inf vos serveurs frontaux

Analyse de Exchange Server 2003 avec MBSA


MBSA vrifie les problmes touchant :
problmes de scurit connus lis Windows et Les Internet

Les mises jour de scurit manquantes Les mots de passe de compte fragiles
problmes de scurit lis Internet Information Les Services (IIS)

Les problmes de scurit lis SQL Server Les problmes de scurit lis Exchange Server

Validation des paramtres de configuration de Exchange Server


ExBPA peut examiner vos serveurs Exchange pour :
Produire une liste de problmes tels que les erreurs de configuration ou les options non prises en charge ou dconseilles

valuer la sant gnrale du systme Aider rgler des problmes prcis

Intgrer loutil MBSA

Mthodes prouves de protection des serveurs Exchange


Dterminez la topologie de Exchange Server et blindez les
serveurs selon leurs rles strictement ncessaires

Limitez la fonctionnalit de Exchange Server aux clients

Installez systmatiquement les dernires mises jour de


Exchange Server 2003 et du systme dexploitation RPC over HTTPS, POP3 et IMAP4

Utilisez ISA Server 2004 pour rgir laccs du trafic HTTP, Utilisez SSL/TLS et lauthentification fonde sur des
formulaires pour Outlook Web Access

dmonstration
Outils Exchange
Exchange Best Practice Analyzer

Rsum
2003 pour profiter des rcentes amliorations la scurit
Mettez en oeuvre les modles de scurit de base et Dployez Exchange Server 2003 et Microsoft Office Outlook

additionnels de faon protger pleinement Exchange Server


Appliquez systmatiquement les mthodes et techniques prouves les plus rcentes pour protger Exchange Server 2003

scurit grce aux outils MBSA et ExBPA

Installez des antivirus sensibles Exchange et assurez la Protgez-vous contre les messages indsirables en ayant de messages intelligent

recours plusieurs couches de filtrage et en exploitant le filtre

Pour plus dinformation


Microsoft TechNet http://www.microsoft.ca/technet Rick Claus http://blogs.msdn.com/rclaus

Votre potentiel. Notre passion.MC

You might also like