La sécurité dans Exchange 2016

Anti-spam et anti-malware

Présentation

Ces services nécessitent un accès Internet pour effectuer leurs mises à jour.

• La protection Anti-Spam :

Elle permet de se protéger contre les emails indésirables (comme de la pub par exemple)
C’est une fonctionnalité qui existe depuis Exchange 2010 sous forme d’agents et de valeurs de priorités.
La protection Anti-Spam est basée sur le service de transport et fonctionne comme les agents intégrés au transport.
Il s’agit d’un service qui est activé par défaut sur tous les serveurs ayant le rôle « EDGE ».
Elle permet de rejeter ou de mettre en quarantaine les emails identifiés comme étant non légitimes.

• La protection Anti-Malware :

Il s’agit d’une protection activée par défaut qui permet de mettre en quarantaine les emails identifiés comme étant potentiellement infectés.
Cette fonction existe depuis Exchange 2013 et est disponible uniquement sur les serveurs ayant le rôle de boite aux lettres

L’agent Anti-Spam sur les serveurs EDGE

Cet agent permet d’effectuer un filtrage des connexions entrantes.
Il permet également de filtrer les destinataires ainsi que les pièces jointes.

L’agent Anti-Spam sur les serveurs ayant le rôle de boite aux lettres

Cet agent permet d’effectuer un filtrage sur les expéditeurs ainsi que de vérifier l’identité de l’expéditeur pour éviter l’usurpation d’identité.
Il permet également le filtrage du contenu du message (SCL) ainsi qu’une analyse de protocole pour la réputation de l’expéditeur (SRL)

Attention : 

SCL : seuil de probabilité de courrier indésirable. Les valeurs permettent de déterminer si l’email est un spam ou non.
SRL : seuil de probabilité que l’expéditeur soit catégorisé comme spammeur. Les valeurs permettent de déterminer s’il s’agit d’un spammeur ou non.

Configuration de l’Anti-Spam sur un serveur de boite aux lettres

L’activation se fait uniquement en PowerShell via l’EMS.
Il existe un script dans les sources d’exchange qu’il sera possible de lancer via la commande 

&$env:ExchangeInstallPath\Install-AntiSpamAgents.ps1

Ensuite on redémarre le service « transport »

Restart-Service MSExchangeTransport

Contrôle des agents de transport et que tout est bien redémarré

Get-TransportAgent

Autorisation de l’IP du serveur Exchange indiquant que ce serveur est légitime

Set-TransportConfig -InternalSMTPServers @{Add=«IP_du_serveur»}

Configuration d’un filtrage ou d’une exception

Set-ContentFilterConfig -Enabed $True -InternalMailEnabled $True -ExternalMailEnabled $True -BypassedRecipients «adresse_mail_destinatairer» -BypassSenders «adresse_mail_expéditeur» -BypassSenderDomains «*.domain.com»

Ajout d’une règle de filtrage de contenu indiquant que certains mots sont « légitimes »

Add-ContentFilterPhrase -Influence GoodWord -Phrase «mot_clé»

Ajout d’une règle de filtrage de contenu indiquant que certains mots sont « illégitimes »

Add-ContentFilterPhrase -Influence BadWord -Phrase «mot_clé»

Modification des comportements des « SCL ». La valeur des numéros doit être au max à 9 

Set-ContentFilterConfig -SCLDeleteEnabled $True -SCLDeleteThreshold «numéro» -SCLRejectEnabled $True -SCLRejectThreshold «numéro» -SCLQuarantineEnabled $True -SCLQuarantineThreshold «numéro»

Mise en place d’une validation à faire par l’expéditeur afin de vérifier son identité.

Set-ContentFilterConfig -OutlookEmailPostmarkValidationEnabled $True

Mettre en place un message indiquant les raison du rejet d’un email traité comme un spam

Set-ContentFilterConfig -RejectionResponse «message_de_rejet_en_cas_de_spam»

Activation de la vérification de la réputation de l’expéditeur

Set-SenderReputationConfig -Enabled $True -InternalMailEnabled $False -ExternalMailEnabled $True

Configuration du filtrage Anti-Malware

Via l’EAC

Dans la section « Protection », il sera possible de voir la liste des filtres anti-malware.

Pour créer un filtre cliquer sur l’icône + puis remplir les informations nécessaires.

Il existe plusieurs options et informations qu’il sera possible de remplir

Les autorisations RBAC

Présentation des droits RBAC

RBAC est l’abréviation de « Role Based Access Control ».
RBAC un modèle de contrôle d'accès à un système d'information dans lequel chaque décision d'accès est basée sur le rôle auquel l'utilisateur est associé.
Un rôle découle généralement de la structure d'une entreprise. Les utilisateurs exerçant des fonctions similaires peuvent être regroupés sous le même rôle.
Un rôle, configuré par une autorité centrale, associe à un sujet des autorisations d'accès sur un ensemble d'objets.
La modification des contrôles d'accès n'est pas nécessaire chaque fois qu'une personne se joint à une organisation ou la quitte.
De ce fait, RBAC est considéré comme un système « idéal » pour les entreprises dont la fréquence de changement du personnel est élevée.
Pour exchange, il s’agit de droits Active Directory permettant de déléguer un périmètre qui s’applique à deux populations : 

• Les administrateurs
• Les utilisateurs

Il existe deux types de groupes RBAC pour Exchange

• Les groupes de rôles intégrés 

Ce sont des groupes par défaut dans Exchange sui sont créés dans le domaine racine de l’organisation. Chacun de ces groupes est configuré avec certains rôles Exchange

• Les groupes de rôles de gestion

Ce sont des groupes universels de sécurité personnalisables sur lesquels on applique des rôles Exchange.
Ils ont une portée dite « étendue » de type « normale » ou « exclusive ».

Le principe de fonctionnement

On décide quels sont les droits à appliquer à un groupe (ou rôle) mais également qui va faire partie de ce groupe.
Toute personne étant intégré à un groupe se verra alors attribuer les droits choisis pour ce dernier.

Configuration

Via l’EAC

RBAC est configurable dans la section « autorisations »

Il est possible de créer de nouveaux rôles en cliquant sur l’icône +
Il est possible de faire un double clic sur un rôle pour y ajouter d’autres rôles ou utilisateurs 

Il y a beaucoup de possibilité de configuration dans de nombreux paramètres.

Via l’EMS

• Création d’un rôle permettant d’avoir les droits sur un rôle déjà existant (permet de ne pas modifier les rôles par défaut)

New-ManagementRole «nom_du_rôle» -Parent «rôle_existant_par_défaut»

• Création d’un groupe de rôle et attribution à un utilisateur

New-RoleGroup -Name «nom_du_groupe» -Roles «nom_du_rôle_de_management» -Members «adresse_email_du_membre»

Politiques d’accès mobile

Présentation

La politique d’accès mobile peut s’appliquer sous plusieurs formes :

• Activation ou désactivation de ActiveSync sur les boites aux lettres
• Règles d’accès aux périphériques mobiles et quarantaine

Cela permet d’appliquer un comportement en fonction du type de mobile.
Ce comportement peut être du type « accepter », « refuser » ou « mettre en quarantaine »

• Stratégie de boite aux lettres de périphériques mobiles

Cela permet de gérer différentes exigences pour autoriser l’accès mobile comme par exemple :

• Un mot de passe et sa complexité
• Le chiffrement du mobile
• La réinitialisation du mobile en cas d’échec
• Autoriser ou non des fonctionnalités ou services du téléphone (Bluetooth, partage de connexion , etc.)

Regles d’accès mobile et quarantaine

La configuration peut se faire à la fois via l’EAC ou l’EMS

Via l’EAC 

Dans la section « mobile » puis dans l’onglet « Accès au périphérique mobile ».

Pour ajouter de nouveaux contenus, cliquer sur l’icône  puis suivre les informations demandées.

Via l’EMS

New-ActiveSyncDeviceAccessRule -Characteristic «type_de_caractéristique» -QueryString «chaine_de_caractères» -AccessLevel «type_d’accès»

Characteristic : DeviceOS, UserAgent par exemple
QueryString : « IOS 6.1 10B145 », « NokiaE521/2.00()MailforExchange » par exemple
AccessLevel : Block ou Allow par exemple

Stratégie d’accès mobile

La configuration peut se faire à la fois via l’EAC ou l’EMS

Via l’EAC 

Dans la section « mobile » puis dans l’onglet « stratégie de boite aux lettres de périphériques mobiles ».

Pour ajouter de nouveaux contenus, cliquer sur l’icône  puis suivre les informations demandées.

Via l’EMS

• Exemple de stratégie pour un type d’utilisateur qui doit avoir un mot de passe activé, de type alphanumérique dont les pièces jointes sont activées ou désactivées.

New-MobileDeviceMailboxpolicy – Name «nom_de_la_stratégie» -PasswordEanbled «valeur» -AplhanumericPasswordRequired «valeur» -PasswordRecoveryEnabled «valeur» -IsDefault «valeur» -AttachementsEnabled «valeur» -AllowStorageCard «valeur» -PasswordHistory «numéro»

PasswordHistory : nombre à mettre pour interdire la réutilisation d’un password si celui-ci fait partie des X derniers.
Valeur : $True ou $False

• Exemple de stratégie pour un type d’utilisateur pour lesquelles des actions seront faites pour le Bluetooth, la navigation web, les protocoles POP et IMAP, le wifi, etc.

New-MobileDeviceMailboxpolicy – Name «nom_de_la_stratégie» -AllowBluetooth «valeur» -AllowBrowser «valeur» -AllowCamera «valeur» -AllowPOPIMAPEmail «valeur» -PasswordEnabled «valeur» -AplhanumericPasswordRequired «valeur» -PasswordRecoveryEnabled «valeur» -MaxEmailAgeFilter «durée_en_anglais» -AllowWifi «valeur» -AllowStorageCard «valeur»

Valeur : $True ou $False
durée_en_anglais : « TwoWeeks » par exemple

Mettre à jour un serveur Exchange

Présentation

Il ne s’agit pas ici de mise à jour de la version de Exchange mais de l’installation des mises à jour via Cumulative Updates.
L’utilisation de Cumulative Update (CU) permet de corriger des bugs ou des failles de sécurité, d’apporter des évolutions ou encore de rester éligible au support de Microsoft par exemple.
Depuis Exchange 2013 les différentes sources des CU sont également des sources complètes de Exchange.

Les bonnes pratiques

Il est impératif d’effectuer les actions suivantes : 

• Lire les correctifs apporté par les mises à jour
• Lire les prérequis nécessaires par la mise à jour (extension du schéma, domaine, etc.)
• Rechercher d’éventuels bugs connu après l’application de la mise à jour pour ne pas avoir potentiellement de mauvaise surprise
• Effectuer des tests dans un environnement de validation ou un lab AVANT l’application en production
• Faire une sauvegarde de l’Active Directory
• Faire une sauvegarde de Exchange
• Mettre le serveur en maintenance
• Effectuer la mise à jour en dehors des heures de travail
• Reboot du serveur après installation de la mise à jour « CU »
• Vérifier et valider l’installation et le fonctionnement de la mise à jour avant de remettre le serveur en production.

Installation en mode sans assistance

• Vérifier si des prérequis sont à installer
• Récupérer les sources de Exchange Server 2016

https://technet.microsoft.com/fr-fr/library/hh135098(v=exchg.150).aspx

• Monter l’ISO
• Ouvrir une invite de commande en mode administrateur
• Se rendre dans le chemin du lecteur contenant l’ISO
• Exécuter la commande de mise à jour

.\Setup.exe /mode:update /IAcceptExchangeServerLicenseTerms

• Reconfigurer les configurations personnalisées (URLs accès clients, etc.)