179 lignes
15 KiB
HTML
179 lignes
15 KiB
HTML
<!--
|
|
title: La sécurité
|
|
description: La sécurité dans Exchange 2016
|
|
published: true
|
|
date: 2021-09-24T21:02:14.227Z
|
|
tags:
|
|
editor: ckeditor
|
|
dateCreated: 2021-05-24T10:35:52.850Z
|
|
-->
|
|
|
|
<figure class="image image_resized" style="width:22.66%;"><img src="/images/exchange2016_logo.png">
|
|
<figcaption><strong>Auteur : Antoine JOVELIN</strong><br><strong>Admin Système Réseau - 49100 Angers</strong></figcaption>
|
|
</figure>
|
|
<h1>La sécurité dans Exchange 2016</h1>
|
|
<h2>Anti-spam et anti-malware</h2>
|
|
<h3>Présentation</h3>
|
|
<p>Ces services nécessitent un accès Internet pour effectuer leurs mises à jour.</p>
|
|
<ul>
|
|
<li>La protection Anti-Spam :</li>
|
|
</ul>
|
|
<p>Elle permet de se protéger contre les emails indésirables (comme de la pub par exemple)<br>C’est une fonctionnalité qui existe depuis Exchange 2010 sous forme d’agents et de valeurs de priorités.<br>La protection Anti-Spam est basée sur le service de transport et fonctionne comme les agents intégrés au transport.<br>Il s’agit d’un service qui est activé par défaut sur tous les serveurs ayant le rôle « EDGE ».<br>Elle permet de rejeter ou de mettre en quarantaine les emails identifiés comme étant non légitimes.</p>
|
|
<ul>
|
|
<li>La protection Anti-Malware :</li>
|
|
</ul>
|
|
<p>Il s’agit d’une protection activée par défaut qui permet de mettre en quarantaine les emails identifiés comme étant potentiellement infectés.<br>Cette fonction existe depuis Exchange 2013 et est disponible uniquement sur les serveurs ayant le rôle de boite aux lettres</p>
|
|
<h3>L’agent Anti-Spam sur les serveurs EDGE</h3>
|
|
<p>Cet agent permet d’effectuer un filtrage des connexions entrantes.<br>Il permet également de filtrer les destinataires ainsi que les pièces jointes.</p>
|
|
<h3>L’agent Anti-Spam sur les serveurs ayant le rôle de boite aux lettres</h3>
|
|
<p>Cet agent permet d’effectuer un filtrage sur les expéditeurs ainsi que de vérifier l’identité de l’expéditeur pour éviter l’usurpation d’identité.<br>Il permet également le filtrage du contenu du message (SCL) ainsi qu’une analyse de protocole pour la réputation de l’expéditeur (SRL)</p>
|
|
<p><i><mark class="pen-red"><strong>Attention</strong> : </mark></i></p>
|
|
<p><i>SCL : seuil de probabilité de courrier indésirable. Les valeurs permettent de déterminer si l’email est un spam ou non.</i><br><i>SRL : seuil de probabilité que l’expéditeur soit catégorisé comme spammeur. Les valeurs permettent de déterminer s’il s’agit d’un spammeur ou non.</i></p>
|
|
<h3>Configuration de l’Anti-Spam sur un serveur de boite aux lettres</h3>
|
|
<p>L’activation se fait uniquement en PowerShell via l’EMS.<br>Il existe un script dans les sources d’exchange qu’il sera possible de lancer via la commande </p>
|
|
<pre><code class="language-plaintext">&$env:ExchangeInstallPath\Install-AntiSpamAgents.ps1</code></pre>
|
|
<p>Ensuite on redémarre le service « transport »</p>
|
|
<pre><code class="language-plaintext">Restart-Service MSExchangeTransport</code></pre>
|
|
<p>Contrôle des agents de transport et que tout est bien redémarré</p>
|
|
<pre><code class="language-plaintext">Get-TransportAgent</code></pre>
|
|
<p>Autorisation de l’IP du serveur Exchange indiquant que ce serveur est légitime</p>
|
|
<pre><code class="language-plaintext">Set-TransportConfig -InternalSMTPServers @{Add=«IP_du_serveur»}</code></pre>
|
|
<p>Configuration d’un filtrage ou d’une exception</p>
|
|
<pre><code class="language-plaintext">Set-ContentFilterConfig -Enabed $True -InternalMailEnabled $True -ExternalMailEnabled $True -BypassedRecipients «adresse_mail_destinatairer» -BypassSenders «adresse_mail_expéditeur» -BypassSenderDomains «*.domain.com»</code></pre>
|
|
<p>Ajout d’une règle de filtrage de contenu indiquant que certains mots sont « légitimes »</p>
|
|
<pre><code class="language-plaintext">Add-ContentFilterPhrase -Influence GoodWord -Phrase «mot_clé»</code></pre>
|
|
<p>Ajout d’une règle de filtrage de contenu indiquant que certains mots sont « illégitimes »</p>
|
|
<pre><code class="language-plaintext">Add-ContentFilterPhrase -Influence BadWord -Phrase «mot_clé»</code></pre>
|
|
<p>Modification des comportements des « SCL ». La valeur des numéros doit être au max à 9 </p>
|
|
<pre><code class="language-plaintext">Set-ContentFilterConfig -SCLDeleteEnabled $True -SCLDeleteThreshold «numéro» -SCLRejectEnabled $True -SCLRejectThreshold «numéro» -SCLQuarantineEnabled $True -SCLQuarantineThreshold «numéro»</code></pre>
|
|
<p>Mise en place d’une validation à faire par l’expéditeur afin de vérifier son identité.</p>
|
|
<pre><code class="language-plaintext">Set-ContentFilterConfig -OutlookEmailPostmarkValidationEnabled $True</code></pre>
|
|
<p>Mettre en place un message indiquant les raison du rejet d’un email traité comme un spam</p>
|
|
<pre><code class="language-plaintext">Set-ContentFilterConfig -RejectionResponse «message_de_rejet_en_cas_de_spam»</code></pre>
|
|
<p>Activation de la vérification de la réputation de l’expéditeur</p>
|
|
<pre><code class="language-plaintext">Set-SenderReputationConfig -Enabled $True -InternalMailEnabled $False -ExternalMailEnabled $True</code></pre>
|
|
<h3>Configuration du filtrage Anti-Malware</h3>
|
|
<p><u>Via l’EAC</u></p>
|
|
<p>Dans la section « Protection », il sera possible de voir la liste des filtres anti-malware.</p>
|
|
<figure class="image"><img src="/images/eac-60.png"></figure>
|
|
<p>Pour créer un filtre cliquer sur l’icône <span class="text-huge"><strong>+</strong></span> puis remplir les informations nécessaires.</p>
|
|
<figure class="image"><img src="/images/eac-61.png"></figure>
|
|
<p>Il existe plusieurs options et informations qu’il sera possible de remplir</p>
|
|
<figure class="image"><img src="/images/eac-62.png"></figure>
|
|
<h2>Les autorisations RBAC</h2>
|
|
<h3>Présentation des droits RBAC</h3>
|
|
<p>RBAC est l’abréviation de « Role Based Access Control ».<br>RBAC un modèle de contrôle d'accès à un système d'information dans lequel chaque décision d'accès est basée sur le rôle auquel l'utilisateur est associé.<br>Un rôle découle généralement de la structure d'une entreprise. Les utilisateurs exerçant des fonctions similaires peuvent être regroupés sous le même rôle.<br>Un rôle, configuré par une autorité centrale, associe à un sujet des autorisations d'accès sur un ensemble d'objets.<br>La modification des contrôles d'accès n'est pas nécessaire chaque fois qu'une personne se joint à une organisation ou la quitte.<br>De ce fait, RBAC est considéré comme un système « idéal » pour les entreprises dont la fréquence de changement du personnel est élevée.<br>Pour exchange, il s’agit de droits Active Directory permettant de déléguer un périmètre qui s’applique à deux populations : </p>
|
|
<ul>
|
|
<li>Les administrateurs</li>
|
|
<li>Les utilisateurs</li>
|
|
</ul>
|
|
<p>Il existe deux types de groupes RBAC pour Exchange</p>
|
|
<ul>
|
|
<li>Les groupes de rôles intégrés</li>
|
|
</ul>
|
|
<p>Ce sont des groupes par défaut dans Exchange sui sont créés dans le domaine racine de l’organisation. Chacun de ces groupes est configuré avec certains rôles Exchange</p>
|
|
<ul>
|
|
<li>Les groupes de rôles de gestion</li>
|
|
</ul>
|
|
<p>Ce sont des groupes universels de sécurité personnalisables sur lesquels on applique des rôles Exchange.<br>Ils ont une portée dite « étendue » de type « normale » ou « exclusive ».</p>
|
|
<h3>Le principe de fonctionnement</h3>
|
|
<figure class="image"><img src="/images/schema_rbac.png"></figure>
|
|
<p>On décide quels sont les droits à appliquer à un groupe (ou rôle) mais également qui va faire partie de ce groupe.<br>Toute personne étant intégré à un groupe se verra alors attribuer les droits choisis pour ce dernier.</p>
|
|
<figure class="image"><img src="/images/schema_rbac-2.png"></figure>
|
|
<h3>Configuration</h3>
|
|
<p><u>Via l’EAC</u></p>
|
|
<p>RBAC est configurable dans la section « autorisations »</p>
|
|
<figure class="image"><img src="/images/eac-63.png"></figure>
|
|
<p>Il est possible de créer de nouveaux rôles en cliquant sur l’icône <span class="text-huge"><strong>+</strong></span><br>Il est possible de faire un double clic sur un rôle pour y ajouter d’autres rôles ou utilisateurs </p>
|
|
<figure class="image"><img src="/images/eac-64.png"></figure>
|
|
<p>Il y a beaucoup de possibilité de configuration dans de nombreux paramètres.</p>
|
|
<p><u>Via l’EMS</u></p>
|
|
<ul>
|
|
<li>Création d’un rôle permettant d’avoir les droits sur un rôle déjà existant (permet de ne pas modifier les rôles par défaut)</li>
|
|
</ul>
|
|
<pre><code class="language-plaintext">New-ManagementRole «nom_du_rôle» -Parent «rôle_existant_par_défaut»</code></pre>
|
|
<p> </p>
|
|
<ul>
|
|
<li>Création d’un groupe de rôle et attribution à un utilisateur</li>
|
|
</ul>
|
|
<pre><code class="language-plaintext">New-RoleGroup -Name «nom_du_groupe» -Roles «nom_du_rôle_de_management» -Members «adresse_email_du_membre»</code></pre>
|
|
<h2>Politiques d’accès mobile</h2>
|
|
<h3>Présentation</h3>
|
|
<p>La politique d’accès mobile peut s’appliquer sous plusieurs formes :</p>
|
|
<ul>
|
|
<li>Activation ou désactivation de ActiveSync sur les boites aux lettres</li>
|
|
<li>Règles d’accès aux périphériques mobiles et quarantaine</li>
|
|
</ul>
|
|
<p>Cela permet d’appliquer un comportement en fonction du type de mobile.<br>Ce comportement peut être du type « accepter », « refuser » ou « mettre en quarantaine »</p>
|
|
<ul>
|
|
<li>Stratégie de boite aux lettres de périphériques mobiles</li>
|
|
</ul>
|
|
<p>Cela permet de gérer différentes exigences pour autoriser l’accès mobile comme par exemple :</p>
|
|
<ul>
|
|
<li>Un mot de passe et sa complexité</li>
|
|
<li>Le chiffrement du mobile</li>
|
|
<li>La réinitialisation du mobile en cas d’échec</li>
|
|
<li>Autoriser ou non des fonctionnalités ou services du téléphone (Bluetooth, partage de connexion , etc.)</li>
|
|
</ul>
|
|
<h3>Regles d’accès mobile et quarantaine</h3>
|
|
<p>La configuration peut se faire à la fois via l’EAC ou l’EMS</p>
|
|
<p><u>Via l’EAC </u></p>
|
|
<p>Dans la section « mobile » puis dans l’onglet « Accès au périphérique mobile ».</p>
|
|
<figure class="image"><img src="/images/eac-65.png"></figure>
|
|
<p>Pour ajouter de nouveaux contenus, cliquer sur l’icône puis suivre les informations demandées.</p>
|
|
<p><u>Via l’EMS</u></p>
|
|
<pre><code class="language-plaintext">New-ActiveSyncDeviceAccessRule -Characteristic «type_de_caractéristique» -QueryString «chaine_de_caractères» -AccessLevel «type_d’accès»</code></pre>
|
|
<p><i>Characteristic : DeviceOS, UserAgent par exemple</i><br><i>QueryString : « IOS 6.1 10B145 », « NokiaE521/2.00()MailforExchange » par exemple</i><br><i>AccessLevel : Block ou Allow par exemple</i></p>
|
|
<h3>Stratégie d’accès mobile</h3>
|
|
<p>La configuration peut se faire à la fois via l’EAC ou l’EMS</p>
|
|
<p><u>Via l’EAC </u></p>
|
|
<p>Dans la section « mobile » puis dans l’onglet « stratégie de boite aux lettres de périphériques mobiles ».</p>
|
|
<figure class="image"><img src="/images/eac-66.png"></figure>
|
|
<p>Pour ajouter de nouveaux contenus, cliquer sur l’icône puis suivre les informations demandées.</p>
|
|
<p><u>Via l’EMS</u></p>
|
|
<ul>
|
|
<li>Exemple de stratégie pour un type d’utilisateur qui doit avoir un mot de passe activé, de type alphanumérique dont les pièces jointes sont activées ou désactivées.</li>
|
|
</ul>
|
|
<pre><code class="language-plaintext">New-MobileDeviceMailboxpolicy – Name «nom_de_la_stratégie» -PasswordEanbled «valeur» -AplhanumericPasswordRequired «valeur» -PasswordRecoveryEnabled «valeur» -IsDefault «valeur» -AttachementsEnabled «valeur» -AllowStorageCard «valeur» -PasswordHistory «numéro»</code></pre>
|
|
<p><i>PasswordHistory : nombre à mettre pour interdire la réutilisation d’un password si celui-ci fait partie des X derniers.</i><br><i>Valeur : $True ou $False</i></p>
|
|
<ul>
|
|
<li>Exemple de stratégie pour un type d’utilisateur pour lesquelles des actions seront faites pour le Bluetooth, la navigation web, les protocoles POP et IMAP, le wifi, etc.</li>
|
|
</ul>
|
|
<pre><code class="language-plaintext">New-MobileDeviceMailboxpolicy – Name «nom_de_la_stratégie» -AllowBluetooth «valeur» -AllowBrowser «valeur» -AllowCamera «valeur» -AllowPOPIMAPEmail «valeur» -PasswordEnabled «valeur» -AplhanumericPasswordRequired «valeur» -PasswordRecoveryEnabled «valeur» -MaxEmailAgeFilter «durée_en_anglais» -AllowWifi «valeur» -AllowStorageCard «valeur»</code></pre>
|
|
<p><i>Valeur : $True ou $False</i><br>durée_en_anglais : « TwoWeeks » par exemple</p>
|
|
<h2>Mettre à jour un serveur Exchange</h2>
|
|
<h3>Présentation</h3>
|
|
<p>Il ne s’agit pas ici de mise à jour de la version de Exchange mais de l’installation des mises à jour via Cumulative Updates.<br>L’utilisation de Cumulative Update (CU) permet de corriger des bugs ou des failles de sécurité, d’apporter des évolutions ou encore de rester éligible au support de Microsoft par exemple.<br>Depuis Exchange 2013 les différentes sources des CU sont également des sources complètes de Exchange.</p>
|
|
<h3>Les bonnes pratiques</h3>
|
|
<p>Il est impératif d’effectuer les actions suivantes : </p>
|
|
<ul>
|
|
<li>Lire les correctifs apporté par les mises à jour</li>
|
|
<li>Lire les prérequis nécessaires par la mise à jour (extension du schéma, domaine, etc.)</li>
|
|
<li>Rechercher d’éventuels bugs connu après l’application de la mise à jour pour ne pas avoir potentiellement de mauvaise surprise</li>
|
|
<li>Effectuer des tests dans un environnement de validation ou un lab AVANT l’application en production</li>
|
|
<li>Faire une sauvegarde de l’Active Directory</li>
|
|
<li>Faire une sauvegarde de Exchange</li>
|
|
<li>Mettre le serveur en maintenance</li>
|
|
<li>Effectuer la mise à jour en dehors des heures de travail</li>
|
|
<li>Reboot du serveur après installation de la mise à jour « CU »</li>
|
|
<li>Vérifier et valider l’installation et le fonctionnement de la mise à jour avant de remettre le serveur en production.</li>
|
|
</ul>
|
|
<figure class="image"><img src="/images/warning.png"></figure>
|
|
<h3>Installation en mode sans assistance</h3>
|
|
<ul>
|
|
<li>Vérifier si des prérequis sont à installer</li>
|
|
<li>Récupérer les sources de Exchange Server 2016</li>
|
|
</ul>
|
|
<p><a href="https://technet.microsoft.com/fr-fr/library/hh135098(v=exchg.150).aspx">https://technet.microsoft.com/fr-fr/library/hh135098(v=exchg.150).aspx</a></p>
|
|
<ul>
|
|
<li>Monter l’ISO</li>
|
|
<li>Ouvrir une invite de commande en mode administrateur</li>
|
|
<li>Se rendre dans le chemin du lecteur contenant l’ISO</li>
|
|
<li>Exécuter la commande de mise à jour</li>
|
|
</ul>
|
|
<pre><code class="language-plaintext">.\Setup.exe /mode:update /IAcceptExchangeServerLicenseTerms</code></pre>
|
|
<p> </p>
|
|
<ul>
|
|
<li>Reconfigurer les configurations personnalisées (URLs accès clients, etc.)</li>
|
|
</ul>
|