Guide sur la sécurité dans Exchange 2007
S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Dernière rubrique modifiée : 2007-09-17
Auparavant, pour chaque version de Microsoft Exchange Server, l'équipe Exchange publiait des guides sur le renforcement de la sécurité autonomes avec des informations sur les autorisations et la sécurité. Cette approche était utile pour le verrouillage des services et des répertoires après l'exécution de l'installation d'Exchange. Toutefois, dans une installation de Microsoft Exchange Server 2007 basée sur le rôle serveur, Microsoft Exchange n'active que les services requis par le rôle serveur en cours d'installation. Microsoft Exchange ne doit plus être installé, par conséquent sa sécurité ne doit plus être renforcée. Il est conçu pour être sécurisé par défaut.
Donc, contrairement aux versions précédentes de Exchange Server dans lesquelles les administrateurs du service informatique devaient appliquer plusieurs procédures pour verrouiller les serveurs exécutant Exchange Server, Exchange 2007 ne nécessite ni verrouillage ni renforcement.
Sur quoi porte ce guide ?
Ce guide est destiné à l'administrateur du service informatique chargé de sécuriser le déploiement de Exchange 2007. Il est conçu pour aider l'administrateur à comprendre et à gérer l'environnement de sécurité global dans lequel Exchange est installé. Ce guide contient les informations suivantes :
Cycle de développement sécurisé d'Exchange 2007 Cette section décrit brièvement la façon dont Exchange 2007 a été développé.
Meilleures pratiques Cette section décrit les meilleures pratiques concernant la configuration et la maintenance d'un environnement sécurisé pour Exchange 2007.
Protection des chemins d'accès aux données Exchange Cette section décrit les spécifications de chiffrement et d'authentification pour tous les chemins d'accès aux données et les chemins de communication réseau utilisés par Exchange 2007.
Utilisation de l'Assistant Configuration de la sécurité afin de sécuriser Windows pour les rrôles serveur Exchange Cette section fournit des instructions concernant l'activation de Exchange 2007 pour l'Assistant de configuration de sécurité (SCW) Windows.
Annexe 1 : Services et exécutables de port autorisés par les fichiers d'enregistrement de l'Assistant Configuration de la sécurité Exchange 2007 Cette annexe documente les services et exécutables de port activés par les fichiers d'enregistrement SCW Exchange 2007.
Annexe 2 : Documentation Exchange supplémentaire concernant la sécurité Cette annexe fournit des pointeurs vers une documentation Exchange supplémentaire liée à la sécurité.
Cycle de développement sécurisé d'Exchange 2007
Début 2002, Microsoft a introduit l'initiative Informatique de confiance. Depuis l'introduction de l'Informatique de confiance, le processus de développement de Microsoft et l'équipe Exchange Server se sont concentrés sur le développement d'un logiciel sécurisé par défaut. Pour plus d'informations, consultez la page Informatique de confiance.
Dans Exchange 2007, l'Informatique de confiance a été implémentée dans les quatre domaines centraux suivants :
Sécurisé à la conception Exchange 2007 a été conçu et développé conformément au cycle de développement sécurisé de l'Informatique de confiance : The Trustworthy Computing Security Development Lifecycle. Lors du processus de création d'un système de messagerie plus sécurisé, la première étape a été la conception de modèles de menace et chaque fonction a été testée dès sa conception. Plusieurs améliorations liées à la sécurité ont été intégrées au processus et aux pratiques de codage. Des outils de modélisation détectent les dépassements de mémoire tampon et autres menaces potentielles de sécurité avant que le code ne soit intégré au produit final. Bien sûr, il est impossible de prévoir toutes les menaces de sécurités inconnues lors de la conception. Aucun système ne peut garantir une sécurité totale. Toutefois, grâce à l'inclusion de principes de conception sécurisée dans tout le processus de conception, Exchange 2007 est plus sécurisé que ses versions précédentes.
Sécurisé par défaut Un objectif de Exchange 2007 était de développer un système dans lequel la plupart des communications réseau seraient chiffrées par défaut. À part pour les communications SMB (Server Message Block) du cluster et certaines communications de messagerie unifiée, cet objectif a été atteint. Grâce à l'utilisation de certificats auto-signés, des protocoles Kerberos, SSL (Secure Sockets Layer) et autres techniques de chiffrement standard de l'industrie, pratiquement toutes les données Exchange 2007 sont protégées sur le réseau. De plus, avec l'installation basée sur le rôle, il est possible d'installer Exchange 2007 de façon à ce que seuls les services et les autorisations liées à ces services soient installés avec un rôle serveur spécifique et approprié. Dans les versions précédentes de Exchange Server, tous les services de toutes les fonctionnalités devaient être installés.
Notes
Pour le chiffrement des communications SMB et MU, la sécurité IPSec (Internet Protocol security) doit être déployée. Les futures versions de ce guide pourraient inclure des informations concernant la procédure de chiffrement des communications SMB et de messagerie unifiée.
Blocage du courrier indésirable et fonctionnalité antivirus Exchange 2007 intègre une suite d'agents de blocage du courrier indésirable exécutée sur le réseau du périmètre. La fonctionnalité antivirus a été améliorée grâce à l'ajout de Microsoft Forefront Security pour Exchange Server comme solution Microsoft.
Sécurisé dans le déploiement Lors du développement de Exchange 2007, la version préliminaire a été déployée dans l'environnement de production du service informatique Microsoft. À partir des données obtenues lors de ce déploiement, Microsoft Exchange Best Practice Analyzer a été mis à jour pour détecter des configurations de sécurité basées sur la réalité, et les meilleures pratiques préalables et postérieures au déploiement ont été répertoriées dans Exchange 2007 Help.
Auparavant, la gestion des autorisations était documentée et remise une fois que la documentation du produit principal était achevée. Toutefois, nous savons que la gestion des autorisations n'est pas un processus complément. Elle devrait être intégrée dans les phases générales de planification et de déploiement de Exchange 2007. C'est pourquoi nous avons rationalisé notre documentation sur les autorisations et l'avons intégrée à la documentation principale afin de fournir un contexte sans faille aux administrateurs lorsqu'ils planifient ou déploient leur modèle administratif.
Communications Maintenant que Exchange 2007 a été publié, l'équipe Exchange s'engage à actualiser le logiciel et à vous tenir informé. En maintenant à jour votre système avec Microsoft Update, vous êtes assuré que les dernières mises à jour de sécurité sont installées dans votre organisation. Exchange 2007 intègre également des mises à jour pour le blocage du courrier indésirable. De plus, en vous abonnant aux notifications de sécurité technique Microsoft : Microsoft Technical Security Notifications, vous pouvez suivre les dernières questions sur la sécurité dans Exchange 2007.
Sur quoi porte ce guide ?
Meilleures pratiques
Considérons certaines meilleures pratiques de base qui vous aideront à créer et à maintenir un environnement plus sécurisé. En général, pour optimiser votre environnement Exchange 2007 le plus efficacement en termes de sécurité, il suffit de maintenir à jour le logiciel et les fichiers de signature antivirus, et d'exécuter des analyseurs régulièrement.
Cette section décrit certaines meilleures pratiques pour qu'un environnement Exchange 2007 devienne sécurisé et le reste.
Obtention de la sécurité
Les outils suivants sont fournis par Microsoft pour vous permettre de créer un environnement sécurisé. Avant d'installer Exchange 2007, exécutez les outils suivants :
Mise à jour Microsoft
Exchange Best Practices Analyzer ;
Microsoft Baseline Security Analyzer
L'outil IIS (Internet Information Services) Lockdown et URLScan, uniquement pour les environnements dans lesquels vous exécutez Windows Server 2003 après avoir mis à niveau à partir de Windows 2000 Server.
Modèles Exchange pour l'Assistant Configuration de la sécurité (SCW)
Microsoft Update
Microsoft Update est un nouveau service offrant les mêmes téléchargements que Windows Update—ainsi que les dernières mises à jour d'autres programmes Microsoft. Il peut permettre à votre ordinateur de rester plus sécurisé et d'optimiser ses performances.
Une des fonctionnalités clés de Microsoft Update est la mise à jour automatique Windows. Cette fonctionnalité installe automatiquement les mises à jour à priorité élevée essentielles à la sécurité et à la fiabilité de votre ordinateur. Sans ces mises à jour de sécurité, votre ordinateur est plus vulnérable aux attaques de cyber-criminels et programmes malveillants.
La façon la plus fiable d'utiliser Microsoft Update est de recevoir les mises à jour automatiquement sur votre ordinateur à l'aide des mises à jour automatiques Windows. Vous pouvez activer les mises à jour automatiques lorsque vous vous inscrivez à Microsoft Update.
Windows analyse alors le logiciel Microsoft installé sur votre ordinateur pour rechercher toute mise à jour à priorité élevée actuelle et passée requise puis il les télécharge et les installe automatiquement. Par la suite, dès que vous vous connectez à Internet, Windows répète ce processus de mise à jour pour toute nouvelle mise à jour à priorité élevée.
Notes
Si vous utilisez déjà les mises à jour automatiques, Microsoft Update continue à fonctionner tel que vous l'avez configuré.
Pour activer Microsoft Update, consultez la page Microsoft Update.
Le mode par défaut de Microsoft Update exige que chaque ordinateur Exchange soit connecté à Internet afin de recevoir les mises à jour automatiques. Si vous exécutez des serveurs qui ne sont pas connectés à Internet, vous pouvez installer Windows Server Update Services (WSUS) pour gérer la distribution des mises à jour aux ordinateurs de votre organisation. Vous pouvez ensuite configurer Microsoft Update sur les ordinateurs Exchange Server internes de façon à contacter votre serveur WSUS interne pour les mises à jour. Pour plus d'informations, consultez la page Microsoft Windows Server Update Services 3.0.
WSUS n'est pas la seule solution Microsoft de gestion de mises à jour disponible. Pour plus d'informations sur la solution de gestion Microsoft Update qui répond le mieux à vos besoins, consultez la page MBSA, MU, WSUS, Essentials 2007 or SMS 2003?.
Mises à jour de la fonctionnalité de blocage du courrier indésirable
Exchange 2007 utilise également l'infrastructure de Microsoft Update pour maintenir à jour les filtres de blocage du courrier indésirable. Par défaut, avec les mises à jour manuelles, l'administrateur doit visiter Microsoft Update pour télécharger et installer les mises à jour du filtrage du contenu. Les données de mise à jour du filtrage du contenu sont actualisées et mises à disposition pour téléchargement toutes les deux semaines.
Les mises à jour manuelles de Microsoft Update n'incluent pas les données du service de réputation d'IP de Microsoft ou de signature de courrier indésirable. Les données du service de réputation d'IP de Microsoft et de signature de courrier indésirable sont uniquement disponibles avec Forefront Security pour les mises à jour automatiques de blocage du courrier indésirable d'Exchange Server.
Notes
La fonction de mise à jour automatique du blocage du courrier indésirable de Forefront est une fonctionnalité essentielle qui requiert une licence d'accès client (LAC) Entreprise Exchange pour chaque boîte aux lettres d'utilisateur ou une licence Forefront Security pour Exchange Server.
Pour plus d'informations sur l'activation des mises à jour automatiques du blocage du courrier indésirable de Forefront, consultez la rubrique Mises à jour de la fonctionnalité de blocage du courrier indésirable.
Microsoft Exchange Best Practices Analyzer
Exchange Best Practices Analyzer est l'un des outils les plus efficaces que vous pouvez exécuter régulièrement pour à vérifier que votre environnement Exchange est sûr. L'outil Exchange Best Practices Analyzer examine automatiquement le déploiement d'Microsoft Exchange et détermine si la configuration est conforme aux meilleures pratiques Microsoft. Vous pouvez installer Exchange Server Best Practices Analyzer sur un ordinateur client qui exécute Microsoft .NET Framework 1.1. Un accès réseau approprié permet à Exchange Best Practices Analyzer d'examiner l'ensemble du service d'annuaire Active Directory et des serveurs Exchange.
Pour plus d'informations, ou pour connaître les meilleures pratiques, consultez la section « Exécution de Exchange Best Practices Analyzer » ci-après dans ce guide et la page Microsoft Exchange Best Practices Analyzer v2.8.
Microsoft Baseline Security Analyzer (MBSA)
Microsoft Baseline Security Analyzer (MBSA) est un outil conçu pour permettre à des professionnels de l'informatique d'aider des petites et moyennes entreprises à déterminer l'état de leur sécurité conformément aux recommandations de Microsoft en termes de sécurité. Améliorez votre processus de gestion de la sécurité à l'aide de MBSA pour détecter des erreurs de configuration de la sécurité courantes et des mises à jour de sécurité manquantes sur vos systèmes informatiques.
Vous pouvez télécharger MBSA sur le site Microsoft Baseline Security Analyzer.
Outil IIS Lockdown et URLScan
Par défaut, les versions 6.0 et 7.0 d'IIS, installées avec Windows Server et Windows Server 2008 respectivement, ont des paramètres de configuration liés à la sécurité similaires à ceux créés par l'outil IIS Lockdown. Par conséquent, vous n'avez pas besoin exécuter l'outil IIS Lockdown sur des serveurs Web exécutant IIS version 6.0 ou 7.0. Toutefois, si vous mettez à niveau à partir d'une version précédente d'IIS vers IIS version 6.0 ou 7.0, nous vous conseillons d'exécuter l'outil IIS Lockdown pour améliorer la sécurité de votre serveur Web.
Nous vous conseillons de ne pas exécuter URLScan avec IIS version 6.0 ou 7.0 car le risque d'erreur de configuration est beaucoup plus important que les avantages d'URLScan.
Pour plus d'informations, consultez la rubrique How To : Utilisez IISLockdown.exe.
Exchange 2007 Templates for the Security Configuration Wizard
L'Assistant Configuration de la sécurité est un outil introduit avec Windows Server 2003 Service Pack 1. Il permet de minimiser la surface d'attaque pour les serveurs en désactivant les fonctionnalités Windows qui ne sont pas requises pour les rôles serveur Exchange 2007. L'Assistant Configuration de la sécurité automatise les meilleures pratiques de sécurité consistant à réduire la surface d'attaque pour un serveur. Il utilise une métaphore basée sur un rôle pour solliciter les services requis pour les applications sur un serveur. Cet outil réduit la sensibilité des environnements Windows à l'exploitation des vulnérabilités de la sécurité.
Pour plus d'informations sur la procédure de création de modèles Exchange 2007 pour le SCW, consultez la rubrique « Utilisation de l'Assistant Configuration de la sécurité afin de sécuriser Windows pour les rôles serveur Exchange » ci-après dans ce guide.
Maintien de la sécurité
Cette section indique les meilleures pratiques pour maintenir votre environnement Exchange 2007 sécurisé.
Exécution d'Exchange Best Practices Analyzer
Comme indiqué dans la section précédente, Exchange Best Practices Analyzer est l'un des outils les plus efficaces que vous pouvez exécuter régulièrement pour vous aider à vérifier que votre environnement Exchange est sûr.
Pour la plupart des environnements, nous conseillons d'exécuter Exchange Best Practices Analyzer au moins une fois par trimestre. Toutefois, il est recommandé de l'exécuter une fois par mois sur tous les serveurs exécutant Exchange Server.
En outre, vous pouvez exécuter Exchange Best Practices Analyzer dans les scénarios suivants :
Dès que vous apportez des modifications de configuration importantes à un serveur Exchange. Par exemple, vous devez l'exécuter après avoir ajouté ou supprimé des connecteurs ou créé une connexion EdgeSync à un serveur de transport Edge.
Immédiatement après avoir installé un nouveau rôle serveur Exchange ou supprimé un rôle serveur Exchange.
Après avoir installé un service pack pour Windows ou pour Exchange Server.
Après avoir installé un logiciel tiers sur un ordinateur exécutant Microsoft Exchange.
Exécution d'un logiciel antivirus
Les virus, les vers et autres contenus nuisibles transmis par les systèmes de messagerie électronique sont une réalité destructrice à laquelle de nombreux administrateurs de Microsoft Exchange sont confrontés. Par conséquent, vous devez développer un déploiement antivirus de défense pour tous les systèmes de messagerie. Cette section fournit des recommandations de meilleures pratiques pour le déploiement d'un logiciel antivirus pour Exchange 2007 et Microsoft Office Outlook 2007.
Vous devez notamment être vigilant concernant deux modifications importantes dans Exchange 2007 au moment de choisir un fournisseur de solutions antivirus :
Exchange 2007 est basé sur une architecture 64 bits.
Comme indiqué ci-après dans cette rubrique, Exchange 2007 comprend de nouvelles fonctionnalités de l'Agent de transport.
Ces deux modifications impliquent que les fournisseurs de solutions antivirus doivent proposer des logiciels spécifiques à Exchange 2007. Un antivirus conçu pour les versions précédentes d'Exchange Server ne fonctionnera pas correctement avec Exchange 2007.
Pour utiliser une approche de défense approfondie, il est recommandé de déployer le logiciel antivirus conçu pour des systèmes de messagerie sur la passerelle SMTP (Simple Mail Transfer Protocol) ou sur les serveurs Exchange qui hébergent des boîtes aux lettres, en plus du logiciel antivirus installé sur le bureau de l'utilisateur.
Vous décidez des types de logiciels antivirus à utiliser et de l'emplacement de déploiement des logiciels en recherchant l'équilibre approprié entre le coût que vous voulez tolérer et le risque que vous voulez prendre. Par exemple, certaines organisations exécutent des logiciels antivirus de messagerie sur la passerelle SMTP, des analyses antivirus au niveau des fichiers sur le serveur Exchange et des logiciels antivirus clients sur le bureau de l'utilisateur. Cette approche offre une protection spécifique à la messagerie sur la passerelle, une protection générale au niveau des fichiers sur le serveur de messagerie et une protection du client. D'autres organisations peuvent tolérer des coûts plus élevés et donc améliorer la sécurité en exécutant un logiciel de messagerie antivirus sur la passerelle SMTP, une analyse antivirus au niveau fichier sur le serveur Exchange et un logiciel client antivirus sur le bureau de l'utilisateur, en plus d'un logiciel antivirus compatible avec Exchange VSAPI (Virus Scanning Application Programming Interface) 2.5 sur le serveur de boîtes aux lettres Exchange.
Exécution d'un antivirus sur les serveurs de transport Edge et Hub
La première ligne de défense de votre organisation est l'endroit où votre antivirus de messagerie doit être exécuté en priorité. Dans Exchange 2007, la première ligne de défense se trouve au niveau du réseau de périmètre sur le serveur de transport Edge.
Pour se protéger efficacement des propagations de virus dans votre organisation ou se doter d'une deuxième ligne de défense, il est également recommandé d'exécuter un logiciel antivirus de transport sur les serveurs de transport Hub au sein de l'organisation.
Dans Exchange 2007, les agents agissent sur les événements de transport, un peu comme les récepteurs d'événements dans les versions précédentes de Microsoft Exchange. Des développeurs tiers peuvent écrire des agents personnalisés pour exploiter le moteur d'analyse MIME Exchange sous-jacent afin d'effectuer une analyse antivirus fiable au niveau transport.
De nombreux fournisseurs de logiciels tiers proposent des agents spécifiques à Exchange 2007 qui s'appuient sur le moteur d'analyse MIME de transport Exchange. Contactez votre fournisseur de solutions antivirus pour plus d'informations.
En outre, Microsoft Forefront Security pour Exchange Server inclut un agent antivirus de transport pour Exchange 2007. Pour plus d'informations sur l'installation et la configuration de Forefront Security pour l'agent antivirus Exchange Server, visitez la page Protection de votre organisation Microsoft Exchange avec Microsoft Forefront Security pour Exchange Server.
Notes
Les objets qui ne sont pas routés via le transport, tels que les éléments de dossiers publics, les éléments envoyés et les éléments de calendrier, qui ne peuvent être analysés que sur un serveur de boîtes aux lettres, ne sont pas protégés par une analyse antivirus uniquement du transport.
Exécution d'un antivirus sur d'autres ordinateurs de l'organisation
Vous pouvez exécuter une analyse antivirus au niveau fichier sur les deux types d'ordinateur suivants :
bureaux d'utilisateur ;
serveurs.
Outre l'analyse antivirus au niveau fichier, envisagez d'exécuter une solution Microsoft VSAPI sur votre serveur de boîtes aux lettres Exchange.
Analyse antivirus des bureaux
Il est fortement recommandé que les utilisateurs exécutent la dernière version d'Outlook. Si vous exécutez des clients de messagerie électronique expirés sur le bureau, vous prenez un risque important en raison du modèle d'objet et du comportement de traitement des pièces jointes dans les clients de messagerie électronique antérieurs. Donc, par défaut, Microsoft Office Outlook 2003 et Office Outlook 2007 sont les seuls clients MAPI pour lesquels Exchange 2007 accepte des connexions. Pour plus d'informations sur les risques associés à l'exécution de versions antérieures de clients de messagerie électronique, consultez la page relative à la Procédure de sécurisation d'Outlook.
Après la mise à niveau d'Outlook 2003 ou d'Outlook 2007, vérifiez que vous avez installé un antivirus au niveau fichier sur tous les ordinateurs de bureau. En outre, effectuez les étapes suivantes :
Élaborez un plan permettant de vérifier que les fichiers de signature antivirus sont automatiquement mis à jour sur tous les bureaux.
Assurez-vous de développer et de maintenir une solution de gestion des mises à jour de bout en bout dans votre organisation pour combattre les virus.
Analyse antivirus des serveurs
Envisagez d'adopter une stratégie générale pour exécuter une analyse au niveau fichier sur tous les ordinateurs de bureau et serveurs de l'organisation. Par conséquent, une analyse antivirus au niveau fichier doit être exécutée sur tous les ordinateurs Exchange Server. Pour chaque rôle serveur, vous devez effectuer une configuration supplémentaire pour l'analyse au niveau fichier afin que certains répertoires, types de fichier et traitements ne soient pas analysés. Par exemple, il est déconseillé d'exécuter un logiciel antivirus au niveau fichier sur les bases de données de la banque d'informations Exchange. Pour des informations de configuration spécifiques, consultez la rubrique Analyse antivirus au niveau fichier sur Exchange 2007.
Analyse des bases de données de boîtes aux lettres avec VSAPI
Une solution d'analyse Microsoft VSAPI (Virus Scanning API) peut constituer une couche de défense importante pour de nombreuses organisations. Envisagez d'exécuter une solution antivirus VSAPI si l'une des conditions suivantes est vraie :
Les produits d'analyse antivirus de bureau déployés dans votre organisation ne sont pas complets et fiables.
Votre organisation veut disposer d'une protection supplémentaire que l'analyse de la banque d'informations peut fournir.
Votre organisation a développé des applications personnalisées qui ont un accès par programme à une base de données Exchange.
Votre communauté d'utilisateurs publie régulièrement des messages dans des dossiers publics.
Les solutions antivirus qui utilisent Exchange VSAPI s'exécutent directement dans le traitement de banque d'informations Exchange. Les solutions VSAPI sont probablement les seules solutions pouvant protéger contre des vecteurs d'attaque qui placent du contenu infecté dans la banque d'informations Exchange en ignorant l'analyse de client et de transport standard. Par exemple, la solution VSAPI est la seule qui analyse les données qui sont soumises à une base de données par CDO (Collaboration Data Objects), WebDAV et les services Web Exchange.
En outre, quand une propagation de virus se produit, souvent, une solution antivirus VSAPI offre la manière la plus rapide de supprimer et éliminer des virus d'une banque d'informations de messagerie infectée.
Pour obtenir des informations plus spécifiques sur l'exécution de Forefront Security pour Exchange Server, qui inclut un moteur d'analyse VSAPI, consultez la page Protection de votre organisation Microsoft Exchange avec Microsoft Forefront Security pour Exchange Server.
Utilisation des services Exchange hébergés
Le filtrage du courrier indésirable et des virus est amélioré par les services hébergés Microsoft Exchange ou disponible auprès de ces sites. Les services Exchange hébergés comprennent quatre services hébergés distincts :
Filtrage hébergé, qui aide les organisations à se protéger des logiciels malveillants de type e-mail-borne ;
Archive hébergée, qui les aide à répondre aux exigences de rétention à des fins de conformité ;
Chiffrement hébergé, qui les aide à chiffrer des données afin de préserver la confidentialité ;
Continuité hébergée, qui les aide à conserver l'accès à la messagerie pendant et après des situations d'urgence.
Ces services s'intègrent avec tout serveur Exchange sur site géré en interne ou tout service de messagerie Exchange hébergé offert via des fournisseurs de service. Pour plus d'informations sur les services Exchange hébergés, consultez la rubrique Services Microsoft Exchange hébergés.
Plus d'informations sur l'antivirus
Pour accéder à un livre blanc détaillé sur la manière dont MSIT a déployé une solution antivirus pour un serveur Exchange 2007, consultez la page sur la protection du transport Edge et de la messagerie Microsoft Exchange Server 2007.
Forefront Security pour Exchange Server fournit une solution antivirus de moteurs d'analyse multiples pour les rôles serveur de transport Exchange et une solution VSAPI pour le serveur de boîtes aux lettres Exchange. Pour les meilleurs pratiques concernant une solution antivirus de bout en bout, consultez la page sur la protection d'une organisation Microsoft Exchange avec Microsoft Forefront Security pour Exchange Server.
Maintien à jour des logiciels
Comme indiqué ci-avant, l'exécution de Microsoft Update est recommandée. En plus d'exécuter Microsoft Update sur tous les serveurs, il est également très important de maintenir les ordinateurs clients à jour et de conserver les mises à jour de l'antivirus sur tous les ordinateurs de votre organisation.
En plus du logiciel Microsoft, assurez-vous que vous exécutez les dernières mises à jour de tous les logiciels exécutés dans votre organisation.
Blocage des clients Outlook hérités
Les anciennes versions d'Outlook présentaient des vulnérabilités qui pouvaient potentiellement augmenter la propagation des virus. Nous vous recommandons d'autoriser Exchange 2007 à accepter les connexions MAPI en provenance de clients Outlook 2007, Outlook 2003, et Outlook 2002 uniquement. En restreignant les versions des clients Outlook autorisés à se connecter à Exchange, vous pouvez réduire considérablement le risque de virus et autres attaques de programmes malveillants. Il est recommandé de réduire et de normaliser les versions des logiciels exécutés dans votre organisation.
Pour plus d'informations sur la procédure de suppression de l'accès client Outlook à Exchange 2007, consultez la page Toutes les versions d'Outlook sont autorisées à accéder au serveur.
Exécution du filtrage des pièces jointes
Dans Exchange 2007, le filtrage des pièces jointes permet d'appliquer des filtres au niveau du serveur pour contrôler les pièces jointes que reçoivent les utilisateurs. Le filtrage des pièces jointes prend de l'ampleur dans le contexte actuel où de nombreuses pièces jointes contiennent des virus dangereux ou des matériaux inappropriés pouvant porter préjudice à l'ordinateur de l'utilisateur ou à l'organisation en endommageant des documents importants ou en rendant publiques des informations sensibles.
Notes
Il est recommandé de ne pas supprimer les pièces jointes des messages électroniques signés numériquement, chiffrés ou protégés. Si vous supprimez les pièces jointes de ces messages, vous invalidez les messages signés numériquement et vous rendez les messages chiffrés et protégés illisibles.
Types de filtrages des pièces jointes dans Exchange 2007
Vous pouvez utiliser les types de filtrages des pièces jointes suivants pour contrôler les pièces jointes entrant ou sortant de votre organisation :
Filtrage basé sur le nom de fichier ou l'extension de nom de fichier Vous pouvez filtrer les pièces jointes en spécifiant le nom de fichier exact ou l'extension de nom de fichier à filtrer. NomFichierMauvais.exe est un exemple de filtre de nom de fichier exact. *.exe est un exemple de filtre d'extension de nom de fichier.
Filtrage basé sur le type de contenu MIME du fichier Vous pouvez aussi filtrer les pièces jointes en spécifiant le type de contenu MIME à filtrer. Les types de contenus MIME indiquent la nature de la pièce jointe, s'il s'agit d'une image JPEG, d'un fichier exécutable, d'un fichier Microsoft Office Excel 2003 ou d'un autre type de fichier. Les types de contenus sont exprimés comme
type/subtype
. Par exemple, le type de contenu image JPEG est exprimé commeimage/jpeg
.Pour afficher une liste complète de toutes les extensions de nom de fichier ou de toues les types de contenu que le filtrage des pièces jointes peut filtrer, exécutez la commande suivante :
Get-AttachmentFilterEntry | FL
Pour exécuter la cmdlet Get-AttachmentFilterEntry sur un ordinateur associé à un domaine, vous devez utiliser un compte auquel a été délégué le rôle Administrateur Exchange - Affichage seul.
Pour exécuter la cmdlet Get-AttachmentFilterEntry sur un ordinateur sur lequel le rôle serveur de transport Edge est installé, vous devez ouvrir une session en utilisant un compte membre du groupe Administrateurs local sur cet ordinateur.
Pour plus d'informations sur les autorisations, la délégation de rôles et les droits requis pour administrer Exchange 2007, consultez la rubrique Considérations relatives aux autorisations.
Si une pièce jointe correspond à l'un de ces critères de filtrage, vous pouvez configurer l'une des actions suivantes à appliquer à la pièce jointe.
Bloquer le message et la pièce jointe Une pièce jointe correspondant à un filtre des pièces jointes et son message électronique peuvent être bloqués à l'entrée du système de messagerie. Si une pièce jointe et un message électronique sont bloqués, l'expéditeur reçoit un message de notification d'état de remise (DSN, Delivery Status Notification) qui indique que le message contient un nom de fichier en pièce jointe inacceptable.
Supprimer la pièce jointe mais transmettre le message Une pièce jointe correspondant à un filtre des pièces jointes peut être supprimée alors que le message électronique et les autres pièces jointes ne correspondant pas au filtre sont transmis. Si une pièce jointe est supprimée, elle est remplacée par un fichier texte expliquant le motif de sa suppression. Cette action est le paramètre par défaut.
Supprimer silencieusement le message et la pièce jointe Une pièce jointe correspondant à un filtre des pièces jointes et son message électronique peuvent être bloqués à l'entrée du système de messagerie. Si une pièce jointe et un message électronique sont bloqués, ni l'expéditeur ni le destinataire ne reçoivent de notification.
Attention : Vous ne pouvez pas récupérer de messages électroniques et de pièces jointes bloqués ni de pièces jointes supprimées. Lorsque vous configurez des filtres de pièces jointes, assurez-vous d'examiner attentivement toutes les correspondances de noms de fichier possibles et vérifiez que les pièces jointes légitimes ne seront pas affectées par le filtre.
Pour plus d'informations, consultez la rubrique Procédure de configuration du filtrage des pièces jointes.
Filtrage des fichiers à l’aide de Forefront Security pour Exchange Server
La fonctionnalité de filtrage des fichiers assurée par Forefront Security pour Exchange Server intègre des fonctions avancées non disponibles dans l’Agent de filtrage des pièces jointes par défaut inclus dans Exchange Server 2007 Standard Edition.
Par exemple, les fichiers conteneurs, qui sont des fichiers qui contiennent d'autres fichiers, peuvent être analysés à la recherche de types de fichiers incriminés. Le filtrage de Forefront Security pour Exchange Server peut analyser les fichiers conteneurs suivants et agir sur les fichiers incorporés :
PKZip (.zip)
GNU Zip (.gzip)
Archives ZIP auto-extractibles
Fichiers Zip (.zip)
Archive Java (.jar)
TNEF (winmail.dat)
Stockage structuré (.doc, .xls, .ppt, etc.)
MIME (.eml)
SMIME (.eml)
UUEncode (.uue)
Unix tape archive (.tar)
Archive RAR (.rar)
MACBinary (.bin)
Notes
L’agent de filtrage des pièces jointes par défaut inclus avec Exchange 2007 Standard Edition détecte les types de fichiers même s’ils ont été renommés. Le filtrage des pièces jointes s’assure également que les fichiers Zip et LZH compressés ne contiennent pas de pièces jointes bloquées en exécutant une recherche de correspondance entre l'extension du nom de fichier et les fichiers contenus dans le fichier Zip ou LZH compressé. Le filtrage de fichier Forefront Security pour Exchange Server peut également déterminer si une pièce jointe bloquée a été renommée dans un fichier conteneur.
Vous pouvez également filtrer les fichiers par taille de fichier. De plus, vous pouvez configurer Forefront Security pour Exchange Server de manière à ce qu’il mette en quarantaine les fichiers filtrés ou qu’il envoie des notifications de message électronique basées sur les comparaisons de filtres de fichiers.
Pour plus d'informations, consultez la page sur la protection d'une organisation Microsoft Exchange avec Microsoft Forefront Security pour Exchange Server.
Application de mots de passe forts dans votre organisation
La plupart des utilisateurs se connectent à des ordinateurs locaux et distants en utilisant la combinaison de leur nom d'utilisateur et d'un mot de passe tapés au clavier. Bien que d'autres technologies d'authentification telles que la biométrie, la carte à puce et les mots de passe à usage unique soient disponibles pour tous les systèmes d'exploitation populaires, la plupart des organisations utilisent toujours les mots de passe traditionnels et ne sont pas prêtes d'arrêter. Par conséquent, il est très important que les organisations définissent et appliquent des stratégies de mots de passe pour leurs ordinateurs. Cela inclut l'obligation d'utiliser des mots de passe forts. Les mots de passe forts répondent à plusieurs exigences de complexité qui les rendent plus difficiles à découvrir pour les intrus. Celles-ci comprennent entre autres les exigences de longueur du mot de passe et de catégories de caractères. En définissant des stratégies de mots de passe forts pour votre organisation, vous pouvez permettre d'empêcher un intrus d'usurper l'identité des utilisateurs et ainsi éviter la perte, la diffusion ou la corruption d'informations sensibles.
Pour plus d'informations, consultez la page Application de mots de passe forts dans votre organisation.
Découplage des noms d'utilisateur Windows et des adresses SMTP
Par défaut, lorsque vous créez une boîte aux lettres pour un utilisateur, l'adresse SMTP générée pour cet utilisateur est username@contoso.com
, où username
est le nom du compte de l'utilisateur Windows.
Nous vous conseillons de créer une nouvelle adresse SMTP pour que les utilisateurs masquent leurs noms d'utilisateurs Windows pour des utilisateurs malveillants.
Par exemple, prenons un utilisateur Kweku Ako-Adjei, avec un nom d'utilisateur Windows KwekuA. Pour masquer son nom d'utilisateur Windows, l'administrateur peut créer une adresse SMTP Kweku.Ako-Adjei@contoso.com
.
L'utilisation d'une autre adresse SMTP n'est pas considérée comme une mesure de sécurité très forte. Cependant, cela rajoute un obstacle pour les utilisateurs malveillants qui tenteraient de pirater votre organisation à l'aide d'un nom d'utilisateur connu.
Pour plus d'informations sur la procédure d'ajout d'adresses SMTP pour des utilisateurs existants, consultez la rubrique Procédure de création d'une stratégie d'adresse de messagerie.
Gestion de la sécurité de l'accès au client
Le rôle serveur d'accès au client fournit un accès à Microsoft Outlook Web Access, Microsoft Exchange ActiveSync, Outlook Anywhere, ainsi qu'aux protocoles POP3 (Post Office Protocol version 3) et IMAP4 (Internet Message Access Protocol version 4rev1). En outre, cela prend en charge le service de découverte automatique et le service de disponibilité. Chacun de ces protocoles et services a des exigences propres en matière de sécurité.
Gestion d'authentification
La configuration d'une méthode d'authentification constitue l'une des tâches les plus importantes liées à la sécurité que vous pouvez exécuter pour le rôle serveur d'accès au client. Le rôle serveur d'accès au client est installé avec un certificat numérique auto-signé par défaut. Un certificat numérique a deux fonctions :
Il authentifie que son titulaire est bien celui ou ce qu’il prétend être.
Il protége les données échangées en ligne contre le vol et la falsification.
Bien que le certificat auto-signé par défaut soit pris en charge pour Exchange ActiveSync et Outlook Web Access, il ne constitue pas la méthode d’authentification la plus sécurisée. En outre, il n’est pas pris en charge pour Outlook Anywhere. Pour plus de sécurité, envisagez une configuration de votre serveur d'accès au client Exchange 2007 avec l'utilisation d'un certificat approuvé soit d’une autorité de certification commerciale tierce, soit d’une autorité de certification d'infrastructure à clé publique (PKI)Windows approuvée. Vous pouvez configurer l’authentification séparément pour Exchange ActiveSync, Outlook Web Access, Outlook Anywhere et les protocoles POP3 et IMAP4.
Pour plus d'informations sur la configuration de l’authentification, consultez les rubriques suivantes :
Procédure de configuration d'une authentification basée sur des formulaires pour Outlook Web Access
Configuration des méthodes d'authentification standard pour Outlook Web Access
Optimisation des communications sécurisées entre le serveur d’accès au client et les autres serveurs
Après avoir optimisé la sécurité de vos communications entre les clients et le serveur Exchange 2007, vous devez optimiser la sécurité des communications entre le serveur Exchange 2007 et les autres serveurs de votre organisation. Par défaut, la communication HTTP, Exchange ActiveSync, POP3 et IMAP4 entre le serveur d'accès au client et d’autres serveurs, tels que les serveurs Exchange 2007 sur lesquels le rôle serveur de boîtes aux lettres est installé, les contrôleurs de domaine et les serveurs de catalogue global, est chiffrée.
Pour plus d’informations sur la gestion de la sécurité pour les divers composants de votre serveur d’accès au client, consultez les rubriques suivantes :
Sur quoi porte ce guide ?
Présentation de la sécurité de domaine
Exchange 2007 inclut un ensemble de nouvelles fonctions nommé « Sécurité de domaine ». Domain Security fait référence à l’ensemble des fonctionnalités d'Exchange 2007 et d'Outlook 2007 qui fournissent une alternative relativement économique à S/MIME ou à d'autres solutions de sécurité au niveau message. Le rôle de la fonctionnalité Domain Security définie est de fournir aux administrateurs un moyen de gérer les chemins de messages sécurisés sur Internet avec les partenaires commerciaux. Une fois que ces chemins de messages sécurisés sont configurés, les messages transmis avec succès sur le chemin sécurisé depuis un expéditeur authentifié sont affichés à l’attention de l'utilisateur comme « Domaine sécurisé » dans l'interface Outlooket Outlook Web Access.
La sécurité de domaine utilise le protocole TLS (Transport Layer Security) avec authentification mutuelle pour fournir une authentification et un chiffrement basés sur la session. Le protocole TLS avec authentification mutuelle diffère du protocole TLS tel qu’il est généralement implémenté. Généralement, lorsque TLS est implémenté, le client vérifie que la connexion se connecte de manière sécurisée au serveur souhaité en validant le certificat du serveur. Celui-ci est reçu dans le cadre de la négociation TLS. Dans ce scénario, le client authentifie le serveur avant que le client ne transmette les données. Toutefois, le serveur n’authentifie pas la session auprès du client.
Avec l’authentification TLS manuelle, chaque serveur vérifie la connexion auprès de l'autre serveur en validant un certificat fourni par l'autre serveur. Dans ce scénario, lorsque des messages sont reçus de domaines externes sur des connexions vérifiées dans un environnement Exchange 2007, Outlook 2007 affiche une icône « Domaine sécurisé ».
Pour plus d'informations sur la procédure de planification et de déploiement de la sécurité de domaine dans votre organisation, consultez le livre blanc sur la sécurité de domaine dans Exchange 2007.
Sur quoi porte ce guide ?
Protection des chemins d'accès aux données Exchange
Par défaut, presque tous les chemins d'accès aux données utilisés par Exchange 2007 sont protégés. Cette section fournit des détails sur les ports, l'authentification et le chiffrement de tous les chemins d'accès aux données utilisés par Exchange 2007. Les sections Notes suivant chaque table clarifient ou définissent les méthodes d'authentification ou de chiffrement non standard.
Serveurs de transport
La table suivante fournit des informations sur les ports, l'authentification et le chiffrement des chemins d'accès aux données entre les serveurs de transport Hub et Edge, et les chemins d'accès en direction et en provenance d'autres serveurs et services Exchange 2007.
Chemins d'accès aux données de serveur de transport
Chemin d'accès aux données | Ports requis | Authentification par défaut | Authentification prise en charge | Chiffrement pris en charge ? | Chiffré par défaut ? |
---|---|---|---|---|---|
Entre serveurs de transport Hub |
25/TCP (Secure Sockets Layer [SSL]), 587/TCP (SSL) |
Kerberos |
Kerberos |
Oui (TLS) |
Oui |
Entre serveur de transport Hub et serveur de transport Edge |
25/TCP (SSL) |
Confiance directe |
Confiance directe |
Oui (TLS) |
Oui |
Entre serveur de transport Edge et serveur de transport Hub |
25/TCP (SSL) |
Confiance directe |
Confiance directe |
Oui (TLS) |
Oui |
Entre serveurs de transport Edge |
25/TCP (SSL), 389/TCP/UDP, et 80/TCP (authentification par certificat) |
Anonyme, certificat |
Anonyme, certificat |
Oui (TLS) |
Non |
Entre serveur de boîtes aux lettres et serveur de transport Hub via le service de dépôt du courrier Microsoft Exchange |
135/TCP (RPC) |
NTLM. En cas de connexion à un compte de service (local), Kerberos est utilisé. |
NTLM/Kerberos |
Oui (chiffrement RPC) |
Oui |
Entre serveur de transport Hub et serveur de boîtes aux lettres via MAPI |
135/TCP (RPC) |
NTLM. En cas de connexion à un compte de service (local), Kerberos est utilisé. |
NTLM/Kerberos |
Oui (chiffrement RPC) |
Oui |
Service EdgeSync de Microsoft Exchange |
50636/TCP (SSL), 50389/TCP (Pas SSL) |
Base |
Base |
Oui (LDAPS) |
Oui |
Service d'annuaire Active Directory Application Mode (ADAM) sur serveur de transport Edge |
50389/TCP (pas SSL) |
NTLM/Kerberos |
NTLM/Kerberos |
Non |
Non |
Accès au service d'annuaire Active Directory à partir d'un serveur de transport Hub |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (accès réseau RPC) |
Kerberos |
Kerberos |
Oui (chiffrement Kerberos) |
Oui |
Notes sur les serveurs de transport
Tout le trafic entre les serveurs de transport Hub est chiffré à l'aide de TLS avec des certificats auto-signés installés par défaut lors de l'installation d'Exchange 2007.
Tout le trafic entre les serveurs de transport Edge et Hub est authentifié et chiffré. Le mécanisme sous-jacent pour l'authentification et le chiffrement est Mutual TLS. Plutôt que d'utiliser une validation X.509, Exchange 2007 utilise une confiance directe pour authentifier les certificats. La confiance directe signifie que la présence du certificat dans Active Directory ou ADAM valide le certificat. Active Directory est considéré comme un mécanisme de stockage approuvé. Lorsque la confiance directe est utilisée, que le certificat soit auto-signé ou signé par une autorité de certification est sans importance. Lorsque vous abonnez un serveur de transport Edge à une organisation Exchange, l'abonnement Edge publie le certificat de serveur de transport Edge dans Active Directory pour validation par les serveurs de transport Hub. Le service EdgeSync de Microsoft Exchange met à jour ADAM avec l'ensemble des certificats de serveur de transport Hub pour validation par le serveur de transport Edge.
Par défaut, le trafic entre des serveurs de transport Edge de différentes organisations est chiffré. Par défaut, l'installation d'Exchange 2007 crée un certificat auto-signé et TLS est activé. Cela permet à tout système émetteur de chiffrer la session SMTP entrante dans Microsoft Exchange. Par défaut, Exchange 2007 essaie également TLS pour toutes les connexions distantes.
Les méthodes d'authentification pour le trafic entre les serveurs de transport Hub et de boîtes aux lettres diffèrent lorsque les rôles serveur de transport Hub et serveur de boîtes aux lettres se trouvent sur le même ordinateur. Si le dépôt de courrier est local, l'authentification Kerberos est utilisée. Si le dépôt de courrier est distant, l'authentification NTLM est utilisée.
Exchange 2007 prend également en charge la sécurité du domaine. Domain Security fait référence à l’ensemble des fonctionnalités d'Exchange 2007 et d'Outlook 2007 qui fournissent une alternative relativement économique à S/MIME ou à d'autres solutions de sécurité au niveau message sur Internet. Le rôle de la fonctionnalité de sécurité du domaine définie est de fournir aux administrateurs un moyen de gérer les chemins de messages sécurisés entre des domaines sur Internet. Une fois que ces chemins de messages sécurisés sont configurés, les messages transmis avec succès sur le chemin sécurisé depuis un expéditeur authentifié sont affichés à l’attention de l'utilisateur comme « Domaine sécurisé » dans l'interface Outlooket Outlook Web Access. Pour plus d'informations, consultez la rubrique Planification de la sécurité de domaine.
De nombreux agents peuvent s'exécuter sur les serveurs de transport Hub et Edge. Généralement, les agents de blocage du courrier indésirable utilisent des informations locales sur l'ordinateur sur lequel ils sont exécutés. C'est pourquoi, un minimum de communications avec les ordinateurs distants est requis. L'exception est le filtrage des destinataires. Celle-ci requiert des appels à ADAM ou Active Directory. Cette pratique est recommandée pour exécuter un filtrage des destinataires sur le serveur de transport Edge. Dans ce cas, le répertoire ADAM se trouve sur le même ordinateur que le serveur de transport Edge et aucune communication distante n'est requise. Si le filtrage des destinataires est installé et configuré sur le serveur de transport Hub, le filtrage des destinataires accède à Active Directory.
L'agent d'analyse de protocole est utilisé par la fonction Réputation de l'expéditeur dans Exchange 2007. Cet agent apporte également diverses connexions aux serveurs proxy extérieurs pour déterminer les chemins de message entrant en relation avec les connexions suspectes.
Toutes les autres fonctionnalités de blocage du courrier indésirable utilisent des données recueillies, stockées et accessibles uniquement sur l'ordinateur local. Souvent, les données telles que l'agrégation de listes fiables ou les données des destinataires pour le filtrage sont transmises au répertoire ADAM local via le service EdgeSync de Microsoft Exchange.
La journalisation et la classification des messages sont effectuées sur les serveurs de transport Hub et dépendent des données d'Active Directory.
Serveur de boîtes aux lettres
Dans le cadre d'un rôle serveur de boîtes aux lettres, l'utilisation d'une authentification NTLM ou Kerberos dépend du contexte de l'utilisateur ou du processus sous lequel est exécuté le consommateur de la couche logique métier d'Exchange Dans ce cas de figure, le consommateur est toute application ou tout processus utilisant la couche logique métier d'Exchange. Dans la plupart des cellules d'« Authentification par défaut » du tableau « Chemins d'accès aux données du serveur de boîte aux lettres » de cette section, l'authentification est répertoriée comme « NTLM/Kerberos ».
La couche Logique métier d'Exchange permet d'accéder à la banque d'informations Exchange et de communiquer avec elle. La couche logique métier d'Exchange est également connue comme le stockage d'Exchange pour la communication avec des applications et processus externes.
Si le consommateur de la couche Logique métier d'Exchange opère comme système local, la méthode d'authentification est toujours Kerberos entre le consommateur et la banque d'informations Exchange. Kerberos est utilisé parce que le consommateur doit être authentifié à l'aide du système local du compte de l'ordinateur et une confiance authentifiée bidirectionnelle doit exister.
Si le consommateur de la couche Logique métier d'Exchange n'opère pas comme système local, la méthode d'authentification est NTLM. Par exemple, quand un administrateur exécute une cmdlet de l'environnement de ligne de commande Exchange Management Shell utilisant la couche Logique métier d'Exchange, NTLM est utilisé.
Le trafic RPC est toujours chiffré.
Le tableau suivant fournit des informations sur les ports, l'authentification et le chiffrement des chemins d'accès aux données entre ces serveurs de boîtes aux lettres.
Chemins d'accès aux données de serveur de boîtes aux lettres
Chemin d'accès aux données | Ports requis | Authentification par défaut | Authentification prise en charge | Chiffrement pris en charge ? | Chiffré par défaut ? |
---|---|---|---|---|---|
Envoi de journaux (réplication continue locale et réplication continue en cluster) |
445/Port aléatoire (amorçage) |
NTLM/Kerberos |
NTLM/Kerberos |
Oui (IPsec) |
Non |
Sauvegarde du service VSS |
Bloc de message serveur (SMB)l |
NTLM/Kerberos |
NTLM/Kerberos |
Non |
Non |
Sauvegarde/amorçage hérité |
Port aléatoire |
NTLM/Kerberos |
NTLM/Kerberos |
Oui (IPsec) |
Non |
Clusters |
135 /TCP (RPC) Consultez la rubrique « Remarques sur les serveurs de boîtes aux lettres » après cette table. |
NTLM/Kerberos |
NTLM/Kerberos |
Oui (IPsec) |
Non |
Accès MAPI |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Oui (chiffrement RPC) |
Oui |
Assistants de boîte aux lettres |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Non |
Non |
Service Web de disponibilité (accès client à la boîte aux lettres) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Oui (chiffrement RPC) |
Oui |
Accès Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (accès réseau RPC) |
Kerberos |
Kerberos |
Oui (chiffrement Kerberos) |
Oui |
Indexation du contenu |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Oui (chiffrement RPC) |
Oui |
Accès distant Admin (Registre distant) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Oui (IPsec) |
Non |
Accès distant Admin (SMB/Fichier) |
445/TCP (SMB) |
NTLM/Kerberos |
NTLM/Kerberos |
Oui (IPsec) |
Non |
Accès RPC du service de mise à jour de destinataire |
135/TCP (RPC) |
Kerberos |
Kerberos |
Oui (chiffrement RPC) |
Oui |
Accès au service de topologie Microsoft Exchange Active Directory |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Oui (chiffrement RPC) |
Oui |
Accès hérité au service de surveillance du système Microsoft Exchange (écouter les demandes) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Non |
Non |
Accès hérité du service de surveillance du système Microsoft Exchange à Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (accès réseau RPC) |
Kerberos |
Kerberos |
Oui (chiffrement Kerberos) |
Oui |
Accès hérité au service de surveillance du système Microsoft Exchange (comme client MAPI) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Oui (chiffrement RPC) |
Oui |
Carnet d'adresses en mode hors connexion accédant à Active Directory |
135/TCP (RPC) |
Kerberos |
Kerberos |
Oui (chiffrement RPC) |
Oui |
Mise à jour de destinataire pour Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (accès réseau RPC) |
Kerberos |
Kerberos |
Oui (chiffrement Kerberos) |
Oui |
DSAccess pour Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (accès réseau RPC) |
Kerberos |
Kerberos |
Oui (chiffrement Kerberos) |
Oui |
Outlook accédant au carnet d'adresses en mode hors connexion |
80/TCP, 443/TCP (SSL) |
NTLM/Kerberos |
NTLM/Kerberos |
Oui (HTTPS) |
Non |
WebDav |
80/TCP, 443/TCP (SSL) |
De base, NTLM, Négociation |
De base, NTLM, Négociation |
Oui (HTTPS) |
Oui |
Notes sur les serveurs de boîtes aux lettres
Pour l'authentification HTTP où « Négociation » est indiqué, une authentification Kerberos est d'abord tentée, puis une authentification NTLM.
Pour les communications intra-nœud, les nœuds du cluster communiquent par le biais du port UDP (User Datagram Protocol) 3343. Chaque nœud du cluster échange régulièrement des datagrammes UDP séquentiels unicast avec chaque autre nœud du cluster. Le but de cet échange est de déterminer si tous les noeuds fonctionnent correctement et de surveiller la santé des liaisons réseau.
Bien que les applications ou les clients WebDav puissent se connecter au serveur de boîtes aux lettres à l'aide d'un protocole 80/TCP ou 443/TCP, dans la plupart des cas, l'application ou les clients se connectent au serveur d'accès au client. Le serveur d'accès au client se connecte ensuite au serveur de boîtes aux lettres à l'aide d'un protocole 80/TCP ou 443/TCP.
Le chemin d'accès aux données de cluster indiqué dans le tableau « Chemins d'accès aux données du serveur de boîtes aux lettres » dans cette section utilise un RPC dynamique (TCP) pour communiquer l'état du cluster et l'activité entre les différents noeuds de cluster. Le service de cluster (ClusSvc.exe) utilise également des ports UDP/3343 et TCP haut débit alloués de façon aléatoire pour la communication entre les noeuds de cluster.
Serveur d'accès au client
Sauf mention contraire, les technologies d'accès au client, telles que Office Outlook Web Access, POP3, ou IMAP4 sont décrites par l'authentification et le chiffrement de l'application cliente vers le serveur d'accès au client.
Le tableau suivant fournit des informations sur le port, l'authentification et le chiffrement des chemins d'accès aux données entre les serveurs d'accès au client et les autres serveurs et clients.
Chemins d'accès aux données de serveur d'accès au client
Chemin d'accès aux données | Ports requis | Authentification par défaut | Authentification prise en charge | Chiffrement pris en charge ? | Chiffré par défaut ? |
---|---|---|---|---|---|
Service de découverte automatique |
80/TCP, 443/TCP (SSL) |
Authentification Windows de base/intégrée (Négociation) |
Da base, Digest, NTLM, Négociation (Kerberos) |
Oui (HTTPS) |
Oui |
Service de disponibilité |
80/TCP, 443/TCP (SSL) |
NTLM/Kerberos |
NTLM, Kerberos |
Oui (HTTPS) |
Oui |
Outlook Web Access |
80/TCP, 443/TCP (SSL) |
Authentification basée sur des formulaires |
De base, Digest, Authentification basée sur des formulaires, NTLM (v2 uniquement), Kerberos, Certificat |
Oui (HTTPS) |
Oui, un certificat auto-signé est utilisé |
POP3 |
110/TCP (TLS), 995/TCP (SSL) |
Da base, NTLM, Kerberos |
Da base, NTLM, Kerberos |
Oui (SSL, TLS) |
Oui |
IMAP4 |
143/TCP (TLS), 993/TCP (SSL) |
Da base, NTLM, Kerberos |
Da base, NTLM, Kerberos |
Oui (SSL, TLS) |
Oui |
Outlook Anywhere (précédemment appelé RPC sur http). |
80/TCP, 443/TCP (SSL) |
Base |
De base ou NTLM |
Oui (HTTPS) |
Oui |
Application Exchange ActiveSync |
80/TCP, 443/TCP (SSL) |
Base |
De base, Certificat |
Oui (HTTPS) |
Oui |
Serveur d'accès au client vers serveur de messagerie unifiée |
5060/TCP, 5061/TCP, 5062/TCP, un port dynamique |
Par adresse IP |
Par adresse IP |
Oui (SIP [Session Initiation Protocol ] sur TLS) |
Oui |
Serveur d'accès au client vers serveur de boîtes aux lettres exécutant une version antérieure d'Exchange Server |
80/TCP, 443/TCP (SSL) |
NTLM/Kerberos |
Négociation (Kerberos avec recours à NTLM ou facultativement De base), texte brut POP/IMAP |
Oui (IPsec) |
Non |
Serveur d'accès au client vers serveur de boîtes aux lettres Exchange 2007 |
RPC. Consultez la section « Notes sur les serveurs d'accès au client » après ce tableau. |
Kerberos |
NTLM/Kerberos |
Oui (chiffrement RPC) |
Oui |
Serveur d'accès au client vers serveur d'accès au client (Exchange ActiveSync) |
80/TCP, 443/TCP (SSL) |
Kerberos |
Kerberos, Certificat |
Oui (HTTPS) |
Oui, un certificat auto-signé est utilisé |
Serveur d'accès au client vers serveur d'accès au client (Outlook Web Access) |
80/TCP, 443/TCP (SSL) |
Kerberos |
Kerberos |
Oui (HTTPS) |
Oui |
WebDAV |
80/TCP, 443/TCP (SSL) |
HTTP de base ou authentification basée sur des formulaires Outlook Web Access |
De base, authentification basée de des formulaires Outlook Web Access |
Oui (HTTPS) |
Oui |
Notes sur les serveurs d'accès au client
Le serveur d'accès au client communique avec le serveur de boîtes aux lettres à l'aide de nombreux ports. À quelques exceptions près, ces ports sont déterminés par le service RPC et ne sont pas fixes.
Pour l'authentification HTTP où « Négociation » est indiqué, une authentification Kerberos est d'abord tentée, puis une authentification NTLM.
Lorsqu'un serveur d'accès au client Exchange 2007 communique avec un serveur de boîte aux lettres exécutant Exchange Server 2003, il est recommandé d'utiliser Kerberos et de désactiver l'authentification NTLM et l'authentification de base. En outre, il est conseillé de configurer Outlook Web Access pour utiliser une authentification basée sur des formulaires avec un certificat approuvé. Pour que les clients Exchange ActiveSync communiquent via le serveur d'accès au client Exchange 2007 vers le serveur principal Exchange 2003, l'authentification intégrée Windows doit être activée dans le répertoire virtuel Microsoft-Server-ActiveSync du serveur principal Exchange 2003. Pour utiliser le Gestionnaire système Exchange sur le serveur Exchange 2003 pour gérer l'authentification sur un répertoire virtuel Exchange 2003, téléchargez et installez le correctif référencé dans l'article 937301de la Base de connaissances Microsoft, l'ID d'événement 1036 est connecté à un serveur Exchange 2007 exécutant le rôle CAS lorsque des périphériques mobiles se connectent au serveur Exchange 2007 pour accéder aux boîtes aux lettres sur un serveur principal Exchange 2003.
Pour plus d'informations, consultez la rubrique Gestion de la sécurité de l'accès au client.
Serveur de messagerie unifiée
Les passerelles IP ne prennent en charge que l'authentification basée sur les certificats utilisant l'authentification mutuelle TLS et basée sur IP pour les connexions SIP (Session Initiation Protocol)/TCP. Les passerelles IP ne prennent pas en charge les authentifications NTLM ou Kerberos. C'est pourquoi, lorsque vous utilisez une authentification IP, les adresses IP se connectant sont utilisées pour fournir le mécanisme d'authentification pour les connexions non chiffrées (TCP). En cas d'utilisation d'une authentification IP dans une messagerie unifiée, le serveur de messagerie unifiée vérifie que l'adresse IP est autorisée à se connecter. L’adresse IP est configurée sur la passerelle IP ou l’IP PBX.
Le tableau suivant fournit des informations sur le port, l'authentification et le chiffrement des chemins d'accès aux données entre les serveurs de messagerie unifiée et les autres serveurs et clients.
Chemins d'accès aux données du serveur de messagerie unifiée
Chemin d'accès aux données | Ports requis | Authentification par défaut | Authentification prise en charge | Chiffrement pris en charge ? | Chiffré par défaut ? |
---|---|---|---|---|---|
Télécopie de messagerie unifiée |
5060/TCP, 5061/TCP, 5062/TCP, un port dynamique |
Par adresse IP |
Par adresse IP |
SIP sur TLS, mais support non chiffré |
Oui pour SIP |
Interaction de téléphone de messagerie unifiée (PBX) |
5060/TCP, 5061/TCP, 5062/TCP, un port dynamique |
Par adresse IP |
Par adresse IP |
SIP sur TLS, mais support non chiffré |
Oui pour SIP |
Service Web de messagerie unifiée |
80/TCP, 443/TCP (SSL) |
Authentification Windows intégrée (Négociation) |
Da base, Digest, NTLM, Négociation (Kerberos) |
Oui (SSL) |
Oui |
Messagerie unifiée vers transport Hub |
25/TCP (SSL) |
Kerberos |
Kerberos |
Oui (TLS) |
Oui |
Serveur de messagerie unifiée vers serveur de boîtes aux lettres |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Oui (chiffrement RPC) |
Oui |
Notes sur les serveurs de messagerie unifiée
Lorsque vous créez un objet passerelle IP de messagerie unifiée dans Active Directory, vous devez définir l'adresse IP de la passerelle IP physique ou de l'IP PBX (Private Branch eXchange). Lorsque vous définissez l'adresse IP sur l'objet passerelle IP de messagerie unifiée, l'adresse IP est ajoutée à une liste de passerelles IP valides avec lesquelles le serveur de messagerie unifiée est autorisé à communiquer. Lors de sa création, la passerelle IP de messagerie unifiée est associée à un plan de commutation des appels de messagerie unifiée. L'association de la passerelle IP de messagerie unifiée avec un plan de numérotation permet aux serveurs de messagerie unifiée associés au plan de numérotation d'utiliser l'authentification basée sur IP pour communiquer avec la passerelle IP. Si la passerelle IP de messagerie unifiée n'a pas été créée ou si elle n'est pas configurée pour utiliser l'adresse IP correcte, l'authentification échoue et les serveurs de messagerie unifiée n'acceptent pas les connexions provenant de l'adresse IP de cette passerelle IP.
Avec la version de publication (RTM) de Exchange 2007, un serveur de messagerie unifiée peut communiquer sur le port 5060/TCP, qui n'est pas sécurisé, ou sur le port 5061/TCP, qui est sécurisé, mais pas sur les deux. Avec Exchange 2007 Service Pack 1 (SP1), un serveur de messagerie unifiée écoute sur le port 5060/TCP et sur le port 5061/TCP en même temps.
Pour plus d'informations, consultez les rubriques Présentation de la sécurité VoIP de messagerie unifiée et Présentation des protocoles, des ports et des services de messagerie unifiée.
Sur quoi porte ce guide ?
Utilisation de l'Assistant Configuration de la sécurité afin de sécuriser Windows pour les rrôles serveur Exchange
Cette section explique comment utiliser l'Assistant Configuration de la sécurité (SCW) pour réduire la surface d'attaque des serveurs en désactivant la fonctionnalité Windows qui n'est pas requise pour les rôles serveur Exchange 2007.
Utilisation de l'Assistant Configuration de la sécurité
Exchange 2007 fournit un modèle SCW pour chaque rôle serveur Exchange 2007. En utilisant ce modèle avec l'Assistant Configuration de la sécurité, vous pouvez configure le système d'exploitation Windows pour qu'il verrouille les services et les ports inutiles pour chaque rôle serveur Exchange. Lorsque vous exécutez l'Assistant Configuration de la sécurité, vous créez une stratégie de sécurité personnalisée pour votre environnement. Une stratégie personnalisée peut être appliquée à tous les serveurs Exchange dans votre organisation. L'Assistant Configuration de la sécurité permet de configurer les fonctionnalités suivantes :
Rôle serveur L'Assistant Configuration de la sécurité utilise les informations de rôle serveur pour activer des services et des ports ouverts dans le pare-feu local.
Fonctionnalités client Les serveurs agissent également comme clients pour d'autres serveurs. Sélectionnez uniquement les fonctionnalités client requises pour votre environnement.
Options d'administration Sélectionnez les options requises pour votre environnement, telles que la sauvegarde et le signalement des erreurs.
Services Sélectionnez les services requis pour le serveur et définissez le mode de démarrage pour les services non spécifiés par la stratégie. Les services non spécifiés ne sont pas installés sur le serveur sélectionné et ne sont pas répertoriés dans la base de données de configuration de la sécurité. La stratégie de sécurité que vous configurez peut être appliquée à des serveurs exécutant des services différents de ceux du serveur sur lequel la stratégie est créée. Vous pouvez sélectionner le paramètre de stratégie qui détermine l'action à exécuter quand un service non spécifié est trouvé sur un serveur auquel cette stratégie est appliquée. Vous pouvez définir l'action de façon à ne pas modifier le mode de démarrage du service ou à désactiver le service.
Sécurité du réseau Sélectionnez les ports à ouvrir pour chaque interface réseau. L'accès aux ports peut être restreint en fonction de l'interface réseau locale ou sur la base des adresses IP et des sous-réseaux distants.
Paramètres du Registre Les paramètres du Registre permettent de configurer les protocoles utilisés pour communiquer avec d'autres ordinateurs.
Stratégie d'audit La stratégie d'audit détermine les événements de réussite et d'échec qui sont journalisés ainsi que les objets du système de fichiers soumis à l'audit.
Utilisation du modèle de l'Assistant Configuration de la sécurité Exchange Server 2007
Après avoir installé un rôle serveur Exchange, procédez comme suit pour configurer une stratégie de sécurité à l'aide de l'Assistant Configuration de la sécurité :
Installez l’Assistant Configuration de la sécurité.
Enregistrez l'extension de l'Assistant Configuration de la sécurité.
Créez une stratégie de sécurité personnalisée et appliquez-la au serveur local.
Si plusieurs serveurs Exchange de votre organisation exécutent un rôle donné, vous pouvez appliquer votre stratégie de sécurité personnalisée à chaque serveur Exchange.
La section ci-dessous fournit des procédures pour chacune des étapes précédentes.
Pour exécuter les procédures suivantes, vous devez utiliser un compte auquel ont été délégués :
- le rôle Administrateur Exchange Server et le groupe Administrateurs local pour le serveur cible.
Pour exécuter les procédures suivantes sur un ordinateur sur lequel le rôle serveur de transport Edge est installé, vous devez ouvrir une session en utilisant un compte membre du groupe Administrateurs local sur cet ordinateur.
Pour plus d'informations sur les autorisations, la délégation de rôles et les droits requis pour administrer Exchange 2007, consultez la rubrique Considérations relatives aux autorisations.
Installation de l'Assistant Configuration de la sécurité
Vous devez exécuter cette procédure sur chaque serveur Exchange 2007 auquel vous voulez appliquer une stratégie de sécurité de l'Assistant Configuration de la sécurité à l'aide de l'Assistant Configuration de la sécurité.
Installation de l'Assistant Configuration de la sécurité
Dans le Panneau de configuration, cliquez sur Ajout/Suppression de programmes.
Cliquez sur Ajouter/Supprimer des composants Windows pour lancer l'Assistant Composants Windows.
Dans la boîte de dialogue Composants Windows, activez la case à cocher Assistant Configuration de la sécurité, puis cliquez sur Suivant.
Attendez que l'installation soit terminée, puis cliquez sur Terminer.
Pour ouvrir l'Assistant Configuration de la sécurité après avoir exécuté cette procédure, cliquez sur Démarrer, pointez sur Tous les programmes, Outils d'administration, puis cliquez sur Assistant Configuration de la sécurité.
Enregistrement des extensions de l'Assistant Configuration de la sécurité du rôle serveur Exchange
Les extensions de rôle Exchange Server vous permettent d'utiliser l'Assistant Configuration de la sécurité pour créer une stratégie de sécurité spécifique à la fonctionnalité requise pour chaque rôle serveur Microsoft Exchange. Les extensions sont fournies avec Exchange 2007 et doivent être enregistrées avant la création d'une stratégie de sécurité personnalisée.
Vous devez exécuter la procédure d'enregistrement sur chaque serveur Exchange 2007 auquel vous voulez appliquer une stratégie de sécurité de SCW. Deux fichiers d'extension sont requis pour les différents rôles serveur Exchange 2007. Pour les rôles de serveur de boîtes aux lettres, de transport Hub, de messagerie unifiée et d'accès au client, enregistrez le fichier d'extension Exchange2007.xml. Pour le rôle serveur de transport Edge, enregistrez le fichier d'extension Exchange2007Edge.xml.
Notes
Les fichiers d'extension de l'Assistant Configuration de la sécurité Exchange 2007 se trouvent dans le répertoire %Exchange%\Scripts. Le répertoire d'installation par défaut d'Exchange est Program Files\Microsoft\Exchange Server. L'emplacement de ce répertoire peut varier si vous avez sélectionné un emplacement de répertoire personnalisé durant l'installation du serveur.
Important : |
---|
Si vous avez installé Exchange 2007 dans un répertoire d'installation personnalisé, l'enregistrement de l'Assistant Configuration de la sécurité continue à fonctionner. Toutefois, pour activer l'Assistant Configuration de la sécurité, vous devez exécuter des solutions de contournement manuelles pour reconnaître le répertoire d'installation personnalisé. Pour plus d'informations, consultez l'article 896742 de la Base de connaissances Microsoft traitant de la manière dont, après l'exécution de l'Assistant Configuration de la sécurité dans Windows Server 2003 SP1, les utilisateurs d'Outlook risquent de ne plus pouvoir se connecter à leurs comptes. |
Enregistrement de l'extension de l'Assistant Configuration de la sécurité sur un ordinateur exécutant le rôle serveur de boîtes aux lettres, de transport Hub, de messagerie unifiée ou d'accès au client
Ouvrez une fenêtre d'invite de commandes. Tapez la commande suivante pour utiliser l'outil de ligne de commande de l'Assistant Configuration de la sécurité afin d'enregistrer l'extension Exchange 2007 dans la base de données de configuration de la sécurité locale :
scwcmd register /kbname:Ex2007KB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007.xml"
Pour vérifier que la commande a été exécutée avec succès, vous pouvez afficher le fichier SCWRegistrar_log.xml situé dans le répertoire %windir%\security\msscw\logs.
Enregistrement de l'extension de l'Assistant Configuration de la sécurité sur un ordinateur exécutant le rôle serveur de transport Edge
Ouvrez une fenêtre d'invite de commandes. Tapez la commande suivante pour utiliser l'outil de ligne de commande de l'Assistant Configuration de la sécurité afin d'enregistrer l'extension Exchange 2007 dans la base de données de configuration de la sécurité locale :
scwcmd register /kbname:Ex2007EdgeKB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\ Exchange2007Edge.xml"
Pour vérifier que la commande a été exécutée avec succès, vous pouvez afficher le fichier SCWRegistrar_log.xml situé dans le répertoire %windir%\security\msscw\logs.
Création d'une stratégie SCW de rôle serveur Exchange
Pour créer une stratégie de sécurité personnalisée pour votre environnement spécifique, procédez comme suit. Après avoir créé une stratégie personnalisée, utilisez-la pour appliquer le même niveau de sécurité à chaque serveur Exchange 2007 exécutant le ou les mêmes rôles serveur au sein de votre organisation.
Notes
Certaines étapes dans la procédure suivante ne fournissent pas des détails de configuration spécifiques pour toutes les pages dans l’Assistant Configuration de la sécurité. Dans ces cas, il est recommandé de conserver les sélections par défaut si vous n’êtes pas sûr des services ou des fonctionnalités à activer. Comme pour tout le contenu du fichier d'aide d'Exchange 2007, les informations les plus récentes sur l'utilisation de SCW avec Exchange 2007 sont disponibles sur le site Exchange Server TechCenter.
Utilisation de l'Assistant Configuration de la sécurité pour créer une stratégie de sécurité personnalisée
Cliquez sur Démarrer, pointez sur Tous les programmes, sur Outils d'administration, puis cliquez sur Assistant Configuration de la sécurité. Dans l'écran Bienvenue, cliquez sur Suivant.
Dans la page Action de configuration, sélectionnez Créer une nouvelle stratégie de sécurité, puis sur Suivant.
Dans la page Sélectionnez un serveur, vérifiez que le nom de serveur approprié figure dans le champ Serveur (utilisez le nom DNS, NetBIOS ou l'adresse IP) : . Cliquez sur Suivant.
Dans la page Traitement de la base de données de configuration de la sécurité, attendez que la barre de progression soit complète, puis cliquez sur Suivant.
Dans la page Configuration de service selon le rôle, cliquez sur Suivant.
Dans la page Sélectionnez des rôles serveur, sélectionnez les rôles Exchange 2007 que vous avez installés sur l'ordinateur, puis cliquez sur Suivante.
Dans la page Sélectionnez des fonctionnalités de clients, sélectionnez les fonctionnalités de clients requises sur votre serveur Exchange, puis cliquez sur Suivante.
Dans la page Sélectionnez des options d'administration et d'autres options, sélectionnez les fonctionnalités d'administration requises sur votre serveur Exchange, puis cliquez sur Suivante.
Dans la page Sélectionnez des services supplémentaires, sélectionnez les services requis à activer sur le serveur Exchange, puis cliquez sur Suivante.
Dans la page Gestion des services non spécifiés, sélectionnez l'action à exécuter quand un service non installé sur le serveur local est trouvé. Vous pouvez décider de n'exécuter aucune action en sélectionnant Ne pas modifier le mode de démarrage du service, ou de désactiver automatiquement le service en sélectionnant Désactiver le service. Cliquez sur Suivant.
Dans la page Confirmer les modifications de services, examinez les modifications que cette stratégie va apporter à la configuration de service actuelle. Cliquez sur Suivant.
Dans la page Sécurité réseau, vérifiez que l'option Passer cette section n'est pas activée, puis cliquez sur Suivant.
Dans la page Ouvrir les ports et approuver les applications, si vous exécutez SCW sur un serveur de transport Edge, ajoutez deux ports pour la communication LDAP avec Active Directory Application Mode (ADAM).
Cliquez sur Ajouter. Dans la page Ajouter un port ou une application, dans le champ Numéro du port :, entrez 50389. Activez la case à cocher TCP, puis cliquez sur OK.
Cliquez sur Ajouter. Dans la page Ajouter un port ou une application, dans le champ Numéro du port :, entrez 50636. Activez la case à cocher TCP, puis cliquez sur OK.
(serveur de transport Edge uniquement) Dans la page Ouvrir les ports et approuver les applications, vous devez configurer les ports pour chaque carte réseau.
Sélectionnez Port 25, puis cliquez sur Paramètres avancés. Dans la page Restrictions de port, cliquez sur l'onglet Restrictions sur les interfaces locales. Sélectionnez Sur les interfaces locales suivantes :, activez les cases à cocher des cartes réseau interne et externe, puis cliquez sur OK.
Sélectionnez Port 50389, puis cliquez sur Paramètres avancés. Dans la page Restrictions de port, cliquez sur l'onglet Restrictions sur les interfaces locales. Sélectionnez Sur les interfaces locales suivantes :, activez uniquement la case à cocher de la carte réseau interne, puis cliquez sur OK.
Sélectionnez Port 50636, puis cliquez sur Paramètres avancés. Dans la page Restrictions de port, cliquez sur l'onglet Restrictions sur les interfaces locales. Sélectionnez Sur les interfaces locales suivantes :, activez uniquement la case à cocher de la carte réseau interne, puis cliquez sur OK.
Notes
Vous pouvez également configurer des restrictions d'adresses distantes pour chaque port.
Dans la page Ouvrir les ports et approuver les applications, cliquez sur Suivant.
Dans la page Confirmez la configuration du port, vérifiez que la configuration du port entrant est correcte, puis cliquez sur Suivant.
Dans la page Paramètres du Registre, activez la case à cocher Passer cette section, puis cliquez sur Suivant.
Dans la page Stratégie d'audit, activez la case à cocher Passer cette section, puis cliquez sur Suivant.
Dans la page Services Internet (IIS), activez la case à cocher Passer cette section, puis cliquez sur Suivante.
Dans la page Enregistrer la stratégie de sécurité, cliquez sur Suivant.
Dans la page Nom du fichier de stratégie de sécurité, entrez un nom de fichier et une description éventuelle. Cliquez sur Suivant. Si un redémarrage du serveur est requis une fois la stratégie appliquée, une boîte de dialogue s'affiche. Cliquez sur OK pour fermer la boîte de dialogue.
Dans la page Appliquer la stratégie de sécurité, sélectionnez Appliquer ultérieurement ou Appliquer, puis cliquez sur Suivant.
Dans la page Fin de l'Assistant Configuration de la sécurité, cliquez sur Terminer.
Procédure d'application d'une stratégie SCW existante à un rôle serveur de transport Edge
Après avoir créé la stratégie, vous pouvez ensuite l'appliquer à plusieurs ordinateurs exécutant le même rôle dans votre organisation.
Utilisation de l'Assistant Configuration de la sécurité pour appliquer une stratégie existante
Cliquez sur Démarrer, pointez sur Tous les programmes, sur Outils d'administration, puis cliquez sur Assistant Configuration de la sécurité. Dans l'écran Bienvenue, cliquez sur Suivant.
Dans la page Action de configuration, sélectionnez Appliquer une stratégie de sécurité existante. Cliquez sur Parcourir, sélectionnez le fichier XML correspondant à votre stratégie, puis cliquez sur Ouvrir. Cliquez sur Suivant.
Dans la page Sélectionnez un serveur, vérifiez que le nom de serveur approprié figure dans le champ Serveur (utilisez le nom DNS, NetBIOS ou l'adresse IP) : . Cliquez sur Suivant.
Dans la page Appliquer la stratégie de sécurité, cliquez sur Afficher la stratégie de sécurité si vous voulez afficher les détails de la stratégie, puis cliquez sur Suivant.
Dans la page Appliquer la stratégie de sécurité, attendez que la barre de progression indique Application terminée, puis cliquez sur Suivant.
Dans la page Fin de l'Assistant Configuration de la sécurité, cliquez sur Terminer.
Sur quoi porte ce guide ?
Annexe 1 : Services et exécutables de port autorisés par les fichiers d'enregistrement de l'Assistant Configuration de la sécurité Exchange 2007
L'Assistant Configuration de la sécurité utilise des fichiers d'enregistrement XML pour faciliter la configuration du système d'exploitation Windows afin qu'il exploite d'autres applications. Les fichiers d'enregistrement utilisés par l'Assistant Configuration de la sécurité définissent la configuration de sécurité requise pour exploiter une application spécifique. La configuration de la sécurité définit au moins les services et ports requis pour une application spécifique.
Cette rubrique présente les services et ports activés pour chaque rôle serveur Exchange 2007 lorsque vous exécutez l'Assistant Configuration de la sécurité avec les fichiers d'enregistrement par défaut Exchange 2007.
Fichiers d'enregistrement
Exchange 2007 inclut les fichiers d'enregistrement pour l'Assistant Configuration de la sécurité Le fichier d'enregistrement Exchange 2007 général est appelé Exchange2007.xml. Il définit la configuration de la sécurité pour tous les rrôles serveur Microsoft Exchange, excepté le rôle serveur de transport Edge. Le fichier d'enregistrement pour le rôle serveur de transport Edge est appelé Exchange2007Edge.xml. Il définit la configuration de sécurité pour les serveurs de transport Edge.
Les fichiers d'enregistrement sont installés dans le répertoire %Programfiles%\Microsoft\Exchange Server\Scripts lorsque vous installez Exchange 2007.
Services autorisés à définir la valeur au démarrage du service sur Automatique ou Manuel.
Les ports activés spécifient les fichiers exécutables (.exe) approuvés par le pare-feu Wiindows pour ouvrir les ports pour une application spécifique.
Les fichiers d'enregistrement Exchange 2007 utilisés par l'Assistant Configuration de la sécurité spécifient les exécutables de port en fonction de leur emplacement par défaut. Dans la plupart des cas, l'emplacement par défaut est %Programfiles%\Microsoft\Exchange Server\bin. Si vous avez installé Exchange dans un emplacement différent, vous devez modifier la valeur du <Chemin d'accès> dans la section <Port> des fichiers d'enregistrement Exchange 2007 pour indiquer l'emplacement d'installation correct.
Rôle serveur de boîtes aux lettres
Les services suivants sont activés par le fichier d'enregistrement Exchange 2007 (Exchange2007.xml) pour le rôle serveur de boîte aux lettres.
Le service Microsoft Search (Exchange Server) et Microsoft Exchange Monitoring sont définis pour démarrer manuellement. Tous les autres services sont définis pour démarrer automatiquement.
Nom court du service | Nom du service |
---|---|
MSExchangeIS |
Microsoft Exchange - Banque d'informations |
MSExchangeADTopology |
Topologie Active Directory Microsoft Exchange |
MSExchangeRepl |
Service de réplication Microsoft Exchange |
MSExchangeMailboxAssistants |
Assistants de boîte aux lettres Microsoft Exchange |
MSExchangeSearch |
Indexeur de recherche Microsoft Exchange |
MSExchangeServiceHost |
hôte de services Microsoft Exchange |
MSExchangeMonitoring |
Surveillance Microsoft Exchange |
MSExchangeSA |
Surveillance du système Microsoft Exchange |
MSExchangeMailSubmission |
Service de dépôt du courrier de Microsoft Exchange |
msftesql-Exchange |
Microsoft Search (Exchange Server) |
Les ports suivants sont activés.
Nom du port | Fichier exécutable associé |
---|---|
MSExchangeADTopologyPorts |
MSExchangeADTopologyService.exe |
MSExchangeISPorts |
Store.exe |
MSExchangeReplPorts |
Microsoft.Exchange.Cluster.ReplayService.exe |
MSExchangeMailboxAssistantsPorts |
MSExchangeMailboxAssistants.exe |
MSExchangeSearchPorts |
Microsoft.Exchange.Search.ExSearch.exe |
MSExchangeServiceHostPorts |
Microsoft.Exchange.ServiceHost.exe |
MSExchangeMonitoringPorts |
Microsoft.Exchange.Monitoring.exe |
MSExchangeSAPorts |
Mad.exe |
MSExchangeMailSubmissionPorts |
MSExchangeMailSubmission.exe |
msftesql-ExchangePorts |
Msftesql.exe |
MSExchangeTransportLogSearchPorts |
MSExchangeTransportLogSearch.exe |
Rôle serveur de boîtes aux lettres en cluster
Les services et ports activés pour le rôle serveur de boîtes aux lettres et décrits dans la section Rôle serveur de boîtes aux lettres ci-avant dans cette rubrique sont activés pour le rôle serveur de boîtes aux lettres en cluster.
En outre, le service de cluster Microsoft est défini pour démarrer automatiquement.
Nom court du service | Nom du service |
---|---|
ClusSvc |
Service de cluster Microsoft |
Les ports suivants sont également activés.
Notes
Le chemin d'accès par défaut des exécutables spécifiques aux clusters est %windir%\Cluster. Le chemin d'accès par défaut de Powershell.exe est %windir%\system32\windowspowershell\v1.0.
Nom du port | Fichier exécutable associé |
---|---|
ExSetupPorts |
ExSetup.exe |
clussvcPorts |
Clussvc.exe |
CluAdminPorts |
CluAdmin.exe |
resrcmonPorts |
Resrcmon.exe |
msftefdPorts |
Msftefd.exe |
powershellPorts |
Powershell.exe |
Rôle serveur de transport Hub
Les services suivants sont activés par le fichier d'enregistrement Exchange 2007 (Exchange2007.xml) pour le rôle serveur de transport Hub.
Surveillance Microsoft Exchange est défini pour démarrer manuellement. Tous les autres services sont définis pour démarrer automatiquement.
Nom court du service | Nom du service |
---|---|
MSExchangeADTopology |
Service de topologie Active Directory Microsoft Exchange |
MSExchangeTransport |
Service de transport Microsoft Exchange |
MSExchangeAntispamUpdate |
Service de mise à jour du blocage de courrier indésirable Microsoft Exchange |
MSExchangeEdgeSync |
service EdgeSync Microsoft Exchange |
MSExchangeTransportLogSearch |
Service de recherche des journaux de transport Microsoft Exchange |
MSExchangeMonitoring |
Surveillance Microsoft Exchange |
Les ports suivants sont activés.
Nom du port | Fichier exécutable associé |
---|---|
MSExchangeADTopologyPorts |
MSExchangeADTopologyService.exe |
MSExchangeTransportPorts |
MSExchangeTransport.exe |
EdgeTransportPorts |
EdgeTransport.exe |
MSExchangeAntispamUpdatePorts |
Microsoft.Exchange.AntispamUpdateSvc.exe |
MSExchangeEdgeSyncPorts |
Microsoft.Exchange.EdgeSyncSvc.exe |
MSExchangeTransportLogSearchPorts |
MSExchangeTransportLogSearch.exe |
MSExchangeMonitoringPorts |
Microsoft.Exchange.Monitoring.exe |
Rôle serveur de transport Edge
Les services suivants sont activés par le fichier d'enregistrement pour le rôle serveur de transport Edge (Exchange2007Edge.xml).
La surveillance Microsoft Exchange et le service de recherche de journal de transport Microsoft Exchange sont définis pour démarrer manuellement. Tous les autres services sont définis pour démarrer automatiquement.
Nom court du service | Nom du service |
---|---|
MSExchangeTransport |
Service de transport Microsoft Exchange |
MSExchangeAntispamUpdate |
Service de mise à jour du blocage de courrier indésirable Microsoft Exchange |
ADAM_MSExchange |
Microsoft Exchange ADAM |
EdgeCredentialSvc |
Service d'identification Microsoft Exchange |
MSExchangeTransportLogSearch |
Service de recherche des journaux de transport Microsoft Exchange |
MSExchangeMonitoring |
Surveillance Microsoft Exchange |
Les ports suivants sont activés.
Notes
Le chemin d'accès par défaut pour Dsadmin.exe est %windir%\ADAM.
Nom du port | Fichier exécutable associé |
---|---|
MSExchangeTransportPorts |
MSExchangeTransport.exe |
EdgeTransportPorts |
EdgeTransport.exe |
MSExchangeAntispamUpdatePorts |
Microsoft.Exchange.AntispamUpdateSvc.exe |
ADAM_MSExchangePorts |
Dsamain.exe |
EdgeCredentialSvcPorts |
EdgeCredentialSvc.exe |
MSExchangeTransportLogSearchPorts |
MSExchangeTransportLogSearch.exe |
MSExchangeMonitoringPorts |
Microsoft.Exchange.Monitoring.exe |
Rôle serveur d'accès au client
Les services suivants sont activés par le fichier d'enregistrement Exchange 2007 (Exchange2007.xml) pour le rôle serveur d'accès au client.
La surveillance Microsoft Exchange, le service POP3 de Microsoft Exchange et le service IMAP4 de Microsoft Exchange sont définis pour démarrer manuellement. Tous les autres services sont définis pour démarrer automatiquement.
Nom court du service | Nom du service |
---|---|
MSExchangeADTopology |
Service de topologie Active Directory Microsoft Exchange |
MSExchangePOP3 |
Service Microsoft Exchange POP3 |
MSExchangeIMAP4 |
Service Microsoft Exchange IMAP4 |
MSExchangeFDS |
Service de distribution de fichiers de Microsoft Exchange. |
MSExchangeServiceHost |
hôte de services Microsoft Exchange |
MSExchangeMonitoring |
Surveillance Microsoft Exchange |
Les ports suivants sont activés.
Notes
Le chemin d'accès par défaut des fichiers Pop3Service.exe et Imap4Service.exe est %Programfiles%\Microsoft\Exchange Server\ClientAccess\PopImap.
Nom du port | Fichier exécutable associé |
---|---|
MSExchangeADTopologyPorts |
MSExchangeADTopologyService.exe |
MSExchangePOP3Ports |
Microsoft.Exchange.Pop3Service.exe |
MSExchangeIMAP4Ports |
Microsoft.Exchange.Imap4Service.exe |
MSExchangeFDSPorts |
MsExchangeFDS.exe |
MSExchangeServiceHostPorts |
Microsoft.Exchange.ServiceHost.exe |
MSExchangeMonitoringPorts |
Microsoft.Exchange.Monitoring.exe |
Rôle serveur de messagerie unifiée
Les services suivants sont activés par le fichier d'enregistrement Exchange 2007 (Exchange2007.xml) pour le rôle serveur de messagerie unifiée.
Surveillance Microsoft Exchange est défini pour démarrer manuellement. Tous les autres services sont définis pour démarrer automatiquement.
Nom du service | Nom convivial |
---|---|
MSExchangeADTopology |
Service de topologie Active Directory Microsoft Exchange |
MSSpeechService |
Moteur de reconnaissance vocale Microsoft Exchange |
MSExchangeUM |
Messagerie unifiée Microsoft Exchange |
MSExchangeFDS |
Service de distribution de fichiers Microsoft Exchange |
MSExchangeMonitoring |
Surveillance Microsoft Exchange |
Les ports suivants sont activés.
Notes
Le chemin d'accès par défaut du fichier SpeechService.exe est %Programfiles%\Microsoft\Exchange Server\UnifiedMessaging.
Nom du port | Fichier exécutable associé |
---|---|
MSExchangeADTopologyPorts |
MSExchangeADTopologyService.exe |
MSSPorts |
SpeechService.exe |
MSExchangeUMPorts |
umservice.exe |
UMWorkerProcessPorts |
UMWorkerProcess.exe |
MSExchangeFDSPorts |
MsExchangeFDS.exe |
MSExchangeMonitoringPorts |
Microsoft.Exchange.Monitoring.exe |
Sur quoi porte ce guide ?
Annexe 2 : Documentation Exchange supplémentaire concernant la sécurité
Cette section contient des liens vers de la documentation Exchange supplémentaire concernant la sécurité. Pour obtenir la dernière liste de contenus concernant la sécurité, consultez la rubrique Sécurité et protection.
Fonctionnalités de blocage du courrier indésirable et antivirus
Nouvelle fonctionnalité de blocage du courrier indésirable et des virus
Nouveaux produits de blocage des virus et du courrier indésirable pour Exchange 2007
Planification des fonctions de blocage du courrier indésirable et antivirus
Gestion des fonctionnalités de blocage du courrier indésirable et des virus
Authentification client et sécurité d'accès
Microsoft Office Outlook Web Access
Procédure de configuration d'une authentification basée sur des formulaires pour Outlook Web Access
Configuration des méthodes d'authentification standard pour Outlook Web Access
Outlook Anywhere
POP3 et IMAP4
Autorisations
Définition d'autorisations Administrateur pour le rôle de serveur de transport Edge
Planification et application d'un modèle d'autorisations divisées
Gestion des destinataires des autorisations divisées de messagerie unifiée
Protection du flux de messagerie
Sur quoi porte ce guide ?