Mise en place de la sécurité
Présentation des solutions de sécurité intégrées à l’environnement Exchange
Exchange fournit un nombre croissant de solutions permettant d’améliorer la sécurité des informations au sein de son infrastructure.
Tous les aspects sont pris en compte. Ainsi, on retrouve des technologies qui permettent d’éviter la perte de données :
-
suite à une catastrophe naturelle (serveur ou disque dur qui tombe en panne).
-
suite à des erreurs humaines (suppression d’un e-mail ou d’une boîte aux lettres).
-
suite à une maladresse (envoi de données sensibles par messagerie en dehors de l’entreprise).
-
suite à une opération malicieuse ciblée (écoute des données qui traversent le réseau).
-
suite à une opération malicieuse massive (spam, virus, vers envoyés par la messagerie).
Parmi ces technologies, une partie sera détaillée dans les trois derniers chapitres de ce livre.
Ces technologies sont soit intégrées à Windows Server sous la forme de composants, soit à l’infrastructure Exchange, soit à des composants tiers qui viennent se greffer sur l’organisation Exchange. On va ainsi retrouver :
Active Directory Rights Management Services (AD RMS)
Cette technologie permet à Exchange d’intégrer une gestion des droits relatifs à l’information (IRM - Information Rights...
Présentation des concepts liés à une infrastructure à clé publique (PKI)
1. Présentation des protocoles SSL/TLS
a. Intégration des protocoles SSL/TLS à Exchange
Avec la généralisation de l’usage des technologies web pour transférer les données de messagerie (Outlook sur le Web, MAPI/HTTP, Outlook Anywhere, Exchange Web Services, POP, IMAP, SMTP...), il est crucial de protéger au mieux les échanges sur les réseaux publics comme Internet.
Aussi, afin de simplifier la mise en place des mécanismes de protection des données (ex: éviter le déploiement de réseaux privés virtuels dans tous les sens), les protocoles de communication ont été déclinés dans des versions sécurisées nommées HTTPS, POPS, IMAPS ou SMTPS. L’objectif étant d’intégrer des mécanismes de chiffrement et d’identification directement dans ces protocoles en les encapsulant dans les protocoles SSL/TLS. Pour le déploiement des protocoles SSL/TLS, il est nécessaire d’utiliser une infrastructure à clé publique qui permet la création de domaine de confiance entre systèmes informatiques isolés.
TLS (Transport Layer Security) est le successeur de SSL (Secure Sockets Layer).
L’utilisation des protocoles sécurisés est identifiable par l’emploi de ports de communication spécifiques, TCP 443 pour le HTTPS, TCP 465 ou 587 pour SMTPS, TCP 995 pour POPS, et TCP 993 pour IMAPS.
Au vu de l’importance qu’ont pris ces protocoles dans la version 2016 d’Exchange, la maîtrise de leur administration et de leur maintenance est indispensable à tous les administrateurs. Rappelons que les clients Microsoft Outlook utilisent maintenant exclusivement MAPI/HTTP et Outlook Anywhere comme protocoles de communication, s’appuyant tous deux sur le protocole HTTPS, tout comme Outlook sur le Web dont l’usage est largement répandu.
b. Terminologie utile à l’implémentation des protocoles SSL/TLS
Voici quelques termes qui sont le prétexte pour vous présenter des concepts clés de la mise en place de communication sécurisée, vous permettant de mieux comprendre le fonctionnement des protocoles sécurisés...
Sécurisation des accès à l’infrastructure Exchange
1. Mise en place des communications sécurisées à l’aide d’une PKI
De plus en plus de services de communication s’appuient sur des systèmes de chiffrement liés à une PKI. Exchange Server 2016 implémente différents services comme Outlook Anywhere, MAPI/HTTP, EWS (Exchange Web Services), les API REST, OAB (Offline Address Book), ActiveSync, … qui s’appuient sur l’encapsulation SSL.
Afin de mettre en place la sécurisation de ces services, la configuration s’appuie sur l’architecture d’IIS, le serveur web natif de Windows qui héberge les services. Aussi même si la plupart des paramètres de configuration se font via les outils d’administration d’Exchange Server 2016, les paramètres sont configurés au sein d’IIS.
Pour mettre en place les composants nécessaires à la sécurisation des communications des services, il est possible d’utiliser une PKI publique, donc payante, ou d’implémenter une autorité privée sous la forme d’une autorité de certification autonome ou d’une autorité de certification d’entreprise.
2. Déploiement d’une autorité de certification autonome
Installation de l’autorité de certification autonome
L’installation d’une autorité de certification va empêcher la modification du nom de la machine. Il ne sera plus possible de la rajouter ou de la retirer facilement à un domaine Active Directory ou même de la renommer.
Lancez l’outil d’administration Gestionnaire de serveur à partir de la barre des tâches.
Ouvrez le menu Gérer et cliquez sur Ajouter des rôles et fonctionnalités.
Dans la page Avant de commencer, cliquez sur le bouton Suivant.
Dans la page Type d’installation, cliquez sur Installation basée sur un rôle ou une fonctionnalité puis cliquez sur Suivant.
Dans la page Sélection du serveur, sélectionnez votre serveur dans la liste Pool de serveurs puis cliquez sur Suivant.
Dans la page Rôles de serveurs, sélectionnez Services de certificats Active Directory puis cliquez sur...
Protection contre la perte de données
1. Présentation de la protection contre la perte de données
La protection contre la perte de données (DLP - Data Loss Prevention) permet d’établir des règles de vérification du contenu des messages qui vont transiter par la messagerie.
En effet, la messagerie est de plus en plus utilisée pour échanger des informations diverses et variées contenant des données parfois sensibles. Les règles de protection contre la perte de données vont permettre d’analyser le contenu des messages pour identifier les opérations qui ne sont pas en adéquation avec les règles de confidentialité de l’entreprise.
Cette technologie a pour objectif de prévenir les fuites involontaires de données à l’extérieur ou à l’intérieur de l’entreprise lorsque l’on ne souhaite pas que certains types de données circulent. Il est évident que si l’utilisateur est motivé pour transmettre les données sensibles, il trouvera un autre moyen même fastidieux pour le faire (photo de l’écran, recopie manuelle...). Cette solution doit donc être prise comme un moyen de prévention contre les mauvaises habitudes, plutôt qu’une solution de sécurité fiable et incontournable.
L’implémentation des droits numériques (AD RMS) permet d’utiliser un contrôle plus poussé et plus difficilement contournable si cela est nécessaire, mais demande des efforts de mise en œuvre bien plus importants.
Les stratégies de protection contre la perte de données permettent la mise en place facilitée de la supervision ou du blocage de transfert de données en s’appuyant sur des mécanismes avancés d’identification de données. Différents niveaux de règles sont ainsi disponibles, du plus restrictif au plus permissif.
Les algorithmes utilisés par cette solution vont au-delà de simples expressions régulières. Il est ainsi possible de déterminer un contexte de recherche pour limiter les faux-positifs. Les règles prédéfinies sont en effet une combinaison d’expressions régulières, de dictionnaires...
Stratégies anti-programme malveillant
1. Présentation du composant anti-programme malveillant
Exchange Server 2016 propose par défaut un composant de détection des programmes malveillants. On associe les programmes malveillants à des virus, vers et autres chevaux de Troie et la solution intègre donc un logiciel antivirus à l’infrastructure Exchange.
Cette solution fait écho à son équivalent hébergé appelé Forefront Online Protection for Exchange (FOPE) ou à des solutions éditées par des sociétés tierces comme Symantec, Trend…
Par défaut, la fonction de filtrage des programmes malveillants est activée dans Microsoft Exchange Server 2016. Il est possible de personnaliser le comportement du logiciel à l’aide de stratégies personnalisées.
La détection des programmes malveillants est réalisée sur les messages envoyés ou reçus à partir d’un serveur de boîtes aux lettres.
Comme toutes les solutions de détection de logiciels malveillants, sa maintenance nécessite des mises à jour régulières pour que les dernières versions de virus soient détectées.
2. Configuration du composant anti-programme malveillant
La configuration du composant anti-programme malveillant passe par des stratégies....