Exporter (0) Imprimer
Développer tout

Guide sur la sécurité dans Exchange 2007

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2007-09-17

Auparavant, pour chaque version de Microsoft Exchange Server, l'équipe Exchange publiait des guides sur le renforcement de la sécurité autonomes avec des informations sur les autorisations et la sécurité. Cette approche était utile pour le verrouillage des services et des répertoires après l'exécution de l'installation d'Exchange. Toutefois, dans une installation de Microsoft Exchange Server 2007 basée sur le rôle serveur, Microsoft Exchange n'active que les services requis par le rôle serveur en cours d'installation. Microsoft Exchange ne doit plus être installé, par conséquent sa sécurité ne doit plus être renforcée. Il est conçu pour être sécurisé par défaut.

Donc, contrairement aux versions précédentes de Exchange Server dans lesquelles les administrateurs du service informatique devaient appliquer plusieurs procédures pour verrouiller les serveurs exécutant Exchange Server, Exchange 2007 ne nécessite ni verrouillage ni renforcement.

Ce guide est destiné à l'administrateur du service informatique chargé de sécuriser le déploiement de Exchange 2007. Il est conçu pour aider l'administrateur à comprendre et à gérer l'environnement de sécurité global dans lequel Exchange est installé. Ce guide contient les informations suivantes :

Début 2002, Microsoft a introduit l'initiative Informatique de confiance. Depuis l'introduction de l'Informatique de confiance, le processus de développement de Microsoft et l'équipe Exchange Server se sont concentrés sur le développement d'un logiciel sécurisé par défaut. Pour plus d'informations, consultez la page Informatique de confiance.

Dans Exchange 2007, l'Informatique de confiance a été implémentée dans les quatre domaines centraux suivants :

  • Sécurisé à la conception   Exchange 2007 a été conçu et développé conformément au cycle de développement sécurisé de l'Informatique de confiance : The Trustworthy Computing Security Development Lifecycle. Lors du processus de création d'un système de messagerie plus sécurisé, la première étape a été la conception de modèles de menace et chaque fonction a été testée dès sa conception. Plusieurs améliorations liées à la sécurité ont été intégrées au processus et aux pratiques de codage. Des outils de modélisation détectent les dépassements de mémoire tampon et autres menaces potentielles de sécurité avant que le code ne soit intégré au produit final. Bien sûr, il est impossible de prévoir toutes les menaces de sécurités inconnues lors de la conception. Aucun système ne peut garantir une sécurité totale. Toutefois, grâce à l'inclusion de principes de conception sécurisée dans tout le processus de conception, Exchange 2007 est plus sécurisé que ses versions précédentes.

  • Sécurisé par défaut   Un objectif de Exchange 2007 était de développer un système dans lequel la plupart des communications réseau seraient chiffrées par défaut. À part pour les communications SMB (Server Message Block) du cluster et certaines communications de messagerie unifiée, cet objectif a été atteint. Grâce à l'utilisation de certificats auto-signés, des protocoles Kerberos, SSL (Secure Sockets Layer) et autres techniques de chiffrement standard de l'industrie, pratiquement toutes les données Exchange 2007 sont protégées sur le réseau. De plus, avec l'installation basée sur le rôle, il est possible d'installer Exchange 2007 de façon à ce que seuls les services et les autorisations liées à ces services soient installés avec un rôle serveur spécifique et approprié. Dans les versions précédentes de Exchange Server, tous les services de toutes les fonctionnalités devaient être installés. 

    noteRemarque :
    Pour le chiffrement des communications SMB et MU, la sécurité IPSec (Internet Protocol security) doit être déployée. Les futures versions de ce guide pourraient inclure des informations concernant la procédure de chiffrement des communications SMB et de messagerie unifiée.
  • Blocage du courrier indésirable et fonctionnalité antivirus   Exchange 2007 intègre une suite d'agents de blocage du courrier indésirable exécutée sur le réseau du périmètre. La fonctionnalité antivirus a été améliorée grâce à l'ajout de Microsoft Forefront Security pour Exchange Server comme solution Microsoft.

  • Sécurisé dans le déploiement   Lors du développement de Exchange 2007, la version préliminaire a été déployée dans l'environnement de production du service informatique Microsoft. À partir des données obtenues lors de ce déploiement, Microsoft Exchange Best Practice Analyzer a été mis à jour pour détecter des configurations de sécurité basées sur la réalité, et les meilleures pratiques préalables et postérieures au déploiement ont été répertoriées dans Exchange 2007 Help. 

    Auparavant, la gestion des autorisations était documentée et remise une fois que la documentation du produit principal était achevée. Toutefois, nous savons que la gestion des autorisations n'est pas un processus complément. Elle devrait être intégrée dans les phases générales de planification et de déploiement de Exchange 2007. C'est pourquoi nous avons rationalisé notre documentation sur les autorisations et l'avons intégrée à la documentation principale afin de fournir un contexte sans faille aux administrateurs lorsqu'ils planifient ou déploient leur modèle administratif.

  • Communications   Maintenant que Exchange 2007 a été publié, l'équipe Exchange s'engage à actualiser le logiciel et à vous tenir informé. En maintenant à jour votre système avec Microsoft Update, vous êtes assuré que les dernières mises à jour de sécurité sont installées dans votre organisation. Exchange 2007 intègre également des mises à jour pour le blocage du courrier indésirable. De plus, en vous abonnant aux notifications de sécurité technique Microsoft : Microsoft Technical Security Notifications, vous pouvez suivre les dernières questions sur la sécurité dans Exchange 2007.

Sur quoi porte ce guide ?

Considérons certaines meilleures pratiques de base qui vous aideront à créer et à maintenir un environnement plus sécurisé. En général, pour optimiser votre environnement Exchange 2007 le plus efficacement en termes de sécurité, il suffit de maintenir à jour le logiciel et les fichiers de signature antivirus, et d'exécuter des analyseurs régulièrement.

Cette section décrit certaines meilleures pratiques pour qu'un environnement Exchange 2007 devienne sécurisé et le reste.

Les outils suivants sont fournis par Microsoft pour vous permettre de créer un environnement sécurisé. Avant d'installer Exchange 2007, exécutez les outils suivants :

  • Mise à jour Microsoft

  • Exchange Best Practices Analyzer ;

  • Microsoft Baseline Security Analyzer

  • L'outil IIS (Internet Information Services) Lockdown et URLScan, uniquement pour les environnements dans lesquels vous exécutez Windows Server 2003 après avoir mis à niveau à partir de Windows 2000 Server.

  • Modèles Exchange pour l'Assistant Configuration de la sécurité (SCW)

Microsoft Update est un nouveau service offrant les mêmes téléchargements que Windows Update—ainsi que les dernières mises à jour d'autres programmes Microsoft. Il peut permettre à votre ordinateur de rester plus sécurisé et d'optimiser ses performances.

Une des fonctionnalités clés de Microsoft Update est la mise à jour automatique Windows. Cette fonctionnalité installe automatiquement les mises à jour à priorité élevée essentielles à la sécurité et à la fiabilité de votre ordinateur. Sans ces mises à jour de sécurité, votre ordinateur est plus vulnérable aux attaques de cyber-criminels et programmes malveillants.

La façon la plus fiable d'utiliser Microsoft Update est de recevoir les mises à jour automatiquement sur votre ordinateur à l'aide des mises à jour automatiques Windows. Vous pouvez activer les mises à jour automatiques lorsque vous vous inscrivez à Microsoft Update.

Windows analyse alors le logiciel Microsoft installé sur votre ordinateur pour rechercher toute mise à jour à priorité élevée actuelle et passée requise puis il les télécharge et les installe automatiquement. Par la suite, dès que vous vous connectez à Internet, Windows répète ce processus de mise à jour pour toute nouvelle mise à jour à priorité élevée.

noteRemarque :
Si vous utilisez déjà les mises à jour automatiques, Microsoft Update continue à fonctionner tel que vous l'avez configuré.

Pour activer Microsoft Update, consultez la page Microsoft Update

Le mode par défaut de Microsoft Update exige que chaque ordinateur Exchange soit connecté à Internet afin de recevoir les mises à jour automatiques. Si vous exécutez des serveurs qui ne sont pas connectés à Internet, vous pouvez installer Windows Server Update Services (WSUS) pour gérer la distribution des mises à jour aux ordinateurs de votre organisation. Vous pouvez ensuite configurer Microsoft Update sur les ordinateurs Exchange Server internes de façon à contacter votre serveur WSUS interne pour les mises à jour. Pour plus d'informations, consultez la page Microsoft Windows Server Update Services 3.0

WSUS n'est pas la seule solution Microsoft de gestion de mises à jour disponible. Pour plus d'informations sur la solution de gestion Microsoft Update qui répond le mieux à vos besoins, consultez la page MBSA, MU, WSUS, Essentials 2007 or SMS 2003?.

Exchange 2007 utilise également l'infrastructure de Microsoft Update pour maintenir à jour les filtres de blocage du courrier indésirable. Par défaut, avec les mises à jour manuelles, l'administrateur doit visiter Microsoft Update pour télécharger et installer les mises à jour du filtrage du contenu. Les données de mise à jour du filtrage du contenu sont actualisées et mises à disposition pour téléchargement toutes les deux semaines.

Les mises à jour manuelles de Microsoft Update n'incluent pas les données du service de réputation d'IP de Microsoft ou de signature de courrier indésirable. Les données du service de réputation d'IP de Microsoft et de signature de courrier indésirable sont uniquement disponibles avec Forefront Security pour les mises à jour automatiques de blocage du courrier indésirable d'Exchange Server.

noteRemarque :
La fonction de mise à jour automatique du blocage du courrier indésirable de Forefront est une fonctionnalité essentielle qui requiert une licence d'accès client (LAC) Entreprise Exchange pour chaque boîte aux lettres d'utilisateur ou une licence Forefront Security pour Exchange Server.

Pour plus d'informations sur l'activation des mises à jour automatiques du blocage du courrier indésirable de Forefront, consultez la rubrique Mises à jour de la fonctionnalité de blocage du courrier indésirable.

Exchange Best Practices Analyzer est l'un des outils les plus efficaces que vous pouvez exécuter régulièrement pour à vérifier que votre environnement Exchange est sûr. L'outil Exchange Best Practices Analyzer examine automatiquement le déploiement d'Microsoft Exchange et détermine si la configuration est conforme aux meilleures pratiques Microsoft. Vous pouvez installer Exchange Server Best Practices Analyzer sur un ordinateur client qui exécute Microsoft .NET Framework 1.1. Un accès réseau approprié permet à Exchange Best Practices Analyzer d'examiner l'ensemble du service d'annuaire Active Directory et des serveurs Exchange.

Pour plus d'informations, ou pour connaître les meilleures pratiques, consultez la section « Exécution de Exchange Best Practices Analyzer » ci-après dans ce guide et la page Microsoft Exchange Best Practices Analyzer v2.8.

Microsoft Baseline Security Analyzer (MBSA) est un outil conçu pour permettre à des professionnels de l'informatique d'aider des petites et moyennes entreprises à déterminer l'état de leur sécurité conformément aux recommandations de Microsoft en termes de sécurité. Améliorez votre processus de gestion de la sécurité à l'aide de MBSA pour détecter des erreurs de configuration de la sécurité courantes et des mises à jour de sécurité manquantes sur vos systèmes informatiques.

Vous pouvez télécharger MBSA sur le site Microsoft Baseline Security Analyzer.

Par défaut, les versions 6.0 et 7.0 d'IIS, installées avec Windows Server et Windows Server 2008 respectivement, ont des paramètres de configuration liés à la sécurité similaires à ceux créés par l'outil IIS Lockdown. Par conséquent, vous n'avez pas besoin exécuter l'outil IIS Lockdown sur des serveurs Web exécutant IIS version 6.0 ou 7.0. Toutefois, si vous mettez à niveau à partir d'une version précédente d'IIS vers IIS version 6.0 ou 7.0, nous vous conseillons d'exécuter l'outil IIS Lockdown pour améliorer la sécurité de votre serveur Web.

Nous vous conseillons de ne pas exécuter URLScan avec IIS version 6.0 ou 7.0 car le risque d'erreur de configuration est beaucoup plus important que les avantages d'URLScan.

Pour plus d'informations, consultez la rubrique How To : Utilisez IISLockdown.exe.

L'Assistant Configuration de la sécurité est un outil introduit avec Windows Server 2003 Service Pack 1. Il permet de minimiser la surface d'attaque pour les serveurs en désactivant les fonctionnalités Windows qui ne sont pas requises pour les rôles serveur Exchange 2007. L'Assistant Configuration de la sécurité automatise les meilleures pratiques de sécurité consistant à réduire la surface d'attaque pour un serveur. Il utilise une métaphore basée sur un rôle pour solliciter les services requis pour les applications sur un serveur. Cet outil réduit la sensibilité des environnements Windows à l'exploitation des vulnérabilités de la sécurité.

Pour plus d'informations sur la procédure de création de modèles Exchange 2007 pour le SCW, consultez la rubrique « Utilisation de l'Assistant Configuration de la sécurité afin de sécuriser Windows pour les rôles serveur Exchange » ci-après dans ce guide.

Cette section indique les meilleures pratiques pour maintenir votre environnement Exchange 2007 sécurisé.

Comme indiqué dans la section précédente, Exchange Best Practices Analyzer est l'un des outils les plus efficaces que vous pouvez exécuter régulièrement pour vous aider à vérifier que votre environnement Exchange est sûr.

Pour la plupart des environnements, nous conseillons d'exécuter Exchange Best Practices Analyzer au moins une fois par trimestre. Toutefois, il est recommandé de l'exécuter une fois par mois sur tous les serveurs exécutant Exchange Server.

En outre, vous pouvez exécuter Exchange Best Practices Analyzer dans les scénarios suivants :

  • Dès que vous apportez des modifications de configuration importantes à un serveur Exchange. Par exemple, vous devez l'exécuter après avoir ajouté ou supprimé des connecteurs ou créé une connexion EdgeSync à un serveur de transport Edge.

  • Immédiatement après avoir installé un nouveau rôle serveur Exchange ou supprimé un rôle serveur Exchange.

  • Après avoir installé un service pack pour Windows ou pour Exchange Server.

  • Après avoir installé un logiciel tiers sur un ordinateur exécutant Microsoft Exchange.

Les virus, les vers et autres contenus nuisibles transmis par les systèmes de messagerie électronique sont une réalité destructrice à laquelle de nombreux administrateurs de Microsoft Exchange sont confrontés. Par conséquent, vous devez développer un déploiement antivirus de défense pour tous les systèmes de messagerie. Cette section fournit des recommandations de meilleures pratiques pour le déploiement d'un logiciel antivirus pour Exchange 2007 et Microsoft Office Outlook 2007.

Vous devez notamment être vigilant concernant deux modifications importantes dans Exchange 2007 au moment de choisir un fournisseur de solutions antivirus :

  • Exchange 2007 est basé sur une architecture 64 bits.

  • Comme indiqué ci-après dans cette rubrique, Exchange 2007 comprend de nouvelles fonctionnalités de l'Agent de transport.

Ces deux modifications impliquent que les fournisseurs de solutions antivirus doivent proposer des logiciels spécifiques à Exchange 2007. Un antivirus conçu pour les versions précédentes d'Exchange Server ne fonctionnera pas correctement avec Exchange 2007.

Pour utiliser une approche de défense approfondie, il est recommandé de déployer le logiciel antivirus conçu pour des systèmes de messagerie sur la passerelle SMTP (Simple Mail Transfer Protocol) ou sur les serveurs Exchange qui hébergent des boîtes aux lettres, en plus du logiciel antivirus installé sur le bureau de l'utilisateur.

Vous décidez des types de logiciels antivirus à utiliser et de l'emplacement de déploiement des logiciels en recherchant l'équilibre approprié entre le coût que vous voulez tolérer et le risque que vous voulez prendre. Par exemple, certaines organisations exécutent des logiciels antivirus de messagerie sur la passerelle SMTP, des analyses antivirus au niveau des fichiers sur le serveur Exchange et des logiciels antivirus clients sur le bureau de l'utilisateur. Cette approche offre une protection spécifique à la messagerie sur la passerelle, une protection générale au niveau des fichiers sur le serveur de messagerie et une protection du client. D'autres organisations peuvent tolérer des coûts plus élevés et donc améliorer la sécurité en exécutant un logiciel de messagerie antivirus sur la passerelle SMTP, une analyse antivirus au niveau fichier sur le serveur Exchange et un logiciel client antivirus sur le bureau de l'utilisateur, en plus d'un logiciel antivirus compatible avec Exchange VSAPI (Virus Scanning Application Programming Interface) 2.5 sur le serveur de boîtes aux lettres Exchange.

La première ligne de défense de votre organisation est l'endroit où votre antivirus de messagerie doit être exécuté en priorité. Dans Exchange 2007, la première ligne de défense se trouve au niveau du réseau de périmètre sur le serveur de transport Edge.

Pour se protéger efficacement des propagations de virus dans votre organisation ou se doter d'une deuxième ligne de défense, il est également recommandé d'exécuter un logiciel antivirus de transport sur les serveurs de transport Hub au sein de l'organisation.

Dans Exchange 2007, les agents agissent sur les événements de transport, un peu comme les récepteurs d'événements dans les versions précédentes de Microsoft Exchange. Des développeurs tiers peuvent écrire des agents personnalisés pour exploiter le moteur d'analyse MIME Exchange sous-jacent afin d'effectuer une analyse antivirus fiable au niveau transport.

De nombreux fournisseurs de logiciels tiers proposent des agents spécifiques à Exchange 2007 qui s'appuient sur le moteur d'analyse MIME de transport Exchange. Contactez votre fournisseur de solutions antivirus pour plus d'informations.

En outre, Microsoft Forefront Security pour Exchange Server inclut un agent antivirus de transport pour Exchange 2007. Pour plus d'informations sur l'installation et la configuration de Forefront Security pour l'agent antivirus Exchange Server, visitez la page Protection de votre organisation Microsoft Exchange avec Microsoft Forefront Security pour Exchange Server.

noteRemarque :
Les objets qui ne sont pas routés via le transport, tels que les éléments de dossiers publics, les éléments envoyés et les éléments de calendrier, qui ne peuvent être analysés que sur un serveur de boîtes aux lettres, ne sont pas protégés par une analyse antivirus uniquement du transport.

Vous pouvez exécuter une analyse antivirus au niveau fichier sur les deux types d'ordinateur suivants :

  • bureaux d'utilisateur ;

  • serveurs.

Outre l'analyse antivirus au niveau fichier, envisagez d'exécuter une solution Microsoft VSAPI sur votre serveur de boîtes aux lettres Exchange.

Analyse antivirus des bureaux

Il est fortement recommandé que les utilisateurs exécutent la dernière version d'Outlook. Si vous exécutez des clients de messagerie électronique expirés sur le bureau, vous prenez un risque important en raison du modèle d'objet et du comportement de traitement des pièces jointes dans les clients de messagerie électronique antérieurs. Donc, par défaut, Microsoft Office Outlook 2003 et Office Outlook 2007 sont les seuls clients MAPI pour lesquels Exchange 2007 accepte des connexions. Pour plus d'informations sur les risques associés à l'exécution de versions antérieures de clients de messagerie électronique, consultez la page relative à la Procédure de sécurisation d'Outlook.

Après la mise à niveau d'Outlook 2003 ou d'Outlook 2007, vérifiez que vous avez installé un antivirus au niveau fichier sur tous les ordinateurs de bureau. En outre, effectuez les étapes suivantes :

  • Élaborez un plan permettant de vérifier que les fichiers de signature antivirus sont automatiquement mis à jour sur tous les bureaux.

  • Assurez-vous de développer et de maintenir une solution de gestion des mises à jour de bout en bout dans votre organisation pour combattre les virus.

Analyse antivirus des serveurs

Envisagez d'adopter une stratégie générale pour exécuter une analyse au niveau fichier sur tous les ordinateurs de bureau et serveurs de l'organisation. Par conséquent, une analyse antivirus au niveau fichier doit être exécutée sur tous les ordinateurs Exchange Server. Pour chaque rôle serveur, vous devez effectuer une configuration supplémentaire pour l'analyse au niveau fichier afin que certains répertoires, types de fichier et traitements ne soient pas analysés. Par exemple, il est déconseillé d'exécuter un logiciel antivirus au niveau fichier sur les bases de données de la banque d'informations Exchange. Pour des informations de configuration spécifiques, consultez la rubrique Analyse antivirus au niveau fichier sur Exchange 2007.

Analyse des bases de données de boîtes aux lettres avec VSAPI

Une solution d'analyse Microsoft VSAPI (Virus Scanning API) peut constituer une couche de défense importante pour de nombreuses organisations. Envisagez d'exécuter une solution antivirus VSAPI si l'une des conditions suivantes est vraie :

  • Les produits d'analyse antivirus de bureau déployés dans votre organisation ne sont pas complets et fiables.

  • Votre organisation veut disposer d'une protection supplémentaire que l'analyse de la banque d'informations peut fournir.

  • Votre organisation a développé des applications personnalisées qui ont un accès par programme à une base de données Exchange.

  • Votre communauté d'utilisateurs publie régulièrement des messages dans des dossiers publics.

Les solutions antivirus qui utilisent Exchange VSAPI s'exécutent directement dans le traitement de banque d'informations Exchange. Les solutions VSAPI sont probablement les seules solutions pouvant protéger contre des vecteurs d'attaque qui placent du contenu infecté dans la banque d'informations Exchange en ignorant l'analyse de client et de transport standard. Par exemple, la solution VSAPI est la seule qui analyse les données qui sont soumises à une base de données par CDO (Collaboration Data Objects), WebDAV et les services Web Exchange.

En outre, quand une propagation de virus se produit, souvent, une solution antivirus VSAPI offre la manière la plus rapide de supprimer et éliminer des virus d'une banque d'informations de messagerie infectée.

Pour obtenir des informations plus spécifiques sur l'exécution de Forefront Security pour Exchange Server, qui inclut un moteur d'analyse VSAPI, consultez la page Protection de votre organisation Microsoft Exchange avec Microsoft Forefront Security pour Exchange Server.

Le filtrage du courrier indésirable et des virus est amélioré par les services hébergés Microsoft Exchange ou disponible auprès de ces sites. Les services Exchange hébergés comprennent quatre services hébergés distincts :

  • Filtrage hébergé, qui aide les organisations à se protéger des logiciels malveillants de type e-mail-borne ;

  • Archive hébergée, qui les aide à répondre aux exigences de rétention à des fins de conformité ;

  • Chiffrement hébergé, qui les aide à chiffrer des données afin de préserver la confidentialité ;

  • Continuité hébergée, qui les aide à conserver l'accès à la messagerie pendant et après des situations d'urgence.

Ces services s'intègrent avec tout serveur Exchange sur site géré en interne ou tout service de messagerie Exchange hébergé offert via des fournisseurs de service. Pour plus d'informations sur les services Exchange hébergés, consultez la rubrique Services Microsoft Exchange hébergés.

Pour accéder à un livre blanc détaillé sur la manière dont MSIT a déployé une solution antivirus pour un serveur Exchange 2007, consultez la page sur la protection du transport Edge et de la messagerie Microsoft Exchange Server 2007.

Forefront Security pour Exchange Server fournit une solution antivirus de moteurs d'analyse multiples pour les rôles serveur de transport Exchange et une solution VSAPI pour le serveur de boîtes aux lettres Exchange. Pour les meilleurs pratiques concernant une solution antivirus de bout en bout, consultez la page sur la protection d'une organisation Microsoft Exchange avec Microsoft Forefront Security pour Exchange Server.

Comme indiqué ci-avant, l'exécution de Microsoft Update est recommandée. En plus d'exécuter Microsoft Update sur tous les serveurs, il est également très important de maintenir les ordinateurs clients à jour et de conserver les mises à jour de l'antivirus sur tous les ordinateurs de votre organisation.

En plus du logiciel Microsoft, assurez-vous que vous exécutez les dernières mises à jour de tous les logiciels exécutés dans votre organisation.

Les anciennes versions d'Outlook présentaient des vulnérabilités qui pouvaient potentiellement augmenter la propagation des virus. Nous vous recommandons d'autoriser Exchange 2007 à accepter les connexions MAPI en provenance de clients Outlook 2007, Outlook 2003, et Outlook 2002 uniquement. En restreignant les versions des clients Outlook autorisés à se connecter à Exchange, vous pouvez réduire considérablement le risque de virus et autres attaques de programmes malveillants. Il est recommandé de réduire et de normaliser les versions des logiciels exécutés dans votre organisation.

Pour plus d'informations sur la procédure de suppression de l'accès client Outlook à Exchange 2007, consultez la page Toutes les versions d'Outlook sont autorisées à accéder au serveur.

Dans Exchange 2007, le filtrage des pièces jointes permet d'appliquer des filtres au niveau du serveur pour contrôler les pièces jointes que reçoivent les utilisateurs. Le filtrage des pièces jointes prend de l'ampleur dans le contexte actuel où de nombreuses pièces jointes contiennent des virus dangereux ou des matériaux inappropriés pouvant porter préjudice à l'ordinateur de l'utilisateur ou à l'organisation en endommageant des documents importants ou en rendant publiques des informations sensibles.

noteRemarque :
Il est recommandé de ne pas supprimer les pièces jointes des messages électroniques signés numériquement, chiffrés ou protégés. Si vous supprimez les pièces jointes de ces messages, vous invalidez les messages signés numériquement et vous rendez les messages chiffrés et protégés illisibles.

Vous pouvez utiliser les types de filtrages des pièces jointes suivants pour contrôler les pièces jointes entrant ou sortant de votre organisation :

  • Filtrage basé sur le nom de fichier ou l'extension de nom de fichier   Vous pouvez filtrer les pièces jointes en spécifiant le nom de fichier exact ou l'extension de nom de fichier à filtrer. NomFichierMauvais.exe est un exemple de filtre de nom de fichier exact. *.exe est un exemple de filtre d'extension de nom de fichier.

  • Filtrage basé sur le type de contenu MIME du fichier   Vous pouvez aussi filtrer les pièces jointes en spécifiant le type de contenu MIME à filtrer. Les types de contenus MIME indiquent la nature de la pièce jointe, s'il s'agit d'une image JPEG, d'un fichier exécutable, d'un fichier Microsoft Office Excel 2003 ou d'un autre type de fichier. Les types de contenus sont exprimés comme type/subtype. Par exemple, le type de contenu image JPEG est exprimé comme image/jpeg.

    Pour afficher une liste complète de toutes les extensions de nom de fichier ou de toues les types de contenu que le filtrage des pièces jointes peut filtrer, exécutez la commande suivante :

    Get-AttachmentFilterEntry | FL
    

    Pour exécuter la cmdlet Get-AttachmentFilterEntry sur un ordinateur associé à un domaine, vous devez utiliser un compte auquel a été délégué le rôle Administrateur Exchange - Affichage seul.

    Pour exécuter la cmdlet Get-AttachmentFilterEntry sur un ordinateur sur lequel le rôle serveur de transport Edge est installé, vous devez ouvrir une session en utilisant un compte membre du groupe Administrateurs local sur cet ordinateur.

    Pour plus d'informations sur les autorisations, la délégation de rôles et les droits requis pour administrer Exchange 2007, consultez la rubrique Considérations relatives aux autorisations.

Si une pièce jointe correspond à l'un de ces critères de filtrage, vous pouvez configurer l'une des actions suivantes à appliquer à la pièce jointe.

  • Bloquer le message et la pièce jointe   Une pièce jointe correspondant à un filtre des pièces jointes et son message électronique peuvent être bloqués à l'entrée du système de messagerie. Si une pièce jointe et un message électronique sont bloqués, l'expéditeur reçoit un message de notification d'état de remise (DSN, Delivery Status Notification) qui indique que le message contient un nom de fichier en pièce jointe inacceptable.

  • Supprimer la pièce jointe mais transmettre le message   Une pièce jointe correspondant à un filtre des pièces jointes peut être supprimée alors que le message électronique et les autres pièces jointes ne correspondant pas au filtre sont transmis. Si une pièce jointe est supprimée, elle est remplacée par un fichier texte expliquant le motif de sa suppression. Cette action est le paramètre par défaut.

  • Supprimer silencieusement le message et la pièce jointe   Une pièce jointe correspondant à un filtre des pièces jointes et son message électronique peuvent être bloqués à l'entrée du système de messagerie. Si une pièce jointe et un message électronique sont bloqués, ni l'expéditeur ni le destinataire ne reçoivent de notification.

    CautionAttention :
    Vous ne pouvez pas récupérer de messages électroniques et de pièces jointes bloqués ni de pièces jointes supprimées. Lorsque vous configurez des filtres de pièces jointes, assurez-vous d'examiner attentivement toutes les correspondances de noms de fichier possibles et vérifiez que les pièces jointes légitimes ne seront pas affectées par le filtre.

Pour plus d'informations, consultez la rubrique Procédure de configuration du filtrage des pièces jointes.

La fonctionnalité de filtrage des fichiers assurée par Forefront Security pour Exchange Server intègre des fonctions avancées non disponibles dans l’Agent de filtrage des pièces jointes par défaut inclus dans Exchange Server 2007 Standard Edition.

Par exemple, les fichiers conteneurs, qui sont des fichiers qui contiennent d'autres fichiers, peuvent être analysés à la recherche de types de fichiers incriminés. Le filtrage de Forefront Security pour Exchange Server peut analyser les fichiers conteneurs suivants et agir sur les fichiers incorporés :

  • PKZip (.zip)

  • GNU Zip (.gzip)

  • Archives ZIP auto-extractibles

  • Fichiers Zip (.zip)

  • Archive Java (.jar)

  • TNEF (winmail.dat)

  • Stockage structuré (.doc, .xls, .ppt, etc.)

  • MIME (.eml)

  • SMIME (.eml)

  • UUEncode (.uue)

  • Unix tape archive (.tar)

  • Archive RAR (.rar)

  • MACBinary (.bin)

noteRemarque :
L’agent de filtrage des pièces jointes par défaut inclus avec Exchange 2007 Standard Edition détecte les types de fichiers même s’ils ont été renommés. Le filtrage des pièces jointes s’assure également que les fichiers Zip et LZH compressés ne contiennent pas de pièces jointes bloquées en exécutant une recherche de correspondance entre l'extension du nom de fichier et les fichiers contenus dans le fichier Zip ou LZH compressé. Le filtrage de fichier Forefront Security pour Exchange Server peut également déterminer si une pièce jointe bloquée a été renommée dans un fichier conteneur.

Vous pouvez également filtrer les fichiers par taille de fichier. De plus, vous pouvez configurer Forefront Security pour Exchange Server de manière à ce qu’il mette en quarantaine les fichiers filtrés ou qu’il envoie des notifications de message électronique basées sur les comparaisons de filtres de fichiers.

Pour plus d'informations, consultez la page sur la protection d'une organisation Microsoft Exchange avec Microsoft Forefront Security pour Exchange Server.

La plupart des utilisateurs se connectent à des ordinateurs locaux et distants en utilisant la combinaison de leur nom d'utilisateur et d'un mot de passe tapés au clavier. Bien que d'autres technologies d'authentification telles que la biométrie, la carte à puce et les mots de passe à usage unique soient disponibles pour tous les systèmes d'exploitation populaires, la plupart des organisations utilisent toujours les mots de passe traditionnels et ne sont pas prêtes d'arrêter. Par conséquent, il est très important que les organisations définissent et appliquent des stratégies de mots de passe pour leurs ordinateurs. Cela inclut l'obligation d'utiliser des mots de passe forts. Les mots de passe forts répondent à plusieurs exigences de complexité qui les rendent plus difficiles à découvrir pour les intrus. Celles-ci comprennent entre autres les exigences de longueur du mot de passe et de catégories de caractères. En définissant des stratégies de mots de passe forts pour votre organisation, vous pouvez permettre d'empêcher un intrus d'usurper l'identité des utilisateurs et ainsi éviter la perte, la diffusion ou la corruption d'informations sensibles.

Pour plus d'informations, consultez la page Application de mots de passe forts dans votre organisation.

Par défaut, lorsque vous créez une boîte aux lettres pour un utilisateur, l'adresse SMTP générée pour cet utilisateur est username@contoso.com, où username est le nom du compte de l'utilisateur Windows.

Nous vous conseillons de créer une nouvelle adresse SMTP pour que les utilisateurs masquent leurs noms d'utilisateurs Windows pour des utilisateurs malveillants.

Par exemple, prenons un utilisateur Kweku Ako-Adjei, avec un nom d'utilisateur Windows KwekuA. Pour masquer son nom d'utilisateur Windows, l'administrateur peut créer une adresse SMTP Kweku.Ako-Adjei@contoso.com.

L'utilisation d'une autre adresse SMTP n'est pas considérée comme une mesure de sécurité très forte. Cependant, cela rajoute un obstacle pour les utilisateurs malveillants qui tenteraient de pirater votre organisation à l'aide d'un nom d'utilisateur connu.

Pour plus d'informations sur la procédure d'ajout d'adresses SMTP pour des utilisateurs existants, consultez la rubrique Procédure de création d'une stratégie d'adresse de messagerie.

Le rôle serveur d'accès au client fournit un accès à Microsoft Outlook Web Access, Microsoft Exchange ActiveSync, Outlook Anywhere, ainsi qu'aux protocoles POP3 (Post Office Protocol version 3) et IMAP4 (Internet Message Access Protocol version 4rev1). En outre, cela prend en charge le service de découverte automatique et le service de disponibilité. Chacun de ces protocoles et services a des exigences propres en matière de sécurité.

La configuration d'une méthode d'authentification constitue l'une des tâches les plus importantes liées à la sécurité que vous pouvez exécuter pour le rôle serveur d'accès au client. Le rôle serveur d'accès au client est installé avec un certificat numérique auto-signé par défaut. Un certificat numérique a deux fonctions :

  • Il authentifie que son titulaire est bien celui ou ce qu’il prétend être.

  • Il protége les données échangées en ligne contre le vol et la falsification.

Bien que le certificat auto-signé par défaut soit pris en charge pour Exchange ActiveSync et Outlook Web Access, il ne constitue pas la méthode d’authentification la plus sécurisée. En outre, il n’est pas pris en charge pour Outlook Anywhere. Pour plus de sécurité, envisagez une configuration de votre serveur d'accès au client Exchange 2007 avec l'utilisation d'un certificat approuvé soit d’une autorité de certification commerciale tierce, soit d’une autorité de certification d'infrastructure à clé publique (PKI)Windows approuvée. Vous pouvez configurer l’authentification séparément pour Exchange ActiveSync, Outlook Web Access, Outlook Anywhere et les protocoles POP3 et IMAP4.

Pour plus d'informations sur la configuration de l’authentification, consultez les rubriques suivantes :

Après avoir optimisé la sécurité de vos communications entre les clients et le serveur Exchange 2007, vous devez optimiser la sécurité des communications entre le serveur Exchange 2007 et les autres serveurs de votre organisation. Par défaut, la communication HTTP, Exchange ActiveSync, POP3 et IMAP4 entre le serveur d'accès au client et d’autres serveurs, tels que les serveurs Exchange 2007 sur lesquels le rôle serveur de boîtes aux lettres est installé, les contrôleurs de domaine et les serveurs de catalogue global, est chiffrée.

Pour plus d’informations sur la gestion de la sécurité pour les divers composants de votre serveur d’accès au client, consultez les rubriques suivantes :

Sur quoi porte ce guide ?

Exchange 2007 inclut un ensemble de nouvelles fonctions nommé « Sécurité de domaine ». Domain Security fait référence à l’ensemble des fonctionnalités d'Exchange 2007 et d'Outlook 2007 qui fournissent une alternative relativement économique à S/MIME ou à d'autres solutions de sécurité au niveau message. Le rôle de la fonctionnalité Domain Security définie est de fournir aux administrateurs un moyen de gérer les chemins de messages sécurisés sur Internet avec les partenaires commerciaux. Une fois que ces chemins de messages sécurisés sont configurés, les messages transmis avec succès sur le chemin sécurisé depuis un expéditeur authentifié sont affichés à l’attention de l'utilisateur comme « Domaine sécurisé » dans l'interface Outlooket Outlook Web Access.

La sécurité de domaine utilise le protocole TLS (Transport Layer Security) avec authentification mutuelle pour fournir une authentification et un chiffrement basés sur la session. Le protocole TLS avec authentification mutuelle diffère du protocole TLS tel qu’il est généralement implémenté. Généralement, lorsque TLS est implémenté, le client vérifie que la connexion se connecte de manière sécurisée au serveur souhaité en validant le certificat du serveur. Celui-ci est reçu dans le cadre de la négociation TLS. Dans ce scénario, le client authentifie le serveur avant que le client ne transmette les données. Toutefois, le serveur n’authentifie pas la session auprès du client.

Avec l’authentification TLS manuelle, chaque serveur vérifie la connexion auprès de l'autre serveur en validant un certificat fourni par l'autre serveur. Dans ce scénario, lorsque des messages sont reçus de domaines externes sur des connexions vérifiées dans un environnement Exchange 2007, Outlook 2007 affiche une icône « Domaine sécurisé ».

Pour plus d'informations sur la procédure de planification et de déploiement de la sécurité de domaine dans votre organisation, consultez le livre blanc sur la sécurité de domaine dans Exchange 2007.

Sur quoi porte ce guide ?

Par défaut, presque tous les chemins d'accès aux données utilisés par Exchange 2007 sont protégés. Cette section fournit des détails sur les ports, l'authentification et le chiffrement de tous les chemins d'accès aux données utilisés par Exchange 2007. Les sections Notes suivant chaque table clarifient ou définissent les méthodes d'authentification ou de chiffrement non standard.

La table suivante fournit des informations sur les ports, l'authentification et le chiffrement des chemins d'accès aux données entre les serveurs de transport Hub et Edge, et les chemins d'accès en direction et en provenance d'autres serveurs et services Exchange 2007.

Chemins d'accès aux données de serveur de transport

Chemin d'accès aux données Ports requis Authentification par défaut Authentification prise en charge Chiffrement pris en charge ? Chiffré par défaut ?

Entre serveurs de transport Hub

25/TCP (Secure Sockets Layer [SSL]), 587/TCP (SSL)

Kerberos

Kerberos

Oui (TLS)

Oui

Entre serveur de transport Hub et serveur de transport Edge

25/TCP (SSL)

Confiance directe

Confiance directe

Oui (TLS)

Oui

Entre serveur de transport Edge et serveur de transport Hub

25/TCP (SSL)

Confiance directe

Confiance directe

Oui (TLS)

Oui

Entre serveurs de transport Edge

25/TCP (SSL), 389/TCP/UDP, et 80/TCP (authentification par certificat)

Anonyme, certificat

Anonyme, certificat

Oui (TLS)

Non

Entre serveur de boîtes aux lettres et serveur de transport Hub via le service de dépôt du courrier Microsoft Exchange

135/TCP (RPC)

NTLM. En cas de connexion à un compte de service (local), Kerberos est utilisé.

NTLM/Kerberos

Oui (chiffrement RPC)

Oui

Entre serveur de transport Hub et serveur de boîtes aux lettres via MAPI

135/TCP (RPC)

NTLM. En cas de connexion à un compte de service (local), Kerberos est utilisé.

NTLM/Kerberos

Oui (chiffrement RPC)

Oui

Service EdgeSync de Microsoft Exchange

50636/TCP (SSL), 50389/TCP (Pas SSL)

Base

Base

Oui (LDAPS)

Oui

Service d'annuaire Active Directory Application Mode (ADAM) sur serveur de transport Edge

50389/TCP (pas SSL)

NTLM/Kerberos

NTLM/Kerberos

Non

Non

Accès au service d'annuaire Active Directory à partir d'un serveur de transport Hub

389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (accès réseau RPC)

Kerberos

Kerberos

Oui (chiffrement Kerberos)

Oui

Tout le trafic entre les serveurs de transport Hub est chiffré à l'aide de TLS avec des certificats auto-signés installés par défaut lors de l'installation d'Exchange 2007.

Tout le trafic entre les serveurs de transport Edge et Hub est authentifié et chiffré. Le mécanisme sous-jacent pour l'authentification et le chiffrement est Mutual TLS. Plutôt que d'utiliser une validation X.509, Exchange 2007 utilise une confiance directe pour authentifier les certificats. La confiance directe signifie que la présence du certificat dans Active Directory ou ADAM valide le certificat. Active Directory est considéré comme un mécanisme de stockage approuvé. Lorsque la confiance directe est utilisée, que le certificat soit auto-signé ou signé par une autorité de certification est sans importance. Lorsque vous abonnez un serveur de transport Edge à une organisation Exchange, l'abonnement Edge publie le certificat de serveur de transport Edge dans Active Directory pour validation par les serveurs de transport Hub. Le service EdgeSync de Microsoft Exchange met à jour ADAM avec l'ensemble des certificats de serveur de transport Hub pour validation par le serveur de transport Edge.

Par défaut, le trafic entre des serveurs de transport Edge de différentes organisations est chiffré. Par défaut, l'installation d'Exchange 2007 crée un certificat auto-signé et TLS est activé. Cela permet à tout système émetteur de chiffrer la session SMTP entrante dans Microsoft Exchange. Par défaut, Exchange 2007 essaie également TLS pour toutes les connexions distantes.

Les méthodes d'authentification pour le trafic entre les serveurs de transport Hub et de boîtes aux lettres diffèrent lorsque les rôles serveur de transport Hub et serveur de boîtes aux lettres se trouvent sur le même ordinateur. Si le dépôt de courrier est local, l'authentification Kerberos est utilisée. Si le dépôt de courrier est distant, l'authentification NTLM est utilisée.

Exchange 2007 prend également en charge la sécurité du domaine. Domain Security fait référence à l’ensemble des fonctionnalités d'Exchange 2007 et d'Outlook 2007 qui fournissent une alternative relativement économique à S/MIME ou à d'autres solutions de sécurité au niveau message sur Internet. Le rôle de la fonctionnalité de sécurité du domaine définie est de fournir aux administrateurs un moyen de gérer les chemins de messages sécurisés entre des domaines sur Internet. Une fois que ces chemins de messages sécurisés sont configurés, les messages transmis avec succès sur le chemin sécurisé depuis un expéditeur authentifié sont affichés à l’attention de l'utilisateur comme « Domaine sécurisé » dans l'interface Outlooket Outlook Web Access. Pour plus d'informations, consultez la rubrique Planification de la sécurité de domaine.

De nombreux agents peuvent s'exécuter sur les serveurs de transport Hub et Edge. Généralement, les agents de blocage du courrier indésirable utilisent des informations locales sur l'ordinateur sur lequel ils sont exécutés. C'est pourquoi, un minimum de communications avec les ordinateurs distants est requis. L'exception est le filtrage des destinataires. Celle-ci requiert des appels à ADAM ou Active Directory. Cette pratique est recommandée pour exécuter un filtrage des destinataires sur le serveur de transport Edge. Dans ce cas, le répertoire ADAM se trouve sur le même ordinateur que le serveur de transport Edge et aucune communication distante n'est requise. Si le filtrage des destinataires est installé et configuré sur le serveur de transport Hub, le filtrage des destinataires accède à Active Directory.

L'agent d'analyse de protocole est utilisé par la fonction Réputation de l'expéditeur dans Exchange 2007. Cet agent apporte également diverses connexions aux serveurs proxy extérieurs pour déterminer les chemins de message entrant en relation avec les connexions suspectes.

Toutes les autres fonctionnalités de blocage du courrier indésirable utilisent des données recueillies, stockées et accessibles uniquement sur l'ordinateur local. Souvent, les données telles que l'agrégation de listes fiables ou les données des destinataires pour le filtrage sont transmises au répertoire ADAM local via le service EdgeSync de Microsoft Exchange.

La journalisation et la classification des messages sont effectuées sur les serveurs de transport Hub et dépendent des données d'Active Directory.

Dans le cadre d'un rôle serveur de boîtes aux lettres, l'utilisation d'une authentification NTLM ou Kerberos dépend du contexte de l'utilisateur ou du processus sous lequel est exécuté le consommateur de la couche logique métier d'Exchange Dans ce cas de figure, le consommateur est toute application ou tout processus utilisant la couche logique métier d'Exchange. Dans la plupart des cellules d'« Authentification par défaut » du tableau « Chemins d'accès aux données du serveur de boîte aux lettres » de cette section, l'authentification est répertoriée comme « NTLM/Kerberos ».

La couche Logique métier d'Exchange permet d'accéder à la banque d'informations Exchange et de communiquer avec elle. La couche logique métier d'Exchange est également connue comme le stockage d'Exchange pour la communication avec des applications et processus externes.

Si le consommateur de la couche Logique métier d'Exchange opère comme système local, la méthode d'authentification est toujours Kerberos entre le consommateur et la banque d'informations Exchange. Kerberos est utilisé parce que le consommateur doit être authentifié à l'aide du système local du compte de l'ordinateur et une confiance authentifiée bidirectionnelle doit exister.

Si le consommateur de la couche Logique métier d'Exchange n'opère pas comme système local, la méthode d'authentification est NTLM. Par exemple, quand un administrateur exécute une cmdlet de l'environnement de ligne de commande Exchange Management Shell utilisant la couche Logique métier d'Exchange, NTLM est utilisé.

Le trafic RPC est toujours chiffré.

Le tableau suivant fournit des informations sur les ports, l'authentification et le chiffrement des chemins d'accès aux données entre ces serveurs de boîtes aux lettres.

Chemins d'accès aux données de serveur de boîtes aux lettres

Chemin d'accès aux données Ports requis Authentification par défaut Authentification prise en charge Chiffrement pris en charge ? Chiffré par défaut ?

Envoi de journaux (réplication continue locale et réplication continue en cluster)

445/Port aléatoire (amorçage)

NTLM/Kerberos

NTLM/Kerberos

Oui (IPsec)

Non

Sauvegarde du service VSS

Bloc de message serveur (SMB)l

NTLM/Kerberos

NTLM/Kerberos

Non

Non

Sauvegarde/amorçage hérité

Port aléatoire

NTLM/Kerberos

NTLM/Kerberos

Oui (IPsec)

Non

Clusters

135 /TCP (RPC) Consultez la rubrique « Remarques sur les serveurs de boîtes aux lettres » après cette table.

NTLM/Kerberos

NTLM/Kerberos

Oui (IPsec)

Non

Accès MAPI

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Oui (chiffrement RPC)

Oui

Assistants de boîte aux lettres

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Non

Non

Service Web de disponibilité (accès client à la boîte aux lettres)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Oui (chiffrement RPC)

Oui

Accès Active Directory

389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (accès réseau RPC)

Kerberos

Kerberos

Oui (chiffrement Kerberos)

Oui

Indexation du contenu

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Oui (chiffrement RPC)

Oui

Accès distant Admin (Registre distant)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Oui (IPsec)

Non

Accès distant Admin (SMB/Fichier)

445/TCP (SMB)

NTLM/Kerberos

NTLM/Kerberos

Oui (IPsec)

Non

Accès RPC du service de mise à jour de destinataire

135/TCP (RPC)

Kerberos

Kerberos

Oui (chiffrement RPC)

Oui

Accès au service de topologie Microsoft Exchange Active Directory

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Oui (chiffrement RPC)

Oui

Accès hérité au service de surveillance du système Microsoft Exchange (écouter les demandes)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Non

Non

Accès hérité du service de surveillance du système Microsoft Exchange à Active Directory

389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (accès réseau RPC)

Kerberos

Kerberos

Oui (chiffrement Kerberos)

Oui

Accès hérité au service de surveillance du système Microsoft Exchange (comme client MAPI)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Oui (chiffrement RPC)

Oui

Carnet d'adresses en mode hors connexion accédant à Active Directory

135/TCP (RPC)

Kerberos

Kerberos

Oui (chiffrement RPC)

Oui

Mise à jour de destinataire pour Active Directory

389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (accès réseau RPC)

Kerberos

Kerberos

Oui (chiffrement Kerberos)

Oui

DSAccess pour Active Directory

389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (accès réseau RPC)

Kerberos

Kerberos

Oui (chiffrement Kerberos)

Oui

Outlook accédant au carnet d'adresses en mode hors connexion

80/TCP, 443/TCP (SSL)

NTLM/Kerberos

NTLM/Kerberos

Oui (HTTPS)

Non

WebDav

80/TCP, 443/TCP (SSL)

De base, NTLM, Négociation

De base, NTLM, Négociation

Oui (HTTPS)

Oui

Pour l'authentification HTTP où « Négociation » est indiqué, une authentification Kerberos est d'abord tentée, puis une authentification NTLM.

Pour les communications intra-nœud, les nœuds du cluster communiquent par le biais du port UDP (User Datagram Protocol) 3343. Chaque nœud du cluster échange régulièrement des datagrammes UDP séquentiels unicast avec chaque autre nœud du cluster. Le but de cet échange est de déterminer si tous les noeuds fonctionnent correctement et de surveiller la santé des liaisons réseau.

Bien que les applications ou les clients WebDav puissent se connecter au serveur de boîtes aux lettres à l'aide d'un protocole 80/TCP ou 443/TCP, dans la plupart des cas, l'application ou les clients se connectent au serveur d'accès au client. Le serveur d'accès au client se connecte ensuite au serveur de boîtes aux lettres à l'aide d'un protocole 80/TCP ou 443/TCP.

Le chemin d'accès aux données de cluster indiqué dans le tableau « Chemins d'accès aux données du serveur de boîtes aux lettres » dans cette section utilise un RPC dynamique (TCP) pour communiquer l'état du cluster et l'activité entre les différents noeuds de cluster. Le service de cluster (ClusSvc.exe) utilise également des ports UDP/3343 et TCP haut débit alloués de façon aléatoire pour la communication entre les noeuds de cluster.

Sauf mention contraire, les technologies d'accès au client, telles que Office Outlook Web Access, POP3, ou IMAP4 sont décrites par l'authentification et le chiffrement de l'application cliente vers le serveur d'accès au client.

Le tableau suivant fournit des informations sur le port, l'authentification et le chiffrement des chemins d'accès aux données entre les serveurs d'accès au client et les autres serveurs et clients.

Chemins d'accès aux données de serveur d'accès au client

Chemin d'accès aux données Ports requis Authentification par défaut Authentification prise en charge Chiffrement pris en charge ? Chiffré par défaut ?

Service de découverte automatique

80/TCP, 443/TCP (SSL)

Authentification Windows de base/intégrée (Négociation)

Da base, Digest, NTLM, Négociation (Kerberos)

Oui (HTTPS)

Oui

Service de disponibilité

80/TCP, 443/TCP (SSL)

NTLM/Kerberos

NTLM, Kerberos

Oui (HTTPS)

Oui

Outlook Web Access

80/TCP, 443/TCP (SSL)

Authentification basée sur des formulaires

De base, Digest, Authentification basée sur des formulaires, NTLM (v2 uniquement), Kerberos, Certificat

Oui (HTTPS)

Oui, un certificat auto-signé est utilisé

POP3

110/TCP (TLS), 995/TCP (SSL)

Da base, NTLM, Kerberos

Da base, NTLM, Kerberos

Oui (SSL, TLS)

Oui

IMAP4

143/TCP (TLS), 993/TCP (SSL)

Da base, NTLM, Kerberos

Da base, NTLM, Kerberos

Oui (SSL, TLS)

Oui

Outlook Anywhere (précédemment appelé RPC sur http).

80/TCP, 443/TCP (SSL)

Base

De base ou NTLM

Oui (HTTPS)

Oui

Application Exchange ActiveSync

80/TCP, 443/TCP (SSL)

Base

De base, Certificat

Oui (HTTPS)

Oui

Serveur d'accès au client vers serveur de messagerie unifiée

5060/TCP, 5061/TCP, 5062/TCP, un port dynamique

Par adresse IP

Par adresse IP

Oui (SIP [Session Initiation Protocol ] sur TLS)

Oui

Serveur d'accès au client vers serveur de boîtes aux lettres exécutant une version antérieure d'Exchange Server

80/TCP, 443/TCP (SSL)

NTLM/Kerberos

Négociation (Kerberos avec recours à NTLM ou facultativement De base), texte brut POP/IMAP

Oui (IPsec)

Non

Serveur d'accès au client vers serveur de boîtes aux lettres Exchange 2007

RPC. Consultez la section « Notes sur les serveurs d'accès au client » après ce tableau.

Kerberos

NTLM/Kerberos

Oui (chiffrement RPC)

Oui

Serveur d'accès au client vers serveur d'accès au client (Exchange ActiveSync)

80/TCP, 443/TCP (SSL)

Kerberos

Kerberos, Certificat

Oui (HTTPS)

Oui, un certificat auto-signé est utilisé

Serveur d'accès au client vers serveur d'accès au client (Outlook Web Access)

80/TCP, 443/TCP (SSL)

Kerberos

Kerberos

Oui (HTTPS)

Oui

WebDAV

80/TCP, 443/TCP (SSL)

HTTP de base ou authentification basée sur des formulaires Outlook Web Access

De base, authentification basée de des formulaires Outlook Web Access

Oui (HTTPS)

Oui

Le serveur d'accès au client communique avec le serveur de boîtes aux lettres à l'aide de nombreux ports. À quelques exceptions près, ces ports sont déterminés par le service RPC et ne sont pas fixes.

Pour l'authentification HTTP où « Négociation » est indiqué, une authentification Kerberos est d'abord tentée, puis une authentification NTLM.

Lorsqu'un serveur d'accès au client Exchange 2007 communique avec un serveur de boîte aux lettres exécutant Exchange Server 2003, il est recommandé d'utiliser Kerberos et de désactiver l'authentification NTLM et l'authentification de base. En outre, il est conseillé de configurer Outlook Web Access pour utiliser une authentification basée sur des formulaires avec un certificat approuvé. Pour que les clients Exchange ActiveSync communiquent via le serveur d'accès au client Exchange 2007 vers le serveur principal Exchange 2003, l'authentification intégrée Windows doit être activée dans le répertoire virtuel Microsoft-Server-ActiveSync du serveur principal Exchange 2003. Pour utiliser le Gestionnaire système Exchange sur le serveur Exchange 2003 pour gérer l'authentification sur un répertoire virtuel Exchange 2003, téléchargez et installez le correctif référencé dans l'article 937301de la Base de connaissances Microsoft,  l'ID d'événement 1036 est connecté à un serveur Exchange 2007 exécutant le rôle CAS lorsque des périphériques mobiles se connectent au serveur Exchange 2007 pour accéder aux boîtes aux lettres sur un serveur principal Exchange 2003

Pour plus d'informations, consultez la rubrique Gestion de la sécurité de l'accès au client.

Les passerelles IP ne prennent en charge que l'authentification basée sur les certificats utilisant l'authentification mutuelle TLS et basée sur IP pour les connexions SIP (Session Initiation Protocol)/TCP. Les passerelles IP ne prennent pas en charge les authentifications NTLM ou Kerberos. C'est pourquoi, lorsque vous utilisez une authentification IP, les adresses IP se connectant sont utilisées pour fournir le mécanisme d'authentification pour les connexions non chiffrées (TCP). En cas d'utilisation d'une authentification IP dans une messagerie unifiée, le serveur de messagerie unifiée vérifie que l'adresse IP est autorisée à se connecter. L’adresse IP est configurée sur la passerelle IP ou l’IP PBX.

Le tableau suivant fournit des informations sur le port, l'authentification et le chiffrement des chemins d'accès aux données entre les serveurs de messagerie unifiée et les autres serveurs et clients.

Chemins d'accès aux données du serveur de messagerie unifiée

Chemin d'accès aux données Ports requis Authentification par défaut Authentification prise en charge Chiffrement pris en charge ? Chiffré par défaut ?

Télécopie de messagerie unifiée

5060/TCP, 5061/TCP, 5062/TCP, un port dynamique

Par adresse IP

Par adresse IP

SIP sur TLS, mais support non chiffré

Oui pour SIP

Interaction de téléphone de messagerie unifiée (PBX)

5060/TCP, 5061/TCP, 5062/TCP, un port dynamique

Par adresse IP

Par adresse IP

SIP sur TLS, mais support non chiffré

Oui pour SIP

Service Web de messagerie unifiée

80/TCP, 443/TCP (SSL)

Authentification Windows intégrée (Négociation)

Da base, Digest, NTLM, Négociation (Kerberos)

Oui (SSL)

Oui

Messagerie unifiée vers transport Hub

25/TCP (SSL)

Kerberos

Kerberos

Oui (TLS)

Oui

Serveur de messagerie unifiée vers serveur de boîtes aux lettres

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Oui (chiffrement RPC)

Oui

Lorsque vous créez un objet passerelle IP de messagerie unifiée dans Active Directory, vous devez définir l'adresse IP de la passerelle IP physique ou de l'IP PBX (Private Branch eXchange). Lorsque vous définissez l'adresse IP sur l'objet passerelle IP de messagerie unifiée, l'adresse IP est ajoutée à une liste de passerelles IP valides avec lesquelles le serveur de messagerie unifiée est autorisé à communiquer. Lors de sa création, la passerelle IP de messagerie unifiée est associée à un plan de commutation des appels de messagerie unifiée. L'association de la passerelle IP de messagerie unifiée avec un plan de numérotation permet aux serveurs de messagerie unifiée associés au plan de numérotation d'utiliser l'authentification basée sur IP pour communiquer avec la passerelle IP. Si la passerelle IP de messagerie unifiée n'a pas été créée ou si elle n'est pas configurée pour utiliser l'adresse IP correcte, l'authentification échoue et les serveurs de messagerie unifiée n'acceptent pas les connexions provenant de l'adresse IP de cette passerelle IP.

Avec la version de publication (RTM) de Exchange 2007, un serveur de messagerie unifiée peut communiquer sur le port 5060/TCP, qui n'est pas sécurisé, ou sur le port 5061/TCP, qui est sécurisé, mais pas sur les deux. Avec Exchange 2007 Service Pack 1 (SP1), un serveur de messagerie unifiée écoute sur le port 5060/TCP et sur le port 5061/TCP en même temps.

Pour plus d'informations, consultez les rubriques Présentation de la sécurité VoIP de messagerie unifiée et Présentation des protocoles, des ports et des services de messagerie unifiée.

Sur quoi porte ce guide ?

Cette section explique comment utiliser l'Assistant Configuration de la sécurité (SCW) pour réduire la surface d'attaque des serveurs en désactivant la fonctionnalité Windows qui n'est pas requise pour les rôles serveur Exchange 2007.

Exchange 2007 fournit un modèle SCW pour chaque rôle serveur Exchange 2007. En utilisant ce modèle avec l'Assistant Configuration de la sécurité, vous pouvez configure le système d'exploitation Windows pour qu'il verrouille les services et les ports inutiles pour chaque rôle serveur Exchange. Lorsque vous exécutez l'Assistant Configuration de la sécurité, vous créez une stratégie de sécurité personnalisée pour votre environnement. Une stratégie personnalisée peut être appliquée à tous les serveurs Exchange dans votre organisation. L'Assistant Configuration de la sécurité permet de configurer les fonctionnalités suivantes :

  • Rôle serveur   L'Assistant Configuration de la sécurité utilise les informations de rôle serveur pour activer des services et des ports ouverts dans le pare-feu local.

  • Fonctionnalités client   Les serveurs agissent également comme clients pour d'autres serveurs. Sélectionnez uniquement les fonctionnalités client requises pour votre environnement.

  • Options d'administration   Sélectionnez les options requises pour votre environnement, telles que la sauvegarde et le signalement des erreurs.

  • Services   Sélectionnez les services requis pour le serveur et définissez le mode de démarrage pour les services non spécifiés par la stratégie. Les services non spécifiés ne sont pas installés sur le serveur sélectionné et ne sont pas répertoriés dans la base de données de configuration de la sécurité. La stratégie de sécurité que vous configurez peut être appliquée à des serveurs exécutant des services différents de ceux du serveur sur lequel la stratégie est créée. Vous pouvez sélectionner le paramètre de stratégie qui détermine l'action à exécuter quand un service non spécifié est trouvé sur un serveur auquel cette stratégie est appliquée. Vous pouvez définir l'action de façon à ne pas modifier le mode de démarrage du service ou à désactiver le service.

  • Sécurité du réseau   Sélectionnez les ports à ouvrir pour chaque interface réseau. L'accès aux ports peut être restreint en fonction de l'interface réseau locale ou sur la base des adresses IP et des sous-réseaux distants.

  • Paramètres du Registre   Les paramètres du Registre permettent de configurer les protocoles utilisés pour communiquer avec d'autres ordinateurs.

  • Stratégie d'audit   La stratégie d'audit détermine les événements de réussite et d'échec qui sont journalisés ainsi que les objets du système de fichiers soumis à l'audit.

Après avoir installé un rôle serveur Exchange, procédez comme suit pour configurer une stratégie de sécurité à l'aide de l'Assistant Configuration de la sécurité :

  1. Installez l’Assistant Configuration de la sécurité.

  2. Enregistrez l'extension de l'Assistant Configuration de la sécurité.

  3. Créez une stratégie de sécurité personnalisée et appliquez-la au serveur local.

  4. Si plusieurs serveurs Exchange de votre organisation exécutent un rôle donné, vous pouvez appliquer votre stratégie de sécurité personnalisée à chaque serveur Exchange.

La section ci-dessous fournit des procédures pour chacune des étapes précédentes.

Pour exécuter les procédures suivantes, vous devez utiliser un compte auquel ont été délégués :

  • le rôle Administrateur Exchange Server et le groupe Administrateurs local pour le serveur cible.

Pour exécuter les procédures suivantes sur un ordinateur sur lequel le rôle serveur de transport Edge est installé, vous devez ouvrir une session en utilisant un compte membre du groupe Administrateurs local sur cet ordinateur.

Pour plus d'informations sur les autorisations, la délégation de rôles et les droits requis pour administrer Exchange 2007, consultez la rubrique Considérations relatives aux autorisations.

Vous devez exécuter cette procédure sur chaque serveur Exchange 2007 auquel vous voulez appliquer une stratégie de sécurité de l'Assistant Configuration de la sécurité à l'aide de l'Assistant Configuration de la sécurité.

Installation de l'Assistant Configuration de la sécurité
  1. Dans le Panneau de configuration, cliquez sur Ajout/Suppression de programmes.

  2. Cliquez sur Ajouter/Supprimer des composants Windows pour lancer l'Assistant Composants Windows.

  3. Dans la boîte de dialogue Composants Windows, activez la case à cocher Assistant Configuration de la sécurité, puis cliquez sur Suivant.

  4. Attendez que l'installation soit terminée, puis cliquez sur Terminer.

Pour ouvrir l'Assistant Configuration de la sécurité après avoir exécuté cette procédure, cliquez sur Démarrer, pointez sur Tous les programmes, Outils d'administration, puis cliquez sur Assistant Configuration de la sécurité.

Les extensions de rôle Exchange Server vous permettent d'utiliser l'Assistant Configuration de la sécurité pour créer une stratégie de sécurité spécifique à la fonctionnalité requise pour chaque rôle serveur Microsoft Exchange. Les extensions sont fournies avec Exchange 2007 et doivent être enregistrées avant la création d'une stratégie de sécurité personnalisée.

Vous devez exécuter la procédure d'enregistrement sur chaque serveur Exchange 2007 auquel vous voulez appliquer une stratégie de sécurité de SCW. Deux fichiers d'extension sont requis pour les différents rôles serveur Exchange 2007. Pour les rôles de serveur de boîtes aux lettres, de transport Hub, de messagerie unifiée et d'accès au client, enregistrez le fichier d'extension Exchange2007.xml. Pour le rôle serveur de transport Edge, enregistrez le fichier d'extension Exchange2007Edge.xml.

noteRemarque :
Les fichiers d'extension de l'Assistant Configuration de la sécurité Exchange 2007 se trouvent dans le répertoire %Exchange%\Scripts. Le répertoire d'installation par défaut d'Exchange est Program Files\Microsoft\Exchange Server. L'emplacement de ce répertoire peut varier si vous avez sélectionné un emplacement de répertoire personnalisé durant l'installation du serveur.
importantImportant :
Si vous avez installé Exchange 2007 dans un répertoire d'installation personnalisé, l'enregistrement de l'Assistant Configuration de la sécurité continue à fonctionner. Toutefois, pour activer l'Assistant Configuration de la sécurité, vous devez exécuter des solutions de contournement manuelles pour reconnaître le répertoire d'installation personnalisé. Pour plus d'informations, consultez l'article 896742 de la Base de connaissances Microsoft traitant de la manière dont, après l'exécution de l'Assistant Configuration de la sécurité dans Windows Server 2003 SP1, les utilisateurs d'Outlook risquent de ne plus pouvoir se connecter à leurs comptes.
Enregistrement de l'extension de l'Assistant Configuration de la sécurité sur un ordinateur exécutant le rôle serveur de boîtes aux lettres, de transport Hub, de messagerie unifiée ou d'accès au client
  1. Ouvrez une fenêtre d'invite de commandes. Tapez la commande suivante pour utiliser l'outil de ligne de commande de l'Assistant Configuration de la sécurité afin d'enregistrer l'extension Exchange 2007 dans la base de données de configuration de la sécurité locale :

    scwcmd register /kbname:Ex2007KB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007.xml"
    
  2. Pour vérifier que la commande a été exécutée avec succès, vous pouvez afficher le fichier SCWRegistrar_log.xml situé dans le répertoire %windir%\security\msscw\logs.

Enregistrement de l'extension de l'Assistant Configuration de la sécurité sur un ordinateur exécutant le rôle serveur de transport Edge
  1. Ouvrez une fenêtre d'invite de commandes. Tapez la commande suivante pour utiliser l'outil de ligne de commande de l'Assistant Configuration de la sécurité afin d'enregistrer l'extension Exchange 2007 dans la base de données de configuration de la sécurité locale :

    scwcmd register /kbname:Ex2007EdgeKB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\ Exchange2007Edge.xml"
    
  2. Pour vérifier que la commande a été exécutée avec succès, vous pouvez afficher le fichier SCWRegistrar_log.xml situé dans le répertoire %windir%\security\msscw\logs.

Pour créer une stratégie de sécurité personnalisée pour votre environnement spécifique, procédez comme suit. Après avoir créé une stratégie personnalisée, utilisez-la pour appliquer le même niveau de sécurité à chaque serveur Exchange 2007 exécutant le ou les mêmes rôles serveur au sein de votre organisation.

noteRemarque :
Certaines étapes dans la procédure suivante ne fournissent pas des détails de configuration spécifiques pour toutes les pages dans l’Assistant Configuration de la sécurité. Dans ces cas, il est recommandé de conserver les sélections par défaut si vous n’êtes pas sûr des services ou des fonctionnalités à activer. Comme pour tout le contenu du fichier d'aide d'Exchange 2007, les informations les plus récentes sur l'utilisation de SCW avec Exchange 2007 sont disponibles sur le site Exchange Server TechCenter.
Utilisation de l'Assistant Configuration de la sécurité pour créer une stratégie de sécurité personnalisée
  1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur Outils d'administration, puis cliquez sur Assistant Configuration de la sécurité. Dans l'écran Bienvenue, cliquez sur Suivant.

  2. Dans la page Action de configuration, sélectionnez Créer une nouvelle stratégie de sécurité, puis sur Suivant.

  3. Dans la page Sélectionnez un serveur, vérifiez que le nom de serveur approprié figure dans le champ Serveur (utilisez le nom DNS, NetBIOS ou l'adresse IP) : . Cliquez sur Suivant.

  4. Dans la page Traitement de la base de données de configuration de la sécurité, attendez que la barre de progression soit complète, puis cliquez sur Suivant.

  5. Dans la page Configuration de service selon le rôle, cliquez sur Suivant.

  6. Dans la page Sélectionnez des rôles serveur, sélectionnez les rôles Exchange 2007 que vous avez installés sur l'ordinateur, puis cliquez sur Suivante.

  7. Dans la page Sélectionnez des fonctionnalités de clients, sélectionnez les fonctionnalités de clients requises sur votre serveur Exchange, puis cliquez sur Suivante.

  8. Dans la page Sélectionnez des options d'administration et d'autres options, sélectionnez les fonctionnalités d'administration requises sur votre serveur Exchange, puis cliquez sur Suivante.

  9. Dans la page Sélectionnez des services supplémentaires, sélectionnez les services requis à activer sur le serveur Exchange, puis cliquez sur Suivante.

  10. Dans la page Gestion des services non spécifiés, sélectionnez l'action à exécuter quand un service non installé sur le serveur local est trouvé. Vous pouvez décider de n'exécuter aucune action en sélectionnant Ne pas modifier le mode de démarrage du service, ou de désactiver automatiquement le service en sélectionnant Désactiver le service. Cliquez sur Suivant.

  11. Dans la page Confirmer les modifications de services, examinez les modifications que cette stratégie va apporter à la configuration de service actuelle. Cliquez sur Suivant.

  12. Dans la page Sécurité réseau, vérifiez que l'option Passer cette section n'est pas activée, puis cliquez sur Suivant.

  13. Dans la page Ouvrir les ports et approuver les applications, si vous exécutez SCW sur un serveur de transport Edge, ajoutez deux ports pour la communication LDAP avec Active Directory Application Mode (ADAM).

    1. Cliquez sur Ajouter. Dans la page Ajouter un port ou une application, dans le champ Numéro du port :, entrez 50389. Activez la case à cocher TCP, puis cliquez sur OK.

    2. Cliquez sur Ajouter. Dans la page Ajouter un port ou une application, dans le champ Numéro du port :, entrez 50636. Activez la case à cocher TCP, puis cliquez sur OK.

  14. (serveur de transport Edge uniquement) Dans la page Ouvrir les ports et approuver les applications, vous devez configurer les ports pour chaque carte réseau.

    1. Sélectionnez Port 25, puis cliquez sur Paramètres avancés. Dans la page Restrictions de port, cliquez sur l'onglet Restrictions sur les interfaces locales. Sélectionnez Sur les interfaces locales suivantes :, activez les cases à cocher des cartes réseau interne et externe, puis cliquez sur OK.

    2. Sélectionnez Port 50389, puis cliquez sur Paramètres avancés. Dans la page Restrictions de port, cliquez sur l'onglet Restrictions sur les interfaces locales. Sélectionnez Sur les interfaces locales suivantes :, activez uniquement la case à cocher de la carte réseau interne, puis cliquez sur OK.

    3. Sélectionnez Port 50636, puis cliquez sur Paramètres avancés. Dans la page Restrictions de port, cliquez sur l'onglet Restrictions sur les interfaces locales. Sélectionnez Sur les interfaces locales suivantes :, activez uniquement la case à cocher de la carte réseau interne, puis cliquez sur OK.

    noteRemarque :
    Vous pouvez également configurer des restrictions d'adresses distantes pour chaque port.
  15. Dans la page Ouvrir les ports et approuver les applications, cliquez sur Suivant.

  16. Dans la page Confirmez la configuration du port, vérifiez que la configuration du port entrant est correcte, puis cliquez sur Suivant.

  17. Dans la page Paramètres du Registre, activez la case à cocher Passer cette section, puis cliquez sur Suivant.

  18. Dans la page Stratégie d'audit, activez la case à cocher Passer cette section, puis cliquez sur Suivant.

  19. Dans la page Services Internet (IIS), activez la case à cocher Passer cette section, puis cliquez sur Suivante.

  20. Dans la page Enregistrer la stratégie de sécurité, cliquez sur Suivant.

  21. Dans la page Nom du fichier de stratégie de sécurité, entrez un nom de fichier et une description éventuelle. Cliquez sur Suivant. Si un redémarrage du serveur est requis une fois la stratégie appliquée, une boîte de dialogue s'affiche. Cliquez sur OK pour fermer la boîte de dialogue.

  22. Dans la page Appliquer la stratégie de sécurité, sélectionnez Appliquer ultérieurement ou Appliquer, puis cliquez sur Suivant.

  23. Dans la page Fin de l'Assistant Configuration de la sécurité, cliquez sur Terminer.

Après avoir créé la stratégie, vous pouvez ensuite l'appliquer à plusieurs ordinateurs exécutant le même rôle dans votre organisation.

Utilisation de l'Assistant Configuration de la sécurité pour appliquer une stratégie existante
  1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur Outils d'administration, puis cliquez sur Assistant Configuration de la sécurité. Dans l'écran Bienvenue, cliquez sur Suivant.

  2. Dans la page Action de configuration, sélectionnez Appliquer une stratégie de sécurité existante. Cliquez sur Parcourir, sélectionnez le fichier XML correspondant à votre stratégie, puis cliquez sur Ouvrir. Cliquez sur Suivant.

  3. Dans la page Sélectionnez un serveur, vérifiez que le nom de serveur approprié figure dans le champ Serveur (utilisez le nom DNS, NetBIOS ou l'adresse IP) : . Cliquez sur Suivant.

  4. Dans la page Appliquer la stratégie de sécurité, cliquez sur Afficher la stratégie de sécurité si vous voulez afficher les détails de la stratégie, puis cliquez sur Suivant.

  5. Dans la page Appliquer la stratégie de sécurité, attendez que la barre de progression indique Application terminée, puis cliquez sur Suivant.

  6. Dans la page Fin de l'Assistant Configuration de la sécurité, cliquez sur Terminer.

Sur quoi porte ce guide ?

L'Assistant Configuration de la sécurité utilise des fichiers d'enregistrement XML pour faciliter la configuration du système d'exploitation Windows afin qu'il exploite d'autres applications. Les fichiers d'enregistrement utilisés par l'Assistant Configuration de la sécurité définissent la configuration de sécurité requise pour exploiter une application spécifique. La configuration de la sécurité définit au moins les services et ports requis pour une application spécifique.

Cette rubrique présente les services et ports activés pour chaque rôle serveur Exchange 2007 lorsque vous exécutez l'Assistant Configuration de la sécurité avec les fichiers d'enregistrement par défaut Exchange 2007.

Exchange 2007 inclut les fichiers d'enregistrement pour l'Assistant Configuration de la sécurité Le fichier d'enregistrement Exchange 2007 général est appelé Exchange2007.xml. Il définit la configuration de la sécurité pour tous les rrôles serveur Microsoft Exchange, excepté le rôle serveur de transport Edge. Le fichier d'enregistrement pour le rôle serveur de transport Edge est appelé Exchange2007Edge.xml. Il définit la configuration de sécurité pour les serveurs de transport Edge.

Les fichiers d'enregistrement sont installés dans le répertoire %Programfiles%\Microsoft\Exchange Server\Scripts lorsque vous installez Exchange 2007.

Services autorisés à définir la valeur au démarrage du service sur Automatique ou Manuel.

Les ports activés spécifient les fichiers exécutables (.exe) approuvés par le pare-feu Wiindows pour ouvrir les ports pour une application spécifique.

Les fichiers d'enregistrement Exchange 2007 utilisés par l'Assistant Configuration de la sécurité spécifient les exécutables de port en fonction de leur emplacement par défaut. Dans la plupart des cas, l'emplacement par défaut est %Programfiles%\Microsoft\Exchange Server\bin. Si vous avez installé Exchange dans un emplacement différent, vous devez modifier la valeur du <Chemin d'accès> dans la section <Port> des fichiers d'enregistrement Exchange 2007 pour indiquer l'emplacement d'installation correct.

Les services suivants sont activés par le fichier d'enregistrement Exchange 2007 (Exchange2007.xml) pour le rôle serveur de boîte aux lettres.

Le service Microsoft Search (Exchange Server) et Microsoft Exchange Monitoring sont définis pour démarrer manuellement. Tous les autres services sont définis pour démarrer automatiquement.

 

Nom court du service Nom du service

MSExchangeIS

Microsoft Exchange - Banque d'informations

MSExchangeADTopology

Topologie Active Directory Microsoft Exchange

MSExchangeRepl

Service de réplication Microsoft Exchange

MSExchangeMailboxAssistants

Assistants de boîte aux lettres Microsoft Exchange

MSExchangeSearch

Indexeur de recherche Microsoft Exchange

MSExchangeServiceHost

hôte de services Microsoft Exchange

MSExchangeMonitoring

Surveillance Microsoft Exchange

MSExchangeSA

Surveillance du système Microsoft Exchange

MSExchangeMailSubmission

Service de dépôt du courrier de Microsoft Exchange

msftesql-Exchange

Microsoft Search (Exchange Server)

Les ports suivants sont activés.

 

Nom du port Fichier exécutable associé

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSExchangeISPorts

Store.exe

MSExchangeReplPorts

Microsoft.Exchange.Cluster.ReplayService.exe

MSExchangeMailboxAssistantsPorts

MSExchangeMailboxAssistants.exe

MSExchangeSearchPorts

Microsoft.Exchange.Search.ExSearch.exe

MSExchangeServiceHostPorts

Microsoft.Exchange.ServiceHost.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

MSExchangeSAPorts

Mad.exe

MSExchangeMailSubmissionPorts

MSExchangeMailSubmission.exe

msftesql-ExchangePorts

Msftesql.exe

MSExchangeTransportLogSearchPorts

MSExchangeTransportLogSearch.exe

Les services et ports activés pour le rôle serveur de boîtes aux lettres et décrits dans la section Rôle serveur de boîtes aux lettres ci-avant dans cette rubrique sont activés pour le rôle serveur de boîtes aux lettres en cluster.

En outre, le service de cluster Microsoft est défini pour démarrer automatiquement.

 

Nom court du service Nom du service

ClusSvc

Service de cluster Microsoft

Les ports suivants sont également activés.

noteRemarque :
Le chemin d'accès par défaut des exécutables spécifiques aux clusters est %windir%\Cluster. Le chemin d'accès par défaut de Powershell.exe est %windir%\system32\windowspowershell\v1.0.

 

Nom du port Fichier exécutable associé

ExSetupPorts

ExSetup.exe

clussvcPorts

Clussvc.exe

CluAdminPorts

CluAdmin.exe

resrcmonPorts

Resrcmon.exe

msftefdPorts

Msftefd.exe

powershellPorts

Powershell.exe

Les services suivants sont activés par le fichier d'enregistrement Exchange 2007 (Exchange2007.xml) pour le rôle serveur de transport Hub.

Surveillance Microsoft Exchange est défini pour démarrer manuellement. Tous les autres services sont définis pour démarrer automatiquement.

 

Nom court du service Nom du service

MSExchangeADTopology

Service de topologie Active Directory Microsoft Exchange

MSExchangeTransport

Service de transport Microsoft Exchange

MSExchangeAntispamUpdate

Service de mise à jour du blocage de courrier indésirable Microsoft Exchange

MSExchangeEdgeSync

service EdgeSync Microsoft Exchange

MSExchangeTransportLogSearch

Service de recherche des journaux de transport Microsoft Exchange

MSExchangeMonitoring

Surveillance Microsoft Exchange

Les ports suivants sont activés.

 

Nom du port Fichier exécutable associé

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSExchangeTransportPorts

MSExchangeTransport.exe

EdgeTransportPorts

EdgeTransport.exe

MSExchangeAntispamUpdatePorts

Microsoft.Exchange.AntispamUpdateSvc.exe

MSExchangeEdgeSyncPorts

Microsoft.Exchange.EdgeSyncSvc.exe

MSExchangeTransportLogSearchPorts

MSExchangeTransportLogSearch.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

Les services suivants sont activés par le fichier d'enregistrement pour le rôle serveur de transport Edge (Exchange2007Edge.xml).

La surveillance Microsoft Exchange et le service de recherche de journal de transport Microsoft Exchange sont définis pour démarrer manuellement. Tous les autres services sont définis pour démarrer automatiquement.

 

Nom court du service Nom du service

MSExchangeTransport

Service de transport Microsoft Exchange

MSExchangeAntispamUpdate

Service de mise à jour du blocage de courrier indésirable Microsoft Exchange

ADAM_MSExchange

Microsoft Exchange ADAM

EdgeCredentialSvc

Service d'identification Microsoft Exchange

MSExchangeTransportLogSearch

Service de recherche des journaux de transport Microsoft Exchange

MSExchangeMonitoring

Surveillance Microsoft Exchange

Les ports suivants sont activés.

noteRemarque :
Le chemin d'accès par défaut pour Dsadmin.exe est %windir%\ADAM.

 

Nom du port Fichier exécutable associé

MSExchangeTransportPorts

MSExchangeTransport.exe

EdgeTransportPorts

EdgeTransport.exe

MSExchangeAntispamUpdatePorts

Microsoft.Exchange.AntispamUpdateSvc.exe

ADAM_MSExchangePorts

Dsamain.exe

EdgeCredentialSvcPorts

EdgeCredentialSvc.exe

MSExchangeTransportLogSearchPorts

MSExchangeTransportLogSearch.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

Les services suivants sont activés par le fichier d'enregistrement Exchange 2007 (Exchange2007.xml) pour le rôle serveur d'accès au client.

La surveillance Microsoft Exchange, le service POP3 de Microsoft Exchange et le service IMAP4 de Microsoft Exchange sont définis pour démarrer manuellement. Tous les autres services sont définis pour démarrer automatiquement.

 

Nom court du service Nom du service

MSExchangeADTopology

Service de topologie Active Directory Microsoft Exchange

MSExchangePOP3

Service Microsoft Exchange POP3

MSExchangeIMAP4

Service Microsoft Exchange IMAP4

MSExchangeFDS

Service de distribution de fichiers de Microsoft Exchange.

MSExchangeServiceHost

hôte de services Microsoft Exchange

MSExchangeMonitoring

Surveillance Microsoft Exchange

Les ports suivants sont activés.

noteRemarque :
Le chemin d'accès par défaut des fichiers Pop3Service.exe et Imap4Service.exe est %Programfiles%\Microsoft\Exchange Server\ClientAccess\PopImap.

 

Nom du port Fichier exécutable associé

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSExchangePOP3Ports

Microsoft.Exchange.Pop3Service.exe

MSExchangeIMAP4Ports

Microsoft.Exchange.Imap4Service.exe

MSExchangeFDSPorts

MsExchangeFDS.exe

MSExchangeServiceHostPorts

Microsoft.Exchange.ServiceHost.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

Les services suivants sont activés par le fichier d'enregistrement Exchange 2007 (Exchange2007.xml) pour le rôle serveur de messagerie unifiée.

Surveillance Microsoft Exchange est défini pour démarrer manuellement. Tous les autres services sont définis pour démarrer automatiquement.

 

Nom du service Nom convivial

MSExchangeADTopology

Service de topologie Active Directory Microsoft Exchange

MSSpeechService

Moteur de reconnaissance vocale Microsoft Exchange

MSExchangeUM

Messagerie unifiée Microsoft Exchange

MSExchangeFDS

Service de distribution de fichiers Microsoft Exchange

MSExchangeMonitoring

Surveillance Microsoft Exchange

Les ports suivants sont activés.

noteRemarque :
Le chemin d'accès par défaut du fichier SpeechService.exe est %Programfiles%\Microsoft\Exchange Server\UnifiedMessaging.

 

Nom du port Fichier exécutable associé

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSSPorts

SpeechService.exe

MSExchangeUMPorts

umservice.exe

UMWorkerProcessPorts

UMWorkerProcess.exe

MSExchangeFDSPorts

MsExchangeFDS.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

Sur quoi porte ce guide ?

Cette section contient des liens vers de la documentation Exchange supplémentaire concernant la sécurité. Pour obtenir la dernière liste de contenus concernant la sécurité, consultez la rubrique Sécurité et protection.

 
Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft