Liste de vérification pour la sécurité du pré-déploiement
S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Dernière rubrique modifiée : 2007-12-11
Microsoft Exchange Server 2007 est conçu pour être sécurisé par défaut pour la plupart des scénarios de client. Généralement, pour Exchange 2007, sécurisé par défaut signifie que les conditions suivantes sont vraies :
Les comptes utilisés par Exchange 2007 disposent des droits minimaux requis pour exécuter les ensembles de tâches indiqués.
Par défaut, les services ne sont démarrés que lorsqu'ils sont requis.
Les droits liés à la liste de contrôle d'accès (ACL) pour les objets Exchange sont minimisés.
Les autorisations administratives sont définies en fonction de la portée de modification de l'objet qu'une modification donnée requiert.
Tous les chemins de message interne par défaut sont chiffrés.
De nombreuses autres fonctions ont été conçues pour fournir un enregistrement de messagerie relativement sécurisé lors de l'installation initiale.
Cette rubrique décrit certaines actions recommandées que vous pouvez exécuter pour mieux sécuriser l'environnement de messagerie avant et après l'installation de Microsoft Exchange. Nous vous recommandons de vous référer à cette liste de vérification chaque fois que vous installez un nouveau rôle serveur Exchange.
Comme pour tout le contenu du fichier d'aide d'Exchange 2007, le contenu le plus récent est disponible sur le site Exchange Server TechCenter.
Tâches antérieures à l'installation
Avant l'installation d'Exchange 2007, effectuez les procédures suivantes.
| Procédures | Contrôle |
|---|---|
Exécutez Microsoft Update. |
|
Exécutez l'Outil de suppression des logiciels malveillants Microsoft. L'Outil de suppression des logiciels malveillants est inclus dans Microsoft Update. Pour plus d'informations sur cet outil, consultez le site Outil de suppression des logiciels malveillants. |
|
Exécutez Microsoft Baseline Security Analyzer. |
|
Tâches consécutives à l'installation
Il est conseillé d'exécuter l'Assistant Configuration de la sécurité sur tous les rôles serveur Exchange 2007. Il est également recommandé de modifier le niveau d'authentification LAN Manager sur les serveurs exécutant Windows Server 2003.
Assistant Configuration de la sécurité
L'Assistant Configuration de la sécurité a été introduit dans Microsoft Windows Server 2003 Service Pack 1 (SP1). Il permet de réduire la surface d'attaque des serveurs en désactivant la fonctionnalité Windows qui n'est pas requise pour les rôles serveur Exchange 2007. L'Assistant Configuration de la sécurité automatise les meilleures pratiques de sécurité consistant à réduire la surface d'attaque pour un serveur. Il utilise une métaphore basée sur un rôle pour solliciter les services requis pour les applications sur un serveur. Cet outil réduit la sensibilité des environnements Windows à l'exploitation des vulnérabilités de la sécurité. Pour plus d'informations, consultez la rubrique Utilisation de l'Assistant Configuration de la sécurité afin de sécuriser Windows pour les rôles de serveur Exchange.
Niveau d'authentification LAN Manager
Pour chaque serveur Exchange en cours d'exécution sous Windows Server 2003, il est recommandé de définir le niveau d'authentification LAN Manager sur le niveau recommandé par le guide sur la sécurité de Windows Server 2003 pour votre environnement. Ce paramètre détermine le protocole d'authentification Stimulation/Réponse utilisé pour les ouvertures de session réseau. Ce choix affecte le niveau de protocole d'authentification utilisé par les ordinateurs clients, le niveau de sécurité négocié et le niveau d'authentification accepté par les serveurs. Pour modifier le niveau d'authentification LAN Manager, vous devez modifier l'entrée LmCompatibilityLevel dans le Registre.
.gif "Caution") Attention : |
|---|
| UNRESOLVED_TOKEN_VAL(exRegistry) |
Vous trouverez ci-après les niveaux d'authentification LAN Manager recommandés par le guide sur la sécurité de Windows Server 2003** :**
Environnement de client hérité Le guide sur la sécurité de Windows Server 2003 définit un environnement de client hérité comme un environnement composé d'un domaine de service d'annuaire Active Directory constitué de serveurs membres et de contrôleurs de domaine qui exécutent Windows Server 2003 et de certains ordinateurs clients qui exécutent Microsoft Windows 98 et Windows NT 4.0. L'extension client (DSCLient) Active Directory doit être installée sur les ordinateurs exécutant Windows 98. Pour plus d'informations sur l'installation de DSClient, consultez l'article 288358 de la Base de connaissances Microsoft sur la procédure d'installation de l'extension client Active Directory. Si vous disposez d'un environnement de client hérité, le guide sur la sécurité de Windows Server 2003 recommande de définir l'entrée LmCompatibilityLevel sur 3.
Environnement de client entreprise Le guide sur la sécurité de Windows Server 2003 définit un environnement de client entreprise comme un environnement composé d'un domaine Active Directory constitué de serveurs membres et de contrôleurs de domaine qui exécutent Windows Server 2003 avec SP1 et d'ordinateurs clients qui exécutent Microsoft Windows 2000 Server et Windows XP. Pour un environnement de client entreprise, le guide sur la sécurité de Windows Server 2003 recommande de définir l'entrée LmCompatibilityLevel sur 4.
En outre, les environnements de cluster ont également des exigences concernant leniveau d'authentification LAN Manager.Dans un environnement de réplication continue en cluster (CCR), vous devez définir l'entrée LmCompatibilityLevel de chaque contrôleur de domaine de l'organisation sur la valeur de l'entrée LmCompatibilityLevel sur vos serveurs Exchange. Si l'entrée LmCompatibilityLevel sur un contrôleur de domaine est différente de l'entrée LmCompatibilityLevel sur un serveur Exchange, des erreurs de réplication peuvent se produire. Il est recommandé de commencer par définir l'entrée LmCompatibilityLevel sur tous les contrôleurs de domaine d'un domaine, puis de définir l'entrée LmCompatibilityLevel pour chaque cluster.
Pour définir l'entrée LmCompatibilityLevel sur un cluster, vous devez modifier la valeur sur tous les nœuds du cluster simultanément, puis redémarrer chaque nœud du cluster. Il est recommandé de modifier l'entrée du Registre et de redémarrer chaque ordinateur sur un cluster manuellement, plutôt qu'à l'aide d'un objet de stratégie de groupe afin de vous assurer que tous les nœuds du cluster sont redémarrés simultanément.
Notes
Par défaut, l'entrée LmCompatibilityLevel sur les ordinateurs exécutant Windows Server 2008 est égale ou supérieure à 3.
Pour plus d'informations sur les niveaux d'authentification LAN Manager, consultez le « Chapitre 4 : Stratégie de base du serveur membre » du guide sur la sécurité de Windows Server 2003. Pour plus d'informations sur la modification de l'entrée de Registre LmCompatibilityLevel en vue de définir le niveau d'authentification LAN Manager, consultez la rubrique How to Configure the LAN Manager Authentication Level. Vous pouvez utiliser un objet de stratégie de groupe afin de définir l'entrée de Registre LmCompatibilityLevel sur tous les ordinateurs de votre organisation. Pour obtenir la procédure détaillée, consultez la rubrique How to Configure the LAN Manager Authentication Level.