L'Assistant de configuration de sécurité de Windows Server 2003 SP1 a été détecté
[Cette rubrique est destinée à résoudre un problème spécifique signalé par l'outil Exchange Server Analyzer Tool. Ne l'appliquez qu'à des systèmes sur lesquels l'outil Exchange Server Analyzer Tool a été exécuté et qui ont rencontré ce problème spécifique. L'outil Exchange Server Analyzer Tool, disponible sous forme de téléchargement gratuit, collecte à distance des données de configuration de chaque serveur de la topologie et les analyse automatiquement. Il génère un rapport qui détaille les problèmes de configuration importants, les problèmes potentiels et les paramètres du produit qui ne sont pas définis par défaut. En suivant ces recommandations, vous pouvez accroître les performances, l'évolutivité, la fiabilité et la disponibilité. Pour plus d'informations sur l'outil ou pour télécharger les versions les plus récentes, consultez la rubrique sur les analyseurs Microsoft Exchange à l'adresse https://go.microsoft.com/fwlink/?linkid=34707.]
Dernière rubrique modifiée : 2005-11-18
L'outil Microsoft® Exchange Server Analyzer Tool lit la valeur de Registre suivante pour déterminer la version du système d'exploitation Microsoft Windows® exécutée sur le serveur Exchange :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\CurrentVersion
Si la valeur CurrentVersion est égale à 5.0, le serveur Exchange est exécuté sur Microsoft Windows 2000 Server. Si la valeur CurrentVersion est 5.2, le serveur Exchange est exécuté sur Microsoft Windows Server™ 2003.
En outre, Exchange Server Analyzer lit la valeur de Registre suivante pour déterminer le chemin d'accès du répertoire Program Files de Windows :
HKLM\Software\Microsoft\Windows\CurrentVersion\ProgramFilesDir
Exchange Server Analyzer examine ensuite le répertoire Program Files de Windows pour déterminer si ce dernier contient le dossier \Exchsrvr pour Exchange Server.
Enfin, Exchange Server Analyzer interroge la classe WMI (Windows Management Instrumentation) Win32_OperatingSystem pour déterminer la valeur de la clé ServicePackMajorVersion. La valeur de la clé ServicePackMajorVersion indique la version du Service Pack Windows installé sur l'ordinateur.
Exchange Server Analyzer affiche un avertissement si les conditions suivantes sont vraies :
- Exchange Server Analyzer indique que l'ordinateur Exchange Server est exécuté sur le Service Pack 1 de Windows Server 2003.
- Exchange Server Analyzer indique qu'Exchange Server 2003 ne se trouve pas dans le chemin d'accès par défaut \Program Files\Exchsrvr.
Cet avertissement indique qu'Exchange Server 2003 ne se trouve pas dans le dossier Program Files par défaut du serveur et que l'Assistant de configuration de sécurité est installé sur le serveur Exchange. L'Assistant de configuration de sécurité est un outil fourni comme composant facultatif du Service Pack 1 de Windows Server 2003. S'il est installé sur un serveur Exchange, la configuration manuelle de la section Sécurité réseau est nécessaire.
.gif "note") Remarque : |
|---|
| Pour installer cet Assistant, vous devez d'abord installer le Service Pack 1 de Windows Server 2003. Ensuite, ouvrez l'applet Ajout/Suppression de programmes dans le Panneau de configuration pour installer l'Assistant de configuration de sécurité. |
L'Assistant de configuration de sécurité contribue à réduire les risques d'attaques sur les serveurs Windows en posant à l'utilisateur une série de questions qui permet de déterminer les besoins fonctionnels d'un serveur. L'Assistant de configuration de sécurité contribue, en particulier, à effectuer les tâches suivantes :
- Il désactive automatiquement les services inutiles.
- Il bloque automatiquement les ports non utilisés.
- Il contribue à appliquer des restrictions d'adresses ou de sécurité supplémentaires aux ports laissés ouverts.
- Il empêche les extensions Web IIS (Internet Information Services) inutiles, au besoin.
- Il réduit la surface de vulnérabilité des protocoles SMB (Server Message Block), LanMan et LDAP (Lightweight Directory Access Protocol).
- Il définit une stratégie d'audit signal/bruit importante.
L'Assistant de configuration de sécurité vous guide à travers le processus de création, de modification, d'application ou de restauration d'une stratégie de sécurité basée sur les rôles sélectionnés du serveur. Les stratégies de sécurité créées à l'aide de l'Assistant de configuration de sécurité correspondent à des fichiers XML qui, une fois appliqués, configurent des services, la sécurité réseau, des valeurs de Registre spécifiques et la stratégie d'audit. Vous pouvez aussi configurer les services IIS (Internet Information Services), au besoin.
Cet Assistant comprend une fonction de sécurité réseau qui configure et ajoute des exceptions au Pare-feu Windows, en plus d'effectuer d'autres opérations. Le Pare-feu Windows est la nouvelle version du filtre de paquets du Service Pack 1 de Windows Server 2003. Il a d'abord été intégré au Service Pack 2 de Windows XP et s'appelle Pare-feu de connexion Internet.
Il existe un problème connu qui survient lorsque la fonction de sécurité réseau dans l'Assistant de configuration de sécurité est exécutée sur un serveur Exchange sur lequel Exchange Server ne se trouve pas dans le chemin d'accès par défaut. Dans cette configuration, l'application de la stratégie appropriée peut rendre Exchange Server inaccessible aux clients. Si la fonction de sécurité réseau est utilisée sur un serveur Exchange sur lequel Exchange Server ne se trouve pas dans le chemin d'accès par défaut, l'Assistant de configuration de sécurité peut configurer le Pare-feu Windows pour bloquer l'accès du port TCP/IP à l'aide de processus Exchange Server, tels que le service Surveillance du système (Mad.exe), la Banque d'informations Microsoft Exchange (Store.exe) ou l'Agent de transfert des messages (Emsmta.exe). Dans cette configuration, l'Assistant de configuration de sécurité affiche Introuvable ! en regard de chaque processus. Si cet Assistant est exécuté jusqu'à la fin avec un processus portant l'inscription Introuvable !, il applique la stratégie de sécurité au Pare-feu Windows qui bloque l'accès au réseau via ce processus.
Si les processus bloqués comprennent un ou plusieurs processus Exchange Server, des clients ou d'autres serveurs risquent de ne plus pouvoir accéder à Exchange Server. Dans ce cas-ci, vous devez effectuer l'une des procédures suivantes pour résoudre le problème.
Pour résoudre le problème
Effectuez l'une des procédures suivantes pour résoudre le problème :
- Utilisez la fonction de restauration de l'Assistant pour restaurer une stratégie de sécurité après son application. Pour plus d'informations sur la manière de procéder, voir le fichier d'aide de l'Assistant de configuration de sécurité fourni avec le Service Pack 1 de Windows Server 2003. Pour plus d'informations sur le Service Pack 1 de Windows Server 2003 et sur l'Assistant de configuration de sécurité, voir le Centre technique Windows Server 2003(https://go.microsoft.com/fwlink/?LinkId=45315).
- Dans L'Assistant de configuration de sécurité, remplissez manuellement le champ Chemin de l'application pour spécifier l'emplacement des fichiers de traitement Exchange Server exécutables. Pour ce faire, sélectionnez le traitement portant l'inscription Introuvable ! et cliquez sur Modifier. Il est conseillé d'exécuter l'Assistant sur le serveur Exchange pour s'assurer que le chemin de chaque exécutable Exchange Server est correct. Ensuite, la stratégie de sécurité de l'Assistant peut être appliquée et Exchange Server doit avoir l'accès au réseau pour pouvoir fonctionner.
Pour plus d'informations sur Windows Server 2003 Service Pack 1 et l'Assistant de configuration de sécurité, voir le Centre technique Windows Server 2003 (https://go.microsoft.com/fwlink/?LinkId=45315).