Procédure de création d'une stratégie SCW de rôle de serveur Exchange
S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Dernière rubrique modifiée : 2007-01-02
Cette rubrique décrit la procédure de création d'une stratégie de sécurité pour un ordinateur sur lequel un rôle serveur Exchange est installé à l'aide de l'Assistant Configuration de la sécurité (SCW) dans Microsoft Exchange Server 2007. SCW est un outil qui a été introduit avec Microsoft Windows Server 2003 Service Pack 1. SCW automatise les meilleures pratiques de sécurité afin de réduire la vulnérabilité d'un serveur.
Pour créer une stratégie de sécurité personnalisée pour votre environnement spécifique, procédez comme suit. Après avoir créé une stratégie personnalisée, utilisez-la pour appliquer le même niveau de sécurité à chaque serveur Exchange 2007 exécutant le ou les mêmes rôles serveur au sein de votre organisation.
Avant de commencer
Avant de commencer, procédez comme suit :
Installez un rôle serveur Exchange. Pour plus d'informations, consultez la rubrique Déploiement de rôles de serveur.
Installez SCW. Pour plus d'informations, consultez la rubrique Procédure d'installation de l'Assistant Configuration de la sécurité.
Enregistrez l'extension SCW pour le rôle serveur Exchange. Pour plus d'informations, consultez la rubrique Procédure d'enregistrement des extensions SCW du rôle de serveur Exchange.
Déterminez les spécifications de sécurité propres à votre environnement. Pour plus d'informations, consultez la rubrique Utilisation de l'Assistant Configuration de la sécurité afin de sécuriser Windows pour les rôles de serveur Exchange.
Pour exécuter la procédure suivante, vous devez utiliser un compte auquel ont été délégués :
- le rôle Administrateur de serveur Exchange et le groupe Administrateurs local pour le serveur cible.
Pour exécuter la procédure suivante sur un ordinateur sur lequel le rôle serveur de transport Edge est installé, vous devez ouvrir une session en utilisant un compte membre du groupe Administrateurs local sur cet ordinateur.
Pour plus d'informations sur les autorisations, la délégation de rôles et les droits requis pour administrer Microsoft Exchange Server 2007, consultez la rubrique Considérations relatives aux autorisations.
Notes
Certaines étapes dans la procédure suivante ne fournissent pas des détails de configuration spécifiques pour toutes les pages dans l’Assistant Configuration de la sécurité. Dans ces cas, Microsoft recommande de laisser les sélections par défaut si vous n’êtes pas sûr des services ou des fonctions à activer. Comme pour tout le contenu du fichier d'aide d'Exchange 2007, les informations les plus récentes sur l'utilisation de SCW avec Exchange 2007 sont disponibles sur le site Exchange Server TechCenter.
Procédure
Utilisation de l'Assistant Configuration de la sécurité pour créer une stratégie de sécurité personnalisée
Cliquez sur Démarrer, pointez sur Tous les programmes, sur Outils d'administration, puis cliquez sur Assistant Configuration de la sécurité. Dans l'écran Bienvenue, cliquez sur Suivant.
Dans la page Action de configuration, sélectionnez Créer une nouvelle stratégie de sécurité, puis sur Suivant.
Dans la page Sélectionnez un serveur, vérifiez que le nom de serveur approprié figure dans le champ Serveur (utilisez le nom DNS, NetBIOS ou l'adresse IP) : . Cliquez sur Suivant.
Dans la page Traitement de la base de données de configuration de la sécurité, attendez que la barre de progression soit complète, puis cliquez sur Suivant.
Dans la page Configuration de service selon le rôle, cliquez sur Suivant.
Dans la page Sélectionnez des rôles serveur, sélectionnez les rôles Exchange 2007 que vous avez installés sur l'ordinateur, puis cliquez sur Suivante.
Dans la page Sélectionnez des fonctionnalités de clients, sélectionnez les fonctionnalités de clients requises sur votre serveur Exchange, puis cliquez sur Suivante.
Dans la page Sélectionnez des options d'administration et d'autres options, sélectionnez les fonctionnalités d'administration requises sur votre serveur Exchange, puis cliquez sur Suivante.
Dans la page Sélectionnez des services supplémentaires, sélectionnez les services requis à activer sur le serveur Exchange, puis cliquez sur Suivante.
Dans la page Gestion des services non spécifiés, sélectionnez l'action à exécuter quand un service non installé sur le serveur local est trouvé. Vous pouvez décider de n'exécuter aucune action en sélectionnant Ne pas modifier le mode de démarrage du service, ou de désactiver automatiquement le service en sélectionnant Désactiver le service. Cliquez sur Suivant.
Dans la page Confirmer les modifications de services, examinez les modifications que cette stratégie va apporter à la configuration de service actuelle. Cliquez sur Suivant.
Dans la page Sécurité réseau, vérifiez que l'option Passer cette section n'est pas activée, puis cliquez sur Suivant.
Dans la page Ouvrir les ports et approuver les applications, si vous exécutez SCW sur un serveur de transport Edge, ajoutez deux ports pour la communication LDAP avec Active Directory Application Mode (ADAM).
Cliquez sur Ajouter. Dans la page Ajouter un port ou une application, dans le champ Numéro du port :, entrez 50389. Activez la case à cocher TCP, puis cliquez sur OK.
Cliquez sur Ajouter. Dans la page Ajouter un port ou une application, dans le champ Numéro du port :, entrez 50636. Activez la case à cocher TCP, puis cliquez sur OK.
(serveur de transport Edge uniquement) Dans la page Ouvrir les ports et approuver les applications, vous devez configurer les ports pour chaque carte réseau.
Sélectionnez Port 25, puis cliquez sur Paramètres avancés. Dans la page Restrictions de port, cliquez sur l'onglet Restrictions sur les interfaces locales. Sélectionnez Sur les interfaces locales suivantes :, activez les cases à cocher des cartes réseau interne et externe, puis cliquez sur OK.
Sélectionnez Port 50389, puis cliquez sur Paramètres avancés. Dans la page Restrictions de port, cliquez sur l'onglet Restrictions sur les interfaces locales. Sélectionnez Sur les interfaces locales suivantes :, activez uniquement la case à cocher de la carte réseau interne, puis cliquez sur OK.
Sélectionnez Port 50636, puis cliquez sur Paramètres avancés. Dans la page Restrictions de port, cliquez sur l'onglet Restrictions sur les interfaces locales. Sélectionnez Sur les interfaces locales suivantes :, activez uniquement la case à cocher de la carte réseau interne, puis cliquez sur OK.
Notes
Vous pouvez également configurer des restrictions d'adresses distantes pour chaque port.
Dans la page Ouvrir les ports et approuver les applications, cliquez sur Suivant.
Dans la page Confirmez la configuration du port, vérifiez que la configuration du port entrant est correcte, puis cliquez sur Suivant.
Dans la page Paramètres du Registre, activez la case à cocher Passer cette section, puis cliquez sur Suivant.
Dans la page Stratégie d'audit, activez la case à cocher Passer cette section, puis cliquez sur Suivant.
Dans la page Services Internet (IIS), activez la case à cocher Passer cette section, puis cliquez sur Suivante.
Dans la page Enregistrer la stratégie de sécurité, cliquez sur Suivant.
Dans la page Nom du fichier de stratégie de sécurité, entrez un nom de fichier et une description éventuelle. Cliquez sur Suivant. Si un redémarrage du serveur est requis une fois la stratégie appliquée, une boîte de dialogue s'affiche. Cliquez sur OK pour fermer la boîte de dialogue.
Dans la page Appliquer la stratégie de sécurité, sélectionnez Appliquer ultérieurement ou Appliquer, puis cliquez sur Suivant.
Dans la page Fin de l'Assistant Configuration de la sécurité, cliquez sur Terminer.
Pour plus d'informations
Pour plus d'informations, consultez les rubriques suivantes :