2. Configuration et sécurisation du serveur frontal
La principale interface de communication entre vos serveurs Exchange et vos
clients sera Outlook Web Access. Il est donc important de bien configurer ce
service pour permettre aux utilisateurs un accès simple et fiable.
La
première étape de configuration sera la mise en place d'une authentification à
OWA avec des formulaire afin d'obetnir une authentification avec une page web et
donc personnalisable. Pour se faire, rendez-vous dans le Gestionnaire de
système Exchange, puis développez l'arborescence ci-dessous :
A partir de cet emplacement, il vous suffit d'afficher les propriétés de l'objet
Serveur virtuel Exchange du conteneur HTTP. Dans la nouvelle fenêtre qui
s'affiche, il vous suffit d'aller dans l'onglet Paramètre, puis de
sélectionner Activer l'authentification basée sur les formulaire ainsi qu'une
haute compréhension pour minimiser la taille des trames HTTP.
|
 |
Afin de sécuriser la communication des mots de passe à Outlook Web Acces,
vous pouvez implémenter HTTPS sur le site web. Pour se faire, l'utilisation de
certificat est nécessaire. Cette demande de certificat demande plusieurs étapes,
et la première de ces étapes s'effectuent sur votre serveur frontal et plus
précisément dans la console IIS, que vous pouvez lancer à partir de la commande
Exécuter et entrant inetmgr. Faites ensuite un clic droit pour
afficher les propriétés du site contenant le répertoire virtuel Exchange
(le site par défaut, sauf si changement) afin d’en afficher les propriétés.
Allez ensuite dans l’onglet Sécurité de répertoire et cliquez sur
Certificat de serveur. |
Cette action va lancer un assistant qui vous permettra
d’obtenir un certificat pour le https.
Suivez l’assistant en entrant les paramètres suivant :
-
Création d’un certificat.
-
Préparation de la demande, mais ne pas l’envoyer maintenant.
-
Rentrez le nom de votre site web et laissez la longueur de la
clef (1024 bits).
-
L’assistant vous demande des informations concernant le
serveur de certificat, rentrez simplement le nom de votre autorité de
certification dans le champ Organisation
et Websrv dans le champ Unité d’organisation.
-
Remplissez ensuite les demandes de localité et laissez
l’emplacement par défaut du certificat (c:\certreq.txt)
Vous venez de créer une demande de certificat, il ne vous reste plus qu’à
l’envoyer au serveur de certificat. Pour ce faire, connectez-vous au site web du
serveur de certificat à l’adresse suivante :
http://adresse_du_serveur/certSrv.
Cliquez sur le lien Demander un certificat, puis sur
demande de certificat avancée. On vous proposera plusieurs choix avec
différent mode de chiffrage, choisissez :
Copiez/collez dans la fenêtre l’ensemble du document se
trouvant dans c:\certreq.txt. Pensez à mettre Serveur Web dans le
champ Modèle de certificat et validez la demande. On vous proposera enfin
de télécharger votre certificat. Enregistrez-le avec un nom clair et dans un
emplacement que vous pourrez facilement retrouver. Il ne vous reste plus qu’a
l’installer dans IIS.
Pour se faire, dans la console de gestion d’IIS, retournez dans l’assistant que
vous avez utilisé pour créer une demande de certificat. Vous remarquerez que
l’assistant a changé et vous propose de traiter votre demande de certificat en
attente. Choisissez donc cette option et indiquez l’emplacement du certificat
que vous venez d’enregistrer. Laissez ensuite le port par défaut pour le SSL et
validez la fin de l’assistant.
Maintenant que votre site web possède un certificat, il faut le configurer pour
qu’il l’utilise. Encore une fois, affichez les propriétés du site web contenant
le répertoire virtuel Exchange, et allez dans l’onglet Sécurité de répertoire.
Modifiez ensuite les communications sécurisées et cochez la case Requérir un
canal sécurisé et Exiger le cryptage 128 bits.
|
Dernière petite chose concernant la configuration d'IIS
avec HTTPS, vous devrez permettre un accès authentifier de base en
cochant la case Authentification de base dans la fenêtre de
méthode d’authentification. Cette fenêtre s’obtient en cliquant sur
Modifier de la partie Authentification et contrôle d’accès de
l’onglet Sécurité de répertoire. Vous pouvez également spécifier
un domaine par défaut dans cette fenêtre de manière à ce que les
utilisateurs n'aient pas besoin de l'indiquer lors de leur accès à OWA.
|
 |
Pour pouvoir utiliser la signature des messages avec Exchange 2003, il vous
faut installer le service pack 2 sur vos serveurs. De plus, comme HTTPS,
S/MIME requiert un certificat, et donc une autorité de certificat.
S/MIME servira à deux choses dans votre infrastructure Exchange. La première
concernera la signature des messages afin de pouvoir identifier de manière sure
les utilisateurs vous envoyant des mails. En effet, il peut arriver que
l'identité d'un utilisateur soit usurpée pour l'envoie de pièce jointe contenant
des virus. Le système de signature permettra donc d'identifier ce type de mail
afin de ne pas les ouvrir.
La deuxième utilisation de S/MIME sera le
chiffrement des mails. De cette manière, avec le système de clef publique / clef
privée, vous pouvez vous assurer que seul la personne possédant un de ces
certificats pourra lire votre message.
Cet article concernera la configuration de S/MIME avec Outlook Web Acces, si
vous désirez configurer S/MIME avec Outlook 2003, vous pouvez consulter
l'article de Nicolas Milbrand
ici.
|
La première étape de configuration de S/MIME sera la demande de
certificat pour vos utilisateurs. De la même manière que le HTTPS,
connectez-vous à l’adresse
http://nom_serveur/certSrv. Cliquez ensuite sur Demander un
certificat, puis Certificat utilisateur. Validez enfin en
cliquant sur Envoyer. Cette action installera un certificat utilisateur
au nom de l'utilisateur sur l'ordinateur.
L'utilisation de S/MIME avec
OWA requiert l'installation d'un module. Pour pouvoir l'installer, il
vous suffit d'ouvrir une session sur OWA. Choisissez ensuite d'afficher
les options d'OWA en cliquant sur Option dans le menu en bas, et dans la
nouvelle page qui s’affiche, cliquez sur Télécharger dans la zone
Sécurité de messagerie. |
 |
Une fois le fichier setupmcl.exe exécuté, retournez dans la page des
options d’OWA et vous verrez que la zone Sécurité de messagerie a changé.
Il ne reste plus qu’à cocher la case Ajouter une signature numérique aux
messages sortants.
Vous remarquerez également l’apparition de nouvelles options
dans la fenêtre de composition d’un mail.
 |
Cependant, vous l'aurez remarqué, avec cette méthode,
tous vos utilisateurs vont devoir faire une demande sur le serveur de
certificat. Afin d'automatiser cette demande, vous pouvez déployer les
certificats via les GPO.
Pour se faire, rendez-vous dans la console
d’administration de certificat : Autorité de certificat. Dans la
console, développez l’arborescence afin d’obtenir le dossier Modèle
de certificat, puis dans la partie de droite, faites un clic droit
puis sélectionnez Gérer afin de lancer une nouvelle console :
Certtmpl.msc.
Faites un clic droit sur Utilisateur et choisissez Dupliquer.
Validez la nouvelle fenêtre sans modifier les paramètres par défaut pour
permettre au certificat d’être délivré automatiquement. Affichez les
propriétés de votre nouveau modèle et rendez vous dans l’onglet
Sécurité. Assignez à Utilisateurs du domaine le droit
d’inscrire automatiquement ce certificat.
|
Fermez la console pour retourner dans la console Autorité de
certificat. Il vous suffit ensuite de rajouter le modèle que vous venez
de créer comme dans la partie 2.4.
Il vous suffit de configurer une GPO à l’arborescence ci-contre.Le
paramètre à configurer est Paramètre d’inscription automatique.
Il ne vous reste plus qu’a configurer votre GPO pour la lier à votre
domaine et de cette manière, tous vos utilisateurs posséderont un
certificat pour signer leurs mails. |
 |
Afin que la communication entre vos serveurs frontaux et vos serveurs dorsaux
soient sécurisées, il est recommandé de mettre en place un système de
chiffrement avec IPSec. Pour se faire, IPSec permet l'utilisation de plusieurs
possibilités d'authentification des clients, notamment l'utilisation d'une clé
pré-partagée, l'utilisation de Kerberos ou encore d'utiliser une structure PKI
avec les certificats. Bien évidement, cette dernière solution est de loin la
plus sécurisée, et c'est pourquoi nous détaillerons son utilisation dans cet
article. Il est à noter que vos serveurs frontaux et dorsaux devront posséder un
certificat et IPSec de configurer afin de permettre le chiffrement des
communications.
Outre la configuration du serveur du certificat, vous devrez
dans un premier temps configurer ce serveur de certificat à distribuer des
certificats IPSec aux ordinateurs. Pour se faire, ouvrez la console Autorité
de certification se trouvant dans les outils d'administrations. Développez
ensuite l'arborescence de la console, puis faites un clic droit sur Modèles
de certificats, sélectionnez ensuite Nouveau / Modèle de
certificat à délivrer. Dans la fenêtre Activer les modèles de certificats,
sélectionnez IPSEC.
Une fois que votre ordinateur est capable de distribuer des
certificats IPSec, il ne vous reste plus qu'a l'attribuer à vos serveurs. Pour
se faire, vous pouvez le faire manuellement en important le certificat
localement, ou bien en utilisant les Stratégies de groupe. Cet article
détaillera l'attribution via les Stratégies de groupe puisque d'un point
de vu pratique, il est préférable de les utiliser dans le cas où vous disposez d'un
parc d'ordinateur assez conséquent.
Créez donc une nouvelle stratégie de
groupe, soit via GPMC ou bien la console Utilisateur et ordinateur Active
Directory, puis rendez-vous dans Configuration ordinateur, Paramètres Windows,
Paramètres de sécurité, puis Stratégies de clé publique. Faites ensuite un clic
droit sur Paramètres de demande automatique de certificat, et enfn sélectionnez
Nouveau / Demande automatique de certificat… Vous lancerez un assistant. Dans la
page Modèle de certificat, sélectionnez IPSEC.
Il ne vous reste plus qu'a
lier votre GPO à une unité d'organisation contenant vos serveurs afin de
déployer vos certificats.
Il ne vous reste plus qu'a configurer IPSec sur vos serveurs
Exchange. Pour se faire, il suffit d'ouvrir une console MMC afin d’y ajouter le
composant Gestion de la stratégie de sécurité IP. Lors de l’ajout du composant,
il faut bien vérifier que celui-ci va configurer l’ordinateur local. L'ajout du composant
Moniteur de sécurité IP peut être utile afin de vérifier que le
trafic est sécurisé.
De la même manière que pour l'attribution des
certificats IPSec, vous pouvez utiliser les stratégies de groupe pour affecter
une configuration IPSec sur vos ordinateurs. Dans votre GPO, développez
l'arborescence Configuration ordinateur, Paramètres Windows,
Paramètres de sécurité, puis cliquez sur Stratégie de sécurité IP sur
Active Directory,
puis dans le panneau à droite sur Serveur (demandez la sécurité) afin d’en
afficher les propriétés. Dans l’onglet Règles, Modifiez Tout le trafic IP.
Sélectionnez ensuite l’onglet Méthode d’authentification. Supprimez les
éventuelles entrées déjà existantes, puis créer une nouvelle méthode
d'authentification avec le bouton Ajouter. Dans la nouvelle
fenêtre, cochez le bouton radio Utiliser un certificat émis par cette Autorité
de certification et sélectionnez le nom de votre autorité de certificat en cliquant sur
Parcourir.
Pour clore ce chapitre, nous allons sécuriser avec SSL les
services POP et IMAP. Il est important de noter la configuration de ces services
avec SSL doit être faite sur vos serveurs frontaux et
dorsaux. Cependant, la configuration pour POPS ou IMAPS étant la même procédure,
cet article ne détaillera que la mise en place de POPS.
De la même manière qu'HTTPS, il faut que votre serveur
possède un certificat afin de pouvoir chiffrer avec SSL. Afin de faire la
demande, rendez-vous dans la console de gestion d'Exchange : Gestionnaire de
système Exchange. Affichez ensuite les propriétés de votre serveur virtuel
et rendez-vous dans l’onglet Accès. Cliquez ensuite sur le bouton
Certificat pour lancer un assistant de demande de certificat. Cette
assistant se présente de la même manière que celui créé pour https, il ne vous
reste qu’a le suivre afin d’obtenir votre certificat.
Une fois votre certificat obtenu correctement, cliquez sur
Communication pour cocher les cases Requérir un canal sécurisé puis
Requérir un cryptage sur 128 bits et obtenir votre communication POP avec
SSL.
 Sommaire
1. Configuration du serveur frontal
1.1 Les différentes architectures
1.2 Déclaration d'un serveur frontal
2. Configuration et sécurisation du serveur frontal
2.1 Paramétrage d'Outlook Web Access (OWA)
2.2 2.2 Sécurisation d'OWA
2.3 Utilisation de S/MIME avec OWA
2.4 Implémentation de IPSec entre les serveurs frontaux et dorsaux
2.5 Sécurisation de POP et IMAP
3. Exchange et le clustering
3.1 NLB
3.2 MSCS
Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Sécuriser un serveur Exchange 2003 frontal
