Introduction aux nouveautés en matière de sécurité et politique de messagerie d’Exchange 2010

1.1 Introduction a Exchange Server 2010

Pour 2010, Microsoft fait peau neuve en réactualisant la quasi-totalité de ses produits. Exchange Server n’échappe pas à la règle et réinvente la messagerie électronique avec Exchange Server 2010 qui a pour vocation de simplifier la tâche des utilisateurs comme des administrateurs.

En effet cette dernière version offre un accès Web multi-navigateurs : l’ECP (Exchange Control panel), permettant une gestion simplifiée de l’organisation comme l’organisation du courrier électronique, des comptes, des groupes, des appareils mobiles et des permissions.

Mais les ambitions d’Exchange Server 2010 ne s’arrêtent pas là, introduit par Exchange Server 2007, la gestion des rôles en ligne de commandes avec PowerShell prend une place encore plus significative. Les RBAC venant remplacer les systèmes MAC et DAC, c’est la possibilité de géré de manière très précise les rôles de chaque membres.

1.3 Lecture de l’article

Ainsi cet article nous découvrirons les nouveautés en matière de sécurité et de politique de messagerie d’Exchange Server 2010 Enterprise Edition sur le jeune Windows Server 2008 R2.

Nous traiterons des outils essentiels de l’administration comme la protection à la suppression, les stratégies de groupes, les RBAC, les classifications, les règles de transport et enfin la journalisation.

Protection des suppressions

2.1 Introduction aux Protections des Suppressions

En renouvelant la quasi-intégralité de ses produits, Microsoft nous offre la possibilité d’optimiser nos capacités en utilisant deux produits d’une même génération. A tout hasard, il est question ici d’utiliser Exchange Server 2010 avec Windows Server 2008 R2 et donc sur un Active Directory 2008 R2. En utilisant cette combinaison, de nouvelles fonctionnalités favorisent la sécurité de votre environnement. En effet, une des fonctions qui nous intéressera sera la protection d’objets contre la suppression et la corbeille de l’Active Directory.

2.2 Protéger des objets

Pour protéger des objets de la suppression, il faut aller dans Centre d’Administration de l’active Directory, ouvrir les propriétés de l’objet et simplement cocher la case « Protéger contre la suppression accidentelle »

Description: C:\Users\Mathieu\Desktop\1.jpg

Cette commande protège l’objet contre toutes les suppressions. Ainsi, supprimer un utilisateur depuis la console d’Exchange donnera lieu au message d’erreur suivant :

Description: C:\Users\Mathieu\Desktop\2.jpg

Remarque : Une suppression depuis l’Active Directory nous affichera cette erreur :

Description: C:\Users\Mathieu\Desktop\3.jpg

Pour supprimer l’objet il faudra donc accéder de nouveau aux propriétés de ce dernier et décocher l’option.

2.3 La corbeille d’Active Directory

Si toutefois un objet est supprimé (parce qu’il n’a pas été protégé par exemple), il est encore possible de le restaurer. En effet l’Active Directory, possède maintenant une corbeille qui, comme sur Windows stock les fichiers supprimés.

La corbeille Active Directory est réservée à Windows 2008 R2 et uniquement les éditions Standard, Enterprise et Datacenter. Par défaut, la durée d’un fichier à la corbeille est de 180 jours avant sa suppression définitive.

Pour installer puis utiliser la corbeille Active Directory je vous recommande de consulter ce site : https://blogs.technet.com/askds/archive/2009/08/27/the-ad-recycle-bin-understanding-implementing-best-practices-and-troubleshooting.aspx

RBAC

4.1 Introduction aux RBAC

La plus grande nouveauté d’Exchange 2010 d’un point de vue politique de messagerie est sans nul doute l’apparition des RBAC. RBAC signifiant Role Based Access Control soit littéralement Contrôle d’Accès Basé sur un Rôle. Ce nouveau modèle de permissions permet de gérer et d’organiser avec plus de précision les services et prestations complémentaires.

Remarque : Les RBAC ne peuvent pas s’appliquer pas sur les serveurs Edge.

Un rôle se fonde sur trois registres :

· une étendue : OU

· un contenu : QUOI

· un attribut : QUI

Ces trois entrées définissent respectivement sa portée (au niveau des permissions), ses caractéristiques (à travers des paramètres) et qui est concerné (administrateurs, utilisateurs…) et sont stockées dans l’Active Directory. On peut par exemple trouver les attributs dans le dossier Microsoft Exchange Security Groups

Pour nous faciliter la tâche Microsoft fourni avec Exchange Server 11 groupes de rôles, 65 rôles builtin et 160 assignations. Ces rôles sont des exemples utilisables et présents pour des configurations de base. Ici nous allons créer nos propres rôles personnalisés.

4.2 Etendue (Où)

A chaque nouvelle création de rôle il faut créer ou utiliser une étendue. C’est cette étendue qui va définir les droits de lecture/écriture du rôle et donc définir le champ d’actions du rôle.

Une étendue doit obligatoirement comporter un Nom (Name) et doit comporter au moins un des filtres suivant : PartnerDelegatedTenantRestrictionFilter, RecipientRestrictionFilter, ServerList ou ServerRestrictionFilter.

D’autres propriétés existent tel que : Confirm, DomainController, Exclusive, Force, RecipientRoot ou encore WhatIf. Bien que leur nom soit assez explicite, vous trouverai un détaillé de ces fonctions sur TechNet : https://technet.microsoft.com/fr-fr/library/dd335137.aspx.

Pour créer une nouvelle étendue. Il suffit d’entrer la commande suivante : New-ManagementScope

Dans le cas présent notre étendue s’appliquera sur toutes les boites mails. Pour que notre étendue ne s’applique que sur l’utilisateur User1, RecipientRestrictionFilter aura pour valeur RecipientType –eq « UserMailbox ». Ainsi la portée sera limitée par un type de Boite aux lettres, et donc ne s’appliquera que sur les boites aux lettres d’utilisateurs.

4.3 Contenu (Quoi)

Une fois l’entendue créée, nous devons créer son contenu.

4.3.1 Rôle parent/rôle fils

Un fois de plus, le rôle doit obligatoirement comporter un Nom (Name).

Remarque :

· Un rôle ne peut pas avoir plus de droits que le rôle dont il hérite.

· Un rôle ne peut pas être vide, il doit obligatoirement avoir une entrée de rôle.

Pour créer un nouveau rôle, la commande est simplement : New-ManagementRole

Description: C:\Users\Mathieu\Desktop\2.jpg

Le rôle se nommera ici « Role1 ». Puisque ce rôle doit s’appliquer sur toutes les boites mails, le Rôle Parent idéal est MailRecipients.

Des rôles sont déjà présents par Microsoft, pour obtenir la liste des rôles existants entrez Get-ManagementRole. Vous obtiendrez alors une liste équivalente à celle-ci :

Description: C:\Users\Mathieu\Desktop\3.jpg

Role1 étant un rôle fils du Role MailRecipients, il possède ses entrées de rôles et hérite de la même étendue.

4.3.2 Les entrées de rôle

Les entrées de rôle sont des fonctionnalités, des propriétés qui font partie d’un rôle.

Pour afficher les entrées de rôles de notre Role1, il faut entrer la commande Get-ManagementRoleEntry Role1\* * signifiant tout afficher, il est possible d’appliquer des filtres.

Description: C:\Users\Mathieu\Desktop\1.jpg

Nous constatons que notre Role1 permettra aux attribués de : vider les paramètres ActiveSync, se connecter à sa boite aux lettres etc…

Nous aimerions que ces derniers ne puissent désactiver aucun service, il nous faudra supprimer les 5 entrées Disable-Inbox, Disable-MailContact, Disable-MailUser, Disable-Mailbox et Disable-ServiceEmailChannel.

Nous pourrions utiliser la commande Remove-ManagementRoleEntry « Role1/ Disable-Inbox », mais il faudrait répéter cette opération a 5 reprises. Pour nous faciliter la tâche, nous utiliserons une commande conditionnelle : Get-ManagementRoleEntry « Role1\*Disable* » | Remove-ManagementRoleEntry

La commande Remove-ManagementRoleEntry ne va donc s’exécuter uniquement sur les entrées de rôle comportant le mot Disable.

On peut de la même manière ajouter de nouvelles entrées de rôles avec la commande Add-ManagementRoleEntry.

Description: C:\Users\Mathieu\Desktop\2.jpg

4.4 Attribut (Qui)

L’attribution consiste à assigner des utilisateurs ou groupes d’utilisateurs a des rôles ou groupes de rôles.

4.4.1 Créer un groupe de rôles

Un groupe de rôle permet relier du contenu (un ou plusieurs rôles) à une étendue et aux utilisateurs ou groupes d’utilisateurs concernés.

Il est possible de créer de nouveaux groupes de rôles avec la commande New-RoleGroup –Name « Groupe de rôles 1 » -Roles « Role1 », « Role2 », etc… -CustomRecipientWriteScope « Etendue »

Description: C:\Users\Mathieu\Desktop\1.jpg

Il est aussi possible de voir les groupes de rôles existants avec la commande Get-RoleGroup.

Description: C:\Users\Mathieu\Desktop\5.jpg

Notez qu’il est possible de modifier les groupes de rôles avec la commande Set-RoleGroup.

4.4.2 Assignations

L’assignation est le lien entre un rôle et un groupe de rôles. Lorsqu’un rôle est ajouté à un groupe de rôle, le processus crée silencieusement une assignation. Elles se présentent sous le forme suivante : <Rôle> – <Groupe de rôles>.

Il est possible de visualiser l’intégralité des assignements avec la commande Get-ManagementRoleAssignment.

Description: C:\Users\Mathieu\Desktop\5.jpg

4.4.3 Assigner un utilisateur avec PowerShell

Pour ajouter un membre à l’un de ces groupes de rôles, il suffit d’utiliser la commande Add-RoleGroupMember « GroupRole » -Member « user1 », « user2 », etc… Ici nous ajouterons seulement user1.

Description: C:\Users\Mathieu\Desktop\3.jpg

Nous allons maintenant voir si notre assignation en utilisant la commande Get-RoleGroupMember “User Mailbox”

Description: C:\Users\Mathieu\Desktop\4.jpg

Nous avons bien un notre utilisateur user1. La manipulation a fonctionné. Pour supprimer un membre d’un groupe, nous utiliserons la commande Remove-RoleGroupMember.

4.4.4 Assigner un utilisateur facilement depuis l’Exchange Control Panel

Il est possible d’attribuer à un utilisateur à un groupe de rôles à travers l’interface ECP, depuis les onglets « Rôles d’administrateur » et « Rôles d’utilisateur ». Si ceci est possible c’est évidement pour faciliter la tâche des administrateurs qui doivent modifier les droits utilisateurs.

Description: C:\Users\Mathieu\Desktop\2.jpg

En double cliquant sur un des groupes de rôles, il possible d’éditer la liste des administrateurs ou utilisateur attribués.

Description: C:\Users\Mathieu\Desktop\3.jpg

La liste des utilisateurs et administrateur s’affiche en cliquant sur le bouton « ajouter » et se présente ainsi :

Description: C:\Users\Mathieu\Desktop\4.jpg

4.5 Conclusion

Ainsi nous venons de créer nos premiers rôles, nous permettant de contrôler les droits des utilisateurs.

Mais qu’en est-il des emails ?

Classifications de messages

5.1 Introduction à la Classification des messages

Pour conserver certaines informations pouvant être confidentiel à une organisation, il peut être nécessaire de placer des règles qui empêchent de les divulguer aux personnes non appropriées.

De ce fait, Exchange Server et Outlook utilisent une fonctionnalité appelée Classifications pour empêcher cette fuite d’informations.

Les classifications sont des métadonnées qui, ajoutées à un email, contribue au contrôle les actions autorisé à ce message. Les classifications sont entièrement personnalisables et se créent depuis l’Exchange Management Shell du serveur Exchange. Elles doivent être par la suite ajoutées sur le PC Client sous forme de fichier XML et liées avec une clé de registre. Toutes les classifications sont créées dans le fichier OutlookClassification.ps1.Exchange Server possède par défaut des classifications prédéfinis.

5.2 Création d’une classification

Pour créer une nouvelle classification il faut entrer « New-MessageClassification » dans l’Exchange Management Shell. Les valeurs obligatoires sont Name (pour le nom), DisplayName (pour le nom qui sera affiché), SenderDescription (pour sa description) et Locale (pour les paramètres régionaux).

On peut y ajouter des paramètres comme RecipientDescription (pour permettre d’expliquer au destinataire le but de la classification et ce qu’il devrait faire du message). Pour connaitre l’ensemble des paramètres possible je vous invite à entrer la commande « Get-Help New-MessageClassification » suivi de « -detailed » ou « -fully ».

Une fois les classifications correctement configurés il vous suffit de les exporter en entrant la commande « Export-OutlookClassification.ps1> C: \CLASSIFICATIONS .xml » pour obtenir un fichier de configuration en nommé CLASSIFICATIONS.xml dans le répertoire C : . Ce fichier doit être placé sur le PC Client ou sur un dossier partagé disponible hors-connexion.

Il faut par la suite créer une clé de registre avec le modèle suivant :

[HKCUSoftwareMicrosoftOfficeXX.0CommonPolicy]

“AdminClassificationPath” = “c: \ CLASSIFICATIONS.xml

“EnableClassifications” = dword: 00000001

“TrustClassifications” = dword: 00000001

Le s XX ci-dessus doit être remplacé par la clé de registre la version d’Outlook installée (14 pour la version 2010, 12 pour la version 2007, 11 pour la version 2003 etc…). C: \ CLASSIFICATIONS.xml indique le chemin absolu du fichier. Remarque : Pour créer des fichiers de registre, créez un fichier depuis le bloc-notes, enregistrez le contenu dans un fichier en *.txt et modifiez l’extension en *.reg . Il ne vous reste plus qu’à faire un clic-droite et sélectionner « installer » pour la clé. Il est aussi recommandé d’exporter sa base de registre par sécurité.

5.3 Ajout d’une classification à un compte client

Pour appliquer une règle de permission avec Outlook il vous suffit de dérouler le menu « Permissions » de l’onglet option.

Description: C:\Users\Mathieu\Desktop\1.jpg

Enfin, il est aussi possible d’associer une ou plusieurs classifications à une règle de transport d’Exchange Server depuis l’assistant de configurations.

Règles de transport

6.1 Introduction aux Règles de Transport

Les règles de transport permettent d’associer une action (comme ‘prévenir l’administrateur’) à un évènement. L’intérêt ici est donc de s’assurer que la boite de messagerie est bien utilisée dans un cadre professionnel.

Elles s’établissent en 3 grandes étapes successives : Condition(s), Action(s) puis Exception(s).

Remarque : Il n’est pas nécessaire d’avoir une exception.

Lorsqu’un message est envoyé, il est analysé par Echange pour voir si une condition s’applique.

Dans le cas où une condition s’applique, l’action définie par l’administrateur entrera en œuvre. Le message peut être dupliqué, annulé, corrigé ou mis en attente pour modération par exemple.

Dans le cas où aucune condition ne s’applique, le message sera expédié comme prévu.

6.2 Création détaillée d’une règle de Transport

Nous allons créer une règle qui avertit l’administrateur par une copie de l’email si ce dernier comporte des mots tels que ‘vol’ ou ‘braquage’.

Pour accéder au gestionnaire de Règles de Transport il faut cliquer sur « Transport hub » dans l’arborescence de la « Configuration de l’organisation » de la console de Management Exchange puis cliquer sur l’onglet « Règles de Transport ».

Pour créer une nouvelle règle il suffit simplement de cliquer sur « Nouvelle règle de Transport » dans le menu déroulant de droite.

Description: C:\Users\Mathieu\Desktop\Règles de Transport\0.jpg

Par identification : _ Condition : L’email comporte les mots ‘vol’ ou ‘braquage’_ Action : Envoyer une copie de l’email à l’administrateur. _ Exception : Aucune. (Bien que l’on pourrait mettre

6.2.1 Introduction

Description: C:\Users\Mathieu\Desktop\Règles de Transport\1.jpg

L’introduction est la première étape de la création d’une règle de transport. Elle consiste à lui donner un nom, optionnellement un commentaire et de l’activer ou non à la fin de cet assistant de création.

Pour faciliter la reconnaissance de la règle nous allons donner à cette dernière un nom qui explicite sa fonction. Dans le cas présent : ‘AnalyseDesMotsDumessage’. Le commentaire détaillera son procédé.

6.2.2 Conditions

Description: C:\Users\Mathieu\Desktop\Règles de Transport\2.jpg

La deuxième étape consiste à fournir une ou plusieurs conditions.

Pour cela il suffit de cocher dans la liste quels seront les facteurs qui activeront cette règle. Pour notre exemple nous sélectionnerons « quand le champ Objet ou le corps du message contient des mots spécifiques ».

Description: C:\Users\Mathieu\Desktop\Règles de Transport\3.jpg

Lorsqu’au moins une condition a été cochée elle apparait dans la zone de texte inférieur. On pourra remarquer que mots spécifiquesà la forme d’un lien. Si on clique sur ce lien une fenêtre apparait pour enregistrer une liste de mots.

Pour notre exemple nous y entrerons les mots ‘vol’ et ‘braquage’.

En validant notre sélection nous retournons l’étape Conditions et pouvons remarque le lien mots spécifiques a été remplacé par ‘vol’ ou ‘braquage’

Description: C:\Users\Mathieu\Desktop\Règles de Transport\5.jpg

Cliquer à nouveau sur ce lien permettra d’éditer cette liste.

6.2.3 Actions

Description: C:\Users\Mathieu\Desktop\Règles de Transport\6.jpg

Comme dans l’étape précédente, il suffit de cocher l’action que nous souhaitons et d’éditer le lien pour sélectionner l’adresse email de l’administrateur.

6.2.4 Exceptions

Description: C:\Users\Mathieu\Desktop\Règles de Transport\7.jpg

De même pour cette étape. Vous remarquerez qu’il n’est pas nécessaire d’avoir une exception.

6.2.5 Résumé

Description: C:\Users\Mathieu\Desktop\Règles de Transport\8.jpg

Cette avant-dernière étape vous résume la configuration que vous venait d’assembler. En cliquant sur « Nouveau » vous aller faire de votre configuration une règle.

6.2.6 Achèvement

Description: C:\Users\Mathieu\Desktop\Règles de Transport\9.jpg

Lors de l’achèvement, l’assistant publie vos configurations dans une règle. En cliquant sur « Terminer » nous quitterons l’assistant et pourrons voir notre règle dans la Console de Management Exchange.

Ainsi les règles de transport permettent de rééditer le message à son expédition. Nous avons pu ici ajouter un expéditeur dans un cas particulier.

Activation, configuration d’une règle

7.1 Introduction à la Journalisation

Contrairement aux règles de transport, la journalisation dans Exchange Server 2010 permet d’enregistrer l’intégralité du message expédié d’un ou plusieurs utilisateurs vers une autre boite mail. La journalisation permet donc une surveillance des comptes mails pour les envois interne et/ou externe au domaine suivant la configuration de l’étendue.

7.2 Création détaillée d’une règle de Journalisation

Nous allons créer une règle qui envoie une copie à l’administrateur de tous les mails envoyé à l’extérieur du domaine.

Description: A description...

Pour établir une règle de journalisation il faut en 1er lieu aller dans l’arborescence Transport Hub de la configuration de l’organisation. Puis faire clique droit Nouvelle règle de journalisation.

Description: A description...

Un assistant s’ouvre et nous On écrit ensuite le nom de la nouvelle règle. Nous mettrons ici « Surveillance face au double jeu ».

Description: A description...

On sélectionne l’étendu de sa surveillance. Ici on sélectionne Externe qui surveille les messages avec un expéditeur ou un destinataire externe. On peut aussi surveiller tous les messages avec l’option Global ou les messages envoyés en interne avec l’option inférieure.

Description: A description...

Description: A description...

Description: A description...

On sélectionne l’adresse à laquelle envoyer les copies des messages. Ici l’adresse de l’administrateur. Ensuite on clique sur « Nouveau » pour crée la règle.

Description: A description...

Ici la création de la règle s’effectue sans problème, on clique donc sur terminer pour appliquer les nouveaux paramètres et pour revenir à la console de management d’exchange.

Conclusion

8.1 Management Shell ou Management Console ?

Comme avez pu le constater, l’administration serveur d’Exchange s’effectue de plus en plus avec l’Exchange Management Shell ceci afin de favoriser le scripting, donc l’automatisation de la gestion. Cela peut sembler difficile à première vue mais il y a réellement du temps à gagner à la clé. Il reste encore l’Exchange Management Console qui se charge de gérer votre serveur mail avec une interface graphique clair et assez intuitive mais il est évident que, pour une administration avancée, l’utilisation de l’Exchange Management Shell est inévitable.

8.2 Un dernier mot pour la fin

Nous vous remercions de votre lecture et espérons que cet article vous incitera à essayer Exchange 2010 si vous ne l’avez pas déjà et à migrer vers le système de la même génération : Windows Server 2008 R2 !

Accéder aux versions d’essais de Microsoft