Sécurisation des serveurs Exchange 2000 en fonction des rôles

Dernière mise à jour le 31 août 2004

Sur cette page

Dans ce module
Objectifs
S'applique à
Comment utiliser ce module
Introduction
Environnement test
Utilisation des serveurs frontaux et principaux OWA
Sécurisation des rôles du serveur dans un environnement Exchange 2000
Stratégies de serveur Exchange
Service SMTP
Installation et mise à jour d'Exchange dans un environnement de sécurité améliorée
Mesures de sécurité supplémentaires
Considérations sur le cluster Exchange
Résumé

Dans ce module

Ce module explique comment verrouiller votre environnement Microsoft® Exchange 2000 pour éviter des attaques malveillantes ou accidentelles. Ce verrouillage s'effectue à l'aide d'une stratégie de groupe et se base sur les rôles du serveur Exchange. Vous pouvez désactiver les services qui ne sont pas utilisés couramment par les serveurs principaux de boîtes aux lettres ou de dossiers publics Exchange. Un autre jeu de services peut être désactivé sur les serveurs frontaux OWA (Outlook Web Access) et il est également possible de supprimer les bases de données inutilisées. Ce module indique comment améliorer la sécurité par le biais de listes de contrôle d'accès (ACL) modifiées. Vous y trouverez des modèles de sécurité qui vous permettront d'atteindre ces objectifs, ainsi qu'une conception d'unités d'organisation recommandée qui vous aidera à déployer des stratégies de serveur. Ce module indique également comment utiliser des outils supplémentaires de renforcement de la sécurité dans un environnement Exchange 2000, tels que l'outil de verrouillage IIS (Internet Information Services) et URLScan.

Haut de page

Objectifs

Ce module vous permettra d'effectuer les opérations suivantes :

• sécuriser les serveurs frontaux et principaux Exchange 2000 ;

• utiliser les stratégies de groupe pour sécuriser les serveurs frontaux et principaux Exchange 2000 à l'aide des modèles de sécurité fournis ;

• organiser la structure de votre UO pour qu'elle adopte facilement la stratégie de groupe ;

• importer et appliquer les modèles de sécurité pour que la stratégie de groupe verrouille les serveurs Exchange 2000 ;

• définir et modifier les services et les ACL affectés par la stratégie de serveur frontal Exchange ;

• définir et modifier les services et les ACL affectés par la stratégie de serveur frontal OWA ;

• installer et mettre à jour Exchange 2000 dans l'environnement verrouillé ;

• utiliser l'outil de verrouillage IIS et installer URLScan ;

• modifier les paramètres de l'outil de verrouillage IIS et d'URLScan pour les serveurs frontaux OWA ;

• supprimer les bases de données de boîtes aux lettres et de dossiers publics sur les serveurs frontaux OWA ;

• protéger votre serveur SMTP en modifiant la bannière pour qu'elle n'affiche pas la version spécifique ;

• empêcher les membres du groupe Serveurs de domaine Exchange d'accéder à toutes les boîtes aux lettres en exécutant EDSLock.

Haut de page

S'applique à

Ce module s'applique aux produits et technologies suivants :

• Microsoft Exchange Server 2000 ;

• service d'annuaire Active Directory® du système d'exploitation Microsoft Windows® 2000.

Haut de page

Comment utiliser ce module

Ce module est conçu pour compléter le guide Security Operations for Microsoft Windows 2000 Server (Microsoft Press, ISBN : 0-7356-1823-2). Il est fortement conseillé de lire la totalité de ce guide avant de prendre connaissance de ce module. Les sections de ce module dépendent directement des informations contenues dans le guide Security Operations for Microsoft Windows 2000 et sont signalées dans le texte le cas échéant. Il est également recommandé de lire le document Microsoft Exchange 2000 Server Operations (Microsoft Press, ISBN : 0-7356-1831-3), qui fournit des informations supplémentaires sur les opérations générales d'Exchange 2000.

L'objectif de ce module est de vous permettre de sécuriser autant que possible votre environnement Exchange 2000 sans affecter les principales fonctionnalités d'Exchange. Ce module traite des opérations requises pour créer et maintenir un environnement sécurisé sur des serveurs exécutant Exchange 2000. Il doit être utilisé dans le cadre de votre stratégie globale de sécurisation d'Exchange et ne doit pas servir de référence unique pour couvrir tous les aspects de la création et du maintien d'un environnement sécurisé.

Ce module doit être utilisé en conjonction avec les modules « Sécurisation de votre environnement Exchange » et « Sécurisation des communications Exchange ».

Ce module présente une méthodologie détaillée permettant de sécuriser les serveurs frontaux et principaux Exchange à l'aide des modèles de stratégie de groupe qui sont fournis. Les étapes sont modulaires et donnent des instructions claires sur la manière de mettre en œuvre les paramètres de stratégie. Vous pouvez les appliquer à un environnement Exchange nouveau ou existant. Tous les serveurs Exchange intègrent une fonctionnalité OWA et sont des serveurs principaux (jusqu'à ce que vous les transformiez en serveurs frontaux). Les paramètres de stratégie des serveurs principaux peuvent donc généralement être appliqués à n'importe quelle organisation Exchange.

Télécharger les modèles de stratégie de groupe Exchange 2000

Télécharger l'outil de verrouillage IIS

Haut de page

Introduction

Le module, « Sécurisation de votre environnement Exchange » donnait des recommandations générales pour sécuriser votre environnement Exchange 2000. Ce module présente en détails l'amélioration de la sécurité de vos serveurs Exchange 2000 en fonction du rôle qui leur est attribué dans votre environnement informatique.

Garantir la sécurité de Windows 2000 est indispensable à la sécurité d'Exchange 2000, car Exchange 2000 est une application qui fonctionne dans un environnement Windows 2000. Le guide Security Operations for Microsoft Windows 2000 contient des recommandations pour sécuriser les rôles de serveurs particuliers. Dans ce module nous étendons ces recommandations pour y intégrer Exchange 2000. Nous examinons en particulier les rôles du serveur frontal OWA et du serveur principal Exchange.

Haut de page

Environnement test

Il est indispensable d'évaluer parfaitement toutes les modifications de la sécurité que vous souhaitez apporter à vos systèmes informatiques dans un environnement test avant de les mettre en œuvre dans votre environnement de production. Votre environnement test doit reproduire aussi précisément que possible votre environnement de production. Il doit au minimum inclure plusieurs contrôleurs de domaines et chaque rôle de serveur membre présent dans votre environnement de production.

Les tests sont nécessaires pour déterminer si votre environnement sera toujours fonctionnel après les modifications, mais ils sont également indispensables pour vous assurer que vous avez amélioré le niveau de sécurité comme prévu. Vous devez valider sérieusement toutes les modifications et procéder à des évaluations de la vulnérabilité dans l'environnement test.

Remarque : la personne qui procède à des évaluations de la vulnérabilité dans votre organisation doit absolument disposer d'une autorisation écrite.

Haut de page

Utilisation des serveurs frontaux et principaux OWA

Par défaut, chaque serveur Exchange 2000 dispose d'une fonctionnalité OWA, permettant aux utilisateurs de se connecter à leur serveur Exchange via le protocole http (Hypertext Transfer Protocol). Cela est possible car dans une installation par défaut, les composants de la solution OWA sont installés sur un serveur Exchange. Cependant, dans la plupart des environnements à moyenne ou grande échelle, il est préférable de mettre en œuvre une solution frontale/principale pour permettre l'accès à OWA. Dans ce cas, les utilisateurs se connectent au serveur frontal, qui accepte ensuite la demande, vérifie les informations d'authentification de l'utilisateur dans Active Directory, puis transfère la demande au serveur Exchange principal approprié. Le serveur principal permet d'accéder aux boîtes aux lettres et aux dossiers publics. Cette méthode fournit les avantages suivants :

• les utilisateurs n'ont pas à connaître le nom de leur serveur Exchange local pour pouvoir y accéder ;

• le nom des serveurs détenant les boîtes aux lettres est masqué ;

• la charge des serveurs frontaux peut être équilibrée ;

• la surcharge de SSL (Secure Sockets Layer) peut être déchargée sur le serveur frontal ;

• vous pouvez renforcer la sécurité du serveur principal derrière des pare-feu supplémentaires.

Remarque : les serveurs frontaux peuvent également être utilisés pour des connexions POP3 et IMAP4. Dans ce guide nous supposons toutefois que vous activerez uniquement les connexions HTTP et MAPI.

Remarque : pour une discussion détaillée sur les environnements de serveur frontal/principal OWA dans Exchange, reportez-vous à la section « Informations complémentaires » à la fin de ce module.

Haut de page

Sécurisation des rôles du serveur dans un environnement Exchange 2000

Avec ce guide, nous fournissons des modèles de sécurité permettant de modifier la sécurité des rôles du serveur Exchange 2000. Vous devrez les télécharger et les importer dans vos paramètres de stratégie de groupe pour les appliquer à Exchange.

Le tableau 1 définit les rôles du serveur et les modèles utilisés pour améliorer la sécurité.

Tableau 1. Rôles du serveur Exchange 2000

Rôle du serveur	Description	Modèles de sécurité
Serveur OWA	Serveur frontal OWA dédié pour Outlook Web Access	Baseline.inf et OWA front-end Incremental.inf
Serveur principal Exchange 2000	Serveur de boîtes aux lettres, d'accès aux dossiers publics et de routage	Baseline.inf et Exchange back-end Incremental.inf

Outre les modèles spécifiés ci-dessus, vous devrez également appliquer un modèle de sécurité supplémentaire à votre stratégie de groupe de base pour les contrôleurs de domaine. Les paramètres définis dans *Security Operations for Microsoft Windows 2000 Server* ne supposent pas qu'Exchange fait partie de votre environnement. Ils doivent donc être modifiés pour s'adapter à Exchange 2000. Pour modifier les paramètres de votre contrôleur de domaine afin de leur permettre de prendre en charge les opérations d'Exchange, nous fournissons le modèle Exchange DC Incremental.inf. Il doit être importé dans un objet Stratégie de groupe (GPO) au niveau de l'unité d'organisation (UO) Contrôleurs de domaine. En fait, un seul paramètre est modifié ; l'option de sécurité présentée dans le tableau 2. **Tableau 2. Option de sécurité des contrôleurs de domaine pour prendre en charge Exchange 2000**

Option	Opérations de sécurité pour Windows 2000 Server	Opérations de sécurité pour Exchange 2000 Server
Restrictions supplémentaires pour des connexions anonymes	Pas d'accès sans connexions anonymes explicites	Aucune. S'appuyer sur les autorisations par défaut.
Arrêter votre système immédiatement s'il est impossible d'enregistrer les audits de sécurité	Activé	Désactivé
Audit des événements de connexion au compte	Succès et Échec	Échec
Audit des événements de connexion	Succès et Échec	Échec

Le paramètre de restriction anonyme doit être modifié pour que les clients Microsoft Outlook® 2000 et Outlook 2002 ne contactent pas le serveur de catalogue global anonymement afin d'obtenir des informations. Avec les paramètres définis dans *Security Operations for Microsoft Windows 2000 Server*, les utilisateurs d'Outlook ne peuvent pas envoyer de courrier interne et doivent utiliser des adresses externes. **Remarque :** pour plus d'informations sur ce problème, consultez l'article Q309622 « XADM: Clients Cannot Browse the Global Address List After You Apply the Q299687 Windows 2000 Security Hotfix » de la Base de connaissances. Les autres paramètres sont modifiés en raison du grand nombre d'événements de connexion avec succès générés par Exchange 2000. Si l'audit des succès est activé pour les événements de connexion, le journal de sécurité sera rapidement rempli. **Remarque :** pour plus d'informations sur ce problème, consultez l'article Q316685 « Active Directory-Integrated Domain Name Is Not Displayed in DNS Snap-in with Event ID 4000 and 4013 Messages » de la Base de connaissances. #### Structure Active Directory permettant de prendre en charge les rôles du serveur Exchange 2000 Le guide *Security Operations for Microsoft Windows 2000 Server* recommande une structure d'UO qui vous permet d'adopter facilement les modèles de sécurité fournis. La structure d'UO recommandée dans ce guide peut facilement être étendue pour intégrer les deux nouveaux rôles du serveur définis ici. Exchange 2000 étant une application, nous créons une UO Serveurs Exchange sous l'UO Serveurs d'application et ajoutons des UO supplémentaires pour ces rôles de serveur sous l'UO Serveurs Exchange. La figure 1 représente la structure d'UO recommandée pour adopter les deux nouveaux rôles du serveur : .jpg) Figure 1 *Structure d'UO avec ajout des UO Serveur Exchange et Serveur d'applications* **Remarque :** la création de la structure d'UO permettant de prendre en charge les recommandations de ce guide est couverte de manière plus détaillée dans le guide *Security Operations for Microsoft Windows 2000 Server.* #### Importation des modèles de sécurité Les modèles de sécurité décrits dans les sections suivantes sont contenus dans le fichier ExSecurityOps.exe fourni avec le guide. Vous devrez extraire ce fichier avant d'importer les modèles de sécurité. Si vous utilisez Windows 2000 Service Pack 2, vous devrez également vérifier que vous avez appliqué les correctifs détaillés dans les articles suivants de la Base de connaissances : - Q295444: SCE Cannot Alter a Service's SACL Entry in the Registry ; - Q272560: Race Condition May Lead to Loss of Group Policy Changes. **Remarque :** vous devrez contacter le Support technique des produits Microsoft pour obtenir les correctifs dont il est question dans les articles de la Base de connaissances. Pour plus d'informations sur la manière de contacter le Support technique des produits de Microsoft, allez à l'adresse http://support.microsoft.com. **Attention :** les modèles de sécurité de ce guide sont conçus pour améliorer la sécurité de votre environnement. Il est possible qu'en installant les modèles fournis avec ce guide, vous perdiez des fonctionnalités de votre environnement. Il peut notamment s'agir d'une panne des applications stratégiques. Il est par conséquent indispensable que vous testiez parfaitement ces modèles avant de les déployer dans un environnement de production, et que vous y apportiez les modifications nécessaires pour s'adapter à votre environnement. Sauvegardez chaque contrôleur de domaine et chaque serveur avant d'appliquer de nouveaux paramètres de sécurité. Vérifiez que l'état du système est inclus dans la sauvegarde, car les données du Registre y sont conservées. Pour les contrôleurs de domaine, la sauvegarde intègre également tous les objets d'Active Directory. **Remarque :** la stratégie de base du contrôleur de domaine et la stratégie de base du serveur membre incluses dans le guide *Security Operations for Microsoft Windows 2000* règlent le niveau d'authentification LAN Manager sur NTLMv2 uniquement. Pour que les clients Outlook communiquent parfaitement avec les serveurs Exchange et les contrôleurs de domaine, ils devront également être configurés pour utiliser NTLMv2 uniquement. La procédure suivante importe les modèles de sécurité fournis avec le guide dans la structure d'UO suggérée dans ce module. - **Pour créer l'objet Stratégie de groupe du contrôleur de domaine et importer le modèle de sécurité** 1. Dans **Utilisateurs et ordinateurs Active Directory**, cliquez avec le bouton droit de la souris sur **Contrôleurs de domaine**, puis sélectionnez **Propriétés**. 2. Dans l'onglet **Stratégie de groupe**, cliquez sur **Nouveau** pour ajouter un nouvel objet Stratégie de groupe. 3. Entrez **Stratégie DC Exchange** et appuyez sur **Entrée**. 4. Cliquez sur **Haut** jusqu'à ce que **Stratégie DC Exchange** soit placé au sommet de la liste. 5. Cliquez sur **Modifier**. 6. Développez **Paramètres Windows**, cliquez avec le bouton droit de la souris sur **Paramètres de sécurité** et sélectionnez **Importer la stratégie**. **Remarque :** si Importer la stratégie n'apparaît pas dans le menu, fermez la fenêtre Stratégie de groupe et répétez les étapes 4 et 5. 7. Dans la boîte de dialogue **Importer la stratégie à partir de**, naviguez jusqu'à l'emplacement **C:\\SecurityOps\\Templates** et double-cliquez sur **Exchange DC Incremental.inf**. 8. Fermez **Stratégie de groupe** puis cliquez sur **OK**. 9. Forcez la réplication entre vos contrôleurs de domaine de manière à ce que cette stratégie s'applique à tous les contrôleurs de domaine. 10. Vérifiez dans le Journal d'événements que la stratégie a bien été téléchargée et que le serveur peut communiquer avec les autres contrôleurs de domaine du domaine. 11. Redémarrez chaque contrôleur de domaine un par un pour vérifier qu'ils redémarrent correctement. - **Pour créer les objets Stratégie de groupe du serveur Exchange et importer les modèles de sécurité** 1. Dans **Utilisateurs et ordinateurs Active Directory**, développez **Serveurs membres**, **Serveurs d'applications** et **Serveurs Exchange**, cliquez avec le bouton droit de la souris sur **Serveurs frontaux OWA** , puis sélectionnez **Propriétés**. 2. Dans l'onglet **Stratégie de groupe**, cliquez sur **Nouveau** pour ajouter un nouvel objet Stratégie de groupe. 3. Entrez **Stratégie OWA** et appuyez sur **Entrée**. 4. Cliquez sur **Modifier**. 5. Développez **Paramètres Windows**, cliquez avec le bouton droit de la souris sur **Paramètres de sécurité** et sélectionnez **Importer la stratégie**. **Remarque :** si Importer la stratégie n'apparaît pas dans le menu, fermez la fenêtre Stratégie de groupe et répétez les étapes 4 et 5. 6. Dans la boîte de dialogue **Importer la stratégie à partir de**, naviguez jusqu'à l'emplacement **C:\\SecurityOps\\Templates** et double-cliquez sur **OWA Front-end Incremental.inf**. 7. Fermez **Stratégie de groupe** puis cliquez sur **OK**. 8. Répétez les étapes 1 à 7 pour l'**UO des serveurs frontaux** avec **Exchange Back-end Incremental.inf** 9. Forcez la réplication entre vos contrôleurs de domaine de manière à ce que cette stratégie s'applique à tous les contrôleurs de domaine. 10. Placez un serveur pour chaque rôle dans l'UO appropriée. 11. Sur le serveur, téléchargez la stratégie en utilisant la commande **secedit /refreshpolicy machine\_policy /enforce**. 12. Vérifiez dans le Journal d'événements que la stratégie a bien été téléchargée et que le serveur peut communiquer avec les contrôleurs de domaine et avec d'autres serveurs du domaine. Après avoir testé avec succès un serveur de l'UO, déplacez les serveurs restants dans cette UO, puis appliquez la sécurité. **Remarque :** pour plus d'informations sur la vérification de la réussite du téléchargement de la stratégie de groupe, consultez la section « Managing Security with Windows 2000 Group Policy » du guide *Security Operations for Microsoft Windows 2000 Server*. 13. Redémarrez chaque serveur pour vérifier qu'ils redémarrent correctement. [](#mainsection)[Haut de page](#mainsection) ### Stratégies de serveur Exchange Il est possible de définir un grand nombre de paramètres de sécurité dans Windows 2000, notamment l'audit, les options de sécurité, les paramètres du Registre, les autorisations sur les fichiers et les services. Dans le guide *Security Operations for Microsoft Windows 2000 Server* nous faisons des suggestions pour la plupart de ces paramètres et ces recommandations n'ont pas besoin d'être modifiées pour Exchange 2000. Le principal domaine pour lequel des paramètres supplémentaires sont appliqués est celui des services, bien que nous effectuions également des modifications d'autorisation sur les fichiers. Etant donné qu'ils résident dans les UO qui se trouvent sous l'UO Serveurs membres, les serveurs Exchange héritent des paramètres définis dans la stratégie de base de serveur membre. Les stratégies d'Exchange modifient ces paramètres de deux manières. Tout d'abord, certains des services qui sont le plus requis pour les fonctionnalités Windows 2000 de base sont nécessaires pour qu'Exchange 2000 fonctionne avec succès. Ensuite, Exchange 2000 introduit un nombre de services supplémentaires, lesquels ne sont pas tous requis pour permettre aux serveurs Exchange de fonctionner dans leurs rôles particuliers. **Remarque :** bien que cela ne soit pas mentionné explicitement dans les stratégies incrémentielles Exchange, le protocole NNTP (Network News Transfer Protocol) est désactivé par la stratégie de base de serveur membre Windows 2000. Ce service est requis pour installer Exchange, mais n'est pas nécessaire à son fonctionnement à moins que vous n'ayez besoin de la fonctionnalité de groupe de discussion. #### Stratégie de serveur principal Exchange La stratégie de serveur principal Exchange définit des paramètres dans deux domaines : les services et les listes de contrôle d'accès aux fichiers. ##### Stratégie des services de serveur principal Exchange Le tableau 3 présente les services spécifiés dans la stratégie de serveur principal Exchange 2000 : **Tableau 3. Services configurés dans la stratégie de base de serveur principal Exchange**

Nom du service	Mode de démarrage	Raison
Microsoft Exchange IMAP4	Désactivé	Serveur non configuré pour IMAP4
Banque d'informations Microsoft Exchange	Automatique	Nécessaire pour accéder aux banques de boîtes aux lettres et de dossiers publics
Microsoft Exchange POP3	Désactivé	Serveur non configuré pour POP3
Microsoft Search	Désactivé	Non requis pour les principales fonctionnalités
Service Événements Microsoft Exchange	Désactivé	Nécessaire uniquement pour la compatibilité descendante
Service de réplication de sites Microsoft Exchange	Désactivé	Nécessaire uniquement pour la compatibilité descendante
Gestion de Microsoft Exchange	Automatique	Requis pour le fonctionnement du suivi des messages
Windows Management Instrumentation	Automatique	Requis pour la gestion de Microsoft Exchange
Piles MTA de Microsoft Exchange	Désactivé	Nécessaire uniquement pour la compatibilité descendante ou en cas de présence de connecteurs X.400
Surveillance du système Microsoft Exchange	Automatique	Nécessaire pour la maintenance d'Exchange et d'autres tâches
Moteur de routage Microsoft Exchange	Automatique	Nécessaire pour coordonner le transfert de messages entre les serveurs Exchange
Agent de stratégie IPSEC	Automatique	Nécessaire pour mettre en œuvre une stratégie IPSec sur le serveur
Localisateur d'appel de procédure distante (RPC)	Automatique	Nécessaire pour la communication avec les contrôleurs de domaine et les clients
Service Admin IIS	Automatique	Requis pour le moteur de routage Exchange
Fournisseur de la prise en charge de sécurité LM NT	Automatique	La Surveillance du système dépend de ce service
SMTP	Automatique	Requis pour le transport Exchange
Service de publication Web	Automatique	Requis pour la communication avec les serveurs frontaux OWA

**Remarque :** avant de démarrer la Surveillance du système Exchange, les services suivants doivent fonctionner : - journal d'événements ; - fournisseur de la prise en charge de sécurité LM NT ; - RPC ; - localisateur d'appel de procédure distante (RPC) ; - serveur ; - station de travail. ##### Services clés désactivés Pour les besoins de ce guide nous avons désactivé tous les services qui ne sont pas indispensables aux fonctionnalités principales d'Exchange 2000. Dans certains cas, il se peut que vous ayez besoin de réactiver ces services afin de disposer des fonctionnalités nécessaires à votre environnement. Les services clés désactivés par la stratégie incrémentielle du serveur principal sont décrits ci-après. **Service Événements** Introduit dans [Exchange Server 5.5](http://www.microsoft.com/exchange/default.asp), le service Événements du serveur Exchange prend en charge les scripts côté serveur déclenchés par les événements de dossier, soit dans les dossiers publics, soit dans les boîtes aux lettres individuelles. Le service Événements Exchange est fourni dans Exchange 2000 pour la compatibilité descendante avec les scripts d'événements Exchange 5.5. Les nouvelles applications écrites spécifiquement pour Exchange 2000 doivent utiliser les Événements système du stockage Web natifs au lieu du service Événements Exchange, comme décrit dans le kit de développement de logiciel (SDK) Exchange 2000 disponible sur MSDN. Pour plus de détails, reportez-vous à la section « Informations complémentaires ». **Microsoft Search** Le processus de la banque d'informations crée et gère des index de champs clés courants pour accélérer les recherches dans les documents de la banque. Un index permet aux utilisateurs d'Outlook de rechercher des documents plus facilement. Avec l'indexation de texte intégral, l'index est créé avant la recherche du client. Les recherches sont ainsi accélérées. Des pièces jointes de texte peuvent être incluses dans l'indexation de texte intégral. L'indexation est fournie par le service Microsoft Search. Le service Banque d'informations et le service Search doivent tous les deux fonctionner pour créer, mettre à jour ou supprimer l'index. **Service de réplication de sites Microsoft Exchange** Ce service est responsable de la réplication du site Exchange 5.x et des informations de configuration vers la partition de configuration Active Directory lorsqu'un serveur Exchange 2000 appartient à un site Exchange 5.5 existant. **Piles MTA de Microsoft Exchange** Ce composant supplémentaire connecte le serveur Exchange 2000 aux systèmes étrangers. L'agent de transfert des messages (MTA) est responsable du routage des messages à travers les connecteurs X.400 et de passerelle vers les environnements étrangers. Ce service gère ses propres files d'attente de messages spécifiques en dehors du service Banque d'informations dans le répertoire \\Program Files\\Exchsrvr\\Mtadata. ##### Stratégie de listes de contrôle d'accès aux fichiers de serveur principal Exchange La stratégie de serveur principal Exchange modifie les listes de contrôle d'accès (ACL) dans plusieurs répertoires. Le tableau 4 montre les paramètres qui sont définis. **Tableau 4. Listes de contrôle d'accès aux fichiers configurées par la stratégie de serveur principal Exchange**

Répertoire	Ancienne ACL	Nouvelle ACL	Appliqué aux sous-répertoires ?
%systremdrive%\Inetpub\mailroot	Tout le monde : Accès complet	Admins du domaine : Accès completSystème local : Accès complet	Oui
%systremdrive%\Inetpub\nntpfile\	Tout le monde : Accès complet	Admins du domaine : Accès completSystème local : Accès complet	Oui
%systremdrive%\Inetpub\nntpfile\root	Tout le monde : Accès complet	Tout le monde : Accès complet	Oui

**Remarque :** les paramètres définis dans le répertoire et les sous-répertoires nntpfile ne sont pas strictement requis car le protocole NNTP n'est pas exécuté sur le serveur. Cependant, nous définissons ce paramètre car il augmente les restrictions sur le système de fichiers et sera prêt à être utilisé si vous activez ultérieurement le protocole NNTP. #### Stratégie de serveur frontal OWA La stratégie de serveur frontal OWA définit les paramètres dans deux domaines : les services et les listes de contrôle d'accès aux fichiers. ##### Stratégie des services de serveur frontal OWA Etant donné que le rôle de ce serveur se limite à prendre en charge les courriers électroniques basés sur le Web, la plupart des services Exchange installés par la configuration par défaut peuvent être désactivés. Le tableau 5 montre les services configurés dans la stratégie de serveur frontal OWA. **Tableau 5. Services configurés dans la stratégie de serveur frontal OWA**

Nom du service	Mode de démarrage	Raison
Microsoft Exchange IMAP4	Désactivé	Le serveur OWA n'est pas configuré pour IMAP4
Banque d'informations Microsoft Exchange	Désactivé	Non requis car il n'y a pas de banque de boîtes aux lettres ni de banque de dossiers publics
Microsoft Exchange POP3	Désactivé	Le serveur OWA n'est pas configuré pour POP3
Microsoft Search	Désactivé	Pas de banques dans lesquelles effectuer des recherches
Événement Microsoft Exchange	Désactivé	Nécessaire uniquement pour la compatibilité descendante
Service de réplication de sites Microsoft Exchange	Désactivé	Nécessaire uniquement pour la compatibilité descendante
Gestion de Microsoft Exchange	Désactivé	Requis pour le suivi des messages
MTA Microsoft Exchange	Désactivé	Nécessaire uniquement pour la compatibilité descendante ou en cas de présence de connecteurs X.400
Moteur de routage Microsoft Exchange	Automatique	Fournit une fonctionnalité de routage Exchange
Agent de stratégie IPSEC	Automatique	Nécessaire pour mettre en œuvre un filtre IPSec sur un serveur OWA
Localisateur d'appel de procédure distante (RPC)	Automatique	Nécessaire pour la communication avec le contrôleur de domaine et requis pour le démarrage de la Surveillance du système
Service Admin IIS	Automatique	Requis par le moteur de routage MSExchange
Service de publication Web	Automatique	Requis pour la communication du client avec les serveurs frontaux OWA

##### Services clés désactivés dans la stratégie de serveur frontal OWA Comme pour la configuration du serveur principal, il se peut que vous ayez besoin de réactiver certains services afin de disposer des fonctionnalités nécessaires à votre environnement. Les services clés désactivés par la stratégie de serveur frontal OWA sont décrits ci-après. **Microsoft Exchange POP3 et Microsoft Exchange IMAP4** Comme nous l'avons déjà mentionné dans le module « Sécurisation de votre environnement Exchange », vous devez déterminer si vous avez besoin de toutes les fonctionnalités d'Exchange dans votre environnement. Dans de nombreux cas, vous ne disposez pas de clients POP3 ou IMAP4 et vous pouvez donc vous assurer que ces services sont désactivés par la stratégie de groupe. Vous devez également vérifier qu'aucun programme personnalisé exécuté dans votre environnement ne requiert cette fonctionnalité avant de la désactiver. **Surveillance du système** Sur un serveur frontal, la Surveillance du système est requise uniquement si vous souhaitez modifier la configuration du serveur. Nous désactivons donc la Surveillance du système dans le modèle. Cela signifie que pour apporter des modifications à un serveur qui utilise la stratégie de serveur frontal OWA (y compris lorsque l'on transforme le serveur en serveur frontal OWA), vous devez d'abord démarrer temporairement la Surveillance du système et les services associés. - **Pour modifier la configuration d'un serveur appliquant la stratégie de groupe de serveur frontal OWA** 1. Démarrez l'outil d'administration **Services**. 2. Cliquez avec le bouton droit de la souris sur **Fournisseur de la prise en charge de sécurité LM NT** et sélectionnez **Propriétés**. 3. Dans la liste déroulante **Type de démarrage**, sélectionnez **Automatique**. 4. Cliquez sur **Appliquer**. 5. Cliquez sur **Démarrer**. 6. Cliquez sur **OK**. 7. Répétez les étapes 2 à 6 pour **Surveillance du système**. 8. Apportez les modifications nécessaires à la configuration. 9. Démarrez l'outil d'administration **Services**. 10. Cliquez avec le bouton droit de la souris sur **Surveillance du système** et sélectionnez **Propriétés**. 11. Dans la liste déroulante **Type de démarrage** , sélectionnez **Désactivé**. 12. Cliquez sur **Appliquer**. 13. Cliquez sur **Arrêter**. 14. Cliquez sur **OK**. 15. Répétez les étapes 2 à 6 pour **Fournisseur de la prise en charge de sécurité LM NT**. **Banque d'informations** Le service Banque d'informations n'est pas requis car aucun courrier n'est remis sur ce serveur. Sans le service Banque d'informations, le lecteur mappé M: qui se trouve normalement sur tous les serveurs Exchange 2000 sera supprimé, ce qui est logique car le système de fichiers installable Exchange n'aura rien à mapper. **Gestion de Microsoft Exchange** Ce service a été introduit avec Exchange 2000 Server Service Pack 2. Il vous permet de spécifier, par le biais de l'interface utilisateur, quel contrôleur de domaine ou serveur de catalogue global sera utilisé par Exchange 2000 lors de l'accès au répertoire. Il est également requis pour le suivi des messages. Vous pouvez désactiver ce service sans que les fonctionnalités principales d'Exchange en soient affectées. Cependant, vous aurez probablement besoin du Suivi des messages dans le cadre de votre audit des fonctionnalités d'Exchange. Dans ce cas, lorsque le serveur frontal OWA est utilisé pour accéder au courrier et non pour acheminer le courrier, il n'est pas nécessaire que le service Gestion de Microsoft Exchange fonctionne sur vos serveurs frontaux OWA. [](#mainsection)[Haut de page](#mainsection) ### Service SMTP Le serveur frontal OWA ne requiert pas de protocole SMTP dans ce cas car il agit uniquement comme un serveur OWA. Vous aurez besoin d'activer le service SMTP si vous avez configuré votre serveur frontal pour recevoir le courrier SMTP, afin qu'il joue le rôle de passerelle ou de serveur frontal pour IMAP4 ou POP3. Si le serveur joue également le rôle de passerelle SMTP, les services Banque d'informations et Surveillance du système sont également requis. #### Stratégie de listes de contrôle d'accès aux fichiers de serveur frontal OWA Cette stratégie définit les listes de contrôle d'accès aux fichiers exactement de la même manière que la stratégie de serveur principal. Pour plus de détails, reportez-vous à la section « Stratégie de listes de contrôle d'accès aux fichiers de serveur principal Exchange » située plus haut dans ce module. [](#mainsection)[Haut de page](#mainsection) ### Installation et mise à jour d'Exchange dans un environnement de sécurité améliorée Si vous avez suivi les procédures spécifiées jusqu'ici dans ce module, vous avez déplacé les serveurs Exchange existants dans les UO appropriées pour améliorer le niveau de sécurité de votre environnement. Pour optimiser la sécurité, il faut également placer de nouveaux serveurs dans l'UO appropriée avant d'installer Exchange. Cependant, alors que cet environnement permet l'exécution des principaux services Exchange, par défaut il ne permet pas d'installer Exchange ni de mettre l'application à niveau vers les futurs service packs. Pour installer Exchange ou les services packs Exchange sur des serveurs verrouillés, utilisez la procédure suivante. **Remarque :** lorsque vous installerez Exchange 2000 sur un serveur qui a déjà été sécurisé, vous recevrez un message d'erreur « Signature numérique non trouvée ». Ce message est le résultat de la sécurité améliorée et peut être ignoré. - **Pour installer Exchange ou un Service Pack Exchange sur un serveur verrouillé** 1. Démarrez l'outil d'administration **Services**. 2. Cliquez avec le bouton droit de la souris sur **Coordinateur de transactions distribuées** et sélectionnez **Propriétés**. 3. Dans la liste déroulante **Type de démarrage** , sélectionnez **Automatique**. 4. Cliquez sur **Appliquer**. 5. Cliquez sur **Démarrer**. 6. Cliquez sur **OK**. 7. Répétez les étapes 2 à 6 pour **Network News Transport Protocol (NNTP)** et **Windows Installer**. **Remarque :** si vous suivez ces étapes pour un serveur de l'UO Serveur frontal OWA, répétez également les étapes 2 à 6 pour **Windows Management Instrumentation**. 8. Installez Exchange 2000 ou le tout dernier Service Pack Exchange 2000. **Remarque :** lorsque vous installez Exchange 2000, il se peut qu'une boîte de dialogue apparaisse à la fin de l'installation indiquant qu'une erreur récupérable s'est produite lors de l'installation car le service Microsoft Search n'a pas démarré. Ce message est normal lors de l'installation d'un serveur déjà sécurisé et peut donc être ignoré. 9. Démarrez l'outil d'administration **Services**. 10. Cliquez avec le bouton droit de la souris sur **Coordinateur de transactions distribuées** et sélectionnez **Propriétés**. 11. Dans la liste déroulante **Type de démarrage** , sélectionnez **Désactivé**. 12. Cliquez sur **Appliquer**. 13. Cliquez sur **Arrêter**. 14. Cliquez sur **OK**. 15. Répétez les étapes 2 à 6 pour **Network News Transport Protocol (NNTP)** et **Windows Installer**. **Remarque :** si vous suivez ces étapes pour un serveur de l'UO Serveur frontal OWA, répétez également les étapes 9 à 14 pour **Windows Management Instrumentation**. **Remarque :** les stratégies incrémentielles de serveurs frontaux OWA et de serveurs principaux Exchange activent NTLMv2. Les serveurs Exchange peuvent ainsi communiquer avec vos contrôleurs de domaine sécurisés. Si vous ne placez pas vos serveurs dans l'UO appropriée avant d'installer Exchange, ils ne pourront pas contacter les contrôleurs de domaine. [](#mainsection)[Haut de page](#mainsection) ### Mesures de sécurité supplémentaires Outre la sécurité améliorée fournie par les modèles de stratégie de groupe, des mesures de sécurité supplémentaires peuvent être mises en œuvre sur des serveurs Exchange 2000. Cette section couvre ces mesures. #### Outil de verrouillage IIS Après avoir appliqué le modèle de sécurité à vos serveurs Exchange 2000, vous devrez appliquer des contrôles de sécurité supplémentaires sur IIS, en particulier sur vos serveurs frontaux OWA. Il est possible d'utiliser l'outil de verrouillage IIS pour automatiser un grand nombre des changements d'IIS. L'outil de verrouillage IIS spécifie les paramètres nécessaires pour renforcer IIS, mais permet toujours à Exchange 2000 de fonctionner comme un serveur principal ou comme un serveur frontal OWA. **Remarque :** l'outil de verrouillage IIS peut être obtenu à l'adresse [http://www.microsoft.com/technet/security/tools/tools/locktool.asp](http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/tools/locktool.asp) L'outil de verrouillage IIS a deux modes : un mode rapide approprié pour la plupart des serveurs Web de base et un mode avancé qui permet aux administrateurs de sélectionner les technologies qui seront prises en charge par le serveur. Cet outil intègre une fonction Annuler qui permet d'inverser les effets du verrouillage le plus récent. L'outil de verrouillage IIS met également en œuvre URLScan, qui analyse toutes les demandes entrantes sur un serveur IIS et ne laisse passer que celles qui répondent à un ensemble de règles spécifique. La sécurité du serveur est ainsi considérablement améliorée car cette méthode permet de répondre uniquement aux demandes valides. URLScan vous permet de filtrer les demandes en fonction de la longueur, du jeu de caractères, du contenu ou d'autres facteurs. Un ensemble de règles par défaut est fourni. Il peut être personnalisé pour répondre aux besoins d'un serveur particulier. - **Pour verrouiller les serveurs frontaux OWA Exchange 2000** 1. Installez et démarrez **IISLockd.exe** sur votre serveur. 2. Cliquez sur **Suivant**. 3. Lisez le Contrat de licence, sélectionnez **J'accepte**, puis cliquez sur **Suivant**. 4. Sélectionnez le modèle de serveur **Exchange 2000 (OWA, PF Management, IM, SMTP, NNTP)**, activez la case **Afficher le modèle** , puis cliquez sur **Suivant**. 5. Dans la boîte de dialogue **Services Internet**, quatre services apparaissent (service Web (HTTP), FTP, SMTP et NNTP). Si la case d'un service spécifique est masquée, cela signifie que ce service n'est pas installé ou qu'il est déjà désactivé. Vérifiez que seul **Service Web (HTTP)** est activé et cliquez sur **Suivant** pour continuer. **Remarque :** si l'outil de verrouillage IIS est exécuté après avoir appliqué le modèle de sécurité frontal OWA à partir de l'objet Stratégie de groupe, le service Web (HTTP) doit être le seul service apparaissant comme activé tandis que tous les autres services seront désactivés. 6. La boîte de dialogue **Cartes de script** vous permet de désactiver la prise en charge d'applications ISAPI spécifiques en supprimant la carte de script qui leur est associée. Le tableau 6 présente les paramètres par défaut mis en œuvre dans le modèle Exchange 2000. Seul le service Active Server Pages sera activé. Tous les autres mappages de script seront désactivés. Cliquez sur **Suivant**. **Tableau 6. Paramètres du mappage de script par défaut dans le modèle Exchange 2000 pour l'outil de verrouillage IIS**

Type	Entrée	État
Active Server Pages	.asp	Activé
Interface Web Index Server	.htw, .ide, .idq	Désactivé
Inclusions serveur	.stm, .shtm, .shtml	Désactivé
Internet Data Connector	.idc	Désactivé
Script HTR	.htr	Désactivé
Impression Internet	.printer	Désactivé

   **Remarque :** si vous désactivez la prise en charge de la carte de script .htr, la fonction de modification du mot de passe OWA ne fonctionnera pas. Cette fonction OWA est désactivée par défaut par l'outil de verrouillage IIS.  

7. Les options de la boîte de dialogue Additional Security vous permettent de supprimer les répertoires virtuels par défaut qui sont créés à partir de l'installation par défaut d'IIS, et d'appliquer des listes de contrôle d'accès aux fichiers à des répertoires spécifiques et à tous les exécutables system32. Cliquez sur Suivant pour continuer.

   Le tableau 7 montre les répertoires virtuels qui seront supprimés.

   Tableau 7. Répertoires virtuels supprimés par l'outil de verrouillage IIS

   Nom	Répertoire virtuel	Emplacement par défaut
   IIS Samples	\IISSamples	c:\inetpub\iissamples
   IISHelp	\IISHelp	c:\winnt\help\iishelp
   MSADC	\MSADC	c:\winnt\help\iishelp
   Scripts	\Scripts	c:\inetpub\scripts
   IISAdmin	\IISAdmin	c:\winnt\system32\inetsrv\iisadmin

   Pour restreindre l'accès au système de fichiers, l'outil de verrouillage IIS crée deux nouveaux groupes locaux sur le serveur OWA nommés Utilisateurs Web anonymes et Applications Web. Il place des utilisateurs anonymes ou des comptes d'application anonymes dans le groupe applicable. Généralement, IUSR_ est placé dans le groupe Utilisateurs Web anonymes et IWAM_ est placé dans le groupe Applications Web. L'outil de verrouillage IIS définit ensuite une autorisation refusant l'accès en écriture de ces groupes aux répertoires spécifiques

   C:\inetpub\wwwroot

   C:\Program Files\Exchsrvr\ExchWeb

   et refusant également l'accès en exécution à tous les utilitaires du système, tels que cmd.exe, dans le dossier c:\winnt\system32. Rappelez-vous que la stratégie de groupe du modèle de base appliquera une entrée de contrôle d'accès (ACE) spécifique aux exécutables du répertoire système autorisant uniquement les administrateurs avec Contrôle total. Aucun autre utilisateur ou groupe ne sera défini. Ces paramètres remplaceront le paramètre de l'outil de verrouillage IIS lorsque la stratégie de groupe sera de nouveau appliquée.

8. Vous serez ensuite invité à installer URLScan. Par défaut il est déjà sélectionné pour être installé. Cliquez sur Suivant.

9. Passez en revue les tâches à effectuer puis cliquez sur Suivant.

10. La boîte de dialogue d'installation de logiciel inconnu apparaît en raison de la sécurité améliorée. Cliquez sur Oui.

11. L'outil de verrouillage IIS produira un rapport répertoriant les modifications apportées ainsi que les erreurs, le cas échéant. Vous verrez que le rapport signale des erreurs indiquant que l'outil de verrouillage IIS n'a pas pu créer d'ACL pour certains répertoires NTFS. Ces répertoires sont la boîte aux lettres et les dossiers publics qui ont été supprimés dans le cadre de la configuration du serveur OWA. Cliquez sur Suivant.

12. Cliquez sur Terminer.

Remarque : pour exécuter l'outil de verrouillage IIS sur un serveur principal Exchange 2000, répétez la procédure ci-dessus et à l'étape 5 vérifiez que HTTP et SMTP sont activés.

Modification des paramètres de l'outil de verrouillage IIS et d'URLScan pour les serveurs frontaux OWA

Il se peut que vous ayez besoin de modifier les paramètres par défaut de l'outil de verrouillage IIS et d'URLScan. Les paramètres d'URLScan sont stockés dans le fichier URLScan.ini situé à l'emplacement \System32\Inetsrv\Urlscan. Si vous rencontrez des problèmes avec OWA alors qu'UrlScan est activé, examinez le fichier Urlscan.log dans \System32\Inetsrv\Urlscan pour obtenir une liste des demandes rejetées.

Remarque : pour plus d'informations sur le dépannage et la configuration de l'outil de verrouillage IIS et d'URLScan, consultez l'article Q309677 « XADM: Known Issues and Fine Tuning When You Use the IIS Lockdown Wizard in an Exchange 2000 Environment » de la Base de connaissances.

Modifier la prise en charge de Modifier le mot de passe dans OWA

Par défaut, l'outil de verrouillage IIS désactive les fichiers .htr. Lorsque ce type de fichier est désactivé, la fonction de modification du mot de passe OWA ne fonctionne pas. Si les fichiers .htr sont désactivés, il est conseillé de masquer également le bouton Modifier le mot de passe dans OWA pour éviter la confusion de l'utilisateur et les appels passés au support technique.

Remarque : pour plus d'informations sur la désactivation du bouton Modifier le mot de passe dans OWA, consultez l'article Q297121 « XWEB: How to Hide the "Change Password" Button on the Outlook Web Access Options Page » de la Base de connaissances.

Courrier électronique bloqué

La section [DenyUrlSequences] du fichier URLScan.ini, répertorie les caractères qui sont explicitement bloqués car ils peuvent potentiellement affecter l'accès à OWA. Tous les objets de message ou les noms de dossier contenant l'une des séquences de caractères suivante sont bloqués :

• ..

• ./

• \

• %

• &

Remarque : le « .. » du fichier URLScan.ini bloque les messages de courrier dont l'objet finit par un espace.

Démontage de la banque de boîtes aux lettres et suppression de la banque de dossiers publics

Etant donné que le rôle du serveur frontal OWA est de transférer les demandes aux serveurs principaux, les boîtes aux lettres et les dossiers publics Exchange Server sont inutiles sur les serveurs frontaux OWA. Le serveur principal Exchange les gèrera. Vous pouvez donc démonter et supprimer ces banques.

• Pour démonter et supprimer les bases de données de boîtes aux lettres et de dossiers publics

  1. Démarrez l'outil d'administration Services.

  2. Cliquez avec le bouton droit de la souris sur Fournisseur de la prise en charge de sécurité LM NT et sélectionnez Propriétés.

  3. Dans la liste déroulante Type de démarrage , sélectionnez Automatique.

  4. Cliquez sur Appliquer.

  5. Cliquez sur Démarrer.

  6. Cliquez sur OK.

  7. Répétez les étapes 2 à 6 pour Surveillance du système.

  8. Démarrez Gestionnaire système Exchange sur le serveur frontal OWA.

  9. Développez Serveurs, Serveur frontal OWA , puis Premier groupe de stockage.

  10. Si la banque de boîtes aux lettres est montée, cliquez avec le bouton droit de la souris sur Banque de boîtes aux lettres, sélectionnez Démonter la banque d'informations, puis cliquez sur Oui pour démonter la banque de boîtes aux lettres.

  11. Cliquez avec le bouton droit de la souris sur Banque de boîtes aux lettres et sélectionnez Propriétés.

  12. Sélectionnez l'onglet Base de données, cochez la case Ne pas monter cette banque d'informations au démarrage, puis cliquez sur OK.

  13. Si la banque de dossiers publics est montée, cliquez avec le bouton droit de la souris sur Banque de dossiers publics, sélectionnez Démonter la banque d'informations, puis cliquez sur Oui pour démonter la banque de dossiers publics.

  14. Cliquez avec le bouton droit de la souris sur Banque de dossiers publics et sélectionnez Supprimer.

  15. Cliquez sur Oui puis sur OK, sélectionnez un serveur principal, puis cliquez sur OK.

  16. Cliquez sur Oui pour supprimer la banque de dossiers publics, puis cliquez sur OK pour fermer le message.

  17. Redémarrez le serveur OWA.

Remarque : il n'est pas nécessaire de désactiver de nouveau les services Fournisseur de la prise en charge de sécurité LM NT et Surveillance du système car ils sont désactivés automatiquement au redémarrage du système.

Remarque : la banque privée doit être montée si le protocole SMTP est exécuté sur le serveur frontal.

Remarque : une fois que la banque de boîtes aux lettres et la banque de dossiers publics seront démontées, le lecteur mappé M: qui se trouve normalement sur tous les serveurs Exchange 2000 sera supprimé, ce qui est logique car le système de fichiers installable Exchange n'aura rien à mapper.

Vous remarquerez que des erreurs d'événement (ID d'événement 101) apparaissent dans le journal du système indiquant que le chemin d'accès à un répertoire virtuel spécifique est incorrect. Ces répertoires virtuels « public, Exchange et Exadmin » afficheront également l'état « Arrêter » dans la console Gestionnaire des services Internet. Ces erreurs se produiront après l'installation d'Exchange Server sur le serveur IIS. Le serveur sera ensuite redémarré et le service IIS (W3SVC) démarrera avant le service Banque d'informations Exchange. Le service Banque d'informations est responsable de la création du lecteur virtuel mappé (M:) auquel ces 3 répertoires virtuels sont affectés. Or, étant donné que le lecteur mappé ne sera pas encore créé, IIS génèrera des messages d'erreur. Puisque le service Banque d'informations est désactivé lorsque la sécurité est appliquée via la stratégie de groupe, le lecteur virtuel mappé ne sera jamais monté et ces erreurs continueront à apparaître dans le journal des événements. Elles sont toutefois complètement inoffensives.

Remarque : pour plus d'informations sur l'ID d'événement 101 du journal d'événements, consultez l'article Q259373 « XADM: W3SVC Logs Event ID 101 in the System Event Log » de la Base de connaissances.

Modification de la bannière SMTP

Moins vous fournissez d'informations à un pirate, plus il est difficile pour lui d'attaquer votre système. L'un des moyens utilisé par les pirates pour obtenir des informations sur la version d'Exchange exécutée consiste à utiliser Telnet pour se connecter au service SMTP. Par défaut, lorsque vous vous connectez au service SMTP sur un serveur Exchange, la bannière suivante apparaît :

220 nom d'hôte . domaine .com Microsoft ESMTP MAIL Service, Version: 5.0.2195.1600 ready at date et heure.

Pensez à modifier cette bannière sur tous les serveurs principaux Exchange pour qu'elle n'affiche pas la version spécifique. Vous pouvez également y intégrer une mention légale interdisant toute utilisation du service SMTP sans autorisation.

• Pour modifier la bannière SMTP de Windows 2000

  1. A l'aide d'un outil de modification de métabase tel que MetaEdit, localisez :
     Lm\Smtpsvc\ numéro de serveur virtuel.

  2. Cliquez sur Modifier , puis sur Nouveau et sur Chaîne.

  3. Vérifiez que l'entrée de la zone ID est Autre puis tapez 36907 (décimal) dans la partie droite de la zone ID.

  4. Dans la zone Données, entrez la bannière que vous souhaitez afficher.

  5. Arrêtez puis redémarrez le serveur virtuel SMTP ou le service SMTP.

Pour vérifier que la bannière a été modifiée, utilisez Telnet sur le port 25 du serveur virtuel (le paramètre par défaut). La bannière « ESMTP MAIL Service, Version: 5.0.2195.1600 » ne doit plus apparaître. Cependant, le nom de domaine complet (tel qu'il a été entré dans les propriétés du service SMTP) ainsi que la date et l'heure apparaissent encore.

Verrouillage de groupe pour les serveurs de domaine Exchange

Dans une installation par défaut, un groupe Serveurs de domaine Exchange est créé pour chaque domaine de la forêt. Ce groupe contient les comptes ordinateur de chaque serveur Exchange d'un domaine donné. Par défaut, les groupes Serveurs de domaine Exchange sont autorisés à accéder à toutes les banques de dossiers publics et de boîtes aux lettres de la forêt. En exécutant le script EDSLock, vous pouvez limiter l'accès aux banques de boîtes aux lettres au serveur local qui héberge les banques.

Remarque : pour plus de détails sur le script EDSLock, consultez l'article Q313807 « XADM: Enhancing the Security of Exchange 2000 for the Exchange Domain Servers Group » de la Base de connaissances.

Haut de page

Considérations sur le cluster Exchange

Ce guide ne traite pas d'Exchange 2000 dans un environnement de clusters. Cependant, il est évident que vous aurez besoin d'apporter certaines modifications aux paramètres de sécurité présentés dans ce document pour qu'Exchange 2000 fonctionne dans un environnement de clusters. Ces modifications sont les suivantes :

• Activation de NTLM sur les serveurs de clusters et les contrôleurs de domaine car NTLMv2 n'est pas pris en charge sur les clusters Windows 2000. Consultez l'article Q272129 « Cluster Service Does Not Start on "Joining" Node in Windows 2000 » de la Base de connaissances.

• Modification du paramètre du Fournisseur de la prise en charge de sécurité LM NT (NTLMSSP) dans le modèle de sécurité de vos serveurs principaux Exchange. NTLMSSP doit être configuré sur 0 :

  MACHINE\System\CurrentControlSet\Control\LSA\MSV1_0\NtlmMinServerSec=4,0

• Activation du service Cluster dans le modèle de sécurité pour vos serveurs principaux Exchange.

• Non mise en œuvre d'IPSec pour les communications frontales/principales OWA car IPSec n'est pas pris en charge sur les clusters. Consultez l'article 306677 « IPSec Is Not Designed for Failover » de la Base de connaissances.

Haut de page

Résumé

L'amélioration de la sécurité de vos serveurs Exchange est indispensable pour la sécurité de votre entreprise. Si vous suivez les conseils de ce module et des guides de sécurité référencés, vous améliorerez la sécurité de votre environnement Windows 2000 et réduirez considérablement le risque d'attaque réussie de votre environnement Exchange.

Informations complémentaires

Pour consulter le document complet Security Guide to Microsoft Windows 2000 Server, allez à l'adresse :

http://www.microsoft.com/technet/security/prodtech/windows/windows2000/staysecure/DEFAULT.asp

Pour plus de détails sur les effets des correctifs de sécurité Windows 2000 sur le serveur de catalogue global, allez à l'adresse :

http://support.microsoft.com/kb/309622

Pour plus de détails sur l'activation des audits de succès des événements de connexion répertoriés dans le journal de sécurité, allez à l'adresse :

http://support.microsoft.com/kb/316685

Pour une discussion détaillée sur les Événements système du stockage Web natifs, allez à l'adresse :

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/wss/wss/_exch2k_welcome_to_exchange.asp?frame=true

Pour obtenir l'outil de verrouillage IIS, allez à l'adresse :

http://www.microsoft.com/technet/security/tools/tools/locktool.asp

Pour plus de détails sur le dépannage et la configuration de l'outil de verrouillage IIS et d'URLScan, allez à l'adresse :

http://support.microsoft.com/kb/309677

Pour plus de détails sur la désactivation du bouton Modifier le mot de passe dans OWA, allez à l'adresse :

http://support.microsoft.com/kb/297121

Pour plus de détails sur l'ID d'événement 101 du journal d'événements, allez à l'adresse :

http://support.microsoft.com/kb/259373

Pour plus de détails sur le script EDSLock, allez à l'adresse :

http://support.microsoft.com/kb/313807

Pour plus de détails sur NTLMv2 qui n'est pas pris en charge sur les clusters Windows 2000, allez à l'adresse :

http://support.microsoft.com/kb/272129

Pour plus de détails sur la non mise en œuvre d'IPSec pour les communications frontales/principales OWA, allez à l'adresse :

http://support.microsoft.com/kb/306677

Haut de page