Auditer un environnement de messagerie est une pratique courante dans le monde des sociétés de services. Mais force est de constater que d’un audit à l’autre, les aspects examinés varient énormément.
Nous nous intéresserons dans cette seconde partie du dossier à l'udit des serveurs et des bases données, des serveurs de transport et des serveurs d’accès client et serveurs Edge.
Du côté des serveurs de boîtes aux lettres, on s’attachera à l’examen du fonctionnement des services et plus spécialement de l’état de la réplication des services clustérisés. La vérification des données issues de la commande Test-ReplicationHealth ainsi que Get-StorageGroupCopyStatus(Ex2007) Get-DatabaseAvailabilityGroup(Ex2010), Get-ClusteredMailboxServerStatus permettront de rapidement savoir si le ou les clusters examinés sont en pleine possession de leurs moyens. Dans le cas contraire, je vous invite à ne pas attendre la fin de l’audit pour prévenir d’un dysfonctionnement pouvant remettre en cause la disponibilité des services de messagerie.
Dans le cas d’environnement clusterisé, vérifier la dernière date de basculement des services. Si le cluster n’a pas basculé depuis une longue période il y a peut-être une raison. Personnellement, je préconise l’utilisation alternative toutes les semaines ou toutes les quinzaines, d’un des nœuds du cluster de façon à s’assurer que les fonctions de redondance de services (SCC) et de données (Dag) sont parfaitement opérationnelles.
Du côté des banques de données et des groupes de stockage, nous nous attacherons à vérifier que les informations de rétention, de quota sont conformes à ce qui avait été annoncé par les équipes d’administration ou par la direction technique. Vérifiez également que les journaux et les bases de données soient positionnés dans la mesure du possible sur des axes disques séparés. Demandez si besoin est, une interview avec les personnes responsables du stockage sur lequel reposent vos données Exchange. Les outils Windows en raison de l’abstraction matérielle sont en effet incapables de vérifier ce genre de point. En examinant les emplacements de bases de données et des journaux puis le gestionnaire de disque, vous aurez déjà un début de solution. Si vous rencontrez des problèmes de performance, notez le type de carte HBA, la version du pilote ou la version du requester ISCSI utilisé. Relevez le paramétrage des cartes avec soin et comparez le éventuellement avec des serveurs n’ayant pas ces soucis.
Pour chaque volume, notez, la place occupée par les banques de données ou les journaux et notez l’espace libre restant. En dessous de 20% d’espace libre, un risque existe. Prenez soin de vérifier si d’autres processus seraient à même de saturer l’espace disque. Vérifiez le paramétrage des services antivirus qui ne doivent pas scanner les bases de données et de journaux.
S’il s’agit d’une version Exchange 2010 standard Edition, vérifiez si la limitation de la taille de la base de données a été levée. Côté banque de données, vérifiez les périodes de maintenance. Elles sont parfois mal paramétrées. Vérifiez également que les bases de données soient paramétrées pour être montées au démarrage des services. Si ce n’est pas le cas, faites-vous préciser la raison.
Pensez également à vérifier le mode de gestion de journaux pour les groupes de stockage. Vérifiez que ceux-ci ne soient pas positionnés en mode circulaire, ce qui empêcherait tout mode de sauvegardes incrémentales. Si un groupe de stockage est en mode circulaire faites-vous préciser la raison ainsi que son mode de sauvegarde.
La commande suivante : get-mailboxdatabase -status | where {$_.LastFullBackup -eq $null} vous indiquera également les bases de données qui ne sont pas sauvegardées. Dans la plupart des cas, cette commande ne devrait pas retourner d’enregistrement.
Vérifiez que le message tracking est activé et que celui si soit correctement paramétré afin de ne pas saturer le volume sur lequel il est positionné. Vérifier également si les paramètres sont homogènes pour tous les serveurs. Vérifiez que la durée de conservation des données, de suivi des messages est conforme aux directives de traçabilité précisées par la direction technique de l’entreprise.
Vérifiez, si présentes, les données de configuration de dossiers publics. Le commandes suivantes vous préciseront leurs configurations :
Get-PublicFolderDatabase | fl >c:\confexchange\mailbox\_publicfolderdatabase.pf.txt
Get-PublicFolder | fl >c:\confexchange\mailbox\_publicfolder.pf.txt
Get-MailPublicFolder | fl >c:\confexchange\mailbox\_mailpublicfolder.pf.txt
Get-MailPublicFolder >c:\confexchange\mailbox\_mailpublicfolder2.pf.txt
Get-PublicFolderStatistics | fl >c:\confexchange\mailbox\_publicfolderstatistics.pf.txt
Get-PublicFolder | Get-PublicFolderClientPermission | fl >c:\confexchange\mailbox\_publicfolderClientPermission.pf.txt
Get-PublicFolder | Get-PublicFolderAdministrativePermission | fl >c:\confexchange\mailbox\_publicfolderAdministrativepermission.pf.txt
Vérifiez que les bases de données des dossiers publics soient dupliquées si celles-ci sont considérées comme critiques. Si des banques de dossier publics existent, vérifiez si elles sont utilisées dans le cadre des clients comme Outlook 2003.
Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.
