> Tech > Dossier Sécurité : Exchange 2010 et Windows Server 2008 R2, une sécurité à  toute épreuve

Dossier Sécurité : Exchange 2010 et Windows Server 2008 R2, une sécurité à  toute épreuve

Tech - Par iTPro.fr - Publié le 12 janvier 2011
email

Notre environnement Exchange Server 2010 est basé sur Active Directory 2008 R2. Plusieurs raisons ont justifié ce choix par rapport à la version précédente.

L’une de ces raisons est la possibilité de verrouiller un objet Active Directory et d’activer la fonctionnalité de corbeille Active Directory (en anglais : Active Directory Recycle Bin). Ces deux fonctions ont pour objet d’éviter les suppressions involontaires des objets Active Directory en les protégeant à deux niveaux, ce qui prend tout son sens avec Exchange Server comme vous allez le découvrir dans cet article

Dossier Sécurité : Exchange 2010 et Windows Server 2008 R2, une sécurité à  toute épreuve


La protection des objets contre les suppressions accidentelles peut être appliquée à n’importe quel objet de l’annuaire Active Directory. Elle peut être activée manuellement à partir de l’objet que vous souhaitez protéger, en cochant la case. Il est à noter que la protection n’agit que sur l’objet ciblé, et n’inclut pas par défaut les objets enfants. Par exemple, si vous cochez la case pour une unité organisationnelle, la protection concerne la suppression de l’OU, mais les objets contenus à l’intérieur de cette OU restent supprimables.

Une fois protégé, si quelqu’un tente de supprimer l’objet depuis Active Directory, après avoir confirmé la suppression, le message suivant, lui indiquant que l’objet est protégé contre la suppression, apparaît. Toutefois, la suppression accidentelle d’objet Active Directory est souvent le fait d’une destruction involontaire au travers d’un outil tiers. Par exemple, si nous prenons Exchange Server, lors de la suppression d’une boîte aux lettres depuis la console EMC (Exchange Management Console), l’administrateur Exchange est informé que la suppression de la boîte aux lettres entraînera la suppression du compte utilisateur dans Active Directory, ce qui n’est pas forcément l’opération souhaitée.

Avec la protection de l’objet dans Active Directory, en confirmant le message précédent, l’administrateur Exchange aura une erreur d’exécution en retour. Bien entendu, s’il tente de supprimer la boîte aux lettres et le compte associé depuis EMS (Exchange Management Shell), la commande se solde également par un échec. Au passage, voici le groupe de commandes qui aurait dû être réalisé par l’administrateur Exchange pour supprimer la boîte aux lettres inutilisée sans supprimer le compte d’utilisateur associé.

Toutefois, imaginons pour la suite de notre démonstration, que notre administrateur Exchange soit aussi administrateur du domaine Active Directory 2008 R2, et qu’il n’a pas mis en place la protection des objets Active Directory ou qu’il ait retiré la protection pour supprimer l’objet.

Téléchargez cette ressource

Guide de cybersécurité en milieu sensible

Guide de cybersécurité en milieu sensible

Sur fond de vulnérabilités en tout genre, les établissements hospitaliers, pharmacies, laboratoires et autres structures de soin font face à des vagues incessantes de cyberattaques. L’objectif de ce livre blanc est de permettre aux responsables informatiques ainsi qu’à l’écosystème des sous-traitants et prestataires du secteur médical de se plonger dans un état de l’art de la cybersécurité des établissements de santé. Et de faire face à la menace.

Tech - Par iTPro.fr - Publié le 12 janvier 2011

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT