> Tech > Partez !

Partez !

Tech - Par iTPro - Publié le 24 juin 2010
email

Après avoir téléchargé et installé ExBPA, vous pouvez exécuter le programme interactivement en le sélectionnant dans le menu de programmes Microsoft Exchange, ou bien exécuter exbpacmd.exe en mode batch ou à partir de la ligne de commande. Cet exécutable donne le moyen d’appeler ExBPA à partir de la ligne de

Partez !

commande afin de pouvoir scripter les explorations ou incorporer ExBPA dans votre programme régulier de maintenance du système. Pour voir les commutateurs de commande disponibles, qui permettent de spécifier des paramètres tels que quel serveur Exchange examiner, exécutez

exbpacmd /?

Quand vous lancez ExBPA, sa première action est de se connecter à un serveur AD. Exchange 2003 et Exchange 2000 stockent les configurations d’organisation dans l’AD, et ExBPA a besoin de lire ces données pour construire une image de l’organisation avant de commencer son exploration. Vous pouvez fournir le nom d’un serveur DC (domain controller) ou GC (Global catalog), ou bien laisser à ExBPA le soin d’en trouver un.

La plus grande partie du traitement de ExBPA est passif. Le serveur scanné se contente de répondre aux requêtes provenant de la station de travail ExBPA. (Il y a une exception : le test par ExBPA des communications SMTP, pendant lequel la station de travail tente de soumettre un message au serveur virtuel SMTP.) Comme ExBPA a besoin de lire des informations provenant de divers emplacements sur les serveurs cible, l’outil doit fonctionner sous un compte dûment privilégié et autorisé à accéder au registre et à d’autres endroits. Microsoft recommande l’utilisation d’un compte qui soit membre du groupe Domain Admins (afin que ExBPA puisse lire les données de configuration à partir d’AD et les données système à partir de WMI, le registre et la métabase IIS) et qui possède la permission Exchange View Only pour l’organisation Exchange. Si le compte sous lequel on exécute ExBPA n’a pas toutes les permissions requises pour atteindre les données nécessaires à partir de tous les serveurs que l’on veut explorer – peut-être parce que vous avez divisé la responsabilité de Windows et Exchange entre différents administrateurs – vous pouvez entrer l’information nom d’utilisateur et mot de passe de compte explicites pour connexion à l’AD, comme le montre la figure 1. Sinon, ExBPA utilise les références du compte que vous utilisez pour exécuter le programme.

Après que ExBPA ait lu l’AD pour prendre connaissance des informations sur l’organisation Exchange, l’outil affiche la page illustrée figure 2. Là, sélectionnez les serveurs que vous voulez explorer : des serveurs individuels, un groupe administratif spécifique ou toute l’organisation. Pour explorer les serveurs, ExBPA utilise des threads multiples. Si l’on utilise l’outil sur une station de travail monoprocesseur, ExBPA utilise jusqu’à 25 threads, et jusqu’à 50 sur des systèmes multiprocesseurs.

On peut indiquer à ExBPA la vitesse de la connexion réseau entre la station de travail et les serveurs. L’outil utilise ce renseignement pour deux choses : déterminer le rythme du reporting au fil de la progression et définir le timeout sousjacent utilisé quand il tente de contacter un serveur en vue de collecter des données. Si on explore des serveurs sur les mêmes segments du WAN, on peut utiliser le paramètre Fast WAN en toute sécurité, mais il faut quelque chose du genre WAN (64 kbps) quand on veut que ExBPA collecte des données auprès de serveurs sur des liaisons basse vitesse. C’est environ 3 Mo de données réseau qui vont passer entre la station de travail qui effectue le scanning et chaque serveur cible.

La version originale d’ExBPA a vérifié environ 830 conditions, donc il n’est pas étonnant que le scanning, même d’un seul serveur, demande un certain temps. Cela dit, si les connexions réseau sont raisonnables, les scans se déroulent plutôt rapidement et je pense que Microsoft continuera à améliorer la performance de l’outil au fur et à mesure qu’elle découvrira comment optimiser les requêtes que l’outil adresse aux serveurs. Microsoft se cite en exemple : ExBPA met entre 2 et 3 heures pour scanner ses 100 serveurs environ. Toutefois, le déploiement Exchange de la société, fortement centralisé autour d’une poignée de datacenters, est plutôt atypique. Avec une organisation plus distribuée, particulièrement dans un réseau « hub-and-spoke », il faut s’attendre à des temps de scanning plus longs. Par exemple, l’organisation Exchange de HP recouvre 297 serveurs dans un environnement hautement distribué. Pour scanner tous ces serveurs, ExBPA met jusqu’à un jour. Il ne faut pas interpréter cela comme une critique de ExBPA, lequel recueille une énorme quantité de données auprès de chaque serveur Exchange et auprès d’AD et effectue une analyse bien plus exacte et détaillée que celle d’un humain dans le même laps de temps. Mais il faut être conscient du temps que prendra cette opération. De plus, ExBPA met les résultats d’un scan en mémoire cache (pour des raisons de performance) et n’établit pas de point de contrôle des données. De sorte que si une exploration est interrompue, les données sont perdues et il faut recommencer le scan.

ExBPA vous informe en permanence sur sa progression, au fur et à mesure qu’il contacte des serveurs Exchange et collecte des données. Dans le cas qu’illustre la figure 3, page XX, ExBPA a mené à bien le traitement complet sur un serveur mais a rencontré des difficultés avec les autres. L’outil utilise l’une de trois icônes pour afficher l’état d’un scan. Un triangle jaune avec un point d’exclamation (!) indique que ExBPA a pu contacter le serveur mais que des erreurs sont survenues pendant la collecte de données – peut-être parce qu’un service Exchange essentiel (comme le service Information Store) n’était pas en fonctionnement sur le serveur. Un cercle rouge avec un « x » blanc indique que ExBPA n’a pas pu se connecter au serveur. ExBPA teste la connectivité en essayant de lire une clé de registre bien connue sur le serveur ; si la tentative échoue, ExBPA considère le serveur comme indisponible et ne tente pas d’autres traitements. Une icône verte avec une coche indique que ExBPA a correctement collecté les données en provenance du serveur. Cela ne signifie pas que le serveur Exchange est en bonne santé, mais simplement que ExBPA a pu collecter les données nécessaires à l’analyse.

Téléchargez gratuitement cette ressource

Endpoint Security : Guide de Mise en œuvre

Endpoint Security : Guide de Mise en œuvre

Détournement d’applications légitimes, élévation de privilèges, logiciels malveillants furtifs : comment les solutions de Endpoint Security permettent elles de faire face aux nouvelles techniques d'attaques complexes ? Découvrez, dans ce Guide Endpoint Security, les perspectives associées à leur mise en œuvre.

Tech - Par iTPro - Publié le 24 juin 2010