Après la gestion de notre annuaire Active Directory, le déploiement de nos serveurs Exchange 2007 ainsi que la manipulation des dossiers publics, que pouvons- nous demander à notre ligne de commande PowerShell ? Pourquoi ne pas lui demander de configurer nos serveurs Exchange 2007 ?
Nous allons donc nous intéresser de très près à leur configuration et cela, rôle par rôle ! Dans cet article nous utiliserons notre ligne de commande PowerShell afin de configurer le rôle CAS et Hub Transport et Mailbox.
Le rôle serveur d’accès client fournit un certain nombre de services tels que :
-
Outlook Web Access (OWA) : donne accès à sa boîte aux lettres via un navigateur Web.
-
Exchange ActiveSync (EAS) : permet de faire du Push Mail sur son mobile.
-
Outlook Anywhere : pour accéder avec son client Outlook à sa boîte aux lettres en utilisant le protocole http (RPC over HTTPS).
-
Autodiscover : configure automatiquement les profils Outlook 2007 des utilisateurs en renseignant simplement leur adresse e-mail.
-
Availability Service : fournit les informations sur la disponibilité des utilisateurs ainsi que sur leurs calendriers.
-
Exchange Web Services (EWS) : interface pour les applications souhaitant interagir avec Exchange 2007.
Bien évidemment, ce rôle serveur s’assure que les données des utilisateurs sont protégées durant la communication client-serveur. C’est pourquoi des certificats sont utilisés. Notre ligne de commande PowerShell va tout simplement être capable de configurer l’ensemble de ces services très simplement mais aussi de gérer la sécurité à l’aide des certificats !
La théorie c’est très bien, mais si nous passions à la pratique ?! Pour configurer les accès clients nous avons bien sûr des Cmdlets. Nous allons nous attarder un peu sur la Cmdlet « Get- CASMailbox » qui permet de récupérer des informations sur les moyens d’accès d’un utilisateur à sa boîte aux lettres. Il y a bien évidemment la Cmdlet « Set-CASMailbox » pour modifier ces mêmes informations !
Cette dernière Cmdlet possède un grand nombre de paramètres permettant de personnaliser les accès d’un ou de plusieurs utilisateurs. Ainsi, pour interdire les accès non- MAPI aux boîtes aux lettres on pourra par exemple utiliser la commande suivante :
Get-Mailbox | Set-CASMailbox –imapEnabled $false
Dans ce cas, plus aucun utilisateur ayant une boîte aux lettres dans notre organisation Exchange 2007 ne pourra utiliser un client non-MAPI comme Outlook Express par exemple ! Obliger l’utilisation d’un client MAPI peut être intéressant mais nous pouvons aller plus loin en obligeant par exemple l’utilisation d’une version particulière d’Outlook !
Get-Mailbox | Set-CASMailbox –MAPIBlockOutlookVersions ‘- 12.6024.5000’` -MAPIBlockOutlookNonCachedMode $true
Avec cette dernière commande, nous interdisons toutes les versions antérieures à Outlook 2007 pour la consultation des e-mails dans notre organisation puis nous obligeons l’utilisation du mode de mise en cache !
A l’installation d’Exchange 2007, les protocoles POP3 et IMAP4 sont désactivés : ils permettent par exemple aux clients non-Windows de recevoir des e-mails. Dans un environnement hétérogène, il peut donc être intéressant d’activer ces protocoles. La première chose à faire est de forcer le démarrage automatique puis de démarrer les services…
Set-Service MSExchangeImap4 –StartupType Automatic Start-Service MSExchangeImap4 Set-Service MSExchangePop3 –StartupType Automatic Start-Service MSExchangePop3 …
Téléchargez cette ressource
Comment sécuriser une PME avec l’approche par les risques ?
Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.
