I. Présentation,

Exchange est un serveur de messagerie collaborative (emails, gestion de calendrier, planification de réunions, carnet d’adresses centralisé, répondeur téléphonique). Dans cet article, je vais vous présenter  cet outil, puis, lors d’un second post, de son installation et de sa configuration.

II. Les rôles Exchange 2010 Server,

Exchange Server 2010 a segmenté les fonctions en 5 rôles:

• Serveur de boîtes aux lettres :
  • Stock les bases de données de boites aux lettres
  • Gère l’enregistrement des messages
  • Permet la mise en place de DAG (DAG=prise en charge des données en cluster applicatif).

• Serveur de transport Hub :
  • Gère le transport et le routage des messages
  • Gère les stratégies et la conformité de messagerie
  • Gère la protection du transport des mails
  • Il gère l’ensemble des flux de messagerie interne et externe
  • Il communique au serveur Edge les mails sortants (sortants du domaine, si il y a un serveur Edge dans la strucuture)

• Serveur d’accès au client(CAS) :
  • Prends en charge les clients PPO,IMAP,OWA, Active Sync, Outlook Anywhere.
  • Héberge les services Web et Autodiscover
  • Tous les clients doivent passer par ce serveur avant d’accéder au serveur de boites aux lettres (BAL). Le serveur CAS consulte le catalogue globale afin de savoir sur quel serveur BAL ce trouve la boite aux lettres du client. Il faut donc un serveur CAS par site AD.

Il existe plusieurs modes pour le serveur CAS :

Proxy Exchange :Dans une organisation Microsoft Exchange Server 2010, un serveur d’accès au client peut agir comme proxy pour d’autres serveurs d’accès au client au sein de l’organisation. Cela peut s’avérer utile lorsque plusieurs serveurs d’accès au client sont présents dans différents sites Active Directory d’une organisation et que l’un de ces sites n’a pas accès à Internet. Un serveur d’accès au client peut également opérer une redirection des adresses URL Microsoft Office Outlook Web App et des périphériques Exchange ActiveSync. La redirection est utile lorsqu’un utilisateur se connecte à un serveur d’accès au client situé hors de son site Active Directory local ou si une boîte aux lettres est déplacée entre des sites Active Directory. Elle est également utile si l’utilisateur doit faire appel à une URL mieux adaptée, par exemple, une URL située plus près du site Active Directory sur lequel réside sa boîte aux lettres.

Frontal Exchange :Dans ce mode, le serveur ne doit héberger aucun utilisateur ni aucun dossier public et doit être membre de la même organisation Exchange que les serveurs principaux. (donc membre de la même forêt).

• Serveur de messagerie unifiée :
  • Gère le standard automatique
  • Gère les accès OVA (OVA=Outlook Voice Acces)
  • Gère les messages vocaux et les fax

• Serveur de transport Edge :
  • Gère le transport et le routage des messages
  • Gère les stratégies et la conformité de messagerie
  • Gère le courrier indésirable
  • Il gère l’ensemble du trafic SMTP (dans la DMZ)
  • Il communique au serveur Hub les mails entrants

 

Dans certaines infrastructures les rôles sont séparés, ils ne sont donc pas tous sur la même machine physique ce qui permet d’améliorer les performances et la sécurité.

Cette répartition des rôles est possible grâce à Exchange 2010.

 

Comparaison de répartition des rôles entre Exchange 2007 et 2010

 Les performances réseau sont donc améliorées avec Exchange 2010 si le nombre de BAL est important car le serveur de BAL ne reçoit que la connexion du serveur CAS.

 

III. Les Licences CAL,

Une licence standard / entreprise pour le serveur Exchange et une licence CAL par client

 

IV. Prérequis au déploiement Exchange 2010.

• Un serveur 2008 R2
• Active Directory
• IIS (Doit être dédié à Exchange, ne pas installer de rôles utilisant IIS ni créer de pages web…)
• TCP – IPv4 IPv6 (garder IPv6)
• DNS (Important exchange repose sur DNS)

 

 La suite dans le prochain article

Yahoo! a décidé de mettre en œuvre le chiffrement sur son site et ses services afin de protéger leurs utilisateurs. La société semble donner une forte importance à la sécurité puisque le HTTPS est appliqué par défaut sur le site Yahoo et sur la messagerie en ligne. Ceci dans le but de sécuriser les connexions entre les utilisateurs et les serveurs de chez Yahoo.

Yahoo! n’apprécie pas non plus la NSA…

Cette couche supplémentaire en terme de chiffrement vient en réponse aux espionnages réalisés par la NSA. La société Yahoo! a d’ailleurs annoncée son plan à mettre en oeuvre :

- Chiffrement des données entre les datacenters de la société
- Chiffrement SMTP via TLS pour délivrer les courriers électroniques
- Chiffrement de la page d’accueil Yahoo et de toutes les requêtes, par défaut

Alex Stamos, chef de la sécurité chez Yahoo! précise : “Nous avons appliqués les meilleures pratiques de sécurité, intégrant le support du TLS 1.2, Perfect Forward Secrecy et une clé RSA 2048 bits concernant la page d’accueil, la messagerie mais aussi les magazines numériques“.

Yahoo Messenger chiffré également…

Une version entièrement chiffrée de Yahoo Messenger devrait voir le jour afin de protéger les utilisateurs contrent l’espionnage.

“Notre objectif est de chiffrer l’ensemble de notre plate-forme pour tous les utilisateurs en tout temps, par défaut“, a déclaré Alex Stamos. Il a également ajouté : “Notre lutte pour protéger nos utilisateurs et leurs données est en cours et les efforts effectués sont importants“.

Une mesure de sécurité supplémentaire va être implémentée par Yahoo. Il s’agit du HSTS (HTTP Strict Transport Security) afin de s’assurer que les navigateurs web utilisent uniquement une connexion sécurisée via HTTPS. La confidentialité persistante (Perfect Forward Secrecy) sera utilisé pour générer des clés uniques pour chaque session utilisateur afin d’éviter tout hijacking.

Yahoo! semble décidé à protéger ses utilisateurs contre l’espionnage afin de respecter la vie privée de ces derniers.

Source

Un plug-in gratuit pour Chrome, Firefox et Safari appelé “Sell Hack” tourne sur internet. Il permet d’afficher les adresses mails masquées des utilisateurs LinkedIn, ce qui signifie que n’importe qui peut récupérer les adresses mails notamment de professionnels.

Une fois installé, le plugin “Sell Hack” affiche un bouton “Hack In” sur les profils LinkedIn et lorsque l’on clic dessus il affiche l’adresse mail de l’utilisateur concerné.

Aucune faille de sécurité exploitée

Ce n’est pas une faille de sécurité, LinkedIn a confirmé que les données n’étaient pas compromises, mais cette extension utilise un algorithme qui vérifie les données disponibles publiquement afin de deviner les adresses de messagerie des utilisateurs. Le plug-in s’appuie OSINT (Open Source Intelligence).

Cependant, c’est aussi possible que le plug-in récupère des informations sur les utilisateurs qui l’ont installé sur leur machine. A ce sujet, LinkedIn prévient : “Les membres de LinkedIn qui ont téléchargé “Sell Hack” doivent le désinstaller immédiatement et contacter Sell Hack afin de demander que leurs données soient supprimées“.

Légal ou pas ?

Le développeur de Sell Hack s’est directement exprimé à ce sujet : “Le processus que utilisons accède à des données publiques. Ce plug-in vous permet de gagner du temps grâce au traitement informatique mit en place. Nous ne faisons rien malicieux à l’encontre de ce réseau social. Nous pensons que les extensions intégrées aux navigateurs sont la meilleure façon de personnaliser l’expérience web des utilisateurs“.

LinkedIn accuse Sell Hack de violer les termes d’utilisation du service, ce qui a obligé le développeur à stopper le fonctionnement du plug-in : “Le plug-in Sell Hack ne fonctionnera pas plus longtemps sur les pages LinkedIn“.

Source

I. Présentation

Si vous souhaitez appliquer une GPO uniquement aux serveurs virtuels ou aux machines virtuelles, vous vous posez surement la question “Mais comment vais-je faire pour différencier une machine physique d’une machine virtuelle ?“, ce tutoriel va vous apporter la réponse à cette question.

II. Comment faire ?

Une requête WMI permet d’interroger la machine pour retourner le “model“, par exemple cela retournera sur un PC Portable le modèle de l’équipement tel qu’il est désigné chez le constructeur. Dans le cas d’une machine virtuelle, le “model” retournera des valeurs très intéressantes :

- Sous Hyper-V : Virtual Machine

- Sous VMware : VMWare Virtual Platform

On voit bien que cette valeur permet très clairement d’identifier une VM par rapport à une machine physique. En plus, une requête WMI peut être utilisée dans les GPO via les filtres WMI, c’est donc cela qui va nous permettent d’appliquer la GPO uniquement aux VMs.

Commande à saisir pour obtenir la valeur de “model” :

wmic computersystem get model

III. Le filtre WMI

Accédez à la console de gestion des stratégies de groupe, développez l’arborescence sur la gauche puis cliquez sur “Filtres WMI“. Dans la partie de droite,effectuez un clic droit dans la zone puis cliquez sur “Nouveau…“.

Indiquez un nom à ce filtre en remplissant le champ “Nom” et, éventuellement une description via le champ “Description“, au niveau de la requête cliquez sur “Ajouter“. Au niveau de l’Espace de noms, laissez “root\CIMv2” qui contient la majorité des classes dont celle que nous avons besoin.

Pour appliquer la GPO uniquement aux machines virtuelles Hyper-V la requête sera la suivante :

SELECT * FROM Win32_ComputerSystem WHERE Model = “Virtual Machine”

Concernant VMware ce sera donc :

SELECT * FROM Win32_ComputerSystem WHERE Model = “VMWare Virtual Platform”

Si disposez des deux types d’hyperviseurs, vous pouvez combiner les deux en une seule requête :

SELECT * FROM Win32_ComputerSystem WHERE (Model = “Virtual Machine” or Model = “VMWare Virtual Platform”)

Note : Si vous souhaitez – à l’inverse – appliquer la GPO uniquement aux machines physiques, vous pouvez indiquer “!=” à la place “=“, ce qui signifie “n’est pas à égal à” à la place de “est égal à“.

Il ne vous reste plus ensuite qu’à appliquer le filtre WMI à la GPO qui doit être appliquée uniquement aux VMs.

A l’occasion de Microsoft Build ce mercredi, Microsoft a annoncé que Windows va devenir gratuit, pas forcément dans la voix que tout le monde espère… En effet, dans certains cas de figure uniquement mais certainement pas pour les utilisateurs de bureau. Autrement dit de PC.

Terry Myerson, a annoncé que Microsoft va donner des licences Windows pour l’utilisation sur les téléphones et les tablettes avec des tailles d’écran de moins de 9 pouces. De ce fait, les fabricants n’auront plus à payer pour les licences Windows/Windows Phone intégrée à leur équipement.

De part ce choix, Microsoft espère conquérir le marché des tablettes et des smartphones dominés actuellement par le monstre Android. Cette annonce permettra aux fabricants de réduire le coût des tablettes et smartphones tournant sous Windows, dans le but d’être plus compétitif face à Android.
Microsoft qui a tant fait fortune avec ses licences, souhaiterait récupérer de l’argent en partant à la conquête du marché des appareils mobiles.

Source