SlideShare uma empresa Scribd logo

Sécuriser vos accès nomades pour accéder à Exchange et Lync

Transferir como PPTX, PDF
Microsoft Technet France
Microsoft Technet France

Aujourd’hui dans l’entreprise, le besoin de mobilité est croissant et cela implique de devoir mettre en place des architectures capables de garantir à la fois la sécurité d’accès aux données mais aussi la conformité des périphériques utilisés. Au travers de cette session, vous découvrirez comment les solutions Forefront TMG et Forefront UAG peuvent être déployées afin d’offrir aux nomades des accès à Exchange Server et Lync Server de manière simple, transparente et hautement sécurisée

Tecnologia
1 de 54
palais des congrès Paris 7, 8 et 9 février 2012
PAR304 : Sécuriser vos accès nomades pour accéder à Exchange et Jeudi 9 Février 2012 Lync Patrick ISAMBERT Architecte ALSY
Spécialiste Microsoft Notre identité • +20 ans d’existence • +15 ans de partenariat avec Microsoft • 190 experts • Filiale d’Orange Business Services • Centre des usages Microsoft Rhône-Alpes
Agenda Différents accès nomades Eléments d’infrastructure nécessaires Publication des sites et services Web Mise en œuvre du rôle Edge de Lync Server Sécurisation des usages
Agenda Différents accès nomades Accès via navigateur Clients des postes de travail Clients mobiles Eléments d’infrastructure nécessaires Publication des sites et services Web Mise en œuvre du rôle Edge de Lync Server Sécurisation des usages
Accès via navigateur Outlook Web App Successeur d’Outlook Web Access Intègre les fonctions de messagerie instantanée avec Lync Server Lync Web App Permet aux utilisateurs ne disposant pas de client Lync installé de participer à des conférences, Ne nécessite pas forcement de compte Active Directory Fournit la plupart des fonctions Lync 2010 pour une réunion : Affichage et présentation de diapositives PowerPoint, Messagerie instantanée de groupe pour la réunion, Connexion audio par téléphone, Pas de connexion vidéo , Distribution de fichiers et le partage d’applications et de bureau. Ne permet pas la messagerie instantanée de Lync Server et
Clients des postes de travail Outlook Anywhere : synchronisation de son client Outlook depuis n'importe quel réseau Opération en tâche de fond Aucun VPN à établir, communications sur HTTPS Lync 2010 Utilisation du client Lync pour les nomades Aucun VPN à établir, communications directes (HTTPS et port 443 par défaut)
Clients mobiles Outlook Mobile : Accès à la messagerie depuis un téléphone portable Windows Phone, Windows Mobile, Androïd, iOS, BlackBerry (sans BES), Symbian, WebOS Fonctionnement Accès aux serveurs Exchange de l’entreprise à travers un canal de communication sécurisé en HTTPS Aucune donnée ne transite sur des systèmes tiers C’est l’utilisateur qui accède à la boite aux lettres Pas de comptes système ou super utilisateur, Accès aux données stockées sur le périphérique, Confidentialité des données garantie de bout en bout Lync Mobile : Accès à Lync Server depuis un téléphone portable Windows Phone, iPhone, iPad, Android, Nokia Symbian
Agenda Différents accès nomades Eléments d’infrastructure nécessaires Reverse Proxy Rôle du Reverse Proxy Quel Reverse Proxy ? Positionnement du Reverse Proxy Exemples de topologies Lync Edge Server Rôle du serveur Edge Topologies possibles pour le serveur Edge Publication des sites et services Web Mise en œuvre du rôle Edge de Lync Server Sécurisation des usages
Rôle du Reverse Proxy Publication des applications web (flux B2C/B2E) Outlook Web App Installé sur les serveurs CAS Lync Web App Installé par défaut, Publié au sein des urls simples : reunions.domaine.com (meet.domain.com) Publication des services web (flux B2B) Exchange Web Services Installé sur les serveurs CAS Intègre les services « autodiscover », les carnets d’adresses en mode hors connexion, les services de disponibilité , … Lync Web Services Les urls simples, à publier de préférence vers le directeur, Les autres services web vers les différents « pool ».
Quel Reverse Proxy ? Tout reverse proxy peut convenir mais… L’usage de filtres applicatifs est très fortement conseillé Les filtres contrôlent le contenu des trames Analyse HTTP (URL, entêtes, contenu…) Contrôles de l’encapsulation HTTPS S’agit-il de MAPI au sein de RPC/HTTPS ? Une réécriture d’URL peut être nécessaire L’usage de la délégation d’identification est fortement conseillée Sinon ce sont les serveurs qui effectuent le travail (et encourent les risques) Serveurs CAS pour Exchange 2010 Serveurs Directeur et Front End pour Lync Server 2010 La gamme Microsoft Forefront inclue tous ces besoins : Forefront Threat Management Gateway 2010 Forefront Unified Access Gateway 2010
Positionnement du Reverse Proxy ? groupe de travail ou dans un domaine En mode Le mode groupe de travail ne permet pas certaines délégations d’identification Seule l’identification par formulaire et l’authentification HTTP 1.1 de base sont possibles Il peut en résulter des fenêtres d’ouverture de session intempestives On peut inclure le reverse proxy dans la forêt interne de l’entreprise mais… Usage d’une « forêt de connexion » La forêt AD-DS est la limite de sécurité et d’isolation, Les derniers outils d’administration gèrent bien une topologie multi-forêts, Il existe plusieurs scenarii de liaison inter-forêts Les relations d’approbation de forêt Mise en œuvre de l’identification sélective Application du SID Filtering Usage de Kerberos Les fédérations de forêts Double niveau de reverse proxy Premier niveau de reverse proxy hors domaine Deuxième niveau de reverse proxy dans la forêt
Exemples de topologies Reverse Proxy dans la foret interne, Reverse Proxy dans une forêt distincte en relation d’approbation de forêt avec la forêt interne, Reverse Proxy dans une forêt distincte fédérée avec la forêt interne, Double niveau de Reverse Proxy 1er niveau : Entre DMZ publique et DMZ privée Reverse Proxy hors domaine, avec délégation (identification formulaire ou HTTP 1.1 de base) via RADIUS ou LDAP, 2ème niveau : Entre DMZ privée et réseau interne Reverse Proxy dans la forêt interne avec délégation (identification HTTP 1.1 intégrée), et usage de la délégation contrainte Kerberos pour les serveurs publiés.
Rôle du serveur Edge Accès des utilisateurs externes Les clients Lync se connectent de manière transparente à Lync Server à travers Internet Public IM Connectivity (PIC) Connexions avec les fournisseurs publics de messagerie instantanée (Live, Yahoo, AOL) Fédération Fédération avec d’autres entreprises Fédération avec Office 365 Présence et messagerie instantanée ou… Toutes possibilités A/V et partage d’applications
Topologie 1 : Edge avec une seule adresse IP edge.contoso.com edge-int.contoso.com 131.107.155.10 172.25.33.10 Externe Edge Server Interne SIP: 5061 SIP: 5061 Web Conf: 444 Web Conf: 8057 A/V Conf: 443, 3478 A/V Conf: 443, 3478
Topologie 2 : Edge avec plusieurs adresses IP SIP Externe sip.contoso.com 131.107.155.10 443, 5061 edge-int.contoso.com 172.25.33.10 Web Conf Externe Edge Server Interne wcnf.contoso.com SIP: 5061 131.107.155.20 443 Web Conf: 8057 A/V Conf: 443, 3478 AV Externe av.contoso.com 131.107.155.30 443, 3478
Topologie 3 : Edge avec adresses IP derrière un NAT. Adresses IP IP1’ IP1 publiques n’a pas Lync Server SIP Externe besoin de connaitre les adresses translatées pour SIP et Web Conf IP2’ IP2 Client NAT W.Conf Externe Edge Server Int Les clients se connectent à l’adresse IP3’ IP3 IP pour le trafic A/V: L’adresse IP AV Externe translatée pour AV doit être configurée dans
Topologie 4 : Edge avec DNS LB Adresses IP publiques IP1 Enregistrements A DNS sip.contoso.com IP1 et IP4 Edge Server IP2 Int wcnf.contoso.com IP2 et IP5 1 av.contoso.com IP3 et IP6 IP3 Client Les clients peuvent maintenir IP4 plusieurs adresses IP et peuvent Edge Server ainsi basculer la connexion. IP5 Int 2 IP6
Topologie 5 : Edge avec DNS LB et NAT Adresses IP IP1’ IP1 publiques Enregistrements A DNS A Edge sip.contoso.com IP1’ et IP4’ IP2’ IP2 Server Int wcnf.contoso.com IP2’ et IP5’ 1 av.contoso.com IP3’ et IP6’ IP3’ IP3 N Les adresses IP AV A doivent être configurées IP4’ T IP4 individuellement dans Edge Lync Server IP5’ IP5 Server Int IP3 vers IP3’ 2 IP6 vers IP6’ IP6’ IP6
Topologie 6 : Edge avec Hardware Load Balancer Adresses IP publiques IP1 Enregistrements A DNS Edge sip.contoso.com VIP1 IP2 Server Int wcnf.contoso.com VIP2 1 av.contoso.com VIP3 VIP1 IP3 VIP H 2 VIP L Les connexions clients AV sont initiées sur la VIP. 3 B IP4 Par la suite, le trafic client AV Edge (UDP) se connecte directement sur IP5 Server Int le Edge. Le trafic TCP continue à 2 utiliser la VIP. IP6 NAT et HLB sont incompatibles
Agenda Différents accès nomades Eléments d’infrastructure nécessaires Publication des sites et services Web Besoins pour Exchange Server Besoins pour Lync Server Publications B2C/B2E et B2B Types de certificat à utiliser Identification vis-à-vis des serveurs publiés Mise en œuvre du rôle Edge de Lync Server Sécurisation des usages
Besoins pour Exchange Server Publication Outlook Web App Les risques liés à l’accès navigateur Session restée active, réutilisation des informations de sécurité, Analyse du cache à posteriori, récupération de pièces téléchargées, Exécution de scripts cachés dans des courriels, Téléchargement d’images sur des liens externes, Divulgation de l’adresse du site OWA via les « referrer headers » Publication Outlook Mobile Les risques liés Divulgation d’informations lors de la perte du périphérique, Accès aux données stockées sur le périphérique, Communications entre le périphérique et l’entreprise non sécurisées . Publication Outlook Anywhere Les risques liés Perte de l’ordinateur portable, Analyse des flux échangés avec le serveur, Publication Exchange Web Services Accès aux informations Exchange depuis les clients externes Sera traité avec les besoins du client Lync en externe Les risques liés Analyse des flux échangés avec le serveur.
Publication Outlook Web App Pré-Authentification sur : -Active Directory Périmètre de Serveur de boites -LDAP (AD) l’entreprise (DMZ) aux lettres -SecureID -Radius OTP Analyse HTTP -Radius (URL, entêtes, con Délégation tenu…) Réécriture d’authentification d’URLs SSL SSL ou HTTP MS- RPC Serveur d'accès Forefront TMG Client OWA client (CAS) Forefront UAG
Gestion des sessions avec OWA Le service OWA est délivré par le serveur ayant le rôle CAS (Client Access Server) Accès par défaut en HTTPS. Mode d'authentification par formulaire par défaut Méthodes d'authentification tierces supportées (avec FTMG, FUAG) : RSA SecurID, Radius. Authentifications classiques supportées nativement (NTLM, Kerberos, de base). Cookie de session chiffré Chiffrement effectué coté serveur Durée de vie des clefs courte : Moitié de la durée de vie de la session utilisateur.
Cookie de session avec OWA Pièces d’identité transmises Cookie chiffré 7,5 minutes s'écoulent Cookie transmis Serveur CAS Client OWA Cookie chiffré Clé 1 Clé 2 7,5 minutes s'écoulent Clé 3 Activité utilisateur Cookie transmis Cookie chiffré Clé 4
Gestion des sessions avec OWA Activité utilisateur sur le poste de client Toutes les interactions initiées par l'utilisateur sont considérées comme activité utilisateur, Sur "OWA Light" toutes les actions sont considérées comme activité sauf la saisie de texte, Expiration des sessions (publique ou privée) basée sur l'activité du poste client 15 minutes par défaut pour un accès public, 8 heures par défaut pour un accès privé,
Publication Outlook Mobile Périmètre de l’entreprise (DMZ) Serveur de boites aux lettres URL: mail.mycompany.com/Microsoft- Server-ActiveSync/*, Analyse HTTP de l’URL : 1024 Taille max Méthodes: POST, OPTIONS Extensions autorisées : . (URL, entêtes,Query length : 512 Max co Bloquer les signatures ntenu…) ./ .. % : SSL SSL ou HTTP MS- RPC Forefront TMG Exchange CAS Périphérique Mobile Forefront UAG
Publication Outlook Anywhere Périmètre de Serveur de boites l’entreprise (DMZ) aux lettres Méthodes HTTP : • RPC_IN_DATA Analyse HTTP (URL, • RPC_OUT_DATA entêtes, co Extension : *.DLLntenu…) Signature : ./ .. % & MS- RPC SSL SSL RPC sur HTTP RPC sur HTTP Forefront TMG Serveur CAS Outlook 2003, 2007, 2010 Forefront UAG (Accès Client)
Besoins pour le client Lync Publications HTTPS et HTTP vers les serveurs Front End et le directeur pour Lync Server Publications HTTPS vers les serveurs CAS pour l’accès aux services web d’Exchange Server Publications HTTPS pour Lync Server Urls simples Carnet d’adresses Expansion des listes de distribution « Web Ticket » Publications HTTP pour Lync Server Mise à jour des périphériques (Firmware) Journalisation des mises à jour de périphériques
Besoins pour Lync Server Front End Pool1 Front End Client Reverse Proxy Pool2 Directeur appels.contoso.com vers le directeur reunions.fabrikam.com vers le directeur DNS LB non lync1.contoso.com vers le pool 1 supporté pour le lync2.contoso.com vers le pool 2 trafic HTTP/S Besoin de SAN sur le certificat
Publications HTTPS B2C/B2E et B2B Les flux publiés B2C/B2E sont mis à disposition d’utilisateurs via des navigateurs (exemple : Outlook Web App) L’utilisateur a besoin de préciser ses pièces identités, L’authentification par formulaire est donc un bon choix, L’utilisateur peut accepter un certificat non reconnu. Les flux publiés B2B sont accédés par des applications externes L’application connait les pièces d’identités à utiliser, Il est inutile de les redemander à l’utilisateur, Risque de fenêtres d’ouverture de session multiples, Risque de confusion, L’authentification HTTP 1.1 convient mieux Normalement, un certificat non reconnu interdit la connexion Deux ports d’écoute Web (FTMG) ou Trunk (FUAG) Le premier pour les accès avec identification en mode formulaire Peut être mutualisé pour les autres accès de ce type (site extranet, SharePoint,…) Le second pour les accès avec identification HTTP 1.1 Peut être mutualisé pour tout besoin de ce type (services web Lync Server, Outlook Anywhere, Services web Exchange Server, AD-RMS, RDS Gateway…)
Types de certificat à utiliser De manière générale : En interne, des certificats issus d’une PKI interne Coût, disponibilité, cycle de vie, … En externe, des certificats issus d’une PKI publique Pour être reconnus et validés par les différents clients Si usage de certificats d’une PKI interne en externe : Permet notamment de limiter les accès aux flux B2B Attention aux périphériques permissifs Attention la PKI doit exposer les AIA et CRL à l’extérieur Une architecture à 2 niveaux (AC racine hors ligne et AC de distribution d’infrastructure d’entreprise suffit) On peut éventuellement doubler les ports d’écoute (ou trunk) en fonction du type de certificat utilisé pour restreindre les usages.
Identification vis-à-vis des serveurs publiés Ne concerne que les accès publiés avec délégation d’identification Si possible, utiliser la délégation contrainte Kerberos Nécessite que le service dispose d’un SPN (Service Principal Name) Exemple : http/outlook.contoso.com Nécessite que le compte d’ordinateur du Reverse Proxy soit configuré pour la délégation sur ce SPN Propriété du compte ordinateur dans Active Directory Users & Computers La délégation contrainte Kerberos doit être choisie dans la règle de publication Sinon Utiliser l’identification NTLM Utiliser l’identification de base
Agenda Différents accès nomades Eléments d’infrastructure nécessaires Publication des sites et services Web Mise en œuvre du rôle Edge de Lync Server Comment sécuriser le serveur Edge Quels ports dois-je ouvrir ? Sécurisation des usages
Comment sécuriser le serveur Edge Utiliser un sous-réseau différent Verrouiller les règles de routage pour ce sous- réseau Désactiver broadcast, multicast, et le trafic vers les autres sous réseaux de périmètre Placer le serveur Edge entre deux murs pare feux Suivre le Lire et appliquer les informations de l’article « »
Les communications sécurisées dans Lync Quelqu’un peut-il analyser les paquets et accéder à mes données IM/audio/vidéo/données ?
Lync Server Security Filter : qu’est ce que c’est ? Script SPL + service .Net à installer dans le serveur Edge A enregistrer sur le serveur Edge via PowerShell Intercepte tout trafic d’authentification des utilisateurs distants 2 3 Compteur:1 Seuil : 2 Timeout : 5 minutes
Lync Server Security Filter : Que fait il? Intercepte l’identification NTLM ou TLS-DSK dans la requête SIP, Extrait l’authentification unique du paquet : TLS-DSK : extraction du certificat client NTLM : extraction du nom d’utilisateur et du domaine Contrôle le nombre d’ouvertures de session échouées, Si le nombre d’essais atteint le seuil choisi, les futures requêtes d’identification sont bloquées, Une fois, le timeout expiré, l’utilisateur peut de nouveau tenter de s’authentifier
Quels ports dois-je ouvrir ? Bien connaitre les ports réseau Les équipes de sécurité réseau sont paranoïaques, Et c’est leur métier  Elles veulent bloquer tous les ports externes, Toute demande d’ouverture de port doit être justifiée et clairement comprise, Il vous faut fournir une explication claire et précise pour chaque port à ouvrir
Présence et messagerie instantannée
Partages d’applications
A/V et conférences Web
“Enterprise Voice”
Port TCP 5062 (interne uniquement) Les serveurs Front End doivent disposer d’un certificat valide dont le nom du sujet correspond au FQDN de ce serveur. De même les serveurs Front End font le même contrôle par rapport au certificat A/V du serveur Edge, Le FQDN du serveur Front End doit appartenir à une liste de confiance du serveur Edge. De même, le FQDN du serveur Edge doit appartenir à une liste de confiance des serveurs Front End, Toute signalisation SIP est protégée par un chiffrement TLS 128-bit.
Ports UDP 3478 et TCP 443 L’allocation de port est protégée par une authentification de type “challenge 128-bit digest”, utilisant un mot de passe généré par l’ordinateur et modifié toutes les 8 heures, Un numéro de séquence ainsi qu’un nombre aléatoire sont utilisés afin de déjouer les attaques par répétition, Les paquets de messages (UDP3478/TCP443) sont protégés avec une signature HMAC 128-bit.
Ports UDP/TCP 50000 à 59999 Les ports sont alloués de manière aléatoire par communication. Une attaque doit deviner quel port est utilisé et être terminée avant que la communication ne se finisse. Le trafic entrant est filtré en fonction des adresses IP des terminaux distants. Même si une attaque trouve le bon port, elle doit aussi usurper la bonne adresse IP. Ces deux mécanismes rendent l’usage de la plage de port plus sûr. Si l’ensemble du trafic est multiplexé sur un port, alors tout le trafic de toutes les adresses IP des terminaux distants est accepté.
Trafic média Les paquets “média” sont protégés de bout en bout avec SRTP (Secure Real Time Protocol) empêchant ainsi toute interception ou toute injection. La clé utilisée pour chiffrer et déchiffrer le flux média est transmise par le canal de signalisation TLS sécurisé.
Agenda Différents accès nomades Eléments d’infrastructure nécessaires Publication des sites et services Web Mise en œuvre du rôle Edge de Lync Server Sécurisation des usages Ordinateurs publics ou partagés sur Outlook Web App Gestion des périphériques mobiles
Ordinateurs publics ou partagés sur Outlook Web App La gestion des pièces jointes se fait selon le type d’accès Interdire l’ouverture des pièces jointes, Forcer l’usage du WebReady, Exchange lit des documents et les affiche au format web, Forcer la sauvegarde des pièces jointes, Cette gestion est granulaire selon le type de document
Gestion des périphériques mobiles En cas de perte ou de vol Périphérique verrouillé par code PIN, Effacement du contenu du périphérique ,automatiquement après plusieurs tentatives (nombre défini par l’administrateur), Chiffrement de données enregistrées sur carte de stockage, Code IMEI pour bloquer l’appareil sur les réseaux, Effacement déclenchable depuis Exchange Control Panel (ECP) par l’utilisateur, En cas d’oubli, code de déverrouillage du mobile accessible sur ECP Support des stratégies ActiveSync
Ressources et remerciements Ressources : Un grand merci à Rui Maximo, Auteur de nombreux ouvrages sur OCS et Lync Présentateur au Tech-Ed 2011 d’Atlanta
Vous souhaitez approfondir Venez rencontrer nos Profitez d’une experts sur notre démonstration gratuite stand Posez vos questions Exposez vos besoins
Vous êtes dans la salle 243
Questions …. et réponses ….

Recomendados

Au-delà de Small Business Server
Au-delà de Small Business ServerAu-delà de Small Business Server
Au-delà de Small Business ServerMicrosoft Technet France
 
Windows Azure IaaS: machines virtuelles, réseau, ...
Windows Azure IaaS: machines virtuelles, réseau, ... Windows Azure IaaS: machines virtuelles, réseau, ...
Windows Azure IaaS: machines virtuelles, réseau, ... Microsoft Technet France
 
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...Microsoft Technet France
 
Services de bureaux distants dans Windows Server 2012 R2 et Azure
Services de bureaux distants dans Windows Server 2012 R2 et AzureServices de bureaux distants dans Windows Server 2012 R2 et Azure
Services de bureaux distants dans Windows Server 2012 R2 et AzureMicrosoft Technet France
 
Windows Server 2012, quelles évolutions pour les services de stockage et de c...
Windows Server 2012, quelles évolutions pour les services de stockage et de c...Windows Server 2012, quelles évolutions pour les services de stockage et de c...
Windows Server 2012, quelles évolutions pour les services de stockage et de c...Microsoft Décideurs IT
 
Monter des environnements dev test efficaces avec Windows Azure
Monter des environnements dev test efficaces avec Windows AzureMonter des environnements dev test efficaces avec Windows Azure
Monter des environnements dev test efficaces avec Windows AzureMicrosoft Technet France
 
Techdays 2009 - Hyper-V en profondeur, bonnes pratiques et quoi de neuf avec ...
Techdays 2009 - Hyper-V en profondeur, bonnes pratiques et quoi de neuf avec ...Techdays 2009 - Hyper-V en profondeur, bonnes pratiques et quoi de neuf avec ...
Techdays 2009 - Hyper-V en profondeur, bonnes pratiques et quoi de neuf avec ...fabricemeillon
 
Licences et produits pour les Petites et Moyennes Entreprises : Tour d'horizo...
Licences et produits pour les Petites et Moyennes Entreprises : Tour d'horizo...Licences et produits pour les Petites et Moyennes Entreprises : Tour d'horizo...
Licences et produits pour les Petites et Moyennes Entreprises : Tour d'horizo...Microsoft Technet France
 

Recomendados

Au-delà de Small Business Server
Au-delà de Small Business ServerAu-delà de Small Business Server
Au-delà de Small Business ServerMicrosoft Technet France
 
Windows Azure IaaS: machines virtuelles, réseau, ...
Windows Azure IaaS: machines virtuelles, réseau, ... Windows Azure IaaS: machines virtuelles, réseau, ...
Windows Azure IaaS: machines virtuelles, réseau, ... Microsoft Technet France
 
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...Microsoft Technet France
 
Services de bureaux distants dans Windows Server 2012 R2 et Azure
Services de bureaux distants dans Windows Server 2012 R2 et AzureServices de bureaux distants dans Windows Server 2012 R2 et Azure
Services de bureaux distants dans Windows Server 2012 R2 et AzureMicrosoft Technet France
 
Windows Server 2012, quelles évolutions pour les services de stockage et de c...
Windows Server 2012, quelles évolutions pour les services de stockage et de c...Windows Server 2012, quelles évolutions pour les services de stockage et de c...
Windows Server 2012, quelles évolutions pour les services de stockage et de c...Microsoft Décideurs IT
 
Monter des environnements dev test efficaces avec Windows Azure
Monter des environnements dev test efficaces avec Windows AzureMonter des environnements dev test efficaces avec Windows Azure
Monter des environnements dev test efficaces avec Windows AzureMicrosoft Technet France
 
Techdays 2009 - Hyper-V en profondeur, bonnes pratiques et quoi de neuf avec ...
Techdays 2009 - Hyper-V en profondeur, bonnes pratiques et quoi de neuf avec ...Techdays 2009 - Hyper-V en profondeur, bonnes pratiques et quoi de neuf avec ...
Techdays 2009 - Hyper-V en profondeur, bonnes pratiques et quoi de neuf avec ...fabricemeillon
 
Licences et produits pour les Petites et Moyennes Entreprises : Tour d'horizo...
Licences et produits pour les Petites et Moyennes Entreprises : Tour d'horizo...Licences et produits pour les Petites et Moyennes Entreprises : Tour d'horizo...
Licences et produits pour les Petites et Moyennes Entreprises : Tour d'horizo...Microsoft Technet France
 
Techdays 2009 - La virtualisation de machines avec Hyper-V
Techdays 2009 - La virtualisation de machines avec Hyper-VTechdays 2009 - La virtualisation de machines avec Hyper-V
Techdays 2009 - La virtualisation de machines avec Hyper-Vfabricemeillon
 
Windows Azure Active Directory, SSO étendu et services d’annuaire pour les ap...
Windows Azure Active Directory, SSO étendu et services d’annuaire pour les ap...Windows Azure Active Directory, SSO étendu et services d’annuaire pour les ap...
Windows Azure Active Directory, SSO étendu et services d’annuaire pour les ap...Microsoft Technet France
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Microsoft Technet France
 
Vue d'ensemble des nouveautés de System Center 2012 R2
Vue d'ensemble des nouveautés de System Center 2012 R2Vue d'ensemble des nouveautés de System Center 2012 R2
Vue d'ensemble des nouveautés de System Center 2012 R2Microsoft Technet France
 
Windows server 2008 R2 : Services de Bureau Distant
Windows server 2008 R2 : Services de Bureau DistantWindows server 2008 R2 : Services de Bureau Distant
Windows server 2008 R2 : Services de Bureau DistantMicrosoft Technet France
 
Atelier CITRIX
Atelier CITRIXAtelier CITRIX
Atelier CITRIXpimp uncle
 
Mise en place d'une usine logicielle avec TFS et Test Manager 2010
Mise en place d'une usine logicielle avec TFS et Test Manager 2010Mise en place d'une usine logicielle avec TFS et Test Manager 2010
Mise en place d'une usine logicielle avec TFS et Test Manager 2010Microsoft Technet France
 
Windows server-2008-r2-lessentiel HISOFT
Windows server-2008-r2-lessentiel HISOFTWindows server-2008-r2-lessentiel HISOFT
Windows server-2008-r2-lessentiel HISOFTgroupe_hisoft
 
System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...
System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...
System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...Microsoft Technet France
 
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Microsoft Technet France
 
Virtualisation et intégration des applications d'entreprise en environnement ...
Virtualisation et intégration des applications d'entreprise en environnement ...Virtualisation et intégration des applications d'entreprise en environnement ...
Virtualisation et intégration des applications d'entreprise en environnement ...Kouotou Aboubakar Sidiki, Eng, PMP
 
Lync : Bonnes pratiques d'Architecture
Lync : Bonnes pratiques d'ArchitectureLync : Bonnes pratiques d'Architecture
Lync : Bonnes pratiques d'ArchitectureMicrosoft Technet France
 
Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Georgeot Cédric
 
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...fabricemeillon
 
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...fabricemeillon
 
Migration des PME vers Windows 2012 R2 Essentials et Office 365
Migration des PME vers Windows 2012 R2 Essentials et Office 365Migration des PME vers Windows 2012 R2 Essentials et Office 365
Migration des PME vers Windows 2012 R2 Essentials et Office 365Microsoft Technet France
 
Tout sur les solutions de Haute Disponibilité et Disaster Recovery de SQL Ser...
Tout sur les solutions de Haute Disponibilité et Disaster Recovery de SQL Ser...Tout sur les solutions de Haute Disponibilité et Disaster Recovery de SQL Ser...
Tout sur les solutions de Haute Disponibilité et Disaster Recovery de SQL Ser...Microsoft Technet France
 
Techdays 2009 - Administration centralisée des infrastructures de virtualisation
Techdays 2009 - Administration centralisée des infrastructures de virtualisationTechdays 2009 - Administration centralisée des infrastructures de virtualisation
Techdays 2009 - Administration centralisée des infrastructures de virtualisationfabricemeillon
 
Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Microsoft Technet France
 
Microsoft - Solution Virtualisation Windows Server 08
Microsoft - Solution Virtualisation Windows Server 08Microsoft - Solution Virtualisation Windows Server 08
Microsoft - Solution Virtualisation Windows Server 08actualblog
 
Architecture Lync - Deep dive avec nos experts
Architecture Lync - Deep dive avec nos experts Architecture Lync - Deep dive avec nos experts
Architecture Lync - Deep dive avec nos experts Microsoft Technet France
 
LyncConference2013 - Extension de Lync 2013 côté Serveur
LyncConference2013 - Extension de Lync 2013 côté ServeurLyncConference2013 - Extension de Lync 2013 côté Serveur
LyncConference2013 - Extension de Lync 2013 côté ServeurMicrosoft Technet France
 

Mais conteúdo relacionado

Mais procurados

Techdays 2009 - La virtualisation de machines avec Hyper-V
Techdays 2009 - La virtualisation de machines avec Hyper-VTechdays 2009 - La virtualisation de machines avec Hyper-V
Techdays 2009 - La virtualisation de machines avec Hyper-Vfabricemeillon
 
Windows Azure Active Directory, SSO étendu et services d’annuaire pour les ap...
Windows Azure Active Directory, SSO étendu et services d’annuaire pour les ap...Windows Azure Active Directory, SSO étendu et services d’annuaire pour les ap...
Windows Azure Active Directory, SSO étendu et services d’annuaire pour les ap...Microsoft Technet France
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Microsoft Technet France
 
Vue d'ensemble des nouveautés de System Center 2012 R2
Vue d'ensemble des nouveautés de System Center 2012 R2Vue d'ensemble des nouveautés de System Center 2012 R2
Vue d'ensemble des nouveautés de System Center 2012 R2Microsoft Technet France
 
Windows server 2008 R2 : Services de Bureau Distant
Windows server 2008 R2 : Services de Bureau DistantWindows server 2008 R2 : Services de Bureau Distant
Windows server 2008 R2 : Services de Bureau DistantMicrosoft Technet France
 
Atelier CITRIX
Atelier CITRIXAtelier CITRIX
Atelier CITRIXpimp uncle
 
Mise en place d'une usine logicielle avec TFS et Test Manager 2010
Mise en place d'une usine logicielle avec TFS et Test Manager 2010Mise en place d'une usine logicielle avec TFS et Test Manager 2010
Mise en place d'une usine logicielle avec TFS et Test Manager 2010Microsoft Technet France
 
Windows server-2008-r2-lessentiel HISOFT
Windows server-2008-r2-lessentiel HISOFTWindows server-2008-r2-lessentiel HISOFT
Windows server-2008-r2-lessentiel HISOFTgroupe_hisoft
 
System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...
System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...
System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...Microsoft Technet France
 
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Microsoft Technet France
 
Virtualisation et intégration des applications d'entreprise en environnement ...
Virtualisation et intégration des applications d'entreprise en environnement ...Virtualisation et intégration des applications d'entreprise en environnement ...
Virtualisation et intégration des applications d'entreprise en environnement ...Kouotou Aboubakar Sidiki, Eng, PMP
 
Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Georgeot Cédric
 
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...fabricemeillon
 
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...fabricemeillon
 
Migration des PME vers Windows 2012 R2 Essentials et Office 365
Migration des PME vers Windows 2012 R2 Essentials et Office 365Migration des PME vers Windows 2012 R2 Essentials et Office 365
Migration des PME vers Windows 2012 R2 Essentials et Office 365Microsoft Technet France
 
Tout sur les solutions de Haute Disponibilité et Disaster Recovery de SQL Ser...
Tout sur les solutions de Haute Disponibilité et Disaster Recovery de SQL Ser...Tout sur les solutions de Haute Disponibilité et Disaster Recovery de SQL Ser...
Tout sur les solutions de Haute Disponibilité et Disaster Recovery de SQL Ser...Microsoft Technet France
 
Techdays 2009 - Administration centralisée des infrastructures de virtualisation
Techdays 2009 - Administration centralisée des infrastructures de virtualisationTechdays 2009 - Administration centralisée des infrastructures de virtualisation
Techdays 2009 - Administration centralisée des infrastructures de virtualisationfabricemeillon
 
Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Microsoft Technet France
 
Microsoft - Solution Virtualisation Windows Server 08
Microsoft - Solution Virtualisation Windows Server 08Microsoft - Solution Virtualisation Windows Server 08
Microsoft - Solution Virtualisation Windows Server 08actualblog
 

Mais procurados (20)

Techdays 2009 - La virtualisation de machines avec Hyper-V
Techdays 2009 - La virtualisation de machines avec Hyper-VTechdays 2009 - La virtualisation de machines avec Hyper-V
Techdays 2009 - La virtualisation de machines avec Hyper-V
 
Windows Azure Active Directory, SSO étendu et services d’annuaire pour les ap...
Windows Azure Active Directory, SSO étendu et services d’annuaire pour les ap...Windows Azure Active Directory, SSO étendu et services d’annuaire pour les ap...
Windows Azure Active Directory, SSO étendu et services d’annuaire pour les ap...
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
 
Vue d'ensemble des nouveautés de System Center 2012 R2
Vue d'ensemble des nouveautés de System Center 2012 R2Vue d'ensemble des nouveautés de System Center 2012 R2
Vue d'ensemble des nouveautés de System Center 2012 R2
 
Windows server 2008 R2 : Services de Bureau Distant
Windows server 2008 R2 : Services de Bureau DistantWindows server 2008 R2 : Services de Bureau Distant
Windows server 2008 R2 : Services de Bureau Distant
 
Atelier CITRIX
Atelier CITRIXAtelier CITRIX
Atelier CITRIX
 
Mise en place d'une usine logicielle avec TFS et Test Manager 2010
Mise en place d'une usine logicielle avec TFS et Test Manager 2010Mise en place d'une usine logicielle avec TFS et Test Manager 2010
Mise en place d'une usine logicielle avec TFS et Test Manager 2010
 
Windows server-2008-r2-lessentiel HISOFT
Windows server-2008-r2-lessentiel HISOFTWindows server-2008-r2-lessentiel HISOFT
Windows server-2008-r2-lessentiel HISOFT
 
System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...
System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...
System Center Essentials 2010 (SCE) l’offre d’administration « on-premises » ...
 
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
 
Virtualisation et intégration des applications d'entreprise en environnement ...
Virtualisation et intégration des applications d'entreprise en environnement ...Virtualisation et intégration des applications d'entreprise en environnement ...
Virtualisation et intégration des applications d'entreprise en environnement ...
 
Lync : Bonnes pratiques d'Architecture
Lync : Bonnes pratiques d'ArchitectureLync : Bonnes pratiques d'Architecture
Lync : Bonnes pratiques d'Architecture
 
Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2
 
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
 
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
 
Migration des PME vers Windows 2012 R2 Essentials et Office 365
Migration des PME vers Windows 2012 R2 Essentials et Office 365Migration des PME vers Windows 2012 R2 Essentials et Office 365
Migration des PME vers Windows 2012 R2 Essentials et Office 365
 
Tout sur les solutions de Haute Disponibilité et Disaster Recovery de SQL Ser...
Tout sur les solutions de Haute Disponibilité et Disaster Recovery de SQL Ser...Tout sur les solutions de Haute Disponibilité et Disaster Recovery de SQL Ser...
Tout sur les solutions de Haute Disponibilité et Disaster Recovery de SQL Ser...
 
Techdays 2009 - Administration centralisée des infrastructures de virtualisation
Techdays 2009 - Administration centralisée des infrastructures de virtualisationTechdays 2009 - Administration centralisée des infrastructures de virtualisation
Techdays 2009 - Administration centralisée des infrastructures de virtualisation
 
Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012
 
Microsoft - Solution Virtualisation Windows Server 08
Microsoft - Solution Virtualisation Windows Server 08Microsoft - Solution Virtualisation Windows Server 08
Microsoft - Solution Virtualisation Windows Server 08
 

Semelhante a Sécuriser vos accès nomades pour accéder à Exchange et Lync

Architecture Lync - Deep dive avec nos experts
Architecture Lync - Deep dive avec nos experts Architecture Lync - Deep dive avec nos experts
Architecture Lync - Deep dive avec nos experts Microsoft Technet France
 
LyncConference2013 - Extension de Lync 2013 côté Serveur
LyncConference2013 - Extension de Lync 2013 côté ServeurLyncConference2013 - Extension de Lync 2013 côté Serveur
LyncConference2013 - Extension de Lync 2013 côté ServeurMicrosoft Technet France
 
Architecture Décentralisée
Architecture DécentraliséeArchitecture Décentralisée
Architecture Décentraliséeparigot
 
Webcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de chargeWebcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de chargeiTProFR
 
Etendez votre Lync
Etendez votre LyncEtendez votre Lync
Etendez votre LyncMicrosoft
 
LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...
LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...
LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...Microsoft Technet France
 
Bisatel voi p protocol sip
Bisatel voi p protocol sipBisatel voi p protocol sip
Bisatel voi p protocol sipBisatel
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudMicrosoft Technet France
 
Ecosystème Lync : le Big Bang
Ecosystème Lync : le Big BangEcosystème Lync : le Big Bang
Ecosystème Lync : le Big BangMicrosoft Ideas
 
Intégrer Lync dans vos applications métiers, ou le contraire
Intégrer Lync dans vos applications métiers, ou le contraireIntégrer Lync dans vos applications métiers, ou le contraire
Intégrer Lync dans vos applications métiers, ou le contraireMicrosoft Ideas
 
Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm.com Formation Lync Server 2013 (70-336)Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm.com Formation Lync Server 2013 (70-336)Alphorm
 
LyncConference2013 - Extension de Lync 2013 côté Client
LyncConference2013 - Extension de Lync 2013 côté ClientLyncConference2013 - Extension de Lync 2013 côté Client
LyncConference2013 - Extension de Lync 2013 côté ClientMicrosoft Technet France
 
02 tp asterisk_trunk
02 tp asterisk_trunk02 tp asterisk_trunk
02 tp asterisk_trunkRakoto Zafy
 
S51 vos projets web services ibm i a l aide de php
S51 vos projets web services ibm i a l aide de phpS51 vos projets web services ibm i a l aide de php
S51 vos projets web services ibm i a l aide de phpGautier DUMAS
 
Les nouveautés de Microsoft BizTalk Server 2013
Les nouveautés de Microsoft BizTalk Server 2013Les nouveautés de Microsoft BizTalk Server 2013
Les nouveautés de Microsoft BizTalk Server 2013Microsoft
 
LinSign : la signature électronique en Open Source
LinSign : la signature électronique en Open Source LinSign : la signature électronique en Open Source
LinSign : la signature électronique en Open Source LINAGORA
 
De A à Z : Choisir une architecture pour sa solution applicative
De A à Z : Choisir une architecture pour sa solution applicativeDe A à Z : Choisir une architecture pour sa solution applicative
De A à Z : Choisir une architecture pour sa solution applicativeMicrosoft
 

Semelhante a Sécuriser vos accès nomades pour accéder à Exchange et Lync (20)

Architecture Lync - Deep dive avec nos experts
Architecture Lync - Deep dive avec nos experts Architecture Lync - Deep dive avec nos experts
Architecture Lync - Deep dive avec nos experts
 
LyncConference2013 - Extension de Lync 2013 côté Serveur
LyncConference2013 - Extension de Lync 2013 côté ServeurLyncConference2013 - Extension de Lync 2013 côté Serveur
LyncConference2013 - Extension de Lync 2013 côté Serveur
 
Architecture Décentralisée
Architecture DécentraliséeArchitecture Décentralisée
Architecture Décentralisée
 
Quoi de neuf sous le capot de Lync 2013
Quoi de neuf sous le capot de Lync 2013Quoi de neuf sous le capot de Lync 2013
Quoi de neuf sous le capot de Lync 2013
 
Webcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de chargeWebcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de charge
 
Etendez votre Lync
Etendez votre LyncEtendez votre Lync
Etendez votre Lync
 
LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...
LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...
LyncConference2013 - Interopérabilité Audio – Intégrez et faites coexister Ly...
 
Bisatel voi p protocol sip
Bisatel voi p protocol sipBisatel voi p protocol sip
Bisatel voi p protocol sip
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
 
Ecosystème Lync : le Big Bang
Ecosystème Lync : le Big BangEcosystème Lync : le Big Bang
Ecosystème Lync : le Big Bang
 
Intégrer Lync dans vos applications métiers, ou le contraire
Intégrer Lync dans vos applications métiers, ou le contraireIntégrer Lync dans vos applications métiers, ou le contraire
Intégrer Lync dans vos applications métiers, ou le contraire
 
Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm.com Formation Lync Server 2013 (70-336)Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm.com Formation Lync Server 2013 (70-336)
 
Présentation VOIP
Présentation VOIPPrésentation VOIP
Présentation VOIP
 
LyncConference2013 - Extension de Lync 2013 côté Client
LyncConference2013 - Extension de Lync 2013 côté ClientLyncConference2013 - Extension de Lync 2013 côté Client
LyncConference2013 - Extension de Lync 2013 côté Client
 
02 tp asterisk_trunk
02 tp asterisk_trunk02 tp asterisk_trunk
02 tp asterisk_trunk
 
S51 vos projets web services ibm i a l aide de php
S51 vos projets web services ibm i a l aide de phpS51 vos projets web services ibm i a l aide de php
S51 vos projets web services ibm i a l aide de php
 
Les nouveautés de Microsoft BizTalk Server 2013
Les nouveautés de Microsoft BizTalk Server 2013Les nouveautés de Microsoft BizTalk Server 2013
Les nouveautés de Microsoft BizTalk Server 2013
 
VoIP
VoIPVoIP
VoIP
 
LinSign : la signature électronique en Open Source
LinSign : la signature électronique en Open Source LinSign : la signature électronique en Open Source
LinSign : la signature électronique en Open Source
 
De A à Z : Choisir une architecture pour sa solution applicative
De A à Z : Choisir une architecture pour sa solution applicativeDe A à Z : Choisir une architecture pour sa solution applicative
De A à Z : Choisir une architecture pour sa solution applicative
 

Mais de Microsoft Technet France

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Microsoft Technet France
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Microsoft Technet France
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...Microsoft Technet France
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesMicrosoft Technet France
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureMicrosoft Technet France
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityMicrosoft Technet France
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationMicrosoft Technet France
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeMicrosoft Technet France
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceMicrosoft Technet France
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Microsoft Technet France
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Microsoft Technet France
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftMicrosoft Technet France
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Microsoft Technet France
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Microsoft Technet France
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesMicrosoft Technet France
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneMicrosoft Technet France
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsMicrosoft Technet France
 
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...Microsoft Technet France
 

Mais de Microsoft Technet France (20)

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
 
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
 

Sécuriser vos accès nomades pour accéder à Exchange et Lync

  • 1. palais des congrès Paris 7, 8 et 9 février 2012
  • 2. PAR304 : Sécuriser vos accès nomades pour accéder à Exchange et Jeudi 9 Février 2012 Lync Patrick ISAMBERT Architecte ALSY
  • 3. Spécialiste Microsoft Notre identité • +20 ans d’existence • +15 ans de partenariat avec Microsoft • 190 experts • Filiale d’Orange Business Services • Centre des usages Microsoft Rhône-Alpes
  • 4. Agenda Différents accès nomades Eléments d’infrastructure nécessaires Publication des sites et services Web Mise en œuvre du rôle Edge de Lync Server Sécurisation des usages
  • 5. Agenda Différents accès nomades Accès via navigateur Clients des postes de travail Clients mobiles Eléments d’infrastructure nécessaires Publication des sites et services Web Mise en œuvre du rôle Edge de Lync Server Sécurisation des usages
  • 6. Accès via navigateur Outlook Web App Successeur d’Outlook Web Access Intègre les fonctions de messagerie instantanée avec Lync Server Lync Web App Permet aux utilisateurs ne disposant pas de client Lync installé de participer à des conférences, Ne nécessite pas forcement de compte Active Directory Fournit la plupart des fonctions Lync 2010 pour une réunion : Affichage et présentation de diapositives PowerPoint, Messagerie instantanée de groupe pour la réunion, Connexion audio par téléphone, Pas de connexion vidéo , Distribution de fichiers et le partage d’applications et de bureau. Ne permet pas la messagerie instantanée de Lync Server et
  • 7. Clients des postes de travail Outlook Anywhere : synchronisation de son client Outlook depuis n'importe quel réseau Opération en tâche de fond Aucun VPN à établir, communications sur HTTPS Lync 2010 Utilisation du client Lync pour les nomades Aucun VPN à établir, communications directes (HTTPS et port 443 par défaut)
  • 8. Clients mobiles Outlook Mobile : Accès à la messagerie depuis un téléphone portable Windows Phone, Windows Mobile, Androïd, iOS, BlackBerry (sans BES), Symbian, WebOS Fonctionnement Accès aux serveurs Exchange de l’entreprise à travers un canal de communication sécurisé en HTTPS Aucune donnée ne transite sur des systèmes tiers C’est l’utilisateur qui accède à la boite aux lettres Pas de comptes système ou super utilisateur, Accès aux données stockées sur le périphérique, Confidentialité des données garantie de bout en bout Lync Mobile : Accès à Lync Server depuis un téléphone portable Windows Phone, iPhone, iPad, Android, Nokia Symbian
  • 9. Agenda Différents accès nomades Eléments d’infrastructure nécessaires Reverse Proxy Rôle du Reverse Proxy Quel Reverse Proxy ? Positionnement du Reverse Proxy Exemples de topologies Lync Edge Server Rôle du serveur Edge Topologies possibles pour le serveur Edge Publication des sites et services Web Mise en œuvre du rôle Edge de Lync Server Sécurisation des usages
  • 10. Rôle du Reverse Proxy Publication des applications web (flux B2C/B2E) Outlook Web App Installé sur les serveurs CAS Lync Web App Installé par défaut, Publié au sein des urls simples : reunions.domaine.com (meet.domain.com) Publication des services web (flux B2B) Exchange Web Services Installé sur les serveurs CAS Intègre les services « autodiscover », les carnets d’adresses en mode hors connexion, les services de disponibilité , … Lync Web Services Les urls simples, à publier de préférence vers le directeur, Les autres services web vers les différents « pool ».
  • 11. Quel Reverse Proxy ? Tout reverse proxy peut convenir mais… L’usage de filtres applicatifs est très fortement conseillé Les filtres contrôlent le contenu des trames Analyse HTTP (URL, entêtes, contenu…) Contrôles de l’encapsulation HTTPS S’agit-il de MAPI au sein de RPC/HTTPS ? Une réécriture d’URL peut être nécessaire L’usage de la délégation d’identification est fortement conseillée Sinon ce sont les serveurs qui effectuent le travail (et encourent les risques) Serveurs CAS pour Exchange 2010 Serveurs Directeur et Front End pour Lync Server 2010 La gamme Microsoft Forefront inclue tous ces besoins : Forefront Threat Management Gateway 2010 Forefront Unified Access Gateway 2010
  • 12. Positionnement du Reverse Proxy ? groupe de travail ou dans un domaine En mode Le mode groupe de travail ne permet pas certaines délégations d’identification Seule l’identification par formulaire et l’authentification HTTP 1.1 de base sont possibles Il peut en résulter des fenêtres d’ouverture de session intempestives On peut inclure le reverse proxy dans la forêt interne de l’entreprise mais… Usage d’une « forêt de connexion » La forêt AD-DS est la limite de sécurité et d’isolation, Les derniers outils d’administration gèrent bien une topologie multi-forêts, Il existe plusieurs scenarii de liaison inter-forêts Les relations d’approbation de forêt Mise en œuvre de l’identification sélective Application du SID Filtering Usage de Kerberos Les fédérations de forêts Double niveau de reverse proxy Premier niveau de reverse proxy hors domaine Deuxième niveau de reverse proxy dans la forêt
  • 13. Exemples de topologies Reverse Proxy dans la foret interne, Reverse Proxy dans une forêt distincte en relation d’approbation de forêt avec la forêt interne, Reverse Proxy dans une forêt distincte fédérée avec la forêt interne, Double niveau de Reverse Proxy 1er niveau : Entre DMZ publique et DMZ privée Reverse Proxy hors domaine, avec délégation (identification formulaire ou HTTP 1.1 de base) via RADIUS ou LDAP, 2ème niveau : Entre DMZ privée et réseau interne Reverse Proxy dans la forêt interne avec délégation (identification HTTP 1.1 intégrée), et usage de la délégation contrainte Kerberos pour les serveurs publiés.
  • 14. Rôle du serveur Edge Accès des utilisateurs externes Les clients Lync se connectent de manière transparente à Lync Server à travers Internet Public IM Connectivity (PIC) Connexions avec les fournisseurs publics de messagerie instantanée (Live, Yahoo, AOL) Fédération Fédération avec d’autres entreprises Fédération avec Office 365 Présence et messagerie instantanée ou… Toutes possibilités A/V et partage d’applications
  • 15. Topologie 1 : Edge avec une seule adresse IP edge.contoso.com edge-int.contoso.com 131.107.155.10 172.25.33.10 Externe Edge Server Interne SIP: 5061 SIP: 5061 Web Conf: 444 Web Conf: 8057 A/V Conf: 443, 3478 A/V Conf: 443, 3478
  • 16. Topologie 2 : Edge avec plusieurs adresses IP SIP Externe sip.contoso.com 131.107.155.10 443, 5061 edge-int.contoso.com 172.25.33.10 Web Conf Externe Edge Server Interne wcnf.contoso.com SIP: 5061 131.107.155.20 443 Web Conf: 8057 A/V Conf: 443, 3478 AV Externe av.contoso.com 131.107.155.30 443, 3478
  • 17. Topologie 3 : Edge avec adresses IP derrière un NAT. Adresses IP IP1’ IP1 publiques n’a pas Lync Server SIP Externe besoin de connaitre les adresses translatées pour SIP et Web Conf IP2’ IP2 Client NAT W.Conf Externe Edge Server Int Les clients se connectent à l’adresse IP3’ IP3 IP pour le trafic A/V: L’adresse IP AV Externe translatée pour AV doit être configurée dans
  • 18. Topologie 4 : Edge avec DNS LB Adresses IP publiques IP1 Enregistrements A DNS sip.contoso.com IP1 et IP4 Edge Server IP2 Int wcnf.contoso.com IP2 et IP5 1 av.contoso.com IP3 et IP6 IP3 Client Les clients peuvent maintenir IP4 plusieurs adresses IP et peuvent Edge Server ainsi basculer la connexion. IP5 Int 2 IP6
  • 19. Topologie 5 : Edge avec DNS LB et NAT Adresses IP IP1’ IP1 publiques Enregistrements A DNS A Edge sip.contoso.com IP1’ et IP4’ IP2’ IP2 Server Int wcnf.contoso.com IP2’ et IP5’ 1 av.contoso.com IP3’ et IP6’ IP3’ IP3 N Les adresses IP AV A doivent être configurées IP4’ T IP4 individuellement dans Edge Lync Server IP5’ IP5 Server Int IP3 vers IP3’ 2 IP6 vers IP6’ IP6’ IP6
  • 20. Topologie 6 : Edge avec Hardware Load Balancer Adresses IP publiques IP1 Enregistrements A DNS Edge sip.contoso.com VIP1 IP2 Server Int wcnf.contoso.com VIP2 1 av.contoso.com VIP3 VIP1 IP3 VIP H 2 VIP L Les connexions clients AV sont initiées sur la VIP. 3 B IP4 Par la suite, le trafic client AV Edge (UDP) se connecte directement sur IP5 Server Int le Edge. Le trafic TCP continue à 2 utiliser la VIP. IP6 NAT et HLB sont incompatibles
  • 21. Agenda Différents accès nomades Eléments d’infrastructure nécessaires Publication des sites et services Web Besoins pour Exchange Server Besoins pour Lync Server Publications B2C/B2E et B2B Types de certificat à utiliser Identification vis-à-vis des serveurs publiés Mise en œuvre du rôle Edge de Lync Server Sécurisation des usages
  • 22. Besoins pour Exchange Server Publication Outlook Web App Les risques liés à l’accès navigateur Session restée active, réutilisation des informations de sécurité, Analyse du cache à posteriori, récupération de pièces téléchargées, Exécution de scripts cachés dans des courriels, Téléchargement d’images sur des liens externes, Divulgation de l’adresse du site OWA via les « referrer headers » Publication Outlook Mobile Les risques liés Divulgation d’informations lors de la perte du périphérique, Accès aux données stockées sur le périphérique, Communications entre le périphérique et l’entreprise non sécurisées . Publication Outlook Anywhere Les risques liés Perte de l’ordinateur portable, Analyse des flux échangés avec le serveur, Publication Exchange Web Services Accès aux informations Exchange depuis les clients externes Sera traité avec les besoins du client Lync en externe Les risques liés Analyse des flux échangés avec le serveur.
  • 23. Publication Outlook Web App Pré-Authentification sur : -Active Directory Périmètre de Serveur de boites -LDAP (AD) l’entreprise (DMZ) aux lettres -SecureID -Radius OTP Analyse HTTP -Radius (URL, entêtes, con Délégation tenu…) Réécriture d’authentification d’URLs SSL SSL ou HTTP MS- RPC Serveur d'accès Forefront TMG Client OWA client (CAS) Forefront UAG
  • 24. Gestion des sessions avec OWA Le service OWA est délivré par le serveur ayant le rôle CAS (Client Access Server) Accès par défaut en HTTPS. Mode d'authentification par formulaire par défaut Méthodes d'authentification tierces supportées (avec FTMG, FUAG) : RSA SecurID, Radius. Authentifications classiques supportées nativement (NTLM, Kerberos, de base). Cookie de session chiffré Chiffrement effectué coté serveur Durée de vie des clefs courte : Moitié de la durée de vie de la session utilisateur.
  • 25. Cookie de session avec OWA Pièces d’identité transmises Cookie chiffré 7,5 minutes s'écoulent Cookie transmis Serveur CAS Client OWA Cookie chiffré Clé 1 Clé 2 7,5 minutes s'écoulent Clé 3 Activité utilisateur Cookie transmis Cookie chiffré Clé 4
  • 26. Gestion des sessions avec OWA Activité utilisateur sur le poste de client Toutes les interactions initiées par l'utilisateur sont considérées comme activité utilisateur, Sur "OWA Light" toutes les actions sont considérées comme activité sauf la saisie de texte, Expiration des sessions (publique ou privée) basée sur l'activité du poste client 15 minutes par défaut pour un accès public, 8 heures par défaut pour un accès privé,
  • 27. Publication Outlook Mobile Périmètre de l’entreprise (DMZ) Serveur de boites aux lettres URL: mail.mycompany.com/Microsoft- Server-ActiveSync/*, Analyse HTTP de l’URL : 1024 Taille max Méthodes: POST, OPTIONS Extensions autorisées : . (URL, entêtes,Query length : 512 Max co Bloquer les signatures ntenu…) ./ .. % : SSL SSL ou HTTP MS- RPC Forefront TMG Exchange CAS Périphérique Mobile Forefront UAG
  • 28. Publication Outlook Anywhere Périmètre de Serveur de boites l’entreprise (DMZ) aux lettres Méthodes HTTP : • RPC_IN_DATA Analyse HTTP (URL, • RPC_OUT_DATA entêtes, co Extension : *.DLLntenu…) Signature : ./ .. % & MS- RPC SSL SSL RPC sur HTTP RPC sur HTTP Forefront TMG Serveur CAS Outlook 2003, 2007, 2010 Forefront UAG (Accès Client)
  • 29. Besoins pour le client Lync Publications HTTPS et HTTP vers les serveurs Front End et le directeur pour Lync Server Publications HTTPS vers les serveurs CAS pour l’accès aux services web d’Exchange Server Publications HTTPS pour Lync Server Urls simples Carnet d’adresses Expansion des listes de distribution « Web Ticket » Publications HTTP pour Lync Server Mise à jour des périphériques (Firmware) Journalisation des mises à jour de périphériques
  • 30. Besoins pour Lync Server Front End Pool1 Front End Client Reverse Proxy Pool2 Directeur appels.contoso.com vers le directeur reunions.fabrikam.com vers le directeur DNS LB non lync1.contoso.com vers le pool 1 supporté pour le lync2.contoso.com vers le pool 2 trafic HTTP/S Besoin de SAN sur le certificat
  • 31. Publications HTTPS B2C/B2E et B2B Les flux publiés B2C/B2E sont mis à disposition d’utilisateurs via des navigateurs (exemple : Outlook Web App) L’utilisateur a besoin de préciser ses pièces identités, L’authentification par formulaire est donc un bon choix, L’utilisateur peut accepter un certificat non reconnu. Les flux publiés B2B sont accédés par des applications externes L’application connait les pièces d’identités à utiliser, Il est inutile de les redemander à l’utilisateur, Risque de fenêtres d’ouverture de session multiples, Risque de confusion, L’authentification HTTP 1.1 convient mieux Normalement, un certificat non reconnu interdit la connexion Deux ports d’écoute Web (FTMG) ou Trunk (FUAG) Le premier pour les accès avec identification en mode formulaire Peut être mutualisé pour les autres accès de ce type (site extranet, SharePoint,…) Le second pour les accès avec identification HTTP 1.1 Peut être mutualisé pour tout besoin de ce type (services web Lync Server, Outlook Anywhere, Services web Exchange Server, AD-RMS, RDS Gateway…)
  • 32. Types de certificat à utiliser De manière générale : En interne, des certificats issus d’une PKI interne Coût, disponibilité, cycle de vie, … En externe, des certificats issus d’une PKI publique Pour être reconnus et validés par les différents clients Si usage de certificats d’une PKI interne en externe : Permet notamment de limiter les accès aux flux B2B Attention aux périphériques permissifs Attention la PKI doit exposer les AIA et CRL à l’extérieur Une architecture à 2 niveaux (AC racine hors ligne et AC de distribution d’infrastructure d’entreprise suffit) On peut éventuellement doubler les ports d’écoute (ou trunk) en fonction du type de certificat utilisé pour restreindre les usages.
  • 33. Identification vis-à-vis des serveurs publiés Ne concerne que les accès publiés avec délégation d’identification Si possible, utiliser la délégation contrainte Kerberos Nécessite que le service dispose d’un SPN (Service Principal Name) Exemple : http/outlook.contoso.com Nécessite que le compte d’ordinateur du Reverse Proxy soit configuré pour la délégation sur ce SPN Propriété du compte ordinateur dans Active Directory Users & Computers La délégation contrainte Kerberos doit être choisie dans la règle de publication Sinon Utiliser l’identification NTLM Utiliser l’identification de base
  • 34. Agenda Différents accès nomades Eléments d’infrastructure nécessaires Publication des sites et services Web Mise en œuvre du rôle Edge de Lync Server Comment sécuriser le serveur Edge Quels ports dois-je ouvrir ? Sécurisation des usages
  • 35. Comment sécuriser le serveur Edge Utiliser un sous-réseau différent Verrouiller les règles de routage pour ce sous- réseau Désactiver broadcast, multicast, et le trafic vers les autres sous réseaux de périmètre Placer le serveur Edge entre deux murs pare feux Suivre le Lire et appliquer les informations de l’article « »
  • 36. Les communications sécurisées dans Lync Quelqu’un peut-il analyser les paquets et accéder à mes données IM/audio/vidéo/données ?
  • 37. Lync Server Security Filter : qu’est ce que c’est ? Script SPL + service .Net à installer dans le serveur Edge A enregistrer sur le serveur Edge via PowerShell Intercepte tout trafic d’authentification des utilisateurs distants 2 3 Compteur:1 Seuil : 2 Timeout : 5 minutes
  • 38. Lync Server Security Filter : Que fait il? Intercepte l’identification NTLM ou TLS-DSK dans la requête SIP, Extrait l’authentification unique du paquet : TLS-DSK : extraction du certificat client NTLM : extraction du nom d’utilisateur et du domaine Contrôle le nombre d’ouvertures de session échouées, Si le nombre d’essais atteint le seuil choisi, les futures requêtes d’identification sont bloquées, Une fois, le timeout expiré, l’utilisateur peut de nouveau tenter de s’authentifier
  • 39. Quels ports dois-je ouvrir ? Bien connaitre les ports réseau Les équipes de sécurité réseau sont paranoïaques, Et c’est leur métier  Elles veulent bloquer tous les ports externes, Toute demande d’ouverture de port doit être justifiée et clairement comprise, Il vous faut fournir une explication claire et précise pour chaque port à ouvrir
  • 40. Présence et messagerie instantannée
  • 44. Port TCP 5062 (interne uniquement) Les serveurs Front End doivent disposer d’un certificat valide dont le nom du sujet correspond au FQDN de ce serveur. De même les serveurs Front End font le même contrôle par rapport au certificat A/V du serveur Edge, Le FQDN du serveur Front End doit appartenir à une liste de confiance du serveur Edge. De même, le FQDN du serveur Edge doit appartenir à une liste de confiance des serveurs Front End, Toute signalisation SIP est protégée par un chiffrement TLS 128-bit.
  • 45. Ports UDP 3478 et TCP 443 L’allocation de port est protégée par une authentification de type “challenge 128-bit digest”, utilisant un mot de passe généré par l’ordinateur et modifié toutes les 8 heures, Un numéro de séquence ainsi qu’un nombre aléatoire sont utilisés afin de déjouer les attaques par répétition, Les paquets de messages (UDP3478/TCP443) sont protégés avec une signature HMAC 128-bit.
  • 46. Ports UDP/TCP 50000 à 59999 Les ports sont alloués de manière aléatoire par communication. Une attaque doit deviner quel port est utilisé et être terminée avant que la communication ne se finisse. Le trafic entrant est filtré en fonction des adresses IP des terminaux distants. Même si une attaque trouve le bon port, elle doit aussi usurper la bonne adresse IP. Ces deux mécanismes rendent l’usage de la plage de port plus sûr. Si l’ensemble du trafic est multiplexé sur un port, alors tout le trafic de toutes les adresses IP des terminaux distants est accepté.
  • 47. Trafic média Les paquets “média” sont protégés de bout en bout avec SRTP (Secure Real Time Protocol) empêchant ainsi toute interception ou toute injection. La clé utilisée pour chiffrer et déchiffrer le flux média est transmise par le canal de signalisation TLS sécurisé.
  • 48. Agenda Différents accès nomades Eléments d’infrastructure nécessaires Publication des sites et services Web Mise en œuvre du rôle Edge de Lync Server Sécurisation des usages Ordinateurs publics ou partagés sur Outlook Web App Gestion des périphériques mobiles
  • 49. Ordinateurs publics ou partagés sur Outlook Web App La gestion des pièces jointes se fait selon le type d’accès Interdire l’ouverture des pièces jointes, Forcer l’usage du WebReady, Exchange lit des documents et les affiche au format web, Forcer la sauvegarde des pièces jointes, Cette gestion est granulaire selon le type de document
  • 50. Gestion des périphériques mobiles En cas de perte ou de vol Périphérique verrouillé par code PIN, Effacement du contenu du périphérique ,automatiquement après plusieurs tentatives (nombre défini par l’administrateur), Chiffrement de données enregistrées sur carte de stockage, Code IMEI pour bloquer l’appareil sur les réseaux, Effacement déclenchable depuis Exchange Control Panel (ECP) par l’utilisateur, En cas d’oubli, code de déverrouillage du mobile accessible sur ECP Support des stratégies ActiveSync
  • 51. Ressources et remerciements Ressources : Un grand merci à Rui Maximo, Auteur de nombreux ouvrages sur OCS et Lync Présentateur au Tech-Ed 2011 d’Atlanta
  • 52. Vous souhaitez approfondir Venez rencontrer nos Profitez d’une experts sur notre démonstration gratuite stand Posez vos questions Exposez vos besoins
  • 53. Vous êtes dans la salle 243
  • 54. Questions …. et réponses ….