UserLock Documentation
UserLock Documentation

Comment sécuriser l'accès à distance à une boîte aux lettres Exchange avec UserLock (à l'aide de filtres ISAPI)

Pour répondre aux demandes d'un personnel distant et mobile, la plupart des entreprises offrent aujourd'hui aux employés un accès à leur boîte aux lettres depuis l'extérieur du bureau. Ceci est probablement accompli en utilisant Outlook Web Access (OWA) avec un navigateur Web ou en utilisant leur téléphone avec un client de messagerie ActiveSync.

Étant donné que ces deux méthodes d'accès à une boîte aux lettres Exchange reposent toutes deux sur le serveur Web Microsoft IIS (Internet Information Services), les organisations peuvent utiliser l'agent IIS introduit avec UserLock 6.0 pour protéger ces sessions IIS et aider à contrôler l'accès au courrier électronique de l'entreprise en dehors du bureau.

Cet article suppose que le lecteur a une compréhension de base de l’utilisation de UserLock. Si ce n'est pas le cas, jetez un coup d'œil à ces courts tutoriels vidéo.

Sécurisation de l'accès au courrier électronique de l'entreprise en dehors du bureau

Nous allons effectuer notre démonstration sur un petit environnement Active Directory. Le serveur VES1 est le contrôleur de domaine et le serveur UserLock y est également installé. Exchange 2016 est installé sur le serveur VES2 avec le rôle serveur d'accès client (CAS).

  1. Pour déployer l'agent IIS sur le serveur choisi, accédez à la vue "Distribution de l'agent" et localisez le serveur VES2. Cliquez sur Installer.

    IIS agent distribution

  2. L'agent est déployé avec succès, mais un message nous informe que l'installation doit être terminée dans IIS en installant le filtre ISAPI.

    IIS agent distribution message

  3. Après avoir actualisé la vue dans la console UserLock, l’agent IIS sera toujours marqué comme «installation en cours» sur le serveur VES2.

    IIS agent distribution message

  4. Ensuite, basculez vers le serveur Exchange VES2.

    Ouvrez la console de gestion IIS, accédez au "site Web par défaut" et ouvrez les "filtres ISAPI". Nous ajoutons ici l'agent UserLock IIS situé dans le chemin suivant: c:\Windows\System32\IisSessions.dll

    isapi filters to protect outlook web access

  5. Une fois le filtre ISAPI enregistré, nous nous assurons, avec la vue Liste ordonnée, que l'agent UserLock est en bas..

    (Si l'agent n'est pas au bas de la liste, la protection fonctionnera toujours, mais si un utilisateur entre des informations d'identification non validés par erreur, son compte peut être immédiatement verrouillé, même si Active Directory est configuré pour verrouiller les comptes uniquement après plusieurs tentatives infructueuses.)

    isapi filters to protect outlook web access

  6. Ensuite, accédez à une station de travail et accédez à une boîte aux lettres avec un accès Web Outlook pour forcer le chargement du filtre ISAPI par IIS.

    email box outlook web access force isapi filter

  7. Si nous revenons à la console UserLock et actualisons la vue ‘Distribution d’agents’, nous voyons maintenant que le statut de l’agent est passé à ‘Installé’.

    installed IIS agent

  8. Si nous examinons la vue "sessions utilisateur", nous voyons plusieurs sessions IIS; pas tous liés à OWA. Cela est dû au fait que d'autres services sont fournis par Exchange via IIS: par exemple, ActiveSync pour l'accès mobile, RPC sur http, découverte automatique, carnet d'adresses en mode hors connexion, etc.

    IIS application sessions

  9. Nous ne sommes pas intéressés par toutes ces autres sessions car beaucoup d’entre elles sont générées par la version de bureau d’Outlook et les postes de travail sont déjà contrôlés par l’agent Station de UserLock.

    Garder toutes ces sessions générerait trop de données, masquant les informations réellement intéressantes du point de vue de la sécurité. Nous verrons dans les prochaines étapes comment résoudre ce problème.

Spécifier les pools d'applications IIS à surveiller

Si nous vérifions comment ces applications Web Exchange sont configurées dans IIS, nous voyons qu'elles s'exécutent dans différents pools d'applications IIS.

IIS application pools to monitor

L'agent IIS UserLock peut tirer parti de ces différents pools d'applications pour filtrer les sessions qui ne nous intéressent pas et que nous ne souhaitons pas gérer.

Pour ce faire, nous créons la valeur de registre suivante (type «REG_MULTI_SZ») et ajoutons tous les pools d'applications concernés qui nous intéressent.

HKEY_LOCAL_MACHINE\SOFTWARE\ISDecisions\UserLock\IIS\ProtectedApplicationPools

Si Outlook Web Access nous intéresse, nous ajoutons “MSExchangeOWAAppPool”.

Si Active Sync nous intéresse, nous ajouton “MSExchangeSyncAppPool”.

Pour cet exemple, nous ajoutons les deux.

protected application pools

Cela fait, le filtre ISAPI doit être rechargé dans tous les pools d'applications. Redémarrez immédiatement IIS ou attendez que tous les pools d'applications soient recyclés.

Après avoir généré une activité en accédant aux boîtes aux lettres avec Outlook Web Access, nous pouvons maintenant voir que seules les sessions Outlook Web Access et ActiveSync sont affichées.

outlook web access activesync sessions

Gestion du contrôle d'accès pour les sessions IIS

Ensuite, nous allons définir et appliquer certaines règles d’accès à la session.

Dans la vue "Comptes protégés", vous pouvez créer une nouvelle règle. Par exemple, limiter le compte protégé "tout le monde" à une seule session IIS ouverte.

protect email access outside office

Lorsque nous essayons ensuite d'accéder à une boîte aux lettres déjà ouverte avec un accès Web Outlook ailleurs, nous voyons ce qui suit.

network security concurrent logon denied message

Un message de refus s'affiche pour expliquer que le nombre maximal de connexions simultanées a été dépassé et indiquer le lieu où l'utilisateur est déjà connecté.

Ce contrôle de session d'accès permet de protéger contre les accès non autorisés au courrier électronique de l'entreprise en dehors du bureau. De plus, une fois l’agent déployé, toutes les sessions IIS des pools d’applications choisis seront consignées dans la base de données UserLock et affichées en temps réel dans la vue Sessions Utilisateur de la console UserLock.

En aidant à sécuriser l’accès à tous les types de session (y compris IIS comme on le voit ici), UserLock offre une matrice unique et complète de contrôles d’accès permettant d’amener la sécurité au-delà des fonctionnalités natives de Microsoft Windows.

Exchange 2013 et 2010

Qu'en est-il d'Exchange 2013 et 2010? Avec UserLock, il est également possible de contrôler les sessions sur OWA et ActiveSync sur Exchange 2013 et 2010. Appliquez simplement la même procédure.

À propos des modules HTTP

Enfin, qu'en est-il des modules HTTP? Avec UserLock, il est également possible de contrôler les sessions sur OWA et ActiveSync en utilisant des modules HTTP à la place des filtres ISAPI.

Veuillez consulter cet article pour en savoir plus.