Exchange beveiliging; tips die je morgen direct kunt gebruiken!

Vergelijkbare documenten
Moderne standaarden Veiliger

Uitleg SPF, DKIM & DMARC

Van start met Hosted Exchange 2010 (versie 0.5)

Microsoft Exchange 2010 SP1

IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK #PQRITG18 #PQRITG18

Targets. Wie zou er iets tegen ons hebben? We zijn toch geen bank? Wat kunnen ze doen met onze gegevens?

The bad guys. Motivatie. Info. Overtuiging. Winst

Hoe maak ik een nieuwe mailbox aan? Hoe stel ik mijn programma in? Hoe kan ik via webmail bekijken?... 4

sur strategy, deliverability & infrastructure Authenticatie EMMA-nl Workshop Maarten Oelering

Informatiebeveiliging & Privacy - by Design

De Enterprise Security Architectuur

Exchange 2016 Wat is er nieuw? Jaap Wesselius UCUG 24 September 2015

Agenda Next Level in Control. 15:00 16:00 Next Plenair - Control Productivity - Control Security - Control Flexibility

Wat te doen tegen ransomware

Registrar Scorecard H2 2018

MAILPLUS & DMARC. Wat is DMARC en hoe stel ik het in voor MailPlus?

WHITE PAPER. by Default Reasoning

Van Small Business Server naar Cloud Small Business Services. Uw vertrouwde Small Business Server in de cloud

- Mail enabled user: - Mailbox enabled user: - Mailbox later aan iemand geven:

Cloud Products CONFIGURATIE EXCHANGE 2010 CLIENT-CONFIGURATIE

Genkgo Hosting. A. Wat is hosting?...2. B. Welke hostingscenario's zijn er mogelijk?...3. Scenario 1: Verhuizen domeinnaam, verhuizen ...

TARIEVEN FANIC, PER 1 MAART 2019

Hosted Zarafa. Hosted e mail en agenda service voor bedrijven. Voordelen van Pimbox

Trusted . Delivered.

Apparaten en Azure AD: wie, wat en waar? Sander Berkouwer SCCT

IAAS HANDLEIDING - SOPHOS FIREWALL

IAAS - QUICK START GUIDE

Instructies Microsoft Outlook 2013 Pagina 1

MS Exchange instellingen

RMail. Veilig en met RMail

, SMTP, TLS & S/MIME

Internettechnlogie, systteem- en netwerkbeheer MODULECODE STUDIEPUNTEN 10 VRIJSTELLING MOGELIJK ja

Forecast XL Technology

Let s Connect CONFIGURATIE EXCHANGE 2010 CLIENT-CONFIGURATIE

Keynote: Gevaren van zowel het GSM als het Wi-Fi netwerk

INSTALLATIE EXCHANGE CONNECTOR

Instructies Opera Pagina 1

authenticatie

Datum 15 juni 2006 Versie Exchange Online. Handleiding voor gebruiker Release 1.0

Wie verstuurt er namens jouw domein ?

Instructies Eudora OSE Pagina 1

Handleiding Outlook 2007 instellen

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting

Instructies Microsoft Outlook 2003 Pagina 1

e-token Authenticatie

SURFsecureID i.c.m. Azure Conditional Access Rules. configuratie en bevindingen. Version 1.0 ( ) Peter Ruiter (2AT)

Het gebruik van OSB ebms contracten in complexe infrastructuren

Instructies Microsoft Outlook Express Pagina 1

Checklist informatieveiligheid. 12 januari versie 1.1

Versie Datum Status Auteur(s) Opmerking november 2015 Definitief Carol Esmeijer

Instructies Microsoft Outlook 2007 Pagina 1

Snel op weg met webworxx

5W Security Improvement

Configureren van een VPN L2TP/IPSEC verbinding

Disaster Recovery uit de Cloud

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer

VPN LAN-to-LAN IPSec Protocol

Cloud en cybersecurity

Instructies Android Smartphone & Tablet Pagina 1

4Problemen met zakendoen op Internet

Overzicht instellingen versturen

Compad Bakkerij. Document beheer. Inleiding. Voorbereiding. Elektronisch facturering. Compad Bakkerij Elektronisch facturering

Hosted Exchange Handleiding

F5 NETWORKS Good, Better & Best. Nick Stokmans Account Manager

Onderzoeksverslag Beveiliging

CareConnect Fin Pre-requirements

Dell SonicWALL product guide

ZIVVER Installatiehandleiding

MANAGED FIREWALL. Bescherming van netwerken en systemen. SOPHOS-UTM Next generation firewall. SOPHOS VS S-BOX Vergelijking Sophos-UTM en S-Box

instellen. Copyright Starteenwinkel.nl

Versie Datum Status Auteur(s) Opmerking november 2015 Definitief Carol Esmeijer

RESILIENCE. Hoe geeft mijn organisatie concreet invulling aan weerbaarheid? SECURITY CONGRES ir. Gerard Klop

Instructies Apple iphone & ipad icloud accounts Pagina 1

Instructies Apple iphone & ipad Pagina 1

Ontsluiten iprova via Internet Voorbeeld methoden

Handleiding clients

Instructies Windows Phone Pagina 1

Rudiger 14 december 2010

Infrastructuur. Audit. Security Audit WIN(S) AUDIT CONFIDENTIEEL

Instructies Windows Live Mail Pagina 1

ICT en de digitale handtekening. Door Peter Stolk

Compad Store Automation

CLOUD4WI ALCATEL-LUCENT IAP CONFIGURATIE V2

ICT, altijd zeker. Spreker: Jeroen van Yperen Solutions

OFFICE 365 REGIEDIENST. Onderdeel van de clouddiensten van SURF

Documentnaam: Technisch Ontwerp Datum: Samenstelling: Bas, Chris & Teun Team Bas / Teun / Chris Versie: 1.4. Overzicht Tekening...

Transport Layer Security. Presentatie Security Tom Rijnbeek

Introductie Algemene instellingen POP3, SMTP, IMAP, wat is het, en wat is aan te raden voor u? Standaard of Secure?...

CROSS SELL PROGRAMMA

Aan de slag met het adres van uw nieuwe Website

Symantec and Web Security.cloud

SSL VPN. In deze handleiding zullen wij onderstaande SSL mogelijkheden aan u uitleggen. - SSL VPN account/groep creëren.

VPN Remote Dial In User. DrayTek Smart VPN Client

8 aandachtspunten bij beveiliging voor gemeenten

tot de nieuwe omgeving. Dus niet alleen de intramurale medewerkers, die in de

Handleiding instellen account in Microsoft Outlook 2010

Complete browser-based werkplek

Transcriptie:

Exchange beveiliging; tips die je morgen direct kunt gebruiken! Dave Stork

Dave Stork Architect bij OGD ICT Diensten MVP en MCT Co-auteur Practical PowerShell Exchange 2016 dave.stork@ogd.nl @dmstork Dirteam.com/dave

Inhoud Client Server verbindingen Mailflow Server security Data security

Client Server verbindingen

Alle verbindingen zijn standard encrypted, maar Let op verloop SHA1 certificaten per 2017 Vraag nieuwe certificaten aan met Exchange Tools Schakel SSL3, RC4 etc. op de server uit & optimaliseer cipher order. Let op: schakel TLS1.0 niet uit op Exchange servers! Zijn er voor intern en extern verschillende eisen qua encryptie, gebruik dan de reverse proxy/load balancer hiervoor. Controleer deze settings weer na updaten Exchange.

HTTPS Webmail (OWA) Outlook Anywhere / MAPI over HTTP ActiveSync Wees bekend met welke clients/exchange protocollen nodig zijn en maak keuze of ze extern noodzakelijk zijn. IMAP/POP Keuze tussen implicit en explicit TLS Implicit = Secure IMAP; TCP 995 Explicit = IMAP over TLS; TCP 143 SMTP Client submission via TCP 587

Proxy, Load Balancer, Application firewall Security Pre-authentication Load balancing (availability) SSL Bridging SSL endpoint in appliance, opbouw SSL sessie naar Exchange maakt content filtering/switching mogelijk SSL Offloading SSL endpoint in appliance, *geen* SSL sessie naar Exchange

MFA on-premises? Multi-factor authentication: token/apps/sms etc.. Alleen voor webmail: /OWA en /ECP Let erop dat andere Exchange protocollen gebruikt door Outlook en ActiveSync niet beschermd worden. Bijv. /EWS o.a. gebruikt door Outlook for Mac, of AutoDiscover. Toekomst? Waarschijnlijk Modern Authentication zoals in Office 365 gebruikt word. Helaas nu nog niet ondersteund. VPN oplossingen

Certificate Based Authentication ActiveSync In plaats van username/wachtwoord een certificaat ter authenticatie. Is dus GEEN MFA Wachtwoord change geen impact Wel een PKI infrastructuur nodig User Certificaat moet gemaakt en uitgedeeld worden op device

Mailflow

Opportunistic TLS SMTP EHLO response FQDN Certificaat met domeinnaam gelijk aan EHLO Hoeft geen trusted certificaat te zijn Altijd fallback naar unencrypted SMTP Mutual TLS / Domain Security Per mail domein Per ontvangende partij Uitwisseling public keys Send & Receive connector

SPF Sender Policy Framework Anti-spoofing TXT record in mail domein Definieert servers die mogen mailen namens domein Op basis van From:

DKIM Domain Keys Identified Mail Signeert uitgaande mail Controleert inkomende mail Public key in DNS Hogere zekerheid dat afzender niet gespooft is Controle of bericht is aangepast na signeren

DMARC Domain-based Message Authentication Reporting and Conformance Leunt op SPF en/of DKIM Rapportages van ontvangers wanneer mail DMARC heeft gefaald

S/MIME User level signeren en encryptie van mails Certificaat gebaseerd Zender en ontvangen moeten elkaars certificaat hebben (public key) worden voor encryptie mogelijk is Veel oplossingen voegen wijzigingen toe aan mail, waardoor signeren faalt Omslachtig

Office 365 Message Encryption Of third party tools Mail via appliance Die stuurt link door naar geaddresseerde Geaddresseerde logt in op appliance en leest mail etc. Antwoorden via appliance.

Malware etc. filtering Cloud service of appliance Op Exchange zelf Exchange Online Protection (EOP) Met Advanced Threat Protection (ATP) vervanging van links naar safelinks Detonation van attachments

Server security

Redundantie Database Availability Group Meerdere kopieen van databases mogelijk Stretched in ander datacenter Back-up Exchange Native Data Protection: 2 kopieën in Datacenter 1 1 kopie in datacenter 2 1 vertraagde kopie (lagged copy) in datacenter 2 Exchange heeft dan zelf off-site point in time back-up

Back-up Dynamic data via VSS writers (Exchange aware) Databases Log files Config files Snapshots van VMs niet te gebruiken Disaster recovery install

Anti-virus On-access Cruciaal: Exchange exclusions Paden Bestanden en extensies Processen Vergeet back-up agent niet Exchange aware SMTP scanning Database scanning

Bitlocker Is ondersteund vanaf Exchange 2013 Data at rest Let wel: mogelijke issues bij bepaalde HA features (AutoReseed)

Role Based Access Control Rechten op basis van rollen en groepen Standaard rollen Configureerbaar Zeer granulair Per PowerShell cmdlet én parameter Per OU etc.

Data Security

Data Loss Prevention Voorkomen van per ongeluk mailen van vertrouwelijke informatie Op basis van functies en regex determineren of bijvoorbeeld credit card nummers vermeld zijn Gebruiker krijgt Policy Tip

Information Rights Management Per data object bepalen wat er mee mogelijk is Forwarding, printing etc. Wel een RMS infrastuctuur nodig. Voor externe gebruikers moet deze van buitenaf bereikbaar zijn Mocht men migreren van on-premises naar O365; Hou on-premises intact Stamp nieuwe objecten met O365 templates

Auditing Loggen welke handeling door wie is uitgevoerd Standaard actief op admin handelingen Te activeren op iedere mailbox Advies: altijd op Shared Mailboxen

Device Management Conditional Access Compliant? Data control Application Management Data Wipe Full Selective

Volgende sessie 11:30 12:30 Beheer Office365 snel, pijnloos en veilig met PowerShell Maarten Visser

Vragen?

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback