Kaspersky Security 9.x for Microsoft Exchange Servers

Scénario de déploiement de l'application avec une sélection d'autorisations d'accès

11 juin 2024

ID 89869

Ce scénario de déploiement vous convient si la stratégie de sécurité de votre entreprise ne permet pas d'exécuter toutes les actions d'installation de l'application au nom de votre compte utilisateur et limite les autorisations d'accès au serveur SQL et à Active Directory. Par exemple, si l'administration des bases de données de l'organisation est confiée à un autre expert qui possède des autorisations d'accès complètes au serveur SQL.

Pour préparer l'installation avec un ensemble limité d'autorisations d'accès vers au serveur SQL ou à Active Directory, procédez comme suit :

  1. Assurez-vous que le compte utilisateur prévu pour l'installation de l'application appartienne au groupe local « Administrateurs » du serveur Microsoft Exchange sur lequel l'application va être installée. Si ce n'est pas le cas, ajoutez-le à ce groupe.
  2. Créez le conteneur suivant dans Active Directory :

    CN=KasperskyLab,CN=Services,CN=Configuration,DC=<root domain>

  3. Configurez l'accès complet à ce conteneur et à tout ses objets enfant pour le compte prévu pour l'installation de l'application.
  4. Créez le groupe de comptes utilisateur Kse Watchdog Service. Les groupes appartiennent au type « Universel ». Ajoutez-y le compte utilisateur prévu pour le fonctionnement des services de l'application. Si le compte utilisé dans ce cas est le compte Local System, ajoutez également au groupe Kse Watchdog Service le compte utilisateur de l'ordinateur sur lequel a lieu l'installation.
  5. Ajoutez le groupe Kse Watchdog Service au groupe local « Administrateurs » du serveur Microsoft Exchange sur lequel l'application va être installée.

    Si vous avez déjà supprimé le privilège Debug Programs offert pour le groupe « Administrateurs » par défaut, désignez ce privilège au groupe Kse Watchdog Service.

  6. Donnez au groupe Kse Watchdog Service et au compte prévu pour l'installation de l'application la permission de lire les données de configuration de Microsoft Exchange à partir du prochain conteneur Active Directory et de tous ses objets enfant :

    CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>

  7. Octroyez au groupe Kse Watchdog Services l'autorisation ms-Exch-Store-Admin. Pour cela, saisissez la commande suivante sur la console Exchange Management Shell :

    Add-ADPermission -Identity "<chemin d'accès vers le conteneur où se trouve la configuration Microsoft Exchange>" -User "<nom de domaine>\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin

    Par exemple :

    Add-ADPermission -Identity "CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>" -User "domain\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin

  8. Autorisez Kse Watchdog Service à lancer une tâche sous un autre nom (emprunt d'identité). Pour cela, saisissez la commande suivante sur la console Exchange Management Shell :

    New-ManagementRoleAssignment -Name KSE_IMPERSONATION -Role applicationImpersonation -SecurityGroup "Kse Watchdog Service"

  9. Créez les groupes de comptes suivants : Kse Administrators, Kse AV Security Officers, Kse AV Operators. Ces groupes peuvent être créés dans n'importe quel domaine de la société. Les groupes appartiennent au type « Universel ».
  10. Répliquez les données Active Directory dans toute l'organisation.
  11. Attribuez aux comptes qui appartiennent à l'utilisateur qui remplit différentes fonctions au sein de l'organisation les rôles d'utilisateur correspondants. Pour ce faire, ajouter les comptes aux groupes suivants de comptes Active Directory :
    • Comptes administrateur, dans le groupe Kse Administrators.
    • Comptes des experts en sécurité contre les virus, dans le groupe Kse AV Security Officers.
    • Comptes des opérateurs de la sécurité contre les virus, dans le groupe Kse AV Operators.

    Si vous envisagez d'administrer l'application à l'aide de Kaspersky Security Center, ajoutez les comptes utilisateur de tous les ordinateurs, sur lesquels vous installez Kaspersky Security, au groupe KSE Administrators dans Active Directory.

    Si vous n'avez pas ajouté les comptes utilisateurs de tous les ordinateurs sur lesquels vous installez Kaspersky Security dans le groupe KSE Administrators dans Active Directory, un message apparaît à l'écran expliquant comment administrer l'application à l'aide de Kaspersky Security Center.

  12. Assurez-vous que le compte prévu pour l'installation de l'application fait également partie du groupe KSE Administrators dans Active Directory.

    Si l'installation de l'application a déjà été effectuée sur au moins un ordinateur du réseau de l'organisation, un compte d'administrateur local est suffisant pour installer l'application sur les autres ordinateurs de l'organisation. Pour cela, vous devez accorder au compte prévu pour l'installation de l'application la permission de lire les données de configuration de Microsoft Exchange à partir du prochain conteneur Active Directory et de tous ses objets enfant :
    CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>

  13. Assurez-vous que la base de données a été créée. Réalisez cette opération vous-même ou déléguez-la à un expert doté des autorisations requises.
  14. Créez un compte sur votre serveur SQL pour le groupe Active Directory suivant : Kse Watchdog Service.
  15. Accordez le rôle db_owner au groupe de comptes Kse Watchdog Service reçoit le rôle db_owner au niveau de la base de données de l'application.
  16. Accordez le rôle db_owner au compte utilisateur prévu pour la préparation de la base de données au niveau de la base de données de l'application et les autorisations VIEW ANY DEFINITION au niveau du serveur SQL.

    Si vous n'avez pas octroyé à ce compte utilisateur le droit VIEW ANY DEFINITION, lorsque l'Assistant d'installation vérifiera les rôles et les autorisations des utilisateurs sur la base de données de l'application, un message sollicitant l'autorisation ALTER ANY LOGIN s'affichera. L'autorisation ALTER ANY LOGIN est requise par l'Assistant d'installation pour créer les utilisateurs du serveur SQL, leur attribuer des rôles et leur octroyer les autorisations d'utilisation de la base de données.

  17. Accordez le droit « Allow Logon Locally » (Autoriser la connexion locale) au compte utilisateur prévu la préparation de la base de données.
  18. Accordez le droit « Allow Logon Locally » (Autoriser la connexion locale) au compte utilisateur prévu pour le fonctionnement des services de l'application.
  19. Effectuez les étapes de l'Assistant d'installation de l'application et de l'Assistant de configuration de l'application sous le compte utilisateur prévu pour l'installation de l'application.

    Si vous envisagez d'utiliser le protocole d'authentification réseau Kerberos, assurez-vous que le compte utilisé pour installer le programme est autorisé à enregistrer des entrées SPN. Si vous ne disposez pas de ces autorisations, vous pouvez enregistrer l'entrée SPN manuellement après avoir installé le programme.

  20. Répliquez les données Active Directory dans toute l'organisation. Cette action est indispensable pour que les paramètres de l'application conservés dans Active Directory soient accessible lors des installations suivantes de l'application sur d'autres serveurs Microsoft Exchange de votre organisation.

Lors de la création d'une base de données, le serveur SQL utilise des règles de correspondance locales. Prenez en considération le paramètre Collation lors de l'installation de l'application pour éviter un comportement sensible à la casse et des erreurs lors de la connexion à la base de données.

En cas d'installation ou d'utilisation de l'application avec la base SQL avec la technologie AlwaysOn configurée, vous devez synchroniser les droits entre tous les serveurs faisant, partie du groupe de la base de données miroir.

Cet article vous a-t-il été utile ?
Que pouvons-nous améliorer ?
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.