HOW-TO : Comment protéger et authentifier vos applications Microsoft ?

La majeure partie de nos clients utilisent les applications Microsoft telles que Sharepoint, OWA (Outlook Web Access), Exchange, Lync, etc. La protection de ces applications est difficile du fait qu’elles utilisent des protocols propriétaires tels que RPC requérant une attention particulière. De plus, les administrateurs peuvent naturellement souhaiter renforcer l’authentification à ces applications, typiquement en utilisant du SSO (Single Sign-On) ou une intégration avec Kerberos. Ce besoin se ressent tout particulièrement dans le contexte actuel de la fin de vie (EOL, End of Life) de Microsoft TMG, obligeant les administrateurs à trouver une solution de remplacement.

Des politiques de sécurité pré-définies pour les applications Microsoft

Au delà de notre politique de sécurité par défaut, DenyAll fournit dans son WAF des politiques de sécurité pré-définies pour les applications Microsoft, avec des exceptions pré-configurées (sur les faux positifs connus), afin que les administrateurs puissent simplement implémenter le WAF en quelques clics !

Nous fournissons actuellement des politiques pré-définies pour :

Microsoft Lync ne repose pas sur le protocole HTTP standard pour sa publication Web. Aussi, si vous utilisez Lync, vous devriez consulter notre documentation en ligne pour plus d’informations sur la compatibilité de notre WAF avec Lync.

Un autre protocole propriétaire non standard utilisé par Microsoft ActiveSync et Outlook Anywhere est RPC over HTTP, qui est du bon vieux RPC transporté (encapsulé) dans des paquets HTTP. RPC over HTTP requiert aussi une attention particulière. Sa configuration est décrite dans notre documentation en ligne.

Coupler l’authentification Kerberos avec un WAF

DenyAll WAF peut utiliser à la fois Kerberos pour une authentification périmétrique (sur le WAF lui-même) et supporter Kerberos du côté applicatif (ie pour supporter les applications qui utilisent Kerberos pour authentifier leurs utilisateurs).

A nouveau, dans notre base documentaire, nous décrivons :

Une authentification dédiée pour OWA et Sharepoint

DenyAll WAF peut être utilisé pour fournir des capacités de SSO et ainsi authentifier les utilisateurs une seule fois pour ensuite les authentifier automatiquement, à leur place, sur chaque application derrière le WAF. L’utilisateur n’a donc plus aucun mot de passe à renseigner.
Cette fonctionnalité réalise aussi des translations de schémas d’authentification, supportant typiquement une authentification complexe (multiple facteurs) au niveau périmétrique (sur le WAF) et Kerberos (voir ci-dessus) ou autres schema (formulaire, NTLM, etc, cf ci-dessous) sur chaque application.

La documentation en ligne fournit des informations et guides d’implémentation pour :

Conclusion

Dans cet article nous avons vu comment DenyAll WAF peut supporter l’écosystème d’applications Microsoft en fournissant à la fois une protection complète et des fonctionnalités de single sign-on.

Vincent Maury, Chief Technology Officer on LinkedinVincent Maury, Chief Technology Officer on Twitter
Vincent Maury, Chief Technology Officer
Vincent est notre directeur technique bien aimé. C’est un entrepreneur né et un passionné de la sécurité. Les produits et services qu’il développe ont tous 1# commun : faire en sorte que les utilisateurs puissent protéger leur actifs informatiques de la manière la plus simple possible.
Paste your AdWords Remarketing code here

En continuant à naviguer sur notre site Web, vous acceptez l'utilisation de cookies pour : (i) le fonctionnement et l'interactivité de notre site, (ii) la mesure de l'audience de notre site et l'analyse de votre navigation. Pour de plus amples informations, veuillez consulter notre Politique de cookies. En savoir plus

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close