XADM : D�faillances et vuln�rabilit� de la s�curit� du programme d'installation d'Exchange 2000

Lorsque vous installez Microsoft Exchange 2000 Server ou Exchange 2000 Enterprise Server (appel�s collectivement ci-apr�s Exchange 2000), il se cr�� un compte sp�cial, qui �tait utilis� auparavant pour faciliter le traitement des scripts de synchronisation. Le nom de ce compte est EUSER_EXSTOREEVENT, et son mot de passe est d�fini comme un mot de passe simple incorpor� au programme. Si vous tentez de d�ployer Exchange 2000 dans des environnements pr�sentant des exigences de mot de passe complexes, des d�faillances peuvent survenir pendant l'installation, le message d'erreur suivant apparaissant alors :

La d�faillance du programme d'installation se produit parce que le mot de passe incorpor� au programme ne r�pond pas aux exigences de complexit� du mot de passe dans certains environnements. Cette d�faillance appara�t lorsque vous tentez d'installer une version concern�e d'Exchange 2000 (voir la section " Statut " pour obtenir des d�tails sur la version) sur un contr�leur de domaine ou sur un serveur membre ayant une forte politique de mot de passe activ�e.

Avant d'ex�cuter le programme d'installation

Pour r�duire au maximum les risques s�curitaires inh�rents � ce compte, cr�ez manuellement un compte utilisant le m�me nom, EUSER_EXSTOREEVENT, avant d'ex�cuter le programme d'installation, et attribuez-lui un mot de passe r�pondant aux exigences de complexit� propres � votre soci�t�. Pendant son ex�cution, le programme d'installation d�tectera que ce compte existe d�j� et ne tentera pas de le cr�er ou de modifier le mot de passe.

En cas d'installation d'Exchange 2000 sur un serveur membre

Cr�ez le compte en tant que compte d'utilisateur local d�sactiv�. La proc�dure de cr�ation d'un compte dans la base de donn�es des comptes locaux est la suivante :

1. Pour d�marrer le composant logiciel enfichable Computer Management MMC, cliquez sur D�marrer, pointez sur Programmes et sur Outils d'administration, puis cliquez sur Gestion de l'ordinateur sur le serveur membre o� Exchange 2000 sera install�.
2. D�veloppez le conteneur Utilisateurs et groupes locaux, puis cliquez sur le conteneur Utilisateurs.
3. Dans le menu Action, cliquez sur Nouvel utilisateur.
4. Dans la bo�te de dialogue Nouvel utilisateur, fournissez les informations suivantes :
   Nom d'utilisateur : EUSER_EXSTOREEVENT
   Mot de passe : Mot de passe r�pondant � la politique de complexit� de votre soci�t�
5. Cliquez pour s�lectionner la case � cocher Le compte est d�sactiv�, puis cliquez sur Cr�er.

En cas d'installation d'Exchange 2000 sur un contr�leur de domaine

Cr�ez le compte EUSER_EXSTOREEVENT dans Active Directory, puis d�sactivez le compte. La proc�dure de cr�ation d'un compte dans Active Directory est la suivante :

1. Pour d�marrer le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory MMC, cliquez sur D�marrer, pointez sur Programmes et sur Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory sur le contr�leur du domaine dans lequel Exchange 2000 sera install�.
2. Cliquez sur le conteneur Utilisateurs.
3. Dans le menu Action, cliquez sur Nouveau puis sur Utilisateur.
4. Dans la bo�te de dialogue Nouvel utilisateur, fournissez les informations suivantes :
   Nom complet : EUSER_EXSTOREEVENT
   Nom d'ouverture de session de l'utilisateur : EUSER_EXSTOREEVENT
5. Cliquez sur Suivant.
6. Indiquez un mot de passe r�pondant � la politique de complexit� propre � votre soci�t�, puis confirmez-le.
7. Cliquez pour s�lectionner la case � cocher Le compte est d�sactiv�.
8. Cliquez sur Suivant, puis sur Terminer pour cr�er le compte sp�cifi�.

Apr�s l'installation

Proc�dure manuelle

Apr�s l'installation d'Exchange 2000, Microsoft vous recommande de supprimer ce compte pour r�duire au maximum les risques s�curitaires inh�rents au compte connu. Si vous utilisez ce compte pour d'autres raisons, vous devez au moins r�initialiser le mot de passe du compte pour garantir la s�curit� de ce dernier.

Outil d'automatisation de la proc�dure

Parall�lement � la proc�dure d�crite ci-dessus, vous pouvez vous procurer l'outil suivant � partir du lien suivant, afin de corriger automatiquement ce probl�me de vuln�rabilit� de la s�curit� : Le fichier suivant peut �tre t�l�charg� � partir du Centre de t�l�chargement Microsoft. Cliquez sur le nom du fichier ci-dessous pour t�l�charger le fichier :
Pour plus d'informations sur le t�l�chargement de fichiers � partir du Centre de t�l�chargement Microsoft, visitez le Centre � l'adresse Web suivante et cliquez sur Utilisation du Centre de t�l�chargement Microsoft.

• Avec cet outil, l'utilisateur actuellement connect� doit disposer de droits d'administrateur sur l'ordinateur local pour les serveurs membres, ou de droits d'administrateur de domaine pour les contr�leurs de domaine. Cet outil est extrait et copi� automatiquement dans le dossier C:\Temp. Apr�s son extraction, suivez les consignes fournies.
• Pour les serveurs membres : Cet outil explore la base de donn�es des comptes locaux, et supprime le compte en question. Microsoft vous recommande d'ex�cuter l'utilitaire � partir de chaque serveur membre sur lequel Exchange 2000 a �t� install�.
• Pour un contr�leur de domaine o� Exchange 2000 est install� : Ex�cutez cet utilitaire sur un contr�leur de domaine. Il supprime le compte d'Active Directory. Dans les environnements comportant plusieurs contr�leurs de domaine, ce compte peut �tre maintenu sur les autres contr�leurs de domaine jusqu'� la r�plication d'Active Directory.

IMPORTANT : Cet outil supprime uniquement le compte en question. Il n'emp�che pas l'erreur d'installation initiale d'appara�tre. Vous devez toujours suivre la proc�dure manuelle de cr�ation et de d�sactivation du compte avant d'ex�cuter le programme d'installation, afin d'�viter l'erreur d'installation. Apr�s l'installation, vous pouvez supprimer ce compte manuellement ou � l'aide de l'outil fourni.

Microsoft a confirm� l'existence de ce probl�me dans Exchange 2000.

Les m�dia d'installation d'Exchange 2000 suivants sont concern�s par cette vuln�rabilit� :

• Les CD Exchange 2000 Server ne portant pas la mention " Rev A " sur la ligne situ�e en dessous du num�ro de r�f�rence (voir coin sup�rieur droit)
• Les CD Exchange 2000 Enterprise Server ne portant pas la mention " Rev A " sur la ligne situ�e en dessous du num�ro de r�f�rence (voir coin sup�rieur droit)
• Exchange 2000 Server et Exchange 2000 Enterprise Server inclus dans le coffret Select CD d'octobre 2000

Pour l'�dition �valuation d'Exchange 2000, et comme autre m�thode de test de cette vuln�rabilit�, veuillez recourir � l'outil Filever.exe, disponible avec Exchange 2000, afin de v�rifier la version d'Exsetdata.dll. Si cette derni�re est 6.0.4417.5, cette vuln�rabilit� vous concerne.

Exemple d'utilisation de Filever.exe :Si le r�sultat affich� contient le num�ro de version suivant (en gras ci-dessous), cette vuln�rabilit� vous concerne :En outre, Exchange 2000 Service Pack 1 comporte une v�rification suppl�mentaire de la pr�sence de ce compte, qui, s'il est d�tect�, sera supprim�.

Ce compte repr�sente une vuln�rabilit� de la s�curit� si vous d�ployez Exchange 2000, car son nom est connu. Dans la version commercialis�e d'Exchange 2000, ce compte n'est plus n�cessaire pour traiter les scripts d'�v�nement et doit �tre supprim� apr�s l'installation.

Vous pouvez consulter les questions fr�quentes (" FAQ ") concernant cette vuln�rabilit� et vous procurer la correction appropri�e sur le site Web Microsoft suivant :