Thư tín di động trong Exchange 2003 (Phần 2): Khám phá các chính sách bảo mật

Chia sẻ: Abcdef_46 Abcdef_46 | Ngày: | Loại File: PDF | Số trang:13

Thêm vào BST

Báo xấu

51
lượt xem 4
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Trong phần 1 của loạt bài khám phá thư tín di động với Exchange 2003 và các thiết bị Windows Mobile 5.0 có cài đặt gói bảo mật và thư tín, chúng ta đã có một cái nhìn gần hơn với công nghệ DirectPush mới này có trong Exchange 2003 SP2. Chúng ta đều biết rằng các thiết bị di động là thiết bị rất có thể dễ bị đánh mất hoặc bị đánh cắp. Khi mà đồng bộ các thiết bị với mailbox, thì cần một cách nào đó để bảo vệ các thiết bị của chúng ta,...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Thư tín di động trong Exchange 2003 (Phần 2): Khám phá các chính sách bảo mật

Thư tín di động trong Exchange 2003 (Phần 2): Khám phá các chính sách bảo mật Trong phần 1 của loạt bài khám phá thư tín di đ ộng với Exchange 2003 và các thiết bị Windows Mobile 5.0 có c ài đặt gói bảo mật và thư tín, chúng ta đã có một cái nhìn gần hơn với công nghệ DirectPush mới này có trong Exchange 2003 SP2. Chúng ta đều biết rằng các thiết bị di động là thiết bị rất có thể dễ bị đánh mất hoặc bị đánh cắp. Khi mà đồng bộ các thiết bị với mailbox, thì cần một cách nào đó để bảo vệ các thiết bị của chún g ta, mục đích cũng là để cho các thông tin và dữ liệu nhạy cảm có thể đ ược bảo vệ an toàn. Với Exchange 2003 SP2, bạn có khả năng cấu hình mã PIN bắt buộc hoặc yêu cầu mật khẩu đối với Windows 5.0 Mobile Devices đ ồng bộ với máy chủ Exchange trong tổ chức. Ví dụ bạn có thể cấu hình thiết bị yêu cầu mã PIN gồm 4 số để người dùng cần phải nhập trước khi truy cập vào thiết bị. Nếu người dùng nhập vào mã PIN sai 4 lần thì có thể cấu hình thiết lập bảo mật để tất cả dữ liệu trên thiết bị đó được xóa hết. Lưu ý: Nếu bạn chưa từng thấy điều đó thì hãy xem đoạn video sau trước khi tiếp tục đọc phần dưới, đoạn video này sẽ minh chứng cho bạn thấy đ ược chức năng của các chính sách bảo mật thiết bị và làm việc với chúng như thế nào trong thực tế:
Cấu hình chính sách bảo mật thiết bị Các chính sách bảo mật thiết bị được cấu hình trong nhiều mục như nhau trên thiết bị di động, dưới đây là trang thuộc tính của đối t ượng Mobile Services trong Exchange System Manager (xem hình 1).
Hình 1: Trang thuộct tính của Mobile Services trong Exchange System Manager Khi kích chuột vào nút Device Security, bạn sẽ vào được trang dùng để cấu hình các thiết lập bảo mật (Hình 2)
Hình 2: Device Security Settings Các thiết lập bảo mật thiết bị khá chun g (chúng phải được áp dụng riêng cho mỗi kết nối người dùng riêng lẻ đến các máy chủ Exchange trong tổ chức của bạn), chính vì vậy bạn phải hiểu chính xác mục đích của mỗi một thiết lập. Dưới đây chúng tôi liệt kê tất cả các thiết lập cùng với những mô tả chi tiết về nó: Thiết lập bảo mật Mô t ả Kích hoạt chính sách mật khẩu thiết bị. Không có thiết Mật khẩu bắt buộc lập bảo mật nào làm việc trước khi tính năng này được kích hoạt Kích hoạt tùy chọn này để chỉ định chiều dài yêu cầu Chiều dài tối thiểu của mật khẩu thiết bị của ng ười dùng. Mặc định thiết của mật khẩu (kí lập này là 4 ký tự. Bạn có thể chỉ định chiều dài từ 4 tự) đến 18 kí tự. Kích hoạt tùy chọn này nếu bạn muốn yêu cầu người Yêu cầu cả số và dùng chọn một mật khẩu có cả số và chữ. Tùy chọn ch ữ này sẽ không được chọn mặc định. Kích hoạt tùy chọn này để chỉ định xem bạn có muốn Thời gian chờ đăng người dùng đăng nhập vào các thiết bị sau khi một thời nhập (phút) gian chờ đăng nhập hay không. Tùy chọn này sẽ không mặc định. Nếu được chọn, thiết lập mặc định của nó là
5 phút Kích hoạt tùy chọn này để chỉ định xem bạn có muốn Xóa sạch thiết bị xóa hết bộ nhớ thiết bị hay không sau khi nhiều lần sau khi đăng nhập đăng nhập bị thất bại. Tùy chọn này không được chọn thất bại mặc đinh. Nếu được chọn, thiết lập mặc định của nó là 8 lần. Kích hoạt tùy chọn này để chỉ định khoảng thời gian Refresh các thiết định kỳ muốn gửi yêu cầu cho các thiết bị. T ùy chọn lập trên thiết bị này không được lựa chọn mặc định. Nếu đ ược chọn, (giờ) thiết lập mặc định là 24 giờ. Chọn tùy chọn này nếu bạn muốn cho phép các thiết bị Cho phép truy cập không được hỗ trợ đầy đủ tính năng bảo mật có thể đối với các thiết bị đồng bộ với máy chủ Exchange. Tùy chọn này không không hỗ trợ đầy được chọn mặc định. Nếu không được chọn, các thiết đủ thiết lập mật bị không được cài đặt bảo mật đầy đủ (ví dụ, các thiết khẩu bị không hỗ trợ dự phòng) sẽ nhận được thông báo lỗi 403 khi cố gắng đồng bộ với Exchange Server. Bảng 1: Mô tả các thiết lập bảo mật Ngoài các thi ết lập trong bả ng, bạn còn có một nút khác đó là Exceptions (xem hình 3). Sau khi kích nút này, b ạn có thể chỉ định ng ười dùng mà bạn muốn được miễn đối với các thiết lập bạn đã cấu hình trong hộp thoại Device Security Settings. Danh sách các ngoại lệ này có thể rất hữu dụng nếu bạn có một số người dùng tin cậy (hay là người quản lý), những người thực sự không cần các thiết lập bảo mật thiết bị.
Hình 3: Danh sách ngoại lệ bảo mật thiết bị Nên bảo đảm bạn không cấu hình chính sách bảo mật thiết bị quá chặt chẽ và nhớ rằng người dùng trong một số tình huống sẽ có các vấn đề cần tiếp xúc với văn phòng CNTT nếu thiết bị của họ bị xóa. Ng ười dùng đã sử dụng một số có 4 chữ số (giữa các số có trong thẻ tính dụng của họ) vì vậy việc yêu cầu số 4 chữ số trong các tình huống là một ý tưởng tốt. Quả thực giải pháp tốt nhất là sử dụng 4 số có kết hợp với thiết lập xóa sạch thiết bị sau một số lần thử thất bại. Vị trí lưu trữ các thiết lập bảo mật Vậy đâu là nơi mà tất cả các thiết lập bảo mật thiết bị đ ược lưu? Hầu hết tất cả các giá trị đều đã cấu hình thiết lập bảo mật được lưu trong Active Directory, cụ thể hơn trong thuộc tính có tên gọi msExchOmaExtendedProperties, thuộc tính có thể tìm thấy dưới CN=Outlook Mobile Access,CN=Global Settings,CN=Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=com bằng sử dụng công cụ như ADSI Edit (xem hình 4).
Hình 4: Vị trí các thiết lập bảo mật thiết bị trong Active Directory Nếu chọn thuộc tính msExchOmaExtendedProperties và kích nút Edit thì bạn sẽ vào được màn hình như trong hình 5 dưới đây.
Hình 5: Thuộc tính msExchOmaExtendedProperties Như bạn thấy, tất cả các giá trị liên quan đến bảo mật thiết bị cũng đ ược lưu trong chuỗi có tiền tố là PolicyData. Các giá tr ị được mã hóa giữa các thẻ . Vì không có gì ngoài XML blob, bạn có thể dự trữ chính sách t ùy chỉnh của chính mình bằng cách chỉ định các giá trị yêu cầu theo định dạng XML t ương tự như trên hình. Bạn cũng có thể thiết lập các chính sách này trên người dùng thông qua GUI nhưng hiện giờ chỉ có một cách để cấu hình các thiết lập đó trên người dùng cơ bản là cấu hình thuộc tính msExchOmaExtendedProperties cho mỗi người dùng, nhưng đó có phải là phương pháp thuận tiện? Microsoft đ ưa ra một cách giúp bạn có thể cấu hình các thiết lập này cho mỗi người dùng, sử dụng GPO hoặc phương pháp tương tự; vấn đề ở đây là thiết lập này không có trước phiên bản Exchange 12 RTM. Các thiết bị di động Khi bạn đã cấu hình và kích hoạt các thiết lập bảo mật trên máy chủ thì hộp thoại như hình 6 sẽ xuất hiện trên thiết bị trong suốt quá trình động bộ tiếp theo với máy chủ.
Hình 6: Chính sách bảo mật đã thiết lập trên thiết bị Sau khi kích OK, bạn cần chỉ định, xác nhận m ã PIN và mật khẩu mà bạn muốn sử dụng. Mã PIN và mật khẩu cần phải nhập hàng ngày, thiết bị được mở khóa hoặc sau khi đ ưa ra một quá trình khởi động lại. Nếu một mật khẩu sai được nhập vào, có thể bởi một trong những đưa trẻ nhà bạn đã chơi với thiết bị hoặc quên khóa bàn phím khi thiết bị để ở trong túi quần, bạn sẽ gặp một thông báo như dưới đây: The password you typed is incorrect. Please try again. 1/5 attempts have been made. (Mật khẩu bạn vừa nhập bị sai. Xin vui l òng nhập lại. 1/5 lần thử của bạn đã được thực hiện.) Phụ thuộc vào số lần cho phép nhập mật khẩu mà bạn chỉ định trong t ùy chọn Wipe device after failed trong Device Security Settings (xem l ại hình 2). Sau khi lần thử thứ hai thất bại bạn sẽ đ ược thông báo rằng một số mật khẩu
sai đã được nhập. Để xác nhận lần thử đăng nhập không do ấn nút t ình cờ bạn được yêu cầu nhập vào A1B2C3 hoặc những gì tương tự như vậy (phụ thuộc vào nhà cung cấp di động đã cấu hình khi thiết kế chúng). Khi đã nhập vào các kí tự đó bạn sẽ có tùy chọn chỉ định mật khẩu thiết bị một lần nữa. Nếu vì một số lý do nào đó bạn lại nhập sai mật khẩu thì hộp thoại mật khẩu sai sẽ lại xuất hiện. Trước lần thử cuối c ùng bạn sẽ nhận được thông báo rằng tất cả các thông tin trên thiết bị sẽ bị xóa hết sau lần thử không thành công này. Tất cả bộ nhớ trong thiết bị sẽ bị xóa hết, thiết bị sẽ đ ược reset lại về trạng thái mặc định của nhà sản xuất. Ở đây xảy ra tình huống là dữ liệu trong thẻ nhớ của thiết bị sẽ được giữ nguyên vẹn. Có thể bạn sẽ thắc mắc về cách giải quyết này là tốt hoặc không, nhưng theo cá nhân tôi thì điều này sẽ làm cho hệ số rủi ro về bảo mật lớn, đặc biệt vì bạn có thể cấu hình lại thiết bị để l ưu các đính kèm email trên thẻ nhớ! Lưu ý: Nếu bạn biết rằng thiết bị đã bị mất hoặc đánh cắp thì có thể thực hiện xóa dữ liệu từ xa đối với thiết bị, việc xóa này sẽ được thực hiện ngay lập tức. Chúng ta sẽ nói sâu hơn về vấn đề này trong phần 3. Thay đổi mã PIN và mật khẩu Nếu bạn muốn thay đổi mã PIN hoặc mật khẩu, kích Start > Settings > Lock.
Hình 7: Nút khóa dưới trang Settings Bạn sẽ phải nhập vào mã PIN hiện thời hay mật khẩu để truy cập và thay đổi mật khẩu, khi đã thực hiện xong điều đó, bạn sẽ thấy cửa sổ mới xuất hiện nh ư trong hình 8 bên dưới.
Hình 8: Thay đổi mật khẩu thiết bị Rất thú vị ở đây là khi một thiết bị đã khóa mà được kết nối đến máy tính bằng cáp USB sẽ không thể truy cập, nếu truy cập bạn sẽ gặp phải hộp thoại nh ư hình 9 dưới đây. Hình 9: Kết nối một thiết bị đã khóa với máy tính thông qua USB. Kết luận Trong bài viết này bạn đã được học về cách làm thế nào để cho các thiết bị di động trở nên an toàn hơn bằng sử dụng tính năng bảo mật mới có trong
Exchange 2003 SP2. Bạn cũng thấy được cách thiết lập bảo mật đó l àm việc như thế nào bên phía trình khách. Tính n ăng thiết lập bảo mật này rõ ràng là một cải thiện tuyệt vời khi nói đến bảo mật, tuy nhi ên nó vẫn chưa cung cấp được sự bảo mật tối ưu vì dữ liệu được giữ trên thẻ nhớ không được xóa ngay lập tức. Trong bài viết tiếp theo, chúng tôi sẽ giới thiệu cho các bạn cách c ài đặt công cụ quản trị Exchange Server ActiveSync Web Administration, cũng nh ư cách bạn tiến hành xóa dữ liệu từ xa khi thiết bị di động bị mất hoặc bị đánh cắp. Phần 3: Cài đặt, quản trị và sử dụng công cụ Microsoft Exchange Server ActiveSync Web Administration Phần 4: Truy cập GAL nhóm từ thiết bị di động bằng GAL Lookup Văn Linh (Theo MsExchange)