Phần 1: Giới thiệu về công nghệ DirectPush của Microsoft
Phần 2: Khám phá các chính sách bảo mật
Trong phần 3 này, chúng tôi sẽ giới thiệu cho các bạn cách cài đặt và cấu hình công cụ Exchange Server ActiveSync Web Administration cũng như cách sử dụng công cụ này để thực hiện xóa dữ liệu từ xa, kiểm tra các bản ghi giao dịch,…
Trong phần trước của loạt bài này, chúng ta đã tìm hiểu về các thiết lập bảo mật thiết bị, trong đó có nói đến việc thiết bị có thể tự xóa sạch (giống như việc xóa dữ liệu cục bộ) khi người dùng nhập sai mã PIN hoặc mật khẩu với số lần giới hạn. Tuy nhiên trong một số trường hợp bạn lại muốn xóa dữ liệu trên thiết bị di động ngay lập tức sau khi phát hiện ra mất thiết bị để bảo đảm tính bí mật và sự riêng tư. Đây là lý do quan trọng mà công cụ Exchange Server ActiveSync Web Administration được ra đời. Công cụ này được thiết kế dành cho các quản trị viên, người muốn quản trị quá trình xóa dữ liệu từ xa khi thiết bị bị mất hoặc bị đánh cắp.
Với công cụ Exchange Server ActiveSync Web Administration, quản trị viên có thể thực hiện các hành động dưới đây:
- Xem danh sách các thiết bị đang được sử dụng bởi người dùng
- Chọn hoặc hủy chọn các thiết bị được quyền xóa dữ liệu từ xa
- Xem trạng thái của các yêu cầu xóa dữ liệu từ xa đối với mỗi thiết bị
- Xem bản ghi giao dịch chỉ thị quản trị viên nào đã đưa ra các lệnh xóa từ xa, thêm vào đó là các lệnh gắn liền với nó.
Công cụ Exchange Server ActiveSync Web Administration được thiết kế đặc biệt cho Exchange Server 2003 SP2 và các thiết bị Windows mobile 5.0. Tuy nhiên công cụ này cũng được hỗ trợ trên SBS 2003.
Cài đặt công cụ Exchange Server ActiveSync Web Administration
Không có gì khó khăn trong việc cài đặt công cụ này, khi đã tải được bản copy tại đây, bạn chỉ cần rút file MobileAdmin.exe sau đó chạy gói MobileAdmin.msi trên máy chủ Exchange 2003 SP2 front-end (hoặc máy chủ back-end nếu chỉ có một máy chủ Exchange trong tổ chức) .
Khi màn hình cài đặt xuất hiện, bạn kích Next (xem hình 1 bên dưới).
Hình 1: Màn hình cài đặt Microsoft Exchange Server ActiveSync Web Administration Tool
Chấp nhận EULA sau đó kích Next một lần nữa.Khi cài đặt hoàn tất, kích Finish để thoát cài đặt.
Sử dụng công cụ Exchange Server ActiveSync Web Administration
Khi Exchange Server ActiveSync Web Administration đã được cài đặt, bạn có thể truy cập công cụ quản trị di động này từ máy tính điều khiển xa bằng cách vào địa chỉ https://server/mobileadmin trên cửa sổ trình duyệt. Ngay sau đó bạn sẽ được hỏi tài khoản để xác nhận, muốn truy cập vào công cụ bạn cần sử dụng một tài khoản thành viên quản trị Exchange hoặc thành viên quản trị nội bộ trên máy chủ (nhóm khác hoặc tài khoản khác được cho phép trong thư mục ảo MobileAdmin, xem phần giới thiệu về cách thực hiện ở phần sau bài viết này).
Khi đã thẩm định với một tài khoản và có sự cho phép thích hợp, bạn sẽ vào được trang Mobile Admin Web Form như hình 2.
Hình 2: Mobile Admin Web Form
Ở đây bạn có thể chọn giữa hai tùy chọn quản trị viên đó là Remote Wipe (xóa) và Transaction Log (bản ghi giao dịch). Chúng ta hãy bắt đầu bằng tùy chọn Remote Wipe. Từ tùy chọn này bạn có thể quản lý được các thiết bị của người dùng, thực hiện xóa từ xa các thiết bị cụ thể (hình 3).
Hình 3: Màn hình xóa thiết bị từ xa
Để xem thiết bị nào liên quan với mailbox của một ai đó, bạn cần phải nhập vào tên mailbox hoặc địa chỉ SMTP của người dùng. Khi đó bạn sẽ có được một danh sách như trong hình 3, danh sách gồm có 5 cột được mô tả ở dưới đây:
- Device Id: ID của thiết bị
- Type: kiểu thiết bị, nó có thể là SmartPhone hay PocketPC
- Last Sync: thời gian và dữ liệu của lần đồng bộ cuối cùng được thực hiện
- Status: Trạng thái của thiết bị, có thể là OK, Wipe initiated (Thực hiện xóa), Sent to device (Gửi đến thiết bị), Device acknowledged (Thiết bị phúc đáp) và Wipe operation completed successfully (Quá trình xóa đã thành công)
- Action: là nơi bạn có thể chọn xóa một thiết bị hoặc xóa một nhóm cộng tác
Như đã thấy trong hình 3, một trong những nhóm liệt kê không được đồng bộ từ tháng 11 năm 2005. Chính vì vậy nên xóa nó cho an toàn. Nhấn Delete và xem những gì xảy ra. Đầu tiên bạn sẽ được hỏi xem có thực sự muốn xóa nhóm cộng tác này hay không (hình 4).
Hình 4: Hộp thoại xác nhận việc xóa nhóm cộng tác
Khi kích OK, nhóm cộng tác sẽ được xóa và một vài giây sau nó sẽ không xuất hiện trên danh sách các nhóm cộng tác có liên quan. Khi một nhóm cộng tác được xóa, nó sẽ được ghi vào bản ghi giao dịch Transaction log (bạn có thể xem ở hình 5). Việc xóa một nhóm cộng tác sẽ xóa theo tất cả tất cả các thông tin trạng thái liên quan đến thiết bị di động của ai đó trên máy chủ, và điều này cũng rất hữu dụng cho mục đích giữ bảo mật. Nếu một thiết bị mà nhóm cộng tác của nó đã xóa được kết nối một lần nữa, thì nó sẽ bị bắt buộc phải thiết lập lại nhóm cộng tác đã xóa với máy chủ thông qua quá trình khôi phục. Tuy nhiên điều này không có gì phải lo lắng nhiều, quá trình này hoàn toàn dễ dàng với cả bạn (như quản trị viên Exchange) cũng như người dùng.
Hình 5: Bản ghi xóa nhóm cộng tác trong Transaction log
Khi thực hiện hành động xóa từ xa, nó sẽ duy trì hoạt động cho tới khi bạn hủy bỏ nó thông qua nút tùy chọn Cancel Wipe (xem trong hình 6), điều này nghĩa là máy chủ sẽ liên tục gửi lệnh xóa từ xa đến thiết bị (mặc dù thiết bị đã sẵn sàng cho việc xóa từ xa), vì vậy nhớ hủy bỏ hành động xóa từ xa khi một thiết bị bị mất hoặc bị lấy cắp đã được tìm lại.
Hình 6: Thực hiện xóa dữ liệu từ xa
Như những gì bạn thấy trong hình 7 dưới đây, hành động xóa từ xa này sẽ được ghi lại trong Transaction log.
Hình 7: Các bản ghi hành động xóa trong Transaction log
Điều khiển cho phép truy nhập
Như đã đề cập trong phần này, chỉ có các quản trị viên Exchange và quản trị viên nội bộ trên máy chủ Exchange mới được phép sử dụng công cụ Microsoft Exchange Server ActiveSync Web Administration, tuy nhiên bạn cũng có thể cho phép các nhân viên trợ giúp hoặc các cá nhân riêng lẻ trong phòng CNTT có thể truy cập vào công cụ này. Để thực hiện như vậy mà không cần bổ sung họ vào nhóm tương ứng, bạn có thể cho phép họ truy cập bằng cách thay đổi sự cho phép trong thư mục cài đặt Microsoft Exchange ActiveSync Administration, thông thường khi cài đặt mặc định bạn có thể tìm thấy tại C:\Program Files, hình 8 dưới đây cho bạn thấy cụ thể hơn.
Hình 8: Thư mục cài đặt Microsoft Exchange ActiveSync Administration
Ở đây bạn chỉ cần kích chuột phải vào thư mục cài đặt, sau đó chọn Properties. Trên trang thuộc tính bạn kích tab Security sau đó thêm các nhóm hoặc người dùng, những người cần truy cập vào công cụ này (hình 9).
Hình 9: Bổ sung thêm các nhóm hoặc người dùng truy cập vào công cụ
Một số vấn đề bổ sung
Nếu bạn nhận được một thông báo lỗi HTTP 401 error message khi đang xóa một nhóm cộng tác hoặc thực hiện xóa từ xa, điều này có thể do sự thẩm định Windows tích hợp Integrated Windows authentication không được kích hoạt trong thư mục ảo Exadmin hoặc có thể vì thư mục ảo MobileAdmin không chạy dưới ứng dụng ExchangeApplicationPool. Ngoài ra bạn có thể tham khảo thêm tại đây.
Như có nói đến trong phần đầu của phần 3 này, cũng có thể có các vấn đề khi chạy công cụ này trên SBS 2003. Để giải quyết các vấn đề này, bạn có thể xem phần Deploying Windows Mobile 5.0 with Windows SBS.
Kết luận
Trong phần 3 này, chúng tôi đã giới thiệu cho các bạn cách cài đặt, cấu hình và sử dụng công cụ Exchange Server ActiveSync Web Administration. Các tính năng của công cụ này giúp bạn quản lý và bảo vệ các thiết bị di động trong tổ chức được tốt hơn.
Trong phần 4 chúng tôi sẽ tiếp tục giới thiệu cho các bạn về tính năng tra cứu GAL mới, đây cũng là một tính năng mới có trong Exchange 2003 SP2 và Messaging and Security Feature Pack (MSFP).
Phần 4: Truy cập GAL nhóm từ thiết bị di động bằng GAL Lookup