Công nghệ Hệ thống

Thư tín di động trong Exchange 2003 (Phần 2): Khám phá các chính sách bảo mật

Phần 1: Giới thiệu về công nghệ DirectPush của Microsoft

Trong phần 1 của loạt bài khám phá thư tín di động với Exchange 2003 và các thiết bị Windows Mobile 5.0 có cài đặt gói bảo mật và thư tín, chúng ta đã có một cái nhìn gần hơn với công nghệ DirectPush mới này có trong Exchange 2003 SP2.

Chúng ta đều biết rằng các thiết bị di động là thiết bị rất có thể dễ bị đánh mất hoặc bị đánh cắp. Khi mà đồng bộ các thiết bị với mailbox, thì cần một cách nào đó để bảo vệ các thiết bị của chúng ta, mục đích cũng là để cho các thông tin và dữ liệu nhạy cảm có thể được bảo vệ an toàn. Với Exchange 2003 SP2, bạn có khả năng cấu hình mã PIN bắt buộc hoặc yêu cầu mật khẩu đối với Windows 5.0 Mobile Devices đồng bộ với máy chủ Exchange trong tổ chức. Ví dụ bạn có thể cấu hình thiết bị yêu cầu mã PIN gồm 4 số để người dùng cần phải nhập trước khi truy cập vào thiết bị. Nếu người dùng nhập vào mã PIN sai 4 lần thì có thể cấu hình thiết lập bảo mật để tất cả dữ liệu trên thiết bị đó được xóa hết.

Lưu ý:
Nếu bạn chưa từng thấy điều đó thì hãy xem đoạn video sau trước khi tiếp tục đọc phần dưới, đoạn video này sẽ minh chứng cho bạn thấy được chức năng của các chính sách bảo mật thiết bị và làm việc với chúng như thế nào trong thực tế:

Cấu hình chính sách bảo mật thiết bị

Các chính sách bảo mật thiết bị được cấu hình trong nhiều mục như nhau trên thiết bị di động, dưới đây là trang thuộc tính của đối tượng Mobile Services trong Exchange System Manager (xem hình 1).


Hình 1: Trang thuộct tính của Mobile Services trong Exchange System Manager

Khi kích chuột vào nút Device Security, bạn sẽ vào được trang dùng để cấu hình các thiết lập bảo mật (Hình 2)


Hình 2: Device Security Settings

Các thiết lập bảo mật thiết bị khá chung (chúng phải được áp dụng riêng cho mỗi kết nối người dùng riêng lẻ đến các máy chủ Exchange trong tổ chức của bạn), chính vì vậy bạn phải hiểu chính xác mục đích của mỗi một thiết lập. Dưới đây chúng tôi liệt kê tất cả các thiết lập cùng với những mô tả chi tiết về nó:

Thiết lập bảo mậtMô tả
Mật khẩu bắt buộcKích hoạt chính sách mật khẩu thiết bị. Không có thiết lập bảo mật nào làm việc trước khi tính năng này được kích hoạt
Chiều dài tối thiểu của mật khẩu (kí tự)Kích hoạt tùy chọn này để chỉ định chiều dài yêu cầu của mật khẩu thiết bị của người dùng. Mặc định thiết lập này là 4 ký tự. Bạn có thể chỉ định chiều dài từ 4 đến 18 kí tự.
Yêu cầu cả số và chữKích hoạt tùy chọn này nếu bạn muốn yêu cầu người dùng chọn một mật khẩu có cả số và chữ. Tùy chọn này sẽ không được chọn mặc định.
Thời gian chờ đăng nhập (phút)Kích hoạt tùy chọn này để chỉ định xem bạn có muốn người dùng đăng nhập vào các thiết bị sau khi một thời gian chờ đăng nhập hay không. Tùy chọn này sẽ không mặc định. Nếu được chọn, thiết lập mặc định của nó là 5 phút
Xóa sạch thiết bị sau khi đăng nhập thất bạiKích hoạt tùy chọn này để chỉ định xem bạn có muốn xóa hết bộ nhớ thiết bị hay không sau khi nhiều lần đăng nhập bị thất bại. Tùy chọn này không được chọn mặc đinh. Nếu được chọn, thiết lập mặc định của nó là 8 lần.
Refresh các thiết lập trên thiết bị (giờ)Kích hoạt tùy chọn này để chỉ định khoảng thời gian định kỳ muốn gửi yêu cầu cho các thiết bị. Tùy chọn này không được lựa chọn mặc định. Nếu được chọn, thiết lập mặc định là 24 giờ.
Cho phép truy cập đối với các thiết bị không hỗ trợ đầy đủ thiết lập mật khẩuChọn tùy chọn này nếu bạn muốn cho phép các thiết bị không được hỗ trợ đầy đủ tính năng bảo mật có thể đồng bộ với máy chủ Exchange. Tùy chọn này không được chọn mặc định. Nếu không được chọn, các thiết bị không được cài đặt bảo mật đầy đủ (ví dụ, các thiết bị không hỗ trợ dự phòng) sẽ nhận được thông báo lỗi 403 khi cố gắng đồng bộ với Exchange Server.

Bảng 1: Mô tả các thiết lập bảo mật

Ngoài các thiết lập trong bảng, bạn còn có một nút khác đó là Exceptions (xem hình 3). Sau khi kích nút này, bạn có thể chỉ định người dùng mà bạn muốn được miễn đối với các thiết lập bạn đã cấu hình trong hộp thoại Device Security Settings. Danh sách các ngoại lệ này có thể rất hữu dụng nếu bạn có một số người dùng tin cậy (hay là người quản lý), những người thực sự không cần các thiết lập bảo mật thiết bị.


Hình 3: Danh sách ngoại lệ bảo mật thiết bị

Nên bảo đảm bạn không cấu hình chính sách bảo mật thiết bị quá chặt chẽ và nhớ rằng người dùng trong một số tình huống sẽ có các vấn đề cần tiếp xúc với văn phòng CNTT nếu thiết bị của họ bị xóa. Người dùng đã sử dụng một số có 4 chữ số (giữa các số có trong thẻ tính dụng của họ) vì vậy việc yêu cầu số 4 chữ số trong các tình huống là một ý tưởng tốt. Quả thực giải pháp tốt nhất là sử dụng 4 số có kết hợp với thiết lập xóa sạch thiết bị sau một số lần thử thất bại.

Vị trí lưu trữ các thiết lập bảo mật

Vậy đâu là nơi mà tất cả các thiết lập bảo mật thiết bị được lưu? Hầu hết tất cả các giá trị đều đã cấu hình thiết lập bảo mật được lưu trong Active Directory, cụ thể hơn trong thuộc tính có tên gọi msExchOmaExtendedProperties, thuộc tính có thể tìm thấy dưới CN=Outlook Mobile Access,CN=Global Settings,CN=Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=com bằng sử dụng công cụ như ADSI Edit (xem hình 4).


Hình 4: Vị trí các thiết lập bảo mật thiết bị trong Active Directory

Nếu chọn thuộc tính msExchOmaExtendedProperties và kích nút Edit thì bạn sẽ vào được màn hình như trong hình 5 dưới đây.


Hình 5: Thuộc tính msExchOmaExtendedProperties

Như bạn thấy, tất cả các giá trị liên quan đến bảo mật thiết bị cũng được lưu trong chuỗi có tiền tố là PolicyData. Các giá trị được mã hóa giữa các thẻ . Vì không có gì ngoài XML blob, bạn có thể dự trữ chính sách tùy chỉnh của chính mình bằng cách chỉ định các giá trị yêu cầu theo định dạng XML tương tự như trên hình. Bạn cũng có thể thiết lập các chính sách này trên người dùng thông qua GUI nhưng hiện giờ chỉ có một cách để cấu hình các thiết lập đó trên người dùng cơ bản là cấu hình thuộc tính msExchOmaExtendedProperties cho mỗi người dùng, nhưng đó có phải là phương pháp thuận tiện? Microsoft đưa ra một cách giúp bạn có thể cấu hình các thiết lập này cho mỗi người dùng, sử dụng GPO hoặc phương pháp tương tự; vấn đề ở đây là thiết lập này không có trước phiên bản Exchange 12 RTM.

Các thiết bị di động

Khi bạn đã cấu hình và kích hoạt các thiết lập bảo mật trên máy chủ thì hộp thoại như hình 6 sẽ xuất hiện trên thiết bị trong suốt quá trình động bộ tiếp theo với máy chủ.


Hình 6: Chính sách bảo mật đã thiết lập trên thiết bị

Sau khi kích OK, bạn cần chỉ định, xác nhận mã PIN và mật khẩu mà bạn muốn sử dụng. Mã PIN và mật khẩu cần phải nhập hàng ngày, thiết bị được mở khóa hoặc sau khi đưa ra một quá trình khởi động lại. Nếu một mật khẩu sai được nhập vào, có thể bởi một trong những đưa trẻ nhà bạn đã chơi với thiết bị hoặc quên khóa bàn phím khi thiết bị để ở trong túi quần, bạn sẽ gặp một thông báo như dưới đây:

The password you typed is incorrect. Please try again. 1/5 attempts have been made.
(Mật khẩu bạn vừa nhập bị sai. Xin vui lòng nhập lại. 1/5 lần thử của bạn đã được thực hiện.)

Phụ thuộc vào số lần cho phép nhập mật khẩu mà bạn chỉ định trong tùy chọn Wipe device after failed trong Device Security Settings (xem lại hình 2).

Sau khi lần thử thứ hai thất bại bạn sẽ được thông báo rằng một số mật khẩu sai đã được nhập. Để xác nhận lần thử đăng nhập không do ấn nút tình cờ bạn được yêu cầu nhập vào A1B2C3 hoặc những gì tương tự như vậy (phụ thuộc vào nhà cung cấp di động đã cấu hình khi thiết kế chúng). Khi đã nhập vào các kí tự đó bạn sẽ có tùy chọn chỉ định mật khẩu thiết bị một lần nữa. Nếu vì một số lý do nào đó bạn lại nhập sai mật khẩu thì hộp thoại mật khẩu sai sẽ lại xuất hiện. Trước lần thử cuối cùng bạn sẽ nhận được thông báo rằng tất cả các thông tin trên thiết bị sẽ bị xóa hết sau lần thử không thành công này. Tất cả bộ nhớ trong thiết bị sẽ bị xóa hết, thiết bị sẽ được reset lại về trạng thái mặc định của nhà sản xuất. Ở đây xảy ra tình huống là dữ liệu trong thẻ nhớ của thiết bị sẽ được giữ nguyên vẹn. Có thể bạn sẽ thắc mắc về cách giải quyết này là tốt hoặc không, nhưng theo cá nhân tôi thì điều này sẽ làm cho hệ số rủi ro về bảo mật lớn, đặc biệt vì bạn có thể cấu hình lại thiết bị để lưu các đính kèm email trên thẻ nhớ!

Lưu ý:
Nếu bạn biết rằng thiết bị đã bị mất hoặc đánh cắp thì có thể thực hiện xóa dữ liệu từ xa đối với thiết bị, việc xóa này sẽ được thực hiện ngay lập tức. Chúng ta sẽ nói sâu hơn về vấn đề này trong phần 3.

Thay đổi mã PIN và mật khẩu

Nếu bạn muốn thay đổi mã PIN hoặc mật khẩu, kích Start > Settings > Lock.


Hình 7: Nút khóa dưới trang Settings

Bạn sẽ phải nhập vào mã PIN hiện thời hay mật khẩu để truy cập và thay đổi mật khẩu, khi đã thực hiện xong điều đó, bạn sẽ thấy cửa sổ mới xuất hiện như trong hình 8 bên dưới.


Hình 8: Thay đổi mật khẩu thiết bị

Rất thú vị ở đây là khi một thiết bị đã khóa mà được kết nối đến máy tính bằng cáp USB sẽ không thể truy cập, nếu truy cập bạn sẽ gặp phải hộp thoại như hình 9 dưới đây.


Hình 9: Kết nối một thiết bị đã khóa với máy tính thông qua USB.

Kết luận

Trong bài viết này bạn đã được học về cách làm thế nào để cho các thiết bị di động trở nên an toàn hơn bằng sử dụng tính năng bảo mật mới có trong Exchange 2003 SP2. Bạn cũng thấy được cách thiết lập bảo mật đó làm việc như thế nào bên phía trình khách. Tính năng thiết lập bảo mật này rõ ràng là một cải thiện tuyệt vời khi nói đến bảo mật, tuy nhiên nó vẫn chưa cung cấp được sự bảo mật tối ưu vì dữ liệu được giữ trên thẻ nhớ không được xóa ngay lập tức.

Trong bài viết tiếp theo, chúng tôi sẽ giới thiệu cho các bạn cách cài đặt công cụ quản trị Exchange Server ActiveSync Web Administration, cũng như cách bạn tiến hành xóa dữ liệu từ xa khi thiết bị di động bị mất hoặc bị đánh cắp.

Phần 3: Cài đặt, quản trị và sử dụng công cụ Microsoft Exchange Server ActiveSync Web Administration
Phần 4: Truy cập GAL nhóm từ thiết bị di động bằng GAL Lookup

Thứ Bảy, 30/06/2007 15:12
31 👨 742

Bạn nên đọc

0 Bình luận
Sắp xếp theo
❖
Xóa Đăng nhập để Gửi

    Có thể bạn quan tâm

    ❖ Hệ thống