Tìm hiểu về Security Configuration Wizard trong Exchange Server 2007 - Phần 1

Quản Trị Mạng - Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn một số đặc điểm cơ bản về công cụ bảo mật Security Configuration Wizard – SCW của Exchange Server 2007, với mục đích chính là giảm thiểu tối đa khả năng tấn công vào hệ thống server Exchange bằng cách tắt những dịch vụ, port, tính năng và chương trình không thực sự cần thiết. Thực chất, SCW là 1 tính năng của Windows Server 2003 SP1, nhưng chưa được cài đặt sẵn ở chế độ mặc định, và cũng không phải là 1 phần của server Exchange Server, tuy nhiên chỉ với vài bước thiết lập cơ bản chúng ta có thể khắc phục được thiếu sót trên và hỗ trợ đầy đủ Exchange Server 2007.

Cài đặt SCW trong Windows:

Trước tiên, các bạn cần đảm bảo rằng hệ thống đã được cài đặt hoặc nâng cấp lên bản Service Pack 1 đối với Windows Server 2003. Sau đó, nhấn Start > All Programs > Control Panel > Add/Remove Programs > Windows Components, kéo xuống phía dưới và đánh dấu check vào ô Security Configuration Wizard như hình dưới:

chọn Security Configuration Wizard

Sau đó nhấn tiếp Next > Finish. Chúng ta sẽ thấy hệ thống hiển thị 1 shortcut bên ngoài desktop,các bạn có thể tham khảo thêm một số thông tin tại đây trong quá trình hoạt động sau này.

Register file Exchange 2007 XML:

Khi đã hoàn tất việc cài đặt SCW thì chúng ta cần phải thực hiện bước tiếp theo, đó là register – đăng ký file cấu hình của Exchange Server 2007. Như đã đề cập tới ở phía trên, SCW thực chất không phải là 1 phần của Exchange 2007 do vậy các bạn cần phải thực quá trình này để gán cấu hình, thiết lập vào SCW.

Về mặt kỹ thuật, khi Exchange Server 2007 được cài đặt, file cấu hình XML mặc định sẽ được copy tới thư mục \scripts của Exchange Server. Hãy sao lưu 1 bản của file XML nguyên bản với đuôi mở rộng *.bak, sau đó copy vào thư mục cài đặt trên server. Khi thực hiện theo cách này thì file XML sẽ chứa đường dẫn chính xác tới các dịch vụ có liên quan. Thư mục scripts được tạo ra ở chế độ mặc định là c:\Program Files\Microsoft\Exchange Server\scripts

Trên thực tế, có 2 cách để register file XML, đầu tiên là cách làm thủ công – dùng Command Prompt và cách thứ 2 là dùng lệnh PowerShell. Đối với Command Prompt thì các bạn gõ lệnh:

scwcmd register /kbname:Ex2007KB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007.xml"

Sau khi nhấn Enter, hệ thống sẽ hiển thị kết quả như hình dưới:

dùng Command Prompt

Đối với những server đang đảm nhiệm vai trò Edge Transport thì chúng ta có thể sử dụng lệnh như sau:

scwcmd register /kbname:Ex2007EdgeKB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007Edge.xml"

Còn với PowerShell, các bạn hãy mở Exchange Management Shell, sau đó chuyển tới thư mục scripts và gõ lệnh:

Register-ExchangeSCW.ps1 –register

dùng PowerShell

Khá đơn giản và dễ hiểu, đoạn script trên sẽ chỉ ra role chính xác của server và cài đặt file XML phù hợp. Còn nếu muốn làm ngược lại quá trình trên thì chúng ta chỉ cần gõ lệnh:

Register-ExchangeSCW.ps1 -unregister

Việc tiếp theo cần làm ở đây là tạo và áp dụng policy tới server. 1 điểm vô cùng quan trọng cần lưu ý ở đây là tất cả các ứng dụng cũng như tiện ích, dịch vụ phải được cài đặt trên server trước khi chạy SCW. Bởi vì khi áp dụng policy thì những ứng dụng được cài đặt sau đó sẽ không hoạt động đúng với yêu cầu, các cổng – Port có liên quan có thể bị tắt bỏ, do vậy SCW nên là bước thực hiện cuối cùng.

Và trước khi áp dụng 1 policy bất kỳ nào đó, hãy kiểm tra lại toàn bộ quá trình cài đặt trên server bằng cách đọc file log. Với server Edge Transport thì hệ thống sẽ hiển thị các thông báo khác lạ trong quá trình tạo policy so với các loại server khác, nhưng quy trình chung thì vẫn như vậy, không có gì khác.

Tạo policy Exchange dành cho SCW:

Để thực hiện việc này, chúng ta cần có quyền điều khiển cũng như truy cập ở mức cao nhất vào server. Nhấn Start > All Programs>Administrative Tools > Security Configuration Wizard để bắt đầu. Trong màn hình Welcome to the Security Configuration Wizard hiển thị tiếp theo, chúng ta chọn Next > Create a new security policyNext. Tại phần Select Server, nhập tên hoặc chỉ đường dẫn tới server để tạo policy sau đó nhấn Next như hình dưới. Server được chọn sẽ là nền tảng cơ bản của tất cả các policy được tạo sau đó, còn nếu trong trường hợp bạn có nhiều server cần xử lý thì chỉ cần thực hiện trên 1 server và áp dụng với tất cả các thành phần còn lại:

chọn server

Tại màn hình Process Security Configuration Database, hệ thống kiểm tra tổng thể toàn bộ server một lần nữa, chúng ta nhấn Next để tiếp tục:

nhấn Next

Sau đó, chọn Next tại phần Role-Based Service Configuration. Kiểm tra lại các role đã được lựa chọn tại màn hình Select Server Roles, ví dụ như hình dưới gồm có Client Access, Hub Transport, và Mailbox. Nhấn Next:

kiểm tra Role

Kiểm tra lại các tính năng đi kèm đã được cài đặt tại phần Select Client Features:

kiểm tra các tính năng

Và các tùy chọn tại màn hình Select Administration and Other Options:

các tùy chọn khác


Các dịch vụ đã được cài đặt trong phần Select Additional Services:

kiểm tra dịch vụ

Hệ thống sẽ hỏi người dùng muốn xử lý thế nào với các dịch vụ không rõ ràng hoặc không được chỉ định, chúng ta sẽ có 2 tùy chọn tại đây là: Do not change the startup mode of the serviceDisable the service. Các bạn hoàn toàn có thể thay đổi lại sau này:

tùy chọn áp dụng chế độ

Sau đó, hệ thống sẽ hiển thị danh sách các thay đổi sẽ được áp dụng khi policy đưa vào hoạt động. Các bạn nên tham khảo thật kỹ tại đây để tránh trường hợp nhầm lẫn có thể xảy ra, nhấn Next để tiếp tục:

các thay đổi sẽ được áp dụng

Khi tới phần Network Security, chúng ta có thể cấu hình và thiết lập port server với Firewall. Nhấn Next:

kiểm tra Network Security

Hệ thống sẽ hiển thị các cổng đang được sử dụng trong phần Open Ports and Approve Applications:

kiểm tra thông tin Port

Tại màn hình Confirm Port Configuration tiếp theo, các bạn kiểm tra lại có sự thay đổi nào so với màn trước đó hay không:

so sánh chức năng Port khi thay đổi

Chọn Next tại màn hình Registry Settings, đánh dấu check vào cả 2 ô All computers that connect to it satisfy the following minimum operating system requirementsIt has the surplus processor capacity that can be used to sign file and print traffic trong phần Require SMB Security Signatures:

tùy chọn Require SMB Security Signatures

Chọn check box Domain Accounts tại phần như hình dưới Outbound Authentication Methods:

chọn Domain Accounts

Tiếp theo, chọn Windows NT 4.0 Service Pack 6a or later trong phần Outbound Authentication using Domain Accounts, bỏ dấu check tại các ô khác nếu server này là domain controller và giữ vai trò FSMO rồi nhấn Next. Tại màn hình Registry Settings Summary tiếp theo, kiểm tra lại các thiết lập một lần nữa và chọn Next như hình dưới:


Phần Audit Policy của SCW sẽ thiết lập cách thức hoạt động, giám sát và kiểm tra của server Exchange, nhấn Next tại màn hình Audit Policy. Tiếp theo là phần System Audit Policy, các bạn tùy chọn phương án phù hợp nhất với hệ thống. Tuy nhiên, chúng ta không nên chọn phần Do not audit, vì các tùy chọn ở đây được sắp xếp theo thứ tự tăng dần, và tương tự với đó là server sẽ phải hoạt động nhiều hơn để ghi lại các sự kiện đã xảy ra. Sau đó nhấn Next:

tùy chọn Audit Policy

Khi tới màn hình Audit Policy Summary, kiểm tra lại các sự thay đổi tại đây và nhấn Next:

kiểm tra Audit Policy Summary

Chọn tiếp Next tại phần Internet Information Services, kiểm tra lại tất cả các dịch vụ có liên quan đã được lựa chọn tại màn hình Select Web Service Extensions for Dynamic Content. Đối với 1 server Exchange thông thường thì cần phải có ASP.NET v2.0.50727, Microsoft Exchange Client Access Server, và Microsoft Exchange Server, chọn Next để tiếp tục:

kiểm tra dịch vụ hỗ trợ trong phần Internet Information Services

Trong phần Select the Virtual Directories to Retain, các bạn hãy chọn thư mục ảo là 1 phần của ứng để cho phép. Ví dụ như trong hình dưới, chúng ta bỏ dấu check tại tất cả các ô:

tùy chọn Select the Virtual Directories to Retain

Tương tự như vậy, không chọn ô Deny Accessing Content tại màn hình Prevent Anonymous Users from Accessing Content Files, vì nếu đánh dấu thì hệ thống sẽ ngăn chặn việc truy cập tới một số tính năng khác như Outlook Web Access. Nhấn Next:

tùy chọn Deny Accessing Content

Khi chuyển tới phần IIS Settings Summary, các bạn kiểm tra lại các sự thay đổi sau khi được áp dụng sẽ như thế nào. Nếu chưa thấy thực sự vừa ý thì nhấn Back để thiết lập lại, sau đó nhấn Next:

thiết lập IIS Settings Summary

Tại màn hình Save Security Policy, các bạn đặt tên và thông tin mô tả ngắn gọn về policy này:

đặt tên cho policy

Tại thời điểm này, hệ thống sẽ hiển thị thông báo hỏi các bạn có muốn áp dụng policy ngay bây giờ hoặc sau đó, và việc áp dụng này sẽ cần phải khởi động lại hệ thống 1 lần. Chọn 1 trong 2 phương án và nhấn Next:

áp dụng policy

Nếu chọn Apply now thì hệ thống sẽ tiến hành áp dụng các sự thay đổi từ policy và server như hình dưới. Tiếp tục nhấn Next khi hoàn tất:

Nhấn Finish như hình dưới, tại thời điểm này hệ thống sẽ không tự khởi động lại mà chúng ta phải làm theo cách thủ công:

Sau đó, các bạn cần kiểm tra lại tất cả các dịch vụ, tính năng và ứng dụng mới được cài đặt có hoạt động đúng chức năng và theo như yêu cầu của chúng ta hay không, kiểm tra lại các file log nếu hệ thống xảy ra lỗi hoặc đưa ra thông tin cảnh báo, các dữ liệu email được gửi và nhận có chuẩn xác hay không... Trong phần sau của bài viết, chúng ta sẽ cùng nhau tìm hiểu cách thức áp dụng policy trên nhiều server khác nhau, cũng như quá trình phục hồi lại policy ban đầu. Chúc các bạn thành công!

Thứ Tư, 04/01/2012 13:02
52 👨 2.216
0 Bình luận
Sắp xếp theo