Những bổ sung cho Exchange Server 2007 - Phần 2: Bảo vệ mặc định Trước khi bắt đầu, hãy chú ý rằng bài này được dựa trên phiên bản Beta của Windows Server 2008 và Exchange Server 2007 SP1 chính vì vậy nó có thể sẽ có một số tính năng bị thay đổi hoặc được bỏ đi trong các phiên bản cuối cùng của sản phẩm. Việc tính toán đáng tin cậy Microsoft nói rằng Exchange Server 2007 là một thiết kế dành cho bảo mật. Exchange 2007 được thiết kế và được phát triển theo một nguyên tắc chặt chẽ của chu trình phát triển phần mềm tính toán với độ bảo mật được tin cậy cao - Trustworthy Computing Security Development Lifecycle (TWC), chu trình này được đưa ra lần đầu tiên vào tháng 10 năm 2002. Cùng với thời gian, Microsoft đã thay đổi rất nhiều bên trong chu trình phát triển này và các cải thiện có liên quan đến vấn đề bảo mật được xây dựng trong Exchange Server 2007. Microsoft nói rằng Exchange Server 2007 có nhiều ưu điểm bảo mật hơn các phiên bản Exchange trước đó của Microsoft. Bảo mật mặc định Microsoft đã cố gắng bảo vệ Exchange Server 2007 bằng các công nghệ bảo mật đang tồn tại. Mộtmục tiêu trong kế hoạch bảo mật là mỗi bit lưu lượng quan trọng sẽ đều được mã hóa một cách mặc định. Ngoại trừ với các vấn đề truyền thông Server Message Block (SMB) cluster và một số truyền thông hợp nhất thư tín Unified Messaging (UM), Microsoft đã đạt được mục tiêu này. Exchange Server 2007 là hệ thống thư tín đầu tiên của Microsoft mà người dùng có thể sử dụng các chứng chỉ tự ký. Thêm vào đó, Exchange Server 2007 sử dụng Kerberos cho các vấn đề truyền thông đặc biệt, Secure Sockets Layer (SSL) và các công nghệ mã hóa khác. Chứng chỉ Exchange 2007 sử dụng các chứng chỉ X.509 để thiết lập Transport Layer Security (TLS) an toàn và các kênh truyền tải Secure Sockets Layer (SSL) cho việc truyền thông giữa các giao thức như HTTPS, SMTP, IMAP4 và POP3. Lưu ý: Truy cập POP3 và SMTP bị vô hiệu hóa một cách mặc định giống như trong các phiên bản trước của Exchange Server. Exchange Server 2007 sử dụng các chứng chỉ cho một vài thành phần. SMTP Các chứng chỉ được sử dụng cho việc mã hóa và chứng thực cho Domain Security (điểm mới trong Exchange Server 2007) giữa các tổ chức Exchange khác nhau. Các chứng chỉ này được sử dụng để bảo vệ các kết nối giữa các máy chủ Hub Transport và Edge Transport. Mỗi một truyề n thông SMTP giữa các máy chủ Hub Transport đều được mã hóa. Đồng bộ EdgeSync Exchange Server 2007 sử dụng chứng chỉ tự ký để mã hóa vấn đề truyền thông LDAP giữa trường hợp ADAM của các máy chủ Edge Transport và máy chủ Active Directory bên trong, trên đó dịch vụ Microsoft Exchange EdgeSync truyền thông với Active Directory để tái tạo các thông tin Active Directory đối với trường hợp ADAM trên máy chủ Edge Transport. POP3 và IMAP4 Exchange Server 2007 sử dụng các chứng chỉ để chứng thực và mã hóa mỗi session giữa Post Office Protocol version 3 (POP3) và các các máy khách Internet Message Access Protocol version 4 (IMAP4) và Exchange Server 2007. Thư tín hợp nhất (Unified Messaging) Các chứng chỉ được sử dụng để mã hóa session SMTP cho các máy chủ Hub Transport và cho Unified Messaging (UM) IP gateway. AutoDiscover Các chứng chỉ được sử dụng để mã hóa sự truyền thông giữa máy khách và máy chủ truy cập client - Client Access Server (CAS). Các ứng dụng truy cập client Exchange Server 2007 sử dụng các chứng chỉ để mã hóa sự truyền thông giữa Client Access Server và các client như Outlook 2007 (Outlook Anywhere aka RPC trên HTTPS), Microsoft Outlook Web Access (OWA) và Exchange ActiveSync. Với mục đích bảo mật, Microsoft khuyên người dùng nên sử dụng các chứng chỉ được tạo bởi chính quyền chứng ch ỉ bên trong của chính bản thân họ hoặc của nhóm chứng chỉ thuộc nhóm thứ ba trong thương mại nếu trong trường hợp bạn có nhiều client truy cập Exchange Server 2007 từ các máy tính thành viên không trong miền. Bộ kết nối thư tín Exchange Server 2007 sử dụng một số bộ kết nối (connector) để tiếp sóng cho lưu lượng từ nguồn tới máy chủ đích. Exchange Server 2007 sử dụng hai kiểu connector khác nhau. Một cho lưu lượng đi vào, cách này có thể được cấu hình trên mỗi Exchange Server 2007 và một số connector cho lưu lượng mail đi ra. Exchange Server 2007 hỗ trợ rất nhiều cơ chế chứng thực khác nhau để bảo vệ sự truyền tải thư tín, hay bảo vệ sự chứng thực hoặc cả hai. Bạn có thể sử dụng: • Bảo mật lớp truyền tải - Transport Layer Security (TLS). • Bảo mật miền - Domain Security (Mutual Auth. TLS). • Chứng thực cơ bản sau khi bắt đầu TLS. • Chứng thực máy Exchange Server. • Chứng thực Windows tích hợp Hình 1: Chứng thực Connector Microsoft Edge Transport Server Microsoft Edge Transport Server là một role phải được cài đặt trên Windows Server 2003 hoặc Windows Server 2008. Các máy chủ Edge Transport là máy chủ tiếp sóng thư tín và thêm vào đó chúng cung cấp chức năng chống spam tích hợp và chức năng chống virus của Microsoft Forefront Edge Security hoặc của các sản phẩm nhóm thứ. Microsoft Edge Transport Server được cài đặt vào nhóm làm việc của Windows và không phải là một thành phần của một miền. Edge Transport Server sử dụng AD/AM (Active Directory Application Mode) để đồng bộ dữ liệu Active Directory có liên quan với Edge Transport Server. Tiến trình đồng bộ được gọi là Edge sync. Edge Transport Server cung cấp một số tính năng dưới đây: • Content Filtering • IP Allow and Block List Provider • Sender Filtering • Sender Reputation • SMTP Tarpiting Và một số tính năng khác nữa. Hình 2: Edge Server Anti Spam Microsoft Forefront Microsoft Forefront là một giải pháp chống virus và spam của Microsoft, đây là giải pháp được cung cấp cho các sản phẩm của Microsoft như Exchange Server 2007, Microsoft Sharepoint Portal Server, Microsoft Windows clients và các sản phẩm khác. Một giải pháp cho Microsoft Exchange là Microsoft Forefront Edge Security. Bạn có thể sử dụng Forefront Edge Security trên Microsoft Edge Transport Server và Hub Transport Servers, tuy nhiên tốt hơn hết bạn nên sử dụng Forefront Edge Server Security trong DMZ trên các máy chủ Microsoft Edge Transport. Các chức năng của bảo mật Microsoft Forefront • Cung cấp sự bảo mật lớp thông qua Multiple Scan Engine Management để bảo vệ các hệ thống thư tín. • Cung cấp các tùy chọn cho việc quét một cách tinh vi với nhiều bổ sung và linh động: • Quét “trong bộ nhớ“ để tối thiểu hóa sự ảnh hưởng trên các máy chủ Exchange nhằm bảo đảm sự tối ưu và hiệu quả. • Quét theo yêu cầu, lập lịch trình và thời gian thực đối với các nhóm lưu trữ và cơ sở dữ liệu. • Bảo vệ toàn bộ cho Outlook Web Access. • Quét SMTP và Exchange Information Store để củng cố vấn đề bảo vệ và hiệu lực. • Quét thư tín MTA cho tất cả các thư tín được định tuyến qua Exchange MTA Connectors (X.400, MS Mail, CC Mail, …). • Có cả tích hợp API quét virus được Microsoft cho phép trong Exchange 2000 và 2003. • Tối thiểu hóa spam gây ra worm và bảo vệ thông tin lưu trữ thông qua Forefront Worm Purge. • Nhận dạng tất cả các thư tín có các đính kèm không tin cậy thông qua các nguyên tắc lọc file linh hoạt. • Loại trừ các đính kèm đã bị tiêm nhiễm vào một kho chứa an toàn với Forefront Quarantine Manager. • Tự động upload các chữ ký virus mới nhất. • Thông báo cho các quản trị viên về những tai nạn về virus hoặc các sự kiện thông qua email, blog sự kiện. • Có nhiều từ chối tùy chỉnh cho các thư tín đi ra dựa trên người gửi, người nhận và tập các thông tin tên miền bởi các quản trị viên. Hình 3: Bảo mật Microsoft Forefront Tiện ích cấu hình bảo mật - SCW (Windows Server 2003 SP1) Exchange 2007 cung cấp một mẫu SCW cho mỗi role của máy chủ Exchange 2007. Bằng cách sử dụng mẫu này với SCW, bạn có thể cấu hình Windows Server 2003 để khóa các dịch vụ và cổng không cần thiết cho mỗi role của máy chủ Exchange. Khi sử dụng Security Configuration Wizard, bạn có thể tạo một file XML mẫu để sử dụng giúp bảo vệ cho máy chủ này và cả các máy chủ khác. Hình 4: Security Configuration Wizard Do SCW được giới thiệu lần đầu tiên trong Windows Server 2003 SP1 – trước Exchange Server 2007 là RTM, bạn phải kích hoạt CSW để cấu hình Exchange Server 2007. Exchange Server 2007 có hai file cấu hình SCW cần phải cài đặt trên máy chủ nơi muốn chạy nó. Với Hub Transport server scwcmd register /kbname:Ex2007KB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007.xml Với Edge Transport server scwcmd register /kbname:Ex2007EdgeKB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\ Exchange2007Edge.xm Kết luận Trong phần này, chúng tôi đã giới thiệu cho các bạn về cách Exchange Server 2007 an toàn được như thế nào, Edge Transport Servers là gì và các kỹ thuật Anti Spam và Antivirus có thể cải tiế n hơn nữa vấn đề bảo mật như thế nào. Trong phần ba của loạt bài này chúng tôi sẽ tiếp tục giới thiệu cho các bạn cách bảo đảm việc truy cập client đối với Exchange Server 2007 và một số thay đổi hình cần thiết trong cấu hình Exchange Server 2007. Những bổ sung cho Exchange Server 2007 - Phần 3: Bảo vệ truy cập Email máy khách Trước khi bắt đầu, các bạn hãy chú ý rằng bài này được dựa trên phiên bản beta của Windows Server 2008 và Exchange Server 2007 SP1, chính vì vậy mà một số tính năng rất có thể bị thay đổi hoặc gỡ bỏ trong các phiên bản cuối cùng của sản phẩm. Bài báo này sẽ giới thiệu một cách nhìn tổng quan mức cao về vấn đề bảo mật các kiểu email máy khách khác nhau như POP3, IMAP4, OWA và Outlook Anywhere (cũng được biết đến như RPC trên HTTP(S). POP3 POP3 (Post Office Protocol version 3) là một giao thức tương đối cũ có nhiệm vụ lấy email từ một máy chủ mail như Exchange Server. Trước đây với Exchange Server 2003, Exchange hỗ trợ POP3 nhưng giao thức này đã được vô hiệu hóa một cách mặc định. Điều đó cũng tương tự với Exchange Server 2007, chính vì vậy bạn phải thay đổi kiểu startup của giao thức này thành Automatic. Một trong những thay đổi quan trọng trong truy cập Exchange Server 2007 POP3 là nó không được mã hóa các session. Exchange Server 2007 sử dụng một chứng chỉ gán cùng loại để bảo vệ việc truyền tải các thư tín. Chính vì đó mà bạn phải cấu hình máy khách email để có thể truy cập Exchange Server trên một kết nối an toàn. Bạn cũng nên gỡ bỏ chứng chỉ này sau khi cài đặt Exchange bằng chứng chỉ tin cậy từ một trung tâm thẩm định chứng chỉ CA hoặc bằng một chứng chỉ từ CA của nhóm thứ ba tin cậy. Để cấu hình truy cập POP3, bạn phải sử dụng Exchange Management Shell (EMS). Bắt đầu với Exchange Server 2007 SP1, các thành phần quản lý POP3 sẽ là nằm trong Exchange Management Console (EMC). IMAP4 IMAP4 (Internet Message Access Protocol version 4) cũng là một giao thức tương đối cũ. IMAP4 so với POP3 có một số nâng cao hơn hẳn. Bắt đầu với Exchange Server 2003, Exchange hỗ trợ IMAP4 nhưng giao thức này mặc định bị vô hiệu hóa. Điều này cũng được thực hiện trong Exchange Server 2007, chính vì vậy bạn phải thay đổi kiểu khởi động của giao thức này thành Automatic. Một trong những thay đổi quan trọng trong việc truy cập IMAP4 của Exchange Server 2007 là không đượ c mã hóa các session. Exchange Server 2007 sử dụng một chứng chỉ được gán như nhau để bảo vệ việc truyền dẫn thư tín. Chính vì vậy bạn phải cấu hình máy khách email để có thể truy cập Exchange Server trên kết nối an toàn. Các cổng được sử dụng bởi POP3 và IMAP4 Giao thức Cổng mặc định IMAP4/SSL 993 (TCP) IMAP4 có hoặc không có TLS 143 (TCP) POP3/SSL 995 (TCP) POP3 có hoặc không có TLS 110 (TCP) Bảng 1 OWA Outlook Web Access (OWA) được bảo vệ một cách mặc định. Như bất kỳ các dịch vụ máy khách của Exchange, Outlook Web Access cũng được bảo vệ bằng một chứng chỉ được gán như nhau và việc truy cập HTTPS được kích hoạt một cách mặc định. Tuy nhiên với tài khoản Administrator thì nên sử dụng chứng chỉ của chính nó cho việc truy cập OWA từ một Certificate Authority (CA) bên trong được tin cậy hoặc từ một CA của nhóm thứ ba tin cậy. Exchange Server 2007 Outlook Web Access có một số thiết lập bảo mật bổ sung. Một số trong các thiết lập bảo mật này là phần của gói bảo mật Outlook Web Access bổ sung như đã được giới thiệu trong Exchange Server 2003. Hầu hết các thiết lập của công cụ này (và một số thiết lập bổ sung) hiện được cung cấp một cách mặc định trong Exchange Server 2007. Ngoài ra Exchange Server 2007 còn có một số tính năng bảo mật: • Chia đoạn Outlook Web Access • Phiên bản dành cho máy khách đầy đủ và một phần • Hạn chế truy cập vào Outlook Web Access đối với một số người dùng nào đó • Tùy chỉnh việc tích hợp Microsoft Office Sharepoint • Kiểm soát Direct Access đối với vấn đề chia sẻ máy chủ file. • Khóa truy cập đối với các kiểu file nào đó. Outlook Anywhere Outlook Anywhere, trước đây được biết đến với tên RPC trên HTTPS trong phiên bản Exchange Server 2003, tính năng này cung cấp cách truy cập một cách đầy đủ nhất của Outlook 2007 trên HTTPS từ bên ngoài của mạng. Do việc bảo mật Outlook Anywhere cũng tương tự với OWA nên chúng tôi sẽ không giới thiệu chi tiết hơn nữa về tính năng này. Exchange Active Sync (EAS) Exchange Active Sync cho phép truy cập vào email và một số vấn đề khác đố i với các máy di động như Smartphones, PDAs (Personal Digital Assistants) và điện thoại di động. EAS được kích hoạt mặc định và bạn hoàn toàn có thể cấu hình thiết lập của nó bằng các chính sách của Exchange Active Sync. Với sự trợ giúp của các chính sách này, bạn có thể thực hiện những thiết lập dưới đây: • Yêu cầu mật khẩu cho các máy di động • Yêu cầu mật khẩu vừa có chữ vừa có số • Cho phép hoặc không cho phép download các file đính kèm • Cho phép truy cập vào tài liệu các dịch vụ Windows Sharepoint • Cho phép xóa các thiết bị bị mất hoặc bị đánh cắp • Kích hoạt vấn đề mã hóa thiết bị ISA Server 2006 Bạn có thể sử dụng ISA Server 2006 (Internet Security and Acceleration Server) để cung cấp thêm một lớp bảo mật bổ sung cho vấn đề truy cập của Exchange Server 2007 bằng Outlook Web Access (OWA), Outlook Anywhere và Exchange Active Sync (EAS). Với sự trợ giúp của ISA Server 2006 bạn hoàn toàn có thể công bố một cách an toàn tất cả các máy khách Exchange Server này. ISA Server 2006 cho phép tăng thêm độ bảo mật trong các kiểu HTTPS đến HTTP Bridging, Link Inspection, Content filtering, tiền chứng thực người dùng…. Quản lý bản vá Bạn cần phải cập nhật thường xuyên vấn đề về các máy khách Messaging và hệ điều hành mà nó đang chạy. Bạn nên sử dụng WSUS (Windows Server Updates Services) hoặc một phần mềm quản lý bản vá nào đó để trợ giúp cho công việc này. Anti-SPAM Exchange Server 2007 có thể được tích hợp các tính năng chống spam cho role Hub Transport Server và role Edge Transport Server. Bạn phải kích hoạt các tính năng chống spam trên Hub Transport Server thông qua Exchange Management Shell (EMS). Exchange Server 2007 cung cấp các tính năng chống spam dưới đây: • Sự kết hợp các danh sách bộ lọc Junk mail của Outllook • Dịch vụ IP Reputation • Thông tin người gửi • ID người gửi • Lọc mail thông qua địa chỉ mail gửi đến • Ngăn chặn thư rác • Lọc mail theo nội dung • SMTP Tarpitting Bạn có thể sử dụng Forefront Edge Security để cung cấp thêm một số tính năng chống spam bổ sung khác. Antivirus Bạn nên sử dụng bộ quét chống virus trình khách đề có thể quét các file truy cập theo yêu cầu như Forefront Client Security. Trên trình chủ, bạn nên sử dụng một giải pháp chống virus trung tâm như Microsoft Forefront Edge Security mà đã được chúng tôi đề cập đến trong phần thứ hai của loạt bài này. Kết luận Trong phần ba của lo ạt bài này, chúng tôi đã giới thiệu cho các bạn về cách bảo mật vấn đề truy cập máy khách thông qua POP3, IMAP4, OWA và Outlook Anywhere. Bạn đọc cần lưu ý rằng bài viết này không tập trung vào tất cả các nâng cao bảo mật và các tính năng bảo mật mới trong Exchange Server 2007 mà nội dung đó sẽ được chúng tôi giới thiệu trong một bài khác.  . số thay đổi hình cần thiết trong cấu hình Exchange Server 20 07. Những bổ sung cho Exchange Server 20 07 - Phần 3: Bảo vệ truy cập Email máy khách Trước. Server 20 03 SP1 – trước Exchange Server 20 07 là RTM, bạn phải kích hoạt CSW để cấu hình Exchange Server 20 07. Exchange Server 20 07 có hai file cấu hình