Thư tín di động Exchange 2003 (Phần 2): Khám phá sách bảo mật Trong phần loạt khám phá thư tín di động với Exchange 2003 thiết bị Windows Mobile 5.0 có cài đặt gói bảo mật thư tín, có nhìn gần với cơng nghệ DirectPush có Exchange 2003 SP2 Chúng ta biết thiết bị di động thiết bị dễ bị đánh bị đánh cắp Khi mà đồng thiết bị với mailbox, cần cách để bảo vệ thiết bị chúng ta, mục đích thơng tin liệu nhạy cảm bảo vệ an toàn Với Exchange 2003 SP2, bạn có khả cấu hình mã PIN bắt buộc yêu cầu mật Windows 5.0 Mobile Devices đồng với máy chủ Exchange tổ chức Ví dụ bạn cấu hình thiết bị u cầu mã PIN gồm số để người dùng cần phải nhập trước truy cập vào thiết bị Nếu người dùng nhập vào mã PIN sai lần cấu hình thiết lập bảo mật để tất liệu thiết bị xóa hết Lưu ý: Nếu bạn chưa thấy điều xem đoạn video sau trước tiếp tục đọc phần dưới, đoạn video minh chứng cho bạn thấy chức sách bảo mật thiết bị làm việc với chúng thực tế: Cấu hình sách bảo mật thiết bị Các sách bảo mật thiết bị cấu hình nhiều mục thiết bị di động, trang thuộc tính đối tượng Mobile Services Exchange System Manager (xem hình 1) Hình 1: Trang thuộct tính Mobile Services Exchange System Manager Khi kích chuột vào nút Device Security, bạn vào trang dùng để cấu hình thiết lập bảo mật (Hình 2) Hình 2: Device Security Settings Các thiết lập bảo mật thiết bị chung (chúng phải áp dụng riêng cho kết nối người dùng riêng lẻ đến máy chủ Exchange tổ chức bạn), bạn phải hiểu xác mục đích thiết lập Dưới liệt kê tất thiết lập với mơ tả chi tiết nó: Thiết lập bảo mật Mơ tả Mật bắt buộc Kích hoạt sách mật thiết bị Khơng có thiết lập bảo mật làm việc trước tính kích hoạt Chiều dài tối thiểu mật (kí tự) Kích hoạt tùy chọn để định chiều dài yêu cầu mật thiết bị người dùng Mặc định thiết lập ký tự Bạn định chiều dài từ đến 18 kí tự Yêu cầu số chữ Kích hoạt tùy chọn bạn muốn yêu cầu người dùng chọn mật có số chữ Tùy chọn khơng chọn mặc định Kích hoạt tùy chọn để định xem bạn có muốn Thời gian chờ đăng người dùng đăng nhập vào thiết bị sau thời nhập (phút) gian chờ đăng nhập hay không Tùy chọn không mặc định Nếu chọn, thiết lập mặc định phút Xóa thiết bị sau đăng nhập thất bại Kích hoạt tùy chọn để định xem bạn có muốn xóa hết nhớ thiết bị hay không sau nhiều lần đăng nhập bị thất bại Tùy chọn không chọn mặc đinh Nếu chọn, thiết lập mặc định lần Refresh thiết lập thiết bị (giờ) Kích hoạt tùy chọn để định khoảng thời gian định kỳ muốn gửi yêu cầu cho thiết bị Tùy chọn không lựa chọn mặc định Nếu chọn, thiết lập mặc định 24 Cho phép truy cập thiết bị không hỗ trợ đầy đủ thiết lập mật Chọn tùy chọn bạn muốn cho phép thiết bị khơng hỗ trợ đầy đủ tính bảo mật đồng với máy chủ Exchange Tùy chọn không chọn mặc định Nếu không chọn, thiết bị không cài đặt bảo mật đầy đủ (ví dụ, thiết bị khơng hỗ trợ dự phịng) nhận thơng báo lỗi 403 cố gắng đồng với Exchange Server Bảng 1: Mô tả thiết lập bảo mật Ngoài thiết lập bảng, bạn cịn có nút khác Exceptions (xem hình 3) Sau kích nút này, bạn định người dùng mà bạn muốn miễn thiết lập bạn cấu hình hộp thoại Device Security Settings Danh sách ngoại lệ hữu dụng bạn có số người dùng tin cậy (hay người quản lý), người thực không cần thiết lập bảo mật thiết bị Hình 3: Danh sách ngoại lệ bảo mật thiết bị Nên bảo đảm bạn không cấu hình sách bảo mật thiết bị q chặt chẽ nhớ người dùng số tình có vấn đề cần tiếp xúc với văn phịng CNTT thiết bị họ bị xóa Người dùng sử dụng số có chữ số (giữa số có thẻ tính dụng họ) việc yêu cầu số chữ số tình ý tưởng tốt Quả thực giải pháp tốt sử dụng số có kết hợp với thiết lập xóa thiết bị sau số lần thử thất bại Vị trí lưu trữ thiết lập bảo mật Vậy đâu nơi mà tất thiết lập bảo mật thiết bị lưu? Hầu hết tất giá trị cấu hình thiết lập bảo mật lưu Active Directory, cụ thể thuộc tính có tên gọi msExchOmaExtendedProperties, thuộc tính tìm thấy CN=Outlook Mobile Access,CN=Global Settings,CN=Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=com sử dụng công cụ ADSI Edit (xem hình 4) Hình 4: Vị trí thiết lập bảo mật thiết bị Active Directory Nếu chọn thuộc tính msExchOmaExtendedProperties kích nút Edit bạn vào hình Hình 5: Thuộc tính msExchOmaExtendedProperties Như bạn thấy, tất giá trị liên quan đến bảo mật thiết bị lưu chuỗi có tiền tố PolicyData Các giá trị mã hóa thẻ Vì khơng có ngồi XML blob, bạn dự trữ sách tùy chỉnh cách định giá trị yêu cầu theo định dạng XML tương tự hình Bạn thiết lập sách người dùng thơng qua GUI có cách để cấu hình thiết lập người dùng cấu hình thuộc tính msExchOmaExtendedProperties cho người dùng, có phải phương pháp thuận tiện? Microsoft đưa cách giúp bạn cấu hình thiết lập cho người dùng, sử dụng GPO phương pháp tương tự; vấn đề thiết lập khơng có trước phiên Exchange 12 RTM Các thiết bị di động Khi bạn cấu hình kích hoạt thiết lập bảo mật máy chủ hộp thoại hình xuất thiết bị suốt trình động với máy chủ Hình 6: Chính sách bảo mật thiết lập thiết bị Sau kích OK, bạn cần định, xác nhận mã PIN mật mà bạn muốn sử dụng Mã PIN mật cần phải nhập hàng ngày, thiết bị mở khóa sau đưa trình khởi động lại Nếu mật sai nhập vào, đưa trẻ nhà bạn chơi với thiết bị qn khóa bàn phím thiết bị để túi quần, bạn gặp thông báo đây: The password you typed is incorrect Please try again 1/5 attempts have been made (Mật bạn vừa nhập bị sai Xin vui lòng nhập lại 1/5 lần thử bạn thực hiện.) Phụ thuộc vào số lần cho phép nhập mật mà bạn định tùy chọn Wipe device after failed Device Security Settings (xem lại hình 2) Sau lần thử thứ hai thất bại bạn thông báo số mật sai nhập Để xác nhận lần thử đăng nhập khơng ấn nút tình cờ bạn yêu cầu nhập vào A1B2C3 tương tự (phụ thuộc vào nhà cung cấp di động cấu hình thiết kế chúng) Khi nhập vào kí tự bạn có tùy chọn định mật thiết bị lần Nếu số lý bạn lại nhập sai mật hộp thoại mật sai lại xuất Trước lần thử cuối bạn nhận thông báo tất thơng tin thiết bị bị xóa hết sau lần thử không thành công Tất nhớ thiết bị bị xóa hết, thiết bị reset lại trạng thái mặc định nhà sản xuất Ở xảy tình liệu thẻ nhớ thiết bị giữ nguyên vẹn Có thể bạn thắc mắc cách giải tốt không, theo cá nhân tơi điều làm cho hệ số rủi ro bảo mật lớn, đặc biệt bạn cấu hình lại thiết bị để lưu đính kèm email thẻ nhớ! Lưu ý: Nếu bạn biết thiết bị bị đánh cắp thực xóa liệu từ xa thiết bị, việc xóa thực Chúng ta nói sâu vấn đề phần Thay đổi mã PIN mật Nếu bạn muốn thay đổi mã PIN mật khẩu, kích Start > Settings > Lock Hình 7: Nút khóa trang Settings Bạn phải nhập vào mã PIN thời hay mật để truy cập thay đổi mật khẩu, thực xong điều đó, bạn thấy cửa sổ xuất hình bên Hình 8: Thay đổi mật thiết bị Rất thú vị thiết bị khóa mà kết nối đến máy tính cáp USB khơng thể truy cập, truy cập bạn gặp phải hộp thoại hình Hình 9: Kết nối thiết bị khóa với máy tính thơng qua USB Kết luận Trong viết bạn học cách làm thiết bị di động trở nên an toàn sử dụng tính bảo mật có Exchange 2003 SP2 Bạn thấy cách thiết lập bảo mật làm việc bên phía trình khách Tính thiết lập bảo mật rõ ràng cải thiện tuyệt vời nói đến bảo mật, nhiên chưa cung cấp bảo mật tối ưu liệu giữ thẻ nhớ khơng xóa Trong viết tiếp theo, giới thiệu cho bạn cách cài đặt công cụ quản trị Exchange Server ActiveSync Web Administration, cách bạn tiến hành xóa liệu từ xa thiết bị di động bị bị đánh cắp Phần 3: Cài đặt, quản trị sử dụng công cụ Microsoft Exchange Server ActiveSync Web Administration Phần 4: Truy cập GAL nhóm từ thiết bị di động GAL Lookup Văn Linh (Theo MsExchange) ... luận Trong viết bạn học cách làm thiết bị di động trở nên an tồn sử dụng tính bảo mật có Exchange 2003 SP2 Bạn thấy cách thiết lập bảo mật làm việc bên phía trình khách Tính thiết lập bảo mật. .. hình sách bảo mật thiết bị Các sách bảo mật thiết bị cấu hình nhiều mục thiết bị di động, trang thuộc tính đối tượng Mobile Services Exchange System Manager (xem hình 1) Hình 1: Trang thuộct tính... phương pháp tương tự; vấn đề thiết lập khơng có trước phiên Exchange 12 RTM Các thiết bị di động Khi bạn cấu hình kích hoạt thiết lập bảo mật máy chủ hộp thoại hình xuất thiết bị suốt trình động