Những bổ sung cho Exchange Server 2007 - Phần 3: Bảo vệ truy cập Email máy khách

Trước khi bắt đầu, các bạn hãy chú ý rằng bài này được dựa trên phiên bản beta của Windows Server 2008 và Exchange Server 2007 SP1, chính vì vậy mà một số tính năng rất có thể bị thay đổi hoặc gỡ bỏ trong các phiên bản cuối cùng của sản phẩm. Bài báo này sẽ giới thiệu một cách nhìn tổng quan mức cao về vấn đề bảo mật các kiểu email máy khách khác nhau như POP3, IMAP4, OWA và Outlook Anywhere (cũng được biết đến như RPC trên HTTP(S). POP3 POP3 (Post Office Protocol version 3)...
Nội dung trích xuất từ tài liệu:
Những bổ sung cho Exchange Server 2007 - Phần 3: Bảo vệ truy cập Email máy khách Những bổ sung cho Exchange Server 2007 - Phần 3: Bảo vệ truy cập Email máy khách Trước khi bắt đầu, các bạn hãy chú ý rằng bài này được dựa trên phiên bản beta của Windows Server 2008 và Exchange Server 2007 SP1, chính vì vậy mà một số tính năng rất có thể bị thay đổi hoặc gỡ bỏ trong các phiên bản cuối cùng của sản phẩm. Bài báo này sẽ giới thiệu một cách nhìn tổng quan mức cao về vấn đề bảo mật các kiểu email máy khách khác nhau nh ư POP3, IMAP4, OWA và Outlook Anywhere (cũng được biết đến như RPC trên HTTP(S). POP3 POP3 (Post Office Protocol version 3) là một giao thức tương đối cũ có nhiệm vụ lấy email từ một máy chủ mail nh ư Exchange Server. Trước đây với Exchange Server 2003, Exchange h ỗ trợ POP3 nhưng giao thức này đã được vô hiệu hóa một cách mặc định. Điều đó cũng t ương tự với Exchange Server 2007, chính vì vậy bạn phải thay đổi kiểu startup của giao thức này thành Automatic. Một trong những thay đổi quan trọng trong truy cập Exchange Server 2007 POP3 là nó không được mã hóa các session. Exchange Server 2007 sử dụng một chứng chỉ gán c ùng loại để bảo vệ việc truyền tải các th ư tín. Chính vì đó mà bạn phải cấu hình máy khách email để có thể truy cập Exchange Server trên m ột kết nối an toàn. Bạn cũng nên gỡ bỏ chứng chỉ này sau khi cài đặt Exchange bằng chứng chỉ tin cậy từ một trung tâm thẩm định chứng chỉ CA hoặc bằng một chứng chỉ từ CA của nhóm thứ ba tin cậy. Để cấu hình truy cập POP3, bạn phải sử dụng Exchange Management Shell (EMS). Bắt đầu với Exchange Server 2007 SP1, các th ành phần quản lý POP3 sẽ là nằm trong Exchange Management Console (EMC). IMAP4 IMAP4 (Internet Message Access Protocol version 4) c ũng là một giao thức tương đối cũ. IMAP4 so với POP3 có một số nâng cao h ơn hẳn. Bắt đầu với Exchange Server 2003, Exchange hỗ trợ IMAP 4 nhưng giao thức này mặc định bị vô hiệu hóa. Điều n ày cũng được thực hiện trong Exchange Server 2007, chính vì vậy bạn phải thay đổi kiểu khởi động của giao thức này thành Automatic. Một trong những thay đổi quan trọng trong việc truy cập IMAP4 của Exchange Server 2007 là không được mã hóa các session. Exchange Server 2007 sử dụng một chứng chỉ được gán như nhau để bảo vệ việc truyền dẫn thư tín. Chính vì vậy bạn phải cấu hình máy khách email để có thể truy cập Exchange Server trên kết nối an toàn. Các cổng được sử dụng bởi POP3 và IMAP4 Cổng mặc Giao thức định IMAP4/SSL 993 (TCP) IMAP4 có hoặc không 143 (TCP) có TLS POP3/SSL 995 (TCP) POP3 có hoặc không có 110 (TCP) TLS Bảng 1 OWA Outlook Web Access (OWA) được bảo vệ một cách mặc định. Nh ư bất kỳ các dịch vụ máy khách của Exchange, Outlook Web Access cũng đ ược bảo vệ bằng một chứng chỉ được gán như nhau và việc truy cập HTTPS được kích hoạt một cách mặc định. Tuy nhiên với tài khoản Administrator thì nên sử dụng chứng chỉ của chính nó cho việc truy cập OWA từ một Certificate Authority (CA) bên trong được tin cậy hoặc từ một CA của nhóm thứ ba tin cậy. Exchange Server 2007 Outlook Web Access có một số thiết lập bảo mật bổ sung. Một số trong các thiết lập bảo mật này là phần của gói bảo mật Outlook Web Access bổ sung như đã được giới thiệu trong Exchange Server 2003. Hầu hết các thiết lập của công cụ n ày (và một số thiết lập bổ sung) hiện được cung cấp một cách mặc định trong Exchange Server 2007. Ngo ài ra Exchange Server 2007 còn có m ột số tính năng bảo mật: Chia đoạn Outlook Web Access  Phiên bản dành cho máy khách đầy đủ và một phần  Hạn chế truy cập vào Outlook Web Access đối với một số người dùng  nào đó Tùy chỉnh việc tích hợp Microsoft Office Sharepoint  Kiểm soát Direct Access đối với vấn đề chia sẻ máy chủ file.  Khóa truy cập đối với các kiểu file nào đó.  Outlook Anywhere Outlook Anywhere, trước đây được biết đến với tên RPC trên HTTPS trong phiên bản Exchange Server 2003, tính năng này cung cấp cách truy cập một cách đầy đủ nhất của Outlook 2007 trên HTTPS từ bên ngoài c ủa mạng. Do việc bảo mật Outlook Anywhere cũng t ương tự với OWA nên chúng tôi sẽ không giới thiệu chi tiết hơn nữa về tính năng này. Exchange Active Sync (EAS) Exchange Active Sync cho phép truy cập vào email và m ột số vấn đề khác đối với các máy di động nh ư Smartphones, PDAs (Personal Digital Assistants) và điện thoại di động. EAS đ ược kích hoạt mặc định và bạn hoàn toàn có thể cấu hình thiết lập của nó bằng các chính sách của Exc hange Active Sync. Với sự trợ giúp của các chính sách n ày, bạn có thể thực hiện những thiết lập d ưới đây: Yêu cầu mật khẩu cho các máy di động  Yêu cầu mật khẩu vừa có chữ vừa có số  Cho phép hoặc không cho phép download các file đính k èm  Cho phép truy cập vào tài liệu các dịch vụ Windows Sharepoint  Cho phép xóa các thiết bị bị mất hoặc bị đánh cắp  Kích hoạt vấn đề mã hóa thiết bị  ISA Server 2006 Bạn có thể sử dụng ISA Server 2006 (Internet Security and Acceleration Server) để cung cấp thêm một lớp bảo mật bổ sung cho vấn đề truy cập của Exchange Server 2007 bằng Outlook Web Access (OWA), Outlook Anywhere và Exchange Active Sync (EAS). Với sự trợ giúp của ISA Server 2006 bạn hoàn toàn có thể công bố một cách an toàn tất cả các máy khách Exchange Server này. ISA Server 2006 cho phép tăng thêm đ ộ bảo mật trong các kiểu HTTPS đến HTTP Bridging, Link Inspection, Content filtering, tiền chứng thực người dùng…. Quản lý bản vá Bạn cần phải cập nhật th ường xuyên vấn đề ...