Những tính năng bảo mật của OWA (P.1)

Trong phần 1 của loạt bài viết này chúng ta đã tìm hiểu vị trí mạng của Client Access Server và phương pháp Exchange 2007 sử dụng giấy phép để bảo mật Outlook Web Access (OWA). Trong phần hai này chúng ta sẽ chúng ta sẽ đi sâu tìm hiểu các phương pháp xác thực OWA khác nhau và một số chú ý khi lựa chọn một phương pháp phù hợp. Thẩm định quyền trong OWA – Forms-based Authentication Trong Exchange 2007, chúng ta có thể lựa chọn giữa phương pháp Forms-based Authentication (FBA - thẩm định quyền nền tảng...
Nội dung trích xuất từ tài liệu:
Những tính năng bảo mật của OWA (P.1) Những tính năng bảo mật của OWA (P.1) Trong phần 1 của loạt bài viết này chúng ta đã tìm hiểu vị trí mạng của Client Access Server và phương pháp Exchange 2007 sử dụng giấy phép để bảo mật Outlook Web Access (OWA). Trong phần hai này chúng ta sẽ chúng ta sẽ đi sâu tìm hiểu các phương pháp xác thực OWA khác nhau và một số chú ý khi lựa chọn một phương pháp phù hợp. Thẩm định quyền trong OWA – Forms-based Authentication Trong Exchange 2007, chúng ta có thể lựa chọn giữa phương phápForms-based Authentication (FBA - thẩm định quyền nền tảng Form) và một nhóm phương phápxác thực khác theo các phương pháp thẩm định chuẩn. Một cải tiến bảo mật khác trong Exchange2007 là FBA được mặc định sử dụng cho OWA, sau đây chúng ta sẽ khám phá phương pháp nàysau đó trở lại với những phương pháp thẩm định chuẩn. Để xem các phương pháp thẩm địnhquyền chúng ta cần mở hộp thoại thuộc tính Properties của thư mục ảo /owa trong ExchangeManagement Console rồi chọn tab Authentication. Khi đó chúng ta sẽ thấy một hộp thoại xuấthiện như trong hình 1. Hình 1: Các phương pháp xác thực.FBA lần đầu tiên được giới thiệu trong Exchange 2003 và cho phép hiển thị một trang đăng nhậpngoài thông báo xác thực cơ bản chỉ yêu cầu nhập tên người dùng và mật khẩu. Trang đăng nhậpnày làm tăng khả năng bảo mật vì tên và mật khẩu đăng nhập của người dùng được lưu như mộtcookie thay vì lưu ngay trong OWA. Có hai lợi ích chính từ việc xác thực qua cookie. Thứ nhất,cookie này sẽ được xóa khi phiên OWA kết thúc, thứ hai, cookie này cũng sẽ được xóa sau mộtkhoảng thời gian không thao tác được khai báo trước, như khi người dùng tạm thời rời khỏi bànlàm việc. Ngoài ra, thời hạn này còn có thể được cấu hình cho cả máy tính cá nhân và công cộng.Nói cách khác, một thời hạn khác nhau có thể áp dụng cho các máy trạm của công ty. Thời hạnkhông thao tác giúp tăng cường bảo mật vì phiên OWA không thể được thực hiện khi cookie đãhết hạn. Hình 2 hiển thị hai tùy chọn mà người dùng có thể lựa chọn trên màn hình FBA để kiểmsoát máy trạm đang được sử dụng dù là máy tính công cộng hay cá nhân. Hình 2: Cácc tùy chọn bảo mật của FBA.Mặc định, khi lựa chọn tùy chọn máy tính công cộng (public computer) thì phiên làm việc sẽ kếtthúc sau 15 phút nếu không có thao tác nào được thực hiện, tuy nhiên chúng ta có thể thay đổigiá trị này bằng cách bổ sung hay hiệu chỉnh key registry sau trên Client Access Server trong đóFBA đã được kích hoạt:Key:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSExchangeOWAName: PublicTimeoutType: DWORDValue: {number of minutes}Chúng ta có thể thấy key registry này trong hình 3. Lưu ý rằng sau khi thay đổi chúng ta sẽ phảikhởi động lại Internet Information Services (IIS) trên Client Access Server. Để rút ngắn tiếntrình này chúng ta chỉ cần mở Command Prompt rồi nhập lệnh iisreset /noforce. Hình 3: Key registry Timeout của máy tính công cộng.Còn khi lựa chọn tùy chọn máy tính cá nhân (private computer) thì mặc định thời hạn 8 giờkhông thao tác sẽ được cho phép trước khi phiên làm việc hết hạn, rõ ràng thời hạn này lâu hơnnhiều so với thời hạn trong tùy chọn của máy tính công cộng. Chúng ta cũng có thể thay đổi thờihạn này trong một key registry tương tự:Key:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSExchangeOWAName: PrivateTimeoutType: DWORDValue: {number of minutes}Cần nhớ rằng với những thời hạn này không phải là con số chính xác và sẽ có một dung sai nhấtđịnh trên các giá trị được sử dụng. Microsoft cho biết thời hạn thực sẽ dao động trong khoảng 1đến 1.5 lần giá trị cài đặt do phương pháp mà Client Access Server quay vòng qua các key mãhóa. Do đó chúng ta cần phải lưu ý điều này khi kiểm thử thời hạn trong OWA. Ngoài ra, nếu sửdụng ISA Server để kết nối OWA ngoài, thì chúng ta cần cài đặt những giá trị thời hạn tương tựtrong ISA Server cho phù hợp với người dùng.Trong hình 2, chúng ta thấy màn hình FBA đang mở. Trên màn hình này người dùng phải cungcấp thông tin đăng nhập trong định dạng domainusername (cài đặt mặc định). Chúng ta có thểthay đổi thông báo đăng nhập để chỉ yêu cầu nhập tên người dùng, hay User Principal Name(UPN – Tên thật của người dùng). Tuy nhiên trước khi thực hiện điều này chúng ta cần tính đếncác vấn đề bảo mật.Nếu muốn thay đổi thông báo đăng nhập chỉ yêu cầu tên người dùng, thì chúng ta có thể thựchiện qua Exchange Management Console hay Exchange Management Shell. Trong ExchangeManagement Console, mở hộp thoại thuộc tính Properties của thư mục ảo /owa rồi chọn tabAuthentication (hình 1). Tại đây chúng ta có thể lựa chọn kiểu thẩm định quyền FBA phù hợpvới yêu cầu. Trong Exchange Manage ...