Thư tín di động trong Exchange 2003 (Phần 2): Khám phá các chính sách bảo mật

Trong phần 1 của loạt bài khám phá thư tín di động với Exchange 2003 và các thiết bị Windows Mobile 5.0 có cài đặt gói bảo mật và thư tín, chúng ta đã có một cái nhìn gần hơn với công nghệ DirectPush mới này có trong Exchange 2003 SP2. Chúng ta đều biết rằng các thiết bị di động là thiết bị rất có thể dễ bị đánh mất hoặc bị đánh cắp. Khi mà đồng bộ các thiết bị với mailbox, thì cần một cách nào đó để bảo vệ các thiết bị của chúng ta,...
Nội dung trích xuất từ tài liệu:
Thư tín di động trong Exchange 2003 (Phần 2): Khám phá các chính sách bảo mật Thư tín di động trong Exchange 2003 (Phần 2): Khám phá các chính sách bảo mật Trong phần 1 của loạt bài khám phá thư tín di đ ộng với Exchange 2003 và các thiết bị Windows Mobile 5.0 có c ài đặt gói bảo mật và thư tín, chúng ta đã có một cái nhìn gần hơn với công nghệ DirectPush mới này có trong Exchange 2003 SP2. Chúng ta đều biết rằng các thiết bị di động là thiết bị rất có thể dễ bị đánh mất hoặc bị đánh cắp. Khi mà đồng bộ các thiết bị với mailbox, thì cần một cách nào đó để bảo vệ các thiết bị của chún g ta, mục đích cũng là để cho các thông tin và dữ liệu nhạy cảm có thể đ ược bảo vệ an toàn. Với Exchange 2003 SP2, bạn có khả năng cấu hình mã PIN bắt buộc hoặc yêu cầu mật khẩu đối với Windows 5.0 Mobile Devices đ ồng bộ với máy chủ Exchange trong tổ chức. Ví dụ bạn có thể cấu hình thiết bị yêu cầu mã PIN gồm 4 số để người dùng cần phải nhập trước khi truy cập vào thiết bị. Nếu người dùng nhập vào mã PIN sai 4 lần thì có thể cấu hình thiết lập bảo mật để tất cả dữ liệu trên thiết bị đó được xóa hết. Lưu ý: Nếu bạn chưa từng thấy điều đó thì hãy xem đoạn video sau trước khi tiếp tục đọc phần dưới, đoạn video này sẽ minh chứng cho bạn thấy đ ược chức năng của các chính sách bảo mật thiết bị và làm việc với chúng như thế nào trong thực tế: Cấu hình chính sách bảo mật thiết bị Các chính sách bảo mật thiết bị được cấu hình trong nhiều mục như nhau trên thiết bị di động, dưới đây là trang thuộc tính của đối t ượng Mobile Services trong Exchange System Manager (xem hình 1). Hình 1: Trang thuộct tính của Mobile Services trong Exchange System Manager Khi kích chuột vào nút Device Security, bạn sẽ vào được trang dùng để cấu hình các thiết lập bảo mật (Hình 2) Hình 2: Device Security Settings Các thiết lập bảo mật thiết bị khá chun g (chúng phải được áp dụng riêng cho mỗi kết nối người dùng riêng lẻ đến các máy chủ Exchange trong tổ chức của bạn), chính vì vậy bạn phải hiểu chính xác mục đích của mỗi một thiết lập. Dưới đây chúng tôi liệt kê tất cả các thiết lập cùng với những mô tả chi tiết về nó: Thiết lập bảo mật Mô t ả Kích hoạt chính sách mật khẩu thiết bị. Không có thiết Mật khẩu bắt buộc lập bảo mật nào làm việc trước khi tính năng này được kích hoạt Kích hoạt tùy chọn này để chỉ định chiều dài yêu cầu Chiều dài tối thiểu của mật khẩu thiết bị của ng ười dùng. Mặc định thiết của mật khẩu (kí lập này là 4 ký tự. Bạn có thể chỉ định chiều dài từ 4 tự) đến 18 kí tự. Kích hoạt tùy chọn này nếu bạn muốn yêu cầu người Yêu cầu cả số và dùng chọn một mật khẩu có cả số và chữ. Tùy chọn ch ữ này sẽ không được chọn mặc định. Kích hoạt tùy chọn này để chỉ định xem bạn có muốn Thời gian chờ đăng người dùng đăng nhập vào các thiết bị sau khi một thời nhập (phút) gian chờ đăng nhập hay không. Tùy chọn này sẽ không mặc định. Nếu được chọn, thiết lập mặc định của nó là 5 phút Kích hoạt tùy chọn này để chỉ định xem bạn có muốn Xóa sạch thiết bị xóa hết bộ nhớ thiết bị hay không sau khi nhiều lần sau khi đăng nhập đăng nhập bị thất bại. Tùy chọn này không được chọn thất bại mặc đinh. Nếu được chọn, thiết lập mặc định của nó là 8 lần. Kích hoạt tùy chọn này để chỉ định khoảng thời gian Refresh các thiết định kỳ muốn gửi yêu cầu cho các thiết bị. T ùy chọn lập trên thiết bị này không được lựa chọn mặc định. Nếu đ ược chọn, (giờ) thiết lập mặc định là 24 giờ. Chọn tùy chọn này nếu bạn muốn cho phép các thiết bị Cho phép truy cập không được hỗ trợ đầy đủ tính năng bảo mật có thể đối với các thiết bị đồng bộ với máy chủ Exchange. Tùy chọn này không không hỗ trợ đầy được chọn mặc định. Nếu không được chọn, các thiết đủ thiết lập mật bị không được cài đặt bảo mật đầy đủ (ví dụ, các thiết khẩu bị không hỗ trợ dự phòng) sẽ nhận được thông báo lỗi 403 khi cố gắng đồng bộ với Exchange Server. Bảng 1: Mô tả các thiết lập bảo mật Ngoài các thi ết lập trong bả ng, bạn còn có một nút khác đó là Exceptions (xem hình 3). Sau khi kích nút này, b ạn có thể chỉ định ng ười dùng mà bạn muốn được miễn đối với các thiết lập bạn đã cấu hình trong hộp thoại Device Security Settings. Danh sách các ngoại lệ này có thể rất hữu dụng nếu bạn có một số người dùng tin cậy (hay là người quản lý), những người thực sự không cần các thiết lập bảo mật thiết bị. Hình 3: Danh sách ngoại lệ bảo mật thiết bị Nên bảo đảm bạn không cấu hình chính sách bảo mật thiết bị quá chặt chẽ và nhớ rằng người dùng trong một số tình huống sẽ có các vấn đề cần tiếp xúc với văn phòng CNTT nếu thiết bị của họ bị xóa. Ng ười dùng đã sử dụng một số có 4 chữ số (giữa các số có trong thẻ tính dụng của họ) vì vậy việc yêu cầu số 4 chữ số trong các tình huống là một ý tưởng tốt. Quả thực giải pháp tốt nhất là sử dụng 4 số có kết hợp với thiết lập xóa sạch thiết bị sau một số lần thử thất bại. Vị trí lưu trữ các thiết lập bảo mật Vậy đâu là nơi mà tất cả các thiết lập bảo mật thiết bị đ ược lưu? Hầu hết tất cả các giá trị đều đã cấu hình thiết lập bảo mật được lưu trong Active Directory, cụ thể hơn trong thuộc tính có tên gọi msExchOmaExtendedProperties, thuộc tính có thể tìm thấy dưới CN=Outlook Mobile Access,CN=Global Settings,CN=Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=com bằng sử dụng công cụ như ADSI Edit (xem hình 4). ...