Thư tín di động trong Exchange 2003 (Phần 2): Khám phá các chính sách
bảo mật
Trong phần 1 của loạt bài khám phá thư tín di động với Exchange 2003 và các
thiết bị Windows Mobile 5.0 có cài đặt gói bảo mật và thư tín, chúng ta đã có
một cái nhìn gần hơn với công nghệ DirectPush mới này có trong Exchange
2003 SP2.

Chúng ta đều biết rằng các thiết bị di động là thiết bị rất có thể dễ bị đánh mất
hoặc bị đánh cắp. Khi mà đồng bộ các thiết bị với mailbox, thì cần một cách
nào đó để bảo vệ các thiết bị của chúng ta, mục đích cũng là để cho các thông
tin và dữ liệu nhạy cảm có thể được bảo vệ an toàn. Với Exchange 2003 SP2,
bạn có khả năng cấu hình mã PIN bắt buộc hoặc yêu cầu mật khẩu đối với
Windows 5.0 Mobile Devices đồng bộ với máy chủ Exchange trong tổ chức.
Ví dụ bạn có thể cấu hình thiết bị yêu cầu mã PIN gồm 4 số để người dùng cần
phải nhập trước khi truy cập vào thiết bị. Nếu người dùng nhập v
ào mã PIN sai
4 lần thì có thể cấu hình thiết lập bảo mật để tất cả dữ liệu trên thiết bị đó được
xóa hết.

Lưu ý:
N
ếu bạn chưa từng thấy điều đó thì hãy xem đoạn video sau trước khi tiếp tục
đọc phần dưới, đoạn video này sẽ minh chứng cho bạn thấy được chức năng
của các chính sách bảo mật thiết bị và làm việc với chúng như thế nào trong
thực tế:

Cấu hình chính sách bảo mật thiết bị

Các chính sách bảo mật thiết bị được cấu hình trong nhiều mục như nhau trên
thiết bị di động, dưới đây là trang thuộc tính của đối tượng Mobile Services
trong Exchange System Manager (xem hình 1).

Hình 1: Trang thuộct tính của Mobile Services trong Exchange System
Manager
Khi kích chuột vào nút Device Security, bạn sẽ vào được trang dùng để cấu
hình các thiết lập bảo mật (Hình 2)

Hình 2: Device Security Settings
Các thiết lập bảo mật thiết bị khá chung (chúng phải được áp dụng riêng cho
mỗi kết nối người dùng riêng lẻ đến các máy chủ Exchange trong tổ chức của
bạn), chính vì vậy bạn phải hiểu chính xác mục đích của mỗi một thiết lập.
Dưới đây chúng tôi liệt kê tất cả các thiết lập cùng với những mô tả chi tiết về
nó:
Thiết lập bảo mật Mô tả
Mật khẩu bắt buộc
Kích hoạt chính sách mật khẩu thiết bị. Không có thiết
lập bảo mật nào làm việc trước khi tính năng này được
kích hoạt
Chiều dài tối thiểu
của mật khẩu (kí
tự)
Kích hoạt tùy chọn này để chỉ định chiều dài yêu cầu
của mật khẩu thiết bị của người dùng. Mặc định thiết
lập này là 4 ký tự. Bạn có thể chỉ định chiều dài từ 4
đến 18 kí tự.
Yêu cầu cả số và
chữ
Kích hoạt tùy chọn này nếu bạn muốn yêu cầu người
dùng chọn một mật khẩu có cả số và chữ. Tùy chọn
này sẽ không được chọn mặc định.
Thời gian chờ đăng

nhập (phút)
Kích hoạt tùy chọn này để chỉ định xem bạn có muốn
người dùng đăng nhập vào các thiết bị sau khi một thời
gian chờ đăng nhập hay không. Tùy chọn này sẽ không
mặc định. Nếu được chọn, thiết lập mặc định của nó là
5 phút
Xóa sạch thiết bị
sau khi đăng nhập
thất bại
Kích hoạt tùy chọn này để chỉ định xem bạn có muốn
xóa hết bộ nhớ thiết bị hay không sau khi nhiều lần
đăng nhập bị thất bại. Tùy chọn này không được chọn
mặc đinh. Nếu được chọn, thiết lập mặc định của nó là
8 lần.
Refresh các thiết
lập trên thiết bị
(giờ)
Kích hoạt tùy chọn này để chỉ định khoảng thời gian
định kỳ muốn gửi yêu cầu cho các thiết bị. Tùy chọn
này không được lựa chọn mặc định. Nếu được chọn,
thiết lập mặc định là 24 giờ.
Cho phép truy cập
đối với các thiết bị
không hỗ trợ đầy
đủ thiết lập mật
khẩu
Chọn tùy chọn này nếu bạn muốn cho phép các thiết bị
không được hỗ trợ đầy đủ tính năng bảo mật có thể
đồng bộ với máy chủ Exchange. Tùy chọn này không
được chọn mặc định. Nếu không được chọn, các thiết

bị không được cài đặt bảo mật đầy đủ (ví dụ, các thiết
bị không hỗ trợ dự phòng) sẽ nhận được thông báo lỗi
403 khi cố gắng đồng bộ với Exchange Server.
Bảng 1: Mô tả các thiết lập bảo mật
Ngoài các thi
ết lập trong bảng, bạn còn có một nút khác đó là Exceptions (xem
hình 3). Sau khi kích nút này, bạn có thể chỉ định người dùng mà bạn muốn
được miễn đối với các thiết lập bạn đã cấu hình trong hộp thoại Device
Security Settings. Danh sách các ngoại lệ này có thể rất hữu dụng nếu bạn có
một số người dùng tin cậy (hay là người quản lý), những người thực sự không
cần các thiết lập bảo mật thiết bị.

Hình 3: Danh sách ngoại lệ bảo mật thiết bị
Nên b
ảo đảm bạn không cấu hình chính sách bảo mật thiết bị quá chặt chẽ và
nhớ rằng người dùng trong một số tình hu
ống sẽ có các vấn đề cần tiếp xúc với
văn phòng CNTT nếu thiết bị của họ bị xóa. Người dùng đã sử dụng một số có
4 chữ số (giữa các số có trong thẻ tính dụng của họ) vì vậy việc yêu cầu số 4
chữ số trong các tình huống là một ý tưởng tốt. Quả thực giải pháp tốt nhất là
sử dụng 4 số có kết hợp với thiết lập xóa sạch thiết bị sau một số lần thử thất
bại.

Vị trí lưu trữ các thiết lập bảo mật

Vậy đâu là nơi mà tất cả các thiết lập bảo mật thiết bị được lưu? Hầu hết tất cả
các giá trị đều đã cấu hình thiết lập bảo mật được lưu trong Active Directory,
cụ thể hơn trong thuộc tính có tên gọi msExchOmaExtendedProperties, thuộc
tính có thể tìm thấy dưới CN=Outlook Mobile Access,CN=Global
Settings,CN=Organization,CN=Microsoft

Exchange,CN=Services,CN=Configuration,DC=domain,DC=com bằng sử
dụng công cụ như ADSI Edit (xem hình 4).

Hình 4: Vị trí các thiết lập bảo mật thiết bị trong Active Directory
N
ếu chọn thuộc tính msExchOmaExtendedProperties và kích nút Edit thì bạn
sẽ vào được màn hình như trong hình 5 dưới đây.

Hình 5: Thuộc tính msExchOmaExtendedProperties
Như b
ạn thấy, tất cả các giá trị liên quan đến bảo mật thiết bị cũng được lưu
trong chuỗi có tiền tố là PolicyData. Các giá trị được mã hóa giữa các thẻ . Vì
không có gì ngoài XML blob, bạn có thể dự trữ chính sách tùy ch
ỉnh của chính
mình bằng cách chỉ định các giá trị yêu cầu theo định dạng XML tương tự như
trên hình. Bạn cũng có thể thiết lập các chính sách này trên người dùng thông
qua GUI nhưng hiện giờ chỉ có một cách để cấu hình các thiết lập đó trên
người dùng cơ bản là cấu hình thuộc tính msExchOmaExtendedProperties cho
mỗi người dùng, nhưng đó có phải là phương pháp thuận tiện? Microsoft đưa
ra một cách giúp bạn có thể cấu hình các thiết lập này cho mỗi người dùng, sử
dụng GPO hoặc phương pháp tương tự; vấn đề ở đây là thiết lập này không có
trước phiên bản Exchange 12 RTM.

Các thiết bị di động

Khi bạn đã cấu hình và kích hoạt các thiết lập bảo mật trên máy chủ thì hộp
thoại như hình 6 sẽ xuất hiện trên thiết bị trong suốt quá trình đ
ộng bộ tiếp theo
với máy chủ.


Hình 6: Chính sách bảo mật đã thiết lập trên thiết bị
Sau khi kích OK, bạn cần chỉ định, xác nhận mã PIN và mật khẩu mà bạn
muốn sử dụng. Mã PIN và mật khẩu cần phải nhập hàng ngày, thiết bị được
mở khóa hoặc sau khi đưa ra một quá trình khởi động lại. Nếu một mật khẩu
sai được nhập vào, có thể bởi một trong những đưa trẻ nhà bạn đã chơi với
thiết bị hoặc quên khóa bàn phím khi thiết bị để ở trong túi quần, bạn sẽ gặp
một thông báo như dưới đây:
The password you typed is incorrect. Please try again. 1/5 attempts have been
made.
(Mật khẩu bạn vừa nhập bị sai. Xin vui lòng nhập lại. 1/5 lần thử của bạn đã
được thực hiện.)
Phụ thuộc vào số lần cho phép nhập mật khẩu mà bạn chỉ định trong tùy chọn
Wipe device after failed trong Device Security Settings (xem lại hình 2).

Sau khi lần thử thứ hai thất bại bạn sẽ được thông báo rằng một số mật khẩu
sai đã được nhập. Để xác nhận lần thử đăng nhập không do ấn nút tình cờ bạn
được yêu cầu nhập vào A1B2C3 hoặc những gì tương tự như vậy (phụ thuộc
vào nhà cung cấp di động đã cấu hình khi thiết kế chúng). Khi đã nhập vào các
kí tự đó bạn sẽ có tùy chọn chỉ định mật khẩu thiết bị một lần nữa. Nếu vì một
số lý do nào đó bạn lại nhập sai mật khẩu thì hộp thoại mật khẩu sai sẽ lại xuất
hiện. Trước lần thử cuối cùng bạn sẽ nhận được thông báo rằng tất cả các
thông tin trên thiết bị sẽ bị xóa hết sau lần thử không thành công này. T
ất cả bộ
nhớ trong thiết bị sẽ bị xóa hết, thiết bị sẽ được reset lại về trạng thái mặc định
của nhà sản xuất. Ở đây xảy ra tình huống là dữ liệu trong thẻ nhớ của thiết bị
sẽ được giữ nguyên vẹn. Có thể bạn sẽ thắc mắc về cách giải quyết này là tốt
hoặc không, nhưng theo cá nhân tôi thì điều này sẽ làm cho hệ số rủi ro về bảo
mật lớn, đặc biệt vì bạn có thể cấu hình lại thiết bị để lưu các đính kèm email
trên thẻ nhớ!


Lưu ý:
N
ếu bạn biết rằng thiết bị đã bị mất hoặc đánh cắp thì có thể thực hiện xóa dữ
liệu từ xa đối với thiết bị, việc xóa này sẽ được thực hiện ngay lập tức. Chúng
ta sẽ nói sâu hơn về vấn đề này trong phần 3.

Thay đổi mã PIN và mật khẩu

N
ếu bạn muốn thay đổi mã PIN hoặc mật khẩu, kích Start > Settings > Lock.

Hình 7: Nút khóa dưới trang Settings
Bạn sẽ phải nhập vào mã PIN hiện thời hay mật khẩu để truy cập và thay đổi
mật khẩu, khi đã thực hiện xong điều đó, bạn sẽ thấy cửa sổ mới xuất hiện như
trong hình 8 bên dưới.

Hình 8: Thay đổi mật khẩu thiết bị
Rất thú vị ở đây là khi một thiết bị đã khóa mà được kết nối đến máy tính bằng
cáp USB sẽ không thể truy cập, nếu truy cập bạn sẽ gặp phải hộp thoại như
hình 9 dưới đây.

Hình 9: Kết nối một thiết bị đã khóa với máy tính thông qua USB.
Kết luận

Trong bài viết này bạn đã được học về cách làm thế nào để cho các thiết bị di
động trở nên an toàn hơn bằng sử dụng tính năng bảo mật mới có trong
Exchange 2003 SP2. Bạn cũng thấy được cách thiết lập bảo mật đó làm việc
như thế nào bên phía trình khách. Tính năng thiết lập bảo mật này rõ ràng là
một cải thiện tuyệt vời khi nói đến bảo mật, tuy nhiên nó vẫn chưa cung cấp
được sự bảo mật tối ưu vì dữ liệu được giữ trên thẻ nhớ không được xóa ngay

lập tức.

Trong bài viết tiếp theo, chúng tôi sẽ giới thiệu cho các bạn cách cài đặt công
cụ quản trị Exchange Server ActiveSync Web Administration, cũng như cách
bạn tiến hành xóa dữ liệu từ xa khi thiết bị di động bị mất hoặc bị đánh cắp.
Phần 3: Cài đặt, quản trị và sử dụng công cụ Microsoft Exchange Server
ActiveSync Web Administration
Phần 4: Truy cập GAL nhóm từ thiết bị di động bằng GAL Lookup

Văn Linh (Theo MsExchange)