Những tính năng bảo mật của OWA (P.2) Trong phần 1 của loạt bài viết này chúng ta đã tìm hiểu vị trí mạng của Client Access Server và phương pháp Exchange 2007 sử dụng giấy phép để bảo mật Outlook Web Access (OWA). Trong phần hai này chúng ta sẽ chúng ta sẽ đi sâu tìm hiểu các phương pháp xác thực OWA khác nhau và một số chú ý khi lựa chọn một phương pháp phù hợp. Thẩm định quyền trong OWA – Forms-based Authentication Trong Exchange 2007, chúng ta có thể lựa chọn giữa phương pháp Forms-based Authentication (FBA - thẩm định quyền nền tảng Form) và một nhóm phương pháp xác thực khác theo các phương pháp thẩm định chuẩn. Một cải tiến bảo mật khác trong Exchange 2007 là FBA được mặc định sử dụng cho OWA, sau đây chúng ta sẽ khám phá phương pháp này sau đó trở lại với những phương pháp thẩm định chuẩn. Để xem các phương pháp thẩm định quyền chúng ta cần mở hộp thoại thuộc tính Properties của thư mục ảo /owa trong Exchange Management Console rồi chọn tab Authentication. Khi đó chúng ta sẽ thấy một hộp thoại xuất hiện như trong hình 1. Hình 1: Các phương pháp xác thực. FBA lần đầu tiên được giới thiệu trong Exchange 2003 và cho phép hiển thị một trang đăng nhập ngoài thông báo xác thực cơ bản chỉ yêu cầu nhập tên người dùng và mật khẩu. Trang đăng nhập này làm tăng khả năng bảo mật vì tên và mật khẩu đăng nhập của người dùng được lưu như một cookie thay vì lưu ngay trong OWA. Có hai lợi ích chính từ việc xác thực qua cookie. Thứ nhất, cookie này sẽ được xóa khi phiên OWA kết thúc, thứ hai, cookie này cũng sẽ được xóa sau một khoảng thời gian không thao tác được khai báo trước, như khi người dùng tạm thời rời khỏi bàn làm việc. Ngoài ra, thời hạn này còn có thể được cấu hình cho cả máy tính cá nhân và công cộng. Nói cách khác, một thời hạn khác nhau có thể áp dụng cho các máy trạm của công ty. Thời hạn không thao tác giúp tăng cường bảo mật vì phiên OWA không thể được thực hiện khi cookie đã hết hạn. Hình 2 hiển thị hai tùy chọn mà người dùng có thể lựa chọn trên màn hình FBA để kiểm soát máy trạm đang được sử dụng dù là máy tính công cộng hay cá nhân. Hình 2: Cácc tùy chọn bảo mật của FBA. Mặc định, khi lựa chọn tùy chọn máy tính công cộng (public computer) thì phiên làm việc sẽ kết thúc sau 15 phút nếu không có thao tác nào được thực hiện, tuy nhiên chúng ta có thể thay đổi giá trị này bằng cách bổ sung hay hiệu chỉnh key registry sau trên Client Access Server trong đó FBA đã được kích hoạt: Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ MSExchangeOWA Name: PublicTimeout Type: DWORD Value: {number of minutes} Chúng ta có thể thấy key registry này trong hình 3. Lưu ý rằng sau khi thay đổi chúng ta sẽ phải khởi động lại Internet Information Services (IIS) trên Client Access Server. Để rút ngắn tiến trình này chúng ta chỉ cần mở Command Prompt rồi nhập lệnh iisreset /noforce. Hình 3: Key registry Timeout của máy tính công cộng. Còn khi lựa chọn tùy chọn máy tính cá nhân (private computer) thì m ặc định thời hạn 8 giờ không thao tác sẽ được cho phép trước khi phiên làm việc hết hạn, rõ ràng thời hạn này lâu hơn nhi ều so với thời hạn trong t chọn của máy tính công cộng. Chúng ta cũng có thể thay đổi thời hạn này trong m ột key registry t Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ MSExchangeOWA Name: PrivateTimeout Type: DWORD Value: {number of minutes} Cần nhớ rằng với những thời hạn này không phải là con số chính xác và s ẽ có một dung sai nhất định tr giá trị được sử dụng. Microsoft cho biết thời hạn thực sẽ dao động trong kho ảng 1 đến 1.5 lần giá trị c do phương pháp mà Client Access Server quay vòng qua các key mã hóa. Do đó chúng ta c ần phải l này khi kiểm thử thời hạn trong OWA. Ngoài ra, nếu sử dụng ISA Server để kết nối OWA ngoài, thì chúng ta cần cài đặt những giá trị thời hạn tương tự trong ISA Server cho phù hợp với người dùng. Trong hình 2, chúng ta thấy màn hình FBA đang mở. Trên màn hình này người dùng ph ải cung cấp thông tin đăng nhập trong định dạng domain\username (cài đ ặt mặc định). Chúng ta có thể thay đổi thông báo đăng nhập để chỉ yêu cầu nhập tên người dùng, hay User Principal Name (UPN – Tên thật của ngư ời d nhiên trước khi thực hiện điều này chúng ta cần tính đến các vấn đề bảo mật. Nếu muốn thay đổi thông báo đăng nhập chỉ yêu cầu tên người dùng, thì chúng ta có th ể thực hiện qua Exchange Management Console hay Exchange Management Shell. Trong Exchange Management Console mở hộp thoại thuộc tính Properties của thư mục ảo /owa rồi chọn tab Authentication (hình 1). T chúng ta có thể lựa chọn kiểu thẩm định quyền FBA phù hợp với yêu cầu. Trong Exchange Management Shell, chúng ta có thể sử dụng lệnh Set-OwaVirtualDirectory với tham số LogonFormat . Nh của tham số LogonFormat gồm:  FullName: Giống với tùy chọn domain\username trong hình , do đó người dùng ph ải nhập cả t và tên người dùng khi đăng nhập vào OWA.  PrincipalName: Tham số này phù hợp với tùy chọn UPN trong hình 1 và nó yêu cầu ng ư UPN để thẩm định quyền.  UserName: Tùy chọn này chỉ phù hợp với tùy chọn username only trong hình 1. Lưu ý, n Exchange Management Shell để cài đặt tùy chọn này chúng ta sẻ phải cài đặt tùy ch ọn miền mặc định qua tham số DefaultDomain của lệnh Set-OwaVirtualDirectory. Sau khi thực hiện xong chúng ta sẽ phải khởi động lại IIS để áp dụng những thay đổi. Thẩm định quyền trong OWA – Standard Authentication Nếu đã hay đang quản lý môi trường Exchange 2000 hay 2003, có thể chúng ta đã làm quen v ới ph Standard Authentication (thẩm định quyền chuẩn) của quá trình Basic Authentication (th ẩm định quyền c bản), Digest Authentication (thẩm định quyền từng phần) v à Integrated Windows Authentication (th quyền Windows tích hợp). Với Basic Authentication đã được cấu hình trên thư m ục ảo /owa trong một Client Access Server, ng sẽ thấy hộp thoại thẩm định quyền như trong hình 4. M ặc định Basic Authentication sẽ không bảo mật nếu SSL không được bổ sung. Hình 4: Hộp thoại Basic Authentication. Integrated Windows Authentication rất hữu dụng trong trư ờng hợp những thông tin đăng nhập hiện tại của người dùng được máy chủ sử dụng để xác thực người dùng. Với phương pháp này, người d ùng không ph nhập lại các thông tin đăng nhập. Ví dụ, một người dùng có thể đăng nhập vào máy tính làm vi ệc b thường sử dụng thông tin tài khoản trong Active Directory, rồi truy cập v ào Internet. Sau đó ngư có thể lựa chọn truy cập vào một Client Access Server đã được cấu hình s ử dụng Integrated Windows Authentication. Trong trường hợp này người dùng này sẽ truy cập vào OWA ngay lập tức m à không ph đăng nhập lại. Tuy nhiên, nếu ISA Server được sử dụng để truy cập OWA ngoài, và đã đư ợc cấu h FBA, với những thủ tục thẩm định khác nhau tùy thuộc vào người dùng đó truy c ập nội bộ hay truy cập ngo có thể gây phiền phức cho người dùng. Do đó, có một số công ty triển khai FBA tr ên các Client Access Server riêng biệt chỉ thực hiện hỗ trợ cho các phiên OWA nội bộ. Digest Authentication cũng được sử dụng bởi người dùng có tài khoản trên mi ền Active Directory. Với Digest Authentication, khả năng bảo mật được tăng cường do các mật khẩu mà người dùng nh ập v gửi như một giá trị Hash khi chúng được gửi qua mạng tới máy chủ thẩm định. Tuy nhiên, lưu ý r dụng Digest Authentication thì những thông tin thẩm định của người dùng sẽ lưu lại trên b ộ nhớ tạm của OWA. Do đó chúng ta cần xem xét sử dụng FBA trong trường hợp có v ấn đề bảo mật phát sinh. Kết luận Trong phần này chúng ta đã tìm hiểu các phương pháp thẩm định hiện có và đi sâu tìm hi ểu các t hình của Forms-Based Authentication (FBA). . Những tính năng bảo mật của OWA (P. 2) Trong phần 1 của loạt bài viết này chúng ta đã tìm hiểu vị trí mạng của Client Access Server và phương pháp Exchange 2007 sử dụng giấy phép để bảo mật. nhập tên người dùng và mật khẩu. Trang đăng nhập này làm tăng khả năng bảo mật vì tên và mật khẩu đăng nhập của người dùng được lưu như một cookie thay vì lưu ngay trong OWA. Có hai lợi ích chính. trạm đang được sử dụng dù là máy tính công cộng hay cá nhân. Hình 2: Cácc tùy chọn bảo mật của FBA. Mặc định, khi lựa chọn tùy chọn máy tính công cộng (public computer) thì phiên làm