Trước khi bắt đầu, hãy chú ý rằng bài này được dựa trên phiên bản Beta của Windows Server 2008 và Exchange Server 2007 SP1 chính vì vậy nó có thể sẽ có một số tính năng bị thay đổi hoặc được bỏ đi trong các phiên bản cuối cùng của sản phẩm. Việc tính toán đáng tin cậy Microsoft nói rằng Exchange Server 2007 là một thiết kế dành cho bảo mật. Exchange 2007 được thiết kế và được phát triển theo một nguyên tắc chặt chẽ của chu trình phát triển phần mềm tính toán với độ bảo...
Những bổ sung cho Exchange Server 2007 - Phần 2: Bảo vệ mặc định Trước bắt đầu, ý dựa phiên Beta Windows Server 2008 Exchange Server 2007 SP1 có số tính bị thay đổi bỏ phiên cuối sản phẩm Việc tính tốn đáng tin cậy Microsoft nói Exchange Server 2007 thiết kế dành cho bảo mật Exchange 2007 thiết kế phát triển theo nguyên tắc chặt chẽ chu trình phát triển phần mềm tính toán với độ bảo mật tin cậy cao Trustworthy Computing Security Development Lifecycle (TWC), chu trình đưa lần vào tháng 10 năm 2002 Cùng với thời gian, Microsoft thay đổi nhiều bên chu trình phát triển cải thiện có liên quan đến vấn đề bảo mật xây dựng Exchange Server 2007 Microsoft nói Exchange Server 2007 có nhiều ưu điểm bảo mật phiên Exchange trước Microsoft Bảo mật mặc định Microsoft cố gắng bảo vệ Exchange Server 2007 công nghệ bảo mật tồn Mộtmục tiêu kế hoạch bảo mật bit lưu lượng quan trọng mã hóa cách mặc định Ngoại trừ với vấn đề truyền thông Server Message Block (SMB) cluster số truyền thông hợp thư tín Unified Messaging (UM), Microsoft đạt mục tiêu Exchange Server 2007 hệ thống thư tín Microsoft mà người dùng sử dụng chứng tự ký Thêm vào đó, Exchange Server 2007 sử dụng Kerberos cho vấn đề truyền thông đặc biệt, Secure Sockets Layer (SSL) cơng nghệ mã hóa khác Chứng Exchange 2007 sử dụng chứng X.509 để thiết lập Transport Layer Security (TLS) an toàn kênh truyền tải Secure Sockets Layer (SSL) cho việc truyền thông giao thức HTTPS, SMTP, IMAP4 POP3 Lưu ý: Truy cập POP3 SMTP bị vơ hiệu hóa cách mặc định giống phiên trước Exchange Server Exchange Server 2007 sử dụng chứng cho vài thành phần SMTP Các chứng sử dụng cho việc mã hóa chứng thực cho Domain Security (điểm Exchange Server 2007) tổ chức Exchange khác Các chứng sử dụng để bảo vệ kết nối máy chủ Hub Transport Edge Transport Mỗi truyền thông SMTP máy chủ Hub Transport mã hóa Đồng EdgeSync Exchange Server 2007 sử dụng chứng tự ký để mã hóa vấn đề truyền thông LDAP trường hợp ADAM máy chủ Edge Transport máy chủ Active Directory bên trong, dịch vụ Microsoft Exchange EdgeSync truyền thơng với Active Directory để tái tạo thông tin Active Directory trường hợp ADAM máy chủ Edge Transport POP3 IMAP4 Exchange Server 2007 sử dụng chứng để chứng thực mã hóa session Post Office Protocol version (POP3) các máy khách Internet Message Access Protocol version (IMAP4) Exchange Server 2007 Thư tín hợp (Unified Messaging) Các chứng sử dụng để mã hóa session SMTP cho máy chủ Hub Transport cho Unified Messaging (UM) IP gateway AutoDiscover Các chứng sử dụng để mã hóa truyền thơng máy khách máy chủ truy cập client - Client Access Server (CAS) Các ứng dụng truy cập client Exchange Server 2007 sử dụng chứng để mã hóa truyền thơng Client Access Server client Outlook 2007 (Outlook Anywhere aka RPC HTTPS), Microsoft Outlook Web Access (OWA) Exchange ActiveSync Với mục đích bảo mật, Microsoft khuyên người dùng nên sử dụng chứng tạo quyền chứng bên thân họ nhóm chứng thuộc nhóm thứ ba thương mại trường hợp bạn có nhiều client truy cập Exchange Server 2007 từ máy tính thành viên khơng miền Bộ kết nối thư tín Exchange Server 2007 sử dụng số kết nối (connector) để tiếp sóng cho lưu lượng từ nguồn tới máy chủ đích Exchange Server 2007 sử dụng hai kiểu connector khác Một cho lưu lượng vào, cách cấu hình Exchange Server 2007 số connector cho lưu lượng mail Exchange Server 2007 hỗ trợ nhiều chế chứng thực khác để bảo vệ truyền tải thư tín, hay bảo vệ chứng thực hai Bạn sử dụng: Bảo mật lớp truyền tải - Transport Layer Security (TLS) Bảo mật miền - Domain Security (Mutual Auth TLS) Chứng thực sau bắt đầu TLS Chứng thực máy Exchange Server Chứng thực Windows tích hợp Hình 1: Chứng thực Connector Microsoft Edge Transport Server Microsoft Edge Transport Server role phải cài đặt Windows Server 2003 Windows Server 2008 Các máy chủ Edge Transport máy chủ tiếp sóng thư tín thêm vào chúng cung cấp chức chống spam tích hợp chức chống virus Microsoft Forefront Edge Security sản phẩm nhóm thứ Microsoft Edge Transport Server cài đặt vào nhóm làm việc Windows thành phần miền Edge Transport Server sử dụng AD/AM (Active Directory Application Mode) để đồng liệu Active Directory có liên quan với Edge Transport Server Tiến trình đồng gọi Edge sync Edge Transport Server cung cấp số tính đây: Content Filtering IP Allow and Block List Provider Sender Filtering Sender Reputation SMTP Tarpiting Và số tính khác Hình 2: Edge Server Anti Spam Microsoft Forefront Microsoft Forefront giải pháp chống virus spam Microsoft, giải pháp cung cấp cho sản phẩm Microsoft Exchange Server 2007, Microsoft Sharepoint Portal Server, Microsoft Windows clients sản phẩm khác Một giải pháp cho Microsoft Exchange Microsoft Forefront Edge Security Bạn sử dụng Forefront Edge Security Microsoft Edge Transport Server Hub Transport Servers, nhiên tốt hết bạn nên sử dụng Forefront Edge Server Security DMZ máy chủ Microsoft Edge Transport Các chức bảo mật Microsoft Forefront Cung cấp bảo mật lớp thông qua Multiple Scan Engine Management để bảo vệ hệ thống thư tín Cung cấp tùy chọn cho việc quét cách tinh vi với nhiều bổ sung linh động: Quét “trong nhớ“ để tối thiểu hóa ảnh hưởng máy chủ Exchange nhằm bảo đảm tối ưu hiệu Quét theo yêu cầu, lập lịch trình thời gian thực nhóm lưu trữ sở liệu Bảo vệ toàn cho Outlook Web Access Quét SMTP Exchange Information Store để củng cố vấn đề bảo vệ hiệu lực Quét thư tín MTA cho tất thư tín định tuyến qua Exchange MTA Connectors (X.400, MS Mail, CC Mail, …) Có tích hợp API qt virus Microsoft cho phép Exchange 2000 2003 Tối thiểu hóa spam gây worm bảo vệ thông tin lưu trữ thông qua Forefront Worm Purge Nhận dạng tất thư tín có đính kèm khơng tin cậy thông qua nguyên tắc lọc file linh hoạt Loại trừ đính kèm bị tiêm nhiễm vào kho chứa an toàn với Forefront Quarantine Manager Tự động upload chữ ký virus Thông báo cho quản trị viên tai nạn virus kiện thông qua email, blog kiện Có nhiều từ chối tùy chỉnh cho thư tín dựa người gửi, người nhận tập thông tin tên miền quản trị viên Hình 3: Bảo mật Microsoft Forefront Tiện ích cấu hình bảo mật - SCW (Windows Server 2003 SP1) Exchange 2007 cung cấp mẫu SCW cho role máy chủ Exchange 2007 Bằng cách sử dụng mẫu với SCW, bạn cấu hình Windows Server 2003 để khóa dịch vụ cổng không cần thiết cho role máy chủ Exchange Khi sử dụng Security Configuration Wizard, bạn tạo file XML mẫu để sử dụng giúp bảo vệ cho máy chủ máy chủ khác Hình 4: Security Configuration Wizard Do SCW giới thiệu lần Windows Server 2003 SP1 – trước Exchange Server 2007 RTM, bạn phải kích hoạt CSW để cấu hình Exchange Server 2007 Exchange Server 2007 có hai file cấu hình SCW cần phải cài đặt máy chủ nơi muốn chạy Với Hub Transport server scwcmd register /kbname:Ex2007KB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007.xml Với Edge Transport server scwcmd register /kbname:Ex2007EdgeKB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\ Exchange2007Edge.xm Kết luận Trong phần này, giới thiệu cho bạn cách Exchange Server 2007 an toàn nào, Edge Transport Servers kỹ thuật Anti Spam Antivirus cải tiến vấn đề bảo mật Trong phần ba loạt tiếp tục giới thiệu cho bạn cách bảo đảm việc truy cập client Exchange Server 2007 số thay đổi hình cần thiết cấu hình Exchange Server 2007 Phần 3: Bảo vệ truy cập Email máy khách Văn Linh (Theo MsExchange) ... phiên trước Exchange Server Exchange Server 2007 sử dụng chứng cho vài thành phần SMTP Các chứng sử dụng cho việc mã hóa chứng thực cho Domain Security (điểm Exchange Server 2007) tổ chức Exchange. .. vấn đề bảo mật Trong phần ba loạt tiếp tục giới thiệu cho bạn cách bảo đảm việc truy cập client Exchange Server 2007 số thay đổi hình cần thiết cấu hình Exchange Server 2007 Phần 3: Bảo vệ truy... Server 2007 sử dụng hai kiểu connector khác Một cho lưu lượng vào, cách cấu hình Exchange Server 2007 số connector cho lưu lượng mail Exchange Server 2007 hỗ trợ nhiều chế chứng thực khác để bảo vệ