Quản Trị Mạng - Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn một số đặc điểm cơ bản về công cụ bảo mật Security Configuration Wizard – SCW của Exchange Server 2007, với mục đích chính là giảm thiểu tối đa khả năng tấn công vào hệ thống server Exchange bằng cách tắt những dịch vụ, port, tính năng và chương trình không thực sự cần thiết. Thực chất, SCW là 1 tính năng của Windows Server 2003 SP1, nhưng chưa được cài đặt sẵn ở chế độ mặc định, và cũng không phải là 1 phần của server Exchange Server, tuy nhiên chỉ với vài bước thiết lập cơ bản chúng ta có thể khắc phục được thiếu sót trên và hỗ trợ đầy đủ Exchange Server 2007.
Cài đặt SCW trong Windows:
Trước tiên, các bạn cần đảm bảo rằng hệ thống đã được cài đặt hoặc nâng cấp lên bản Service Pack 1 đối với Windows Server 2003. Sau đó, nhấn Start > All Programs > Control Panel > Add/Remove Programs > Windows Components, kéo xuống phía dưới và đánh dấu check vào ô Security Configuration Wizard như hình dưới:
Sau đó nhấn tiếp Next > Finish. Chúng ta sẽ thấy hệ thống hiển thị 1 shortcut bên ngoài desktop,các bạn có thể tham khảo thêm một số thông tin tại đây trong quá trình hoạt động sau này.
Register file Exchange 2007 XML:
Khi đã hoàn tất việc cài đặt SCW thì chúng ta cần phải thực hiện bước tiếp theo, đó là register – đăng ký file cấu hình của Exchange Server 2007. Như đã đề cập tới ở phía trên, SCW thực chất không phải là 1 phần của Exchange 2007 do vậy các bạn cần phải thực quá trình này để gán cấu hình, thiết lập vào SCW.
Về mặt kỹ thuật, khi Exchange Server 2007 được cài đặt, file cấu hình XML mặc định sẽ được copy tới thư mục \scripts của Exchange Server. Hãy sao lưu 1 bản của file XML nguyên bản với đuôi mở rộng *.bak, sau đó copy vào thư mục cài đặt trên server. Khi thực hiện theo cách này thì file XML sẽ chứa đường dẫn chính xác tới các dịch vụ có liên quan. Thư mục scripts được tạo ra ở chế độ mặc định là c:\Program Files\Microsoft\Exchange Server\scripts
Trên thực tế, có 2 cách để register file XML, đầu tiên là cách làm thủ công – dùng Command Prompt và cách thứ 2 là dùng lệnh PowerShell. Đối với Command Prompt thì các bạn gõ lệnh:
scwcmd register /kbname:Ex2007KB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007.xml"
Sau khi nhấn Enter, hệ thống sẽ hiển thị kết quả như hình dưới:
Đối với những server đang đảm nhiệm vai trò Edge Transport thì chúng ta có thể sử dụng lệnh như sau:
scwcmd register /kbname:Ex2007EdgeKB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007Edge.xml"
Còn với PowerShell, các bạn hãy mở Exchange Management Shell, sau đó chuyển tới thư mục scripts và gõ lệnh:
Register-ExchangeSCW.ps1 –register
Khá đơn giản và dễ hiểu, đoạn script trên sẽ chỉ ra role chính xác của server và cài đặt file XML phù hợp. Còn nếu muốn làm ngược lại quá trình trên thì chúng ta chỉ cần gõ lệnh:
Register-ExchangeSCW.ps1 -unregister
Việc tiếp theo cần làm ở đây là tạo và áp dụng policy tới server. 1 điểm vô cùng quan trọng cần lưu ý ở đây là tất cả các ứng dụng cũng như tiện ích, dịch vụ phải được cài đặt trên server trước khi chạy SCW. Bởi vì khi áp dụng policy thì những ứng dụng được cài đặt sau đó sẽ không hoạt động đúng với yêu cầu, các cổng – Port có liên quan có thể bị tắt bỏ, do vậy SCW nên là bước thực hiện cuối cùng.
Và trước khi áp dụng 1 policy bất kỳ nào đó, hãy kiểm tra lại toàn bộ quá trình cài đặt trên server bằng cách đọc file log. Với server Edge Transport thì hệ thống sẽ hiển thị các thông báo khác lạ trong quá trình tạo policy so với các loại server khác, nhưng quy trình chung thì vẫn như vậy, không có gì khác.
Tạo policy Exchange dành cho SCW:
Để thực hiện việc này, chúng ta cần có quyền điều khiển cũng như truy cập ở mức cao nhất vào server. Nhấn Start > All Programs>Administrative Tools > Security Configuration Wizard để bắt đầu. Trong màn hình Welcome to the Security Configuration Wizard hiển thị tiếp theo, chúng ta chọn Next > Create a new security policy và Next. Tại phần Select Server, nhập tên hoặc chỉ đường dẫn tới server để tạo policy sau đó nhấn Next như hình dưới. Server được chọn sẽ là nền tảng cơ bản của tất cả các policy được tạo sau đó, còn nếu trong trường hợp bạn có nhiều server cần xử lý thì chỉ cần thực hiện trên 1 server và áp dụng với tất cả các thành phần còn lại:
Tại màn hình Process Security Configuration Database, hệ thống kiểm tra tổng thể toàn bộ server một lần nữa, chúng ta nhấn Next để tiếp tục:
Sau đó, chọn Next tại phần Role-Based Service Configuration. Kiểm tra lại các role đã được lựa chọn tại màn hình Select Server Roles, ví dụ như hình dưới gồm có Client Access, Hub Transport, và Mailbox. Nhấn Next:
Kiểm tra lại các tính năng đi kèm đã được cài đặt tại phần Select Client Features:
Và các tùy chọn tại màn hình Select Administration and Other Options:
