Windows - Titkosított és hitelesített levelezés Exchange 2000 Server-el

Biztonságos levelezés 2. rész

Mielőtt használatba vennénk az Exchange titkosított levelezését, hosszas előkészületekre van szükség. Általában nem jellemző a Windows-ra, hogy szétszórtan több, elsőre összefüggés nélkülinek ható konfigurációs lépésekkel lehessen valamit életre kelteni - a titkosított levelezés kivételt képez. Jelen résszel folytatjuk a kiszolgáló telepítésének és beállításának ismertetését. Cél a biztonságos, kompromisszumok nélküli levelezés megvalósítása.
Miután sikeresen feltelepítettük a kulcskezelő szolgáltatást (KMS) gondoskodnunk kell róla, hogy el is induljon, ugyanis a telepítő ezt nem teszik meg. Indítsuk el a Felügyeleti eszközök > Szolgáltatások (Administrative Tools > Services) konzolt és keressük meg a "Microsoft Exchange Key Management Service" bejegyzést, majd a tulajdonság lapján állítsuk az indítás típusát automatikusra. Ezzel egyelőre csak azt értük el, hogy a Windows indításakor elindul, de pillanatnyilag még nem fut. Lépjünk ki a tulajdonságablakból az "OK" gombbal és kattintsunk a szolgáltatásra a jobboldali egérgombbal, a megjelenő menüben pedig az "Indítás" ("Start") sorra.
Bizonyítványszolgáltatások további konfigurálása
Vissza kell térnünk a bizonyítványszolgáltatásokat kezelő géphez és lehetővé kell tennünk, hogy az Exchange teljes hozzáférést kapjon a hitelesítési adatok kezeléséhez. Indítsuk el a Felügyeleti eszközök > Hitelesítő szervezet (Administrative Tools > Certification Authority) MMC konzolt. Kattintsunk a szervezet nevére a jobboldali egérgombbal és lépjünk a "Tulajdonságok" ("Properties") menüre a megjelenő ablakban pedig a "Biztonság" ("Security") oldalra.
Itt látható, hogy melyik felhasználói csoport milyen jogosultsággal rendelkezik. Kattintsunk a "Hozzáadás" ("Add") gombra és vegyük fel a listába az Exchange-et futtató számítógépet. Figyelem! Nem felhasználót vagy csoportot, hanem számítógépet. Ha megvan, az "Engedélyezés" ("Allow") oszlopban kapcsoljuk be mindhárom jelölőnégyzetet, teljes hozzáférést adva (kezelés, beiktatás, olvasás).
A Key Management Service használata
Írjuk be a Start > Futtatás (Start > Run) menübe: mmc. Elindul az mmc konzolkeret, amibe fel kell vennünk az Exchange biztonsági konzolt, mert sajnos máshol nem jelenik meg. Kattintsunk a Konzol > Beépülő modul hozzáadása/eltávolítása (Console > Add/Remove Snap-in) menüre, majd a "Hozzáadás" ("Add") gombra. Keressük meg a megjelenő listában az "Exchange Advanced Security" modult és kattintsunk itt is a "Hozzáadás" ("Add") gombra. Megjelenik egy ablak, ahol választhatunk, hogy melyik tartományvezérlő kezelését akarjuk a modulban lehetővé tenni. Ha csak egy van, akkor egyszerűen kattintsunk az "OK" gombra. Ha több, akkor az Exchange 2000 Server-t futtatót válasszuk. Lépjünk ki az ablakokból és térjünk vissza a konzolhoz. Bontsuk ki a kezelőpult gyökér alatti faszerkezetet. Két objektum jelenik meg: "Encryption Configuration" és "Key Manager".
  • Encryption Configuration
A titkosítási algoritmusokat és a kulcskezelő központ helyét határozza meg. Kattintsunk kétszer az objektumra, megnyitva a tulajdonságlapját. A "General" oldal egyetlen beállítási lehetősége a kulcskezelő központ helyére vonatkozik. Csak akkor érhető el a beállítás, ha több adminisztratív csoport van telepítve a rendszerbe. Ekkor a "Change" gombbal kijelölhető, hogy az aktuális csoport, mely másik csoport kulcskezelő szolgáltatását használja.
A második "Algorithms" oldalon a használandó titkosítási algoritmusok határozhatók meg. Az Exchange alapvetően kétfelé bontja a titkosítási eljárásokat. Egyik a "Microsoft Exchange 4.0/5.0 encryption", másik a "S/MIME encryption". Előbbi kevésbé biztonságos eljárásokat használ, tulajdonképpen kompatibilitási okokból tartották meg Outlook 97 és korábbi kliensek számára. Napjainkban az utóbbi eljárás használata javasolt, tekintve, hogy az általánosan elterjedt kliens szoftverek már mind támogatják. Mindkét típuson belül is kétfelé osztották az eljárásokat. Különbség van az észak-amerikai és az egyéb helyen való használat között. Az ok: az USA-ban és Kanadában magasabb biztonsági szintet követeltek meg és a külföldre szállított szoftverek az export törvény értelmében eleve alacsonyabb szinttel kerültek forgalomba. (Megjegyzés: a törvényt azóta hatálytalanították, de az Exchange-ben ez nem hozott változást a Service Pack 1-el sem.) Alapértelmezésben mindenhol a legnagyobb védelmet nyújtó szint van beállítva. Így a "Microsoft Exchange 4.0/5.0 encryption" kliensek számára a DES és a CAST-40, az "S/MIME" kliensek számára pedig a 3DES és a RC2-40. Az ablak alsó felén lévő "Security message format" a kliens felé szolgáltatott alapértelmezett eljárást jelöli. Outlook 98 és későbbi kliensek képesek saját maguk részére átállítani az alapértelmezést.
  • Key Manager
Ismét egy nehezen kitalálható dolog következik: a kulcskezelő központ saját beállításainak szerkesztéséhez egyedi jogokkal kell rendelkezni. Nem elég még a legmagasabb szintű vállalati rendszergazda jogosultság sem. Át kell minősítenünk a rendszergazdát Key Management Server Administrator-rá (KMSA) is. Ehhez jelentkezzünk be azzal az azonosítóval, amelyikkel a KMS-t telepítettük és kattintsunk duplán a "Key Manager" objektumon.

Megjelenik egy ablak, ahol látható, hogy pillanatnyilag hány KMSA jogú adminisztrátor jelentkezett be a rendszerbe ("Total administrators entered") - ennek kiemelt jelentőségét az alábbi "Passwords" szekcióban olvashatjuk - és minimálisan mennyi szükséges a helyes működtetéshez ("Total administrator required"). A "Domain\username" mezőben megjelenik a KMS telepítő rendszergazda neve. Egyetlen szerkesztési lehetőségként a "Key Management Service password" mezőbe meg kell adnunk a KMSA jelszavát. Kezdetben a jelszó: password, csupa kisbetűvel írva, de később megváltoztatható (lásd később). Írjuk be a jelszót és üssünk egy ENTER-t vagy kattintsunk az "OK" gombra. Ekkor és csak ekkor megjelenik egy beállító ablak.

Nézzük sorban milyen oldalakkal találkozhatunk:
  • "General"
Megjeleníti a KMS-hez tartozó bizonyítványszolgáltatásokat kezelő kiszolgálót a lejárati dátummal együtt (eddig képes bizonyítványokat kiadni). A "View Details" gombbal megtekinthetők további részletek is: a kiszolgáló által használt bizonyítvány, titkosítási algoritmusok, egyéb dátumok, stb.
  • "Administrators"
Ha megpróbálunk átlépni erre az oldalra, ismét megjelenik az előbbi dialógusablak és be kell írnunk a KMSA jelszavát (a jelszó alapértelmezésben: password). És ez így lesz minden alkalommal, amikor a "General" oldal kivételével egy másik oldalra lépünk vagy egy megváltozott beállítást érvényesítünk. Ha jelszómegadás helyett lenyomjuk a "Cancel" gombot nem fogjuk tudni megváltoztatni a tartalmat, sőt a listamező elemei sem látszanak. Visszatérve az oldal tartalmára, itt vannak felsorolva a KMS rendszergazdák. A listát lehet bővíteni és el is lehet távolítani a felvett tagokat. Eltávolításnál az aktuálisan bejelentkezett egyéneket nem lehet törölni. Felvételnél meg kell adni az adott rendszergazdához tartozó KMS-ben érvényes jelszót. Az alapértelmezett "password" jelszót is itt lehet megváltoztatni: kattintsunk a KMS-t telepítő rendszergazdára és a "Change Password" gombra. A jelszónak minimum 6 karakter hosszúnak kell lennie.
  • "Passwords"
Érdekes lehetőséggel találkozhatunk ezen az oldalon. Megadható, hogy a különböző feladatok elvégzéséhez hány rendszergazda beleegyezése szükséges. Alapvetően arról van szó, hogy a kliens gépekről egyidőben több rendszergazda is bejelentkezik és kapcsolódik a KMS-hez. Ha például az "Administrators" oldalon felvettünk három KMSA rendszergazdát és az "Add/delete administrators, edit multiple password policies" értékét 2-re emeljük, akkor egy KMSA rendszergazda törléséhez, felvételéhez vagy a jelen beállítás megváltoztatásához minimum két rendszergazda hozzájárulása szükséges. Ez úgy néz ki, hogy törlésnél bekéri a feladatot végző adminisztrátor jelszavát, majd egy másik KMSA bejelentkezési nevet jelszóval és csak ezután hajtja végre a kért műveletet.
  • Enrollment
Miután a speciális biztonsági beállításokat telepítettük az Exchange-be és egy felhasználói fiókot beállítottunk a használatára (ezzel a következő részben foglalkozunk) az Exchange a kliens számára küld egy úgynevezett tokent. Ez jelzi a kliens levelezőprogramja számára, hogy igénybe veheti a levelező kiszolgáló titkosítási és hitelesítési eljárásait. Két lehetőségünk van:
  • A tokent kézzel továbbítjuk (alapértelmezés).
  • Az Exchange automatikusan továbbítja egy e-mail üzenetben.
Azért az első lehetőség az alapértelmezett, mert biztonságosabb, lévén, hogy a token e-mail-ben való továbbításakor még nem beszélhetünk titkosított levelezésről. Az automatikus küldéshez kapcsoljuk be a "Send token in an e-mail" jelölőnégyzetet.
Ekkor a "Customize Message" gombra kattintva megváltoztathatjuk a kliensnek küldendő e-mail tartalmát.
Az Outlook 97-es vagy korábbi kliensek csak az X.509 hitelességi bizonyítványok 1-es verzióját tudják feldolgozni. Ennél későbbi kliensek ismerik a 3-as verziót is. Alapértelmezésben az Exchange csak a 3-as verziót támogatja, ahhoz, hogy az 1-est is kezelje, aktivizálni kell az oldal alján található "I have Outlook 97 or older..." kezdetű jelölőnégyzetet.

Biztonságos levelezés cikksorozat