Administrar la seguridad de Exchange ActiveSync

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2007-07-14

Exchange ActiveSync habilita a los usuarios para que puedan sincronizar sus dispositivos móviles con Microsoft Exchange Server 2007. De esta manera, pueden obtener acceso a una amplia gama de datos de Exchange, incluidos mensajes de correo electrónico, datos de contacto y de calendario, tareas y datos de mensajería unificada como mensajes de fax y de correo de voz.

Nota

Para ver mensajes de fax en un dispositivo móvil, es posible que los usuarios deban instalar software de otras empresas.

Deberá tener en cuenta varios aspectos de la seguridad cuando implemente Exchange ActiveSync. En este tema se proporciona una visión general de las opciones de seguridad para desplegar Exchange ActiveSync.

Seguridad en el servidor de Exchange ActiveSync

En un servidor que ejecute Exchange ActiveSync, puede llevar a cabo varias tareas relacionadas con la seguridad. Una de las tareas más importantes consiste en configurar un método de autenticación. Exchange ActiveSync se ejecuta en un servidor de Exchange 2007 que tiene instalada una función del servidor Acceso de cliente. Esta función del servidor se instala con un certificado digital autofirmado predeterminado. Aunque el certificado autofirmado es compatible con Exchange ActiveSync, no es el método más seguro de autenticación. Para reforzar la seguridad, puede implementar un certificado de confianza de una entidad de certificación (CA) comercial o una entidad de certificación de infraestructura de clave pública (PKI) de Windows de confianza. Para obtener más información acerca de cómo configurar un certificado digital de confianza, consulte Cómo configurar SSL para Exchange ActiveSync.

Selección de un método de autenticación para Exchange ActiveSync

Además de implantar un certificado digital de confianza, tenga en cuenta los diversos métodos de autenticación disponibles para Exchange ActiveSync. De forma predeterminada, cuando se instala la función del servidor Acceso de cliente, Exchange ActiveSync se configura para utilizar la autenticación básica con el Nivel de sockets seguros (SSL). Para reforzar aún más la seguridad, piense en cambiar el método de autenticación a autenticación implícita o a autenticación de Windows integrada.

Nota

Los usuarios con buzones en un servidor de Exchange 2003 que intenten utilizar Exchange ActiveSync a través de un servidor de acceso de cliente de Exchange 2007 recibirán un mensaje de error y no se podrán sincronizar a no ser que la autenticación de Windows integrada esté habilitada en el directorio virtual Microsoft-Server-ActiveSync en el servidor de Exchange 2003. Esto permite que el servidor Acceso de cliente de Exchange 2007 y el servidor back-end de Exchange 2003 se comuniquen utilizando autenticación Kerberos.

Utilización del servidor ISA con Exchange ActiveSync

Microsoft Internet Security and Acceleration (ISA) Server 2006 y Exchange 2007 han sido concebidos para aportar mayor seguridad para el acceso de cliente a Microsoft Exchange cuando se utiliza Exchange ActiveSync.

ISA Server 2006 le permite configurar métodos de autenticación para Exchange ActiveSync cuando ejecuta el Asistente para nueva regla de publicación de Exchange. Para obtener más información acerca de cómo utilizar ISA Server 2006 con Exchange ActiveSync, consulte Configuración de ISA Server 2006 para el acceso de los clientes de Exchange.

Seguridad del dispositivo

Además de mejorar la seguridad del servidor de Exchange ActiveSync, piense en mejorar la seguridad de los dispositivos móviles de sus usuarios. Existen varios métodos para mejorar la seguridad de los dispositivos móviles.

Directivas del buzón de correo de Exchange ActiveSync

Exchange ActiveSync para Exchange 2007 le permite crear directivas de buzón de correo de Exchange ActiveSync para aplicar un conjunto común de opciones de seguridad a un grupo de usuarios. Algunos de estas opciones son:

  • Introducción de una contraseña.

  • Especificación de la longitud mínima de la contraseña.

  • Números o caracteres especiales en la contraseña.

  • Designación de cuánto tiempo puede estar inactivo un dispositivo antes de que se solicite al usuario que vuelva a introducir su contraseña.

  • Indicación de que desaparezca el dispositivo si se introduce una contraseña incorrecta más de un número de veces específico.

Para obtener más información acerca de las directivas de buzones de correo Exchange ActiveSync, consulte Administrar Exchange ActiveSync con directivas.

Eliminación remota de dispositivos

Los dispositivos móviles pueden almacenar datos corporativos importantes y proporcionar acceso a varios recursos corporativos. Si un dispositivo se pierde o es robado, los datos pueden estar en peligro. La eliminación remota de dispositivos es una función que permite al servidor de Exchange establecer un dispositivo móvil para eliminar todos los datos la siguiente vez que el dispositivo se conecte al servidor de Exchange. La eliminación remota de dispositivos quita toda la información sincronizada y la configuración personal de un dispositivo móvil. Esta función puede ser útil en caso de pérdida, robo del dispositivo o de inseguridad de éste.

Advertencia

Después de la eliminación remota del dispositivo, la recuperación de datos puede ser muy difícil. No obstante, ningún proceso de eliminación de datos dejará a un dispositivo tan libre como cuando era nuevo. Sigue siendo posible recuperar los datos de un dispositivo mediante herramientas de gran complejidad.

Para obtener más información acerca de la eliminación remota de dispositivos, consulte Descripción del barrido de dispositivo remoto.