Управление безопасностью Exchange ActiveSync

 

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2007-07-14

Exchange ActiveSync позволяет пользователям синхронизировать мобильные устройства с Microsoft Exchange Server 2007. Это предоставляет пользователям доступ к различным данным Exchange, в том числе к сообщениям электронной почты, данным календаря и контактов, задачам и данным единой системы обмена сообщениями, таким как факсы и голосовые сообщения.

noteПримечание.
Для просмотра факсов на мобильном устройстве может потребоваться установить дополнительное программное обеспечение стороннего производителя.

При развертывании Exchange ActiveSync необходимо учесть несколько вопросов, связанных с безопасностью. В этом разделе приведен обзор вариантов обеспечения безопасности для развертывания Exchange ActiveSync.

Безопасность Exchange Server ActiveSync

На сервере с Exchange ActiveSync можно выполнить несколько задач, связанных с безопасностью. Одной из наиболее важных задач является настройка способа проверки подлинности. Exchange ActiveSync выполняется на сервере Exchange 2007 с установленной ролью сервера клиентского доступа. Эта роль сервера устанавливается с самозаверяющим цифровым сертификатом, используемым по умолчанию. Хотя самозаверяющий сертификат поддерживается Exchange ActiveSync, это не самый безопасный способ проверки подлинности. Для повышения безопасности рекомендуется развернуть достоверный сертификат стороннего коммерческого центра сертификации или доверенного центра сертификации инфраструктуры открытого ключа (PKI) Windows. Дополнительные сведения о настройке достоверного цифрового сертификата см. в разделе Инструкции по настройке SSL для Exchange ActiveSync.

Выбор способа проверки подлинности для Exchange ActiveSync

Помимо развертывания достоверного цифрового сертификата следует рассмотреть различные способы проверки подлинности, доступные для Exchange ActiveSync. По умолчанию при установке роли сервера клиентского доступа Exchange ActiveSync настраивается на использование обычной проверки подлинности с протоколом SSL. Чтобы повысить безопасность, рекомендуется изменить способ проверки подлинности на дайджест-проверку подлинности или встроенную проверку подлинности Windows.

noteПримечание.
Пользователи, почтовые ящики которых находятся на сервере Exchange 2003, при попытке использования Exchange ActiveSync через сервер клиентского доступа Exchange 2007 получат сообщения об ошибке и не смогут выполнить синхронизацию, если для виртуального каталога Microsoft-Server-ActiveSync на сервере Exchange 2003 не включена встроенная проверка подлинности Windows. Это обеспечит взаимодействие сервера клиентского доступа Exchange 2007 и фонового сервера Exchange 2003 с помощью проверки подлинности Kerberos.

Использование ISA Server с Exchange ActiveSync

Microsoft Internet Security and Acceleration (ISA) Server 2006 и Exchange 2007 включают средства обеспечения повышенной безопасности клиентского доступа к Microsoft Exchange при использовании Exchange ActiveSync.

ISA Server 2006 позволяет настроить способы проверки подлинности для Exchange ActiveSync с помощью мастера правил публикации Exchange. Дополнительные сведения об использовании ISA Server 2006 совместно с Exchange ActiveSync см. в разделе Настройка ISA Server 2006 для клиентского доступа Exchange.

Безопасность устройств

Помимо повышения безопасности сервера Exchange ActiveSync необходимо улучшить безопасность мобильных устройств пользователей. Существует несколько способов повышения уровня безопасности мобильных устройств.

Политики почтовых ящиков Exchange ActiveSync

Exchange ActiveSync для Exchange 2007 позволяет создавать политики почтовых ящиков Exchange ActiveSync для применения общего набора параметров безопасности к группе пользователей. Некоторые из этих параметров включают следующее:

  • запрос пароля;

  • задание минимальной длины пароля;

  • требование наличия в пароле чисел или специальных символов;

  • определение времени бездействия устройства, по истечении которого пользователю потребуется повторно ввести пароль;

  • возможность очистки устройства при превышении определенного числа попыток ввода пароля.

Дополнительные сведения о политиках почтовых ящиков Exchange ActiveSync см. в разделе Управление Exchange ActiveSync с использованием политик.

Удаленная очистка устройства

Мобильные устройства могут хранить конфиденциальные данные предприятия и предоставлять доступ к различным корпоративным ресурсам. Потеря или кража устройства могут привести к разглашению данных. Удаленная очистка устройства — это функция, позволяющая серверу Exchange удалять все данные на мобильном устройстве при его следующем подключении к серверу Exchange. Удаленная очистка устройства позволяет эффективно удалить с мобильного устройства все синхронизированные данные и личные настройки. Эта возможность может оказаться полезной при потере, краже устройства, а также в других подобных случаях.

warningВнимание!
После удаленной очистки устройства восстановить данные крайне затруднительно. Тем не менее никакой способ удаления данных не гарантирует, что на устройстве не останется данных, как на новом устройстве. Восстановление данных на устройстве может быть возможно при использовании сложных средств.

Дополнительные сведения об удаленной очистке устройства см. в разделе Общие сведения об очистке удаленного устройства.