用户使用移动手持设备与公司网络建立VPN连接的现象越来越普遍。尽管VPN连接本身使用PPTP或者IPSec加密,设备本身也会有很大的安全隐患。
移动设备出现这样问题的原因是由于它们完全脱离管理控制(除非你买了第三方软件)。Windows没有任何针对移动设备的群机制设置,所以用户可以很轻易地从公司网上拷贝敏感数据并且用非加密的格式或者在自己的移动设备上安装这些数据。
如果这还不令你感到担心,设想:用户甚至不必拥有自己移动设备的密码。用户设置其VPN也很普遍,则VPN密码存在设备中,并在连接时自动提供。实际上,移动设备给你的网络开了一个大大敞开的后门。如果设备丢失或者被盗,后果不堪设想!
目前有一些第三方产品可以帮你保护移动设备,但很多人没有意识到的是微软的Microsoft Exchange Server也能实现这个功能。实际上,微软在发布Service Pack 2时的主要目标就是让移动设备更加安全可靠。安全性的增强在Exchange Server 2007中进一步地改进。
Exchange 2003 SP2和Exchange 2007中移动设备安全性的实际实施是不同的。差别一部分是因为Exchange 2007 中使用了一些列与Exchange 2003不同的管理工具。另外一个原因是Exchange 2007允许用户在每个邮箱的基础上使用移动设备安全机制。Exchange 2003只允许使用单一的移动设备机制。考虑到Exchange Server的两个版本有如此重大的差别,我会在后面的部分重点讨论Exchange 2007。
建立一个移动设备安全机制
在Exchange 2007建立一个移动设备安全机制,打开Exchange Management Console,通过控制台的向导选择"Organization Configuration | Client Access."在选择Client Access时,Details面板会显示所有可以用在移动设备上的所有机制。顺便提一下,在Exchange Server 2007中,这些机制被称作Exchange ActiveSync Mailbox Policies。现在,点击Actions面上的New Exchange ActiveSync Mailbox Policy链接
在这时,管理控制台会安装New Exchange ActiveSync Mailbox Policy,如图A所示。正如你在图中看到的,你可以在机制中设置很多参数。
图A
通过Exchange Server 2007 可以建立 ActiveSync Mailbox Policies.
首先你要做的是输入一个要建立的机制的名字。大多数情况下,最好输入一个能描述机制作用的名字。
在Mailbox Policy Name部分下面是一些复选框关于不同的机制要素。第一个复选框是用来选择是否允许非临时的设备。也就是说你在建立的安全policy与一些旧的移动设备是不兼容的。如果安全性对于你来说确实十分重要,最好不选这个框,这样Exchange不会允许这种设备的使用。记住,尽管没有选择这个框,并不代表在所有旧的移动设备中都会禁止。设备的禁用只应用在分配机制的用户上。
下一个复选框本身已经解释了作用:是否允许移动用户下载邮件附件到其设备上。是否允许下载取决于业务的性质以及是否使用邮箱的Exchange。阻止邮件附件节省了无线带宽,降低了感染病毒的风险,但不是对于所有类型的业务都是合适的。
最后一部分让你获取一个密码,并将此参数设为所需的密码。比如,你可以设置密码的长度和复杂度的要求。你还可以控制移动设备在自我锁定之前空闲状态的时长,然后要求用户重新输入密码来继续使用。
点击"New"按钮就会建立ActiveSync Mailbox Policy。当建立过程完成时,点击"Finish"按钮关闭向导。
给用户分配一个Exchange ActiveSync Mailbox Policy:打开Exchange Management Console,通过控制台的向导选择"Recipient Configuration | Mailbox."。这时,Details部分会显示在整个Exchange组中的所有用户列表。右键点击你想要分配机制的用户,从弹出的快捷菜单中选择Properties命令,你就可以看到该用户的属性页面了。然后,选择属性页中的Mailbox Features标签。
从邮箱特性列表中选择Exchange ActiveSync,点击Properties按钮。控制台会显示Exchange ActiveSync Properties对话框。现在选择 Apply an Exchange ActiveSync Mailbox Policy。然后,点击"Browse"按钮并选择你要使用的policy。点击“OK“完成。
远程清除设备
最后我要谈的一个移动安全属性就是远程删除设备中的所有数据。如果一个移动设备丢失或者被盗,这就是个及其重要的安全问题。
设想,比如某个移动用户在出差时,在街上口袋被掏,移动设备就落在了小偷的手中。问题是你不知道小偷的意图。他可能只是想清除设备数据然后当掉它。另一方面,还有可能就是他是受雇于公司竞争对手的间谍。如果是这种情况的话,小偷根本不会关心设备本身。真正的价值在设备中存有的数据。
通过建立Exchange ActiveSync Mailbox Policy,你可以避免移动设备被更改,但认为小偷对数据不感兴趣或者他对于破解设备密码还不够专业的想法还是不明智的。最好就是清除设备数据。
Exchange Server 2007中有意思的一点就是用户不用麻烦去报失设备。他们可以通过Outlook Web Access (OWA)清除设备中的数据。
要这样,用户必须打开IE并登录HTTPS://your_exchange_server/OWA. OWA的Exchange Server 2007版本看上去就像图B所示。注意到在图的右上角有一个"Options"按钮。如果用户点击Options按钮,他会看到一个用于设置每项OWA体验的界面。正如C中所示,Options界面包括一个Mobile Devices链接。选择这个链接后会显示一系列关于移动设备的选项,包括从设备中清除数据的选项
本文作者: