由于移動消息技術的最新進展,移動設備的安全性逐漸成為人們關注的問題。各家公司都在尋找更好的方法來保護移動設備上駐留的敏感業務數據。
Exchange Server 2003 和一項稱為 Exchange ActiveSync® 的技術的出現使得 Windows Mobile® 設備(Pocket PC Phone 或 Smartphone)可以通過使用 HTTPS 安全連接到 Exchange Server 2003。但是,仍然缺少對移動設備的管理。隨著 Exchange Server 2003 Service Pack 2 (SP2) 和帶有郵件和安全功能包 (MSFP) 的 Windows Mobile 5.0 的發布,您可以設置一個全局策略來影響連接到 Exchange 的所有 Windows Mobile 設備。這些策略可以強制輸入特定長度的 PIN、規定要求輸入 PIN 之前的非活動超時以及在嘗試輸入 PIN 失敗達到特定次數之后進行設備擦除。
Exchange Server 2003 SP2 還添加了使用 Exchange 移動管理工具進行遠程擦除的功能,如圖 1 所示。此工具使管理員可以針對丟失的 Windows Mobile 設備發出擦除命令。當設備再次連接到 Exchange 時,會執行硬重置,擦除設備內存中的所有內容。
!["圖]("http://www.microsoft.com/technet/technetmag/issues/2007/05/Mobility/zh//fig01_L.gif")
圖 1 用于擦除設備的 Exchange 移動管理工具 (單擊該圖像獲得較大視圖)
盡管這是移動設備管理和安全性方面一個好的開端,但還有很多安全性要求需要解決。Exchange Server 2007 正好可以解決這些問題。
設備配置和強制
默認情況下,系統為 Exchange Server 2007 的所有郵箱用戶啟用 Exchange ActiveSync。如果希望僅為一小組用戶啟用此功能,可以在開始的時候為所有用戶禁用此功能。Exchange 管理控制臺不允許您為某組用戶禁用 ActiveSync,但通過使用如下所示的 Exchange 命令行管理程序命令可以輕松做到這一點:
Get-mailbox –server
此命令將檢索 Exchange 2007 服務器上的所有郵箱,并將信息傳輸到 Set-CASMailbox 命令,以禁用所有現有郵箱的 ActiveSync。
下一步涉及到為貴組織構建 Exchange Mailbox ActiveSync 策略的問題。構造的策略數量將取決于您的用戶的各種安全配置文件。例如,通過電子郵件接收敏感金融信息的金融分析人員可能需要比普通用戶更為嚴格的安全設備策略。
若要配置 ActiveSync 策略,請轉到“Exchange Management Console”(Exchange 管理控制臺)導航樹,并選擇“Organizational Configuration”(組織配置)容器下面的“Client Access”(客戶端訪問)。在“Actions”(操作)窗格中,選擇“New Exchange ActiveSync Mailbox Policy”(新建 Exchange ActiveSync 郵箱策略)。
在“New Exchange ActiveSync Mailbox Policy”(新建 Exchange ActiveSync 郵箱策略)對話框中,可以為設置創建靈活的策略,通過這些設置來控制是允許將附件下載到某個設備,還是允許不可設置的設備(參見圖 2)。可設置的設備是 Windows Mobile 設備,這些設備可以應用和強制指定的策略。不可設置的設備是只能應用部分策略(或完全不能應用策略)的設備。
!["圖]("http://www.microsoft.com/technet/technetmag/issues/2007/05/Mobility/zh//fig02_L.gif")
圖 2 Exchange Server 2007 ActiveSync 郵箱策略 (單擊該圖像獲得較大視圖)
其他功能還包括對加密和密碼恢復的設置進行配置。如果啟用了“Require encryption on the device”(要求對設備加密)選項,則設備存儲卡上的所有文件都將被加密。“Enable password”(啟用密碼恢復)選項使用戶可以通過 Outlook® Web Access 2007 檢索設備 PIN。
在為設備應用密碼策略之前需要考慮清楚。長而復雜的 PIN 可以提高安全性,但也可能使設備使用不太方便。權衡安全性和使用性的關鍵是確定密碼強度和需要 PIN 之前的超時期限。啟用“Password expiration”(密碼過期)和“Enforce password history”(強制密碼歷史)選項也可以增加安全性,但是如果跟蹤密碼和 PIN 變得十分復雜,則可能會讓用戶感到失望。
Exchange Server 2007 ActiveSync 郵箱策略有助于增強設備安全性,但是它的某些功能需要使用 Windows Mobile 6.0(僅在我們即將推出的設備上可用)。圖 2 顯示的功能中,要求對設備加密、強制密碼歷史和密碼過期(天數)都需要新版本。但是,您仍可以針對使用安裝了 Windows Mobile 5.0 的設備的用戶,利用 Exchange Server 2007 新的靈活策略。
對策略進行定義之后,即可將其應用于用戶。在“Exchange Management Console”(Exchange 管理控制臺)中,轉到“Recipient Configuration”(收件人配置)并選擇“Mailbox”(郵箱)。選擇要為其啟用 ActiveSync 策略的郵箱用戶,并從“Actions ”(操作)窗格中選擇“Properties”(屬性)。轉到“Mailbox Features”(郵箱功能)選項卡,并雙擊“Exchange ActiveSync”。在“Exchange ActiveSync Properties”(Exchange ActiveSync 屬性)框中,單擊“Browse”(瀏覽)按鈕,并選擇要應用于用戶的 ActiveSync 策略(參見圖 3)。重復相同的步驟可以將不同策略應用于用戶,也可以使用以下 Exchange 命令行管理程序命令將某個策略應用于一組用戶:
!["圖]("http://www.microsoft.com/technet/technetmag/issues/2007/05/Mobility/zh//fig03_L.gif")
圖 3 應用 ActiveSync 郵箱策略 (單擊該圖像獲得較大視圖)
Set-CASMailbox –Activesyncmailpolicy
最后一步是培訓您的最終用戶和技術支持人員。請告知您的最終用戶,在他們將設備連接到 Exchange Server 2007 時需要輸入特定長度的 PIN(參見圖 4)。為最終用戶講解應用的安全策略,讓他們了解這些更改不會影響其日常工作。
!["圖]("http://www.microsoft.com/technet/technetmag/issues/2007/05/Mobility/zh//fig04.gif")
圖 4 ActiveSync 郵箱策略需要 PIN
您還應該讓最終用戶注意到 Exchange Server 2007 中的一種新功能,即,使用 Outlook Web Access 2007 進行自助式遠程擦除。如果某個用戶丟失了設備,他可以通過 Outlook Web Access 中的“Options”(選項)鏈接啟動設備擦除,而無需與技術支持人員聯系(參見圖 5)。如果在正常工作時間之外丟失了設備,這一功能將非常有用。
!["圖]("http://www.microsoft.com/technet/technetmag/issues/2007/05/Mobility/zh//fig05_L.gif")
圖 5 通過 Outlook Web Access 管理設備 (單擊該圖像獲得較大視圖)
最后,向您的技術支持人員介紹如何對設備進行遠程擦除。操作非常簡單:打開“Exchange Management Console”(Exchange 管理控制臺),導航到“Recipient Configuration”(收件人配置)并選擇“Mailbox”(郵箱)。接下來,選擇要啟動擦除其設備的用戶,并從“Actions”(操作)窗格中選擇“Manage Mobile Device”(管理移動設備)。“Manage Mobile Device”(管理移動設備)界面如圖 6 所示。請注意,一個用戶連接到 Exchange 2007 的 Windows Mobile 設備可能不止一個,因此在啟動擦除的時候不要誤選。
!["圖]("http://www.microsoft.com/technet/technetmag/issues/2007/05/Mobility/zh//fig06_L.gif")
圖 6 遠程擦除用戶設備 (單擊該圖像獲得較大視圖)
電子郵件處理和搜索
Windows Mobile 6.0 允許您以 HTML 格式讀取電子郵件、設置外出通知(參見圖 7)以及標記電子郵件。在 Windows Mobile 6.0 設備上標記電子郵件與在 Outlook 中標記電子郵件的效果相同。現在您可以標記電子郵件并使用 Outlook 的高級功能在返回辦公室時進行后續處理,而無需將電子郵件標記為“未讀”。以 HTML 格式讀取電子郵件的功能為移動設備用戶和其他電子郵件線程收件人提供了便利。在使用 Windows Mobile 6.0 答復電子郵件時,電子郵件不會轉換為基本文本格式,這樣也改善了使用 Outlook 的其他電子郵件收件人的使用體驗。
!["圖]("http://www.microsoft.com/technet/technetmag/issues/2007/05/Mobility/zh//fig07.gif")
圖 7 外出消息
Windows Mobile 6.0 的日歷功能有極大增強。現在您可以在一個日歷條目中轉發、答復或全部答復郵件,并可以查看所有邀請的接受狀態。
Windows Mobile 6.0 與 Exchange Server 2007 一起使用,可以提供與搜索和移動文檔訪問有關的兩個新功能。使用移動設備的難題之一是存儲容量有限。因此,很多用戶的設備上只保留一至三天的電子郵件。通常用戶只能從其“Inbox”(收件箱)中的一個文件夾中選擇獲取電子郵件。因此在需要訪問舊郵件或者訪問存儲在郵箱中不同文件夾內的多個郵件時,這些最低限制就成了問題。
使用 Windows Mobile 6.0,用戶可以通過 Exchange Server 2007 搜索和索引引擎對其整個郵箱進行無線搜索。可以根據關鍵字在多個文件夾中進行電子郵件搜索(參見圖 8)。然后從搜索結果中實時提取電子郵件。
!["圖]("http://www.microsoft.com/technet/technetmag/issues/2007/05/Mobility/zh//fig08.gif")
圖 8 無線電子郵件搜索
移動文檔訪問
隨著文檔協作軟件(例如,SharePoint®)的增長,以及對傳輸的電子郵件的最大大小限制,最終用戶發送的電子郵件附件越來越少,而更多地的是發送指向文件共享和 SharePoint 網站的鏈接。除非您可以通過虛擬專用網絡 (VPN) 連接到公司網絡,否則可能無法通過移動設備訪問這些文檔。對于移動辦公人員而言,這可能是個障礙。
Windows Mobile 6.0 和 Exchange Server 2007 使用戶可以通過 UNC 文件共享和 SharePoint 網站以只讀模式訪問他們的數據。Exchange Server 2007 可以為 Windows Mobile 設備代理針對這些文檔的請求(參見圖 9)。即使無法通過 VPN 連接到公司網絡,用戶也可以不受限制地訪問電子郵件附帶的文檔;而且可以訪問駐留在文件共享或 SharePoint 網站中的任何文檔。
!["圖]("http://www.microsoft.com/technet/technetmag/issues/2007/05/Mobility/zh//fig09.gif")
圖 9 通過 UNC 鏈接訪問文檔
若要管理移動文檔訪問,請打開“Exchange Management Console”(Exchange 管理控制臺),并在導航樹的“Server Configuration”(服務器配置)下面選擇“Client Access”(客戶端訪問)。然后轉到“ActiveSync”選項卡,選擇 Microsoft-Server-ActiveSync 對象,并單擊“Action”(操作)窗格中的屬性。在“Remote File Servers”(遠程文件服務器)選項卡下,您可以配置 SharePoint 網站和文件服務器的主機名允許列表和阻止列表。
此后,返回到您的 Exchange ActiveSync 郵箱策略,確保已選中 Windows® 文件共享和 Windows SharePoint 服務的復選框(參見圖 10)。
!["圖]("http://www.microsoft.com/technet/technetmag/issues/2007/05/Mobility/zh//fig10_L.gif")
圖 10 啟用文檔訪問 (單擊該圖像獲得較大視圖)
現在您可以為您的所有 Windows Mobile 設備用戶提供更好的文檔訪問服務。
總結
在遠程辦公日益流行的今天,無論您身在何處,Windows Mobile 設備的強大功能都使您可以隨時訪問需要的信息。移動設備的管理和安全性已成為 IT 部門所關注的問題。Exchange Server 2007 與 Windows Mobile 6.0 結合使用可以輕松地創建針對 Windows Mobile 設備的策略,而 Windows Mobile 設備將有助于緩解問題并為遠程辦公人員提供新功能打下基礎。
