移動(dòng)設(shè)備可以提高世界各地工作人員的工作效率，讓他們可以訪問公司信息，并讓他們甚至在離開物理辦公室時(shí)

　　也能保持聯(lián)系。這樣確實(shí)能提高工作效率：只要打開移動(dòng)設(shè)備，開始工作即可。

　　但是移動(dòng)設(shè)備存在另一問題，即 IT 專業(yè)人員面臨著保持虛擬辦公室的安全和穩(wěn)定這一艱難任務(wù)的挑戰(zhàn)。從他們的角度來看，每個(gè)移動(dòng)設(shè)備都是一個(gè)容易被侵入的潛在網(wǎng)絡(luò)安全漏洞，都有可能導(dǎo)致數(shù)據(jù)被竊取。構(gòu)建更安全的移動(dòng)設(shè)備部署非常關(guān)鍵，但同時(shí)必須通過提供無縫、直觀的用戶體驗(yàn)來取得平衡。

　　Microsoft® Windows Mobile® 6 及其前身，含消息傳送和安全功能包 (MSFP) 的 Windows Mobile 5.0 包含了很多功能，幫助您輕松即可保護(hù)公司基礎(chǔ)架構(gòu)，而且不會(huì)給您的用戶帶來多大的不便。使用 Microsoft Exchange Server 作為消息平臺(tái)可進(jìn)一步增加可用的安全選項(xiàng)。在本文中，我將闡述如何使用 Windows Mobile、Exchange Server 和一些網(wǎng)絡(luò)安全最佳實(shí)踐作為保護(hù)貴公司移動(dòng)設(shè)備的基礎(chǔ)。

　　移動(dòng)通信體系結(jié)構(gòu)

　　在計(jì)劃或升級(jí)移動(dòng)部署時(shí)要考慮三個(gè)層：設(shè)備、郵件服務(wù)器和網(wǎng)絡(luò)(參見圖 1)。在設(shè)備級(jí)別，主要的挑戰(zhàn)包括只允許授權(quán)訪問設(shè)備以及防止設(shè)備上未經(jīng)授權(quán)的應(yīng)用程序。Windows Mobile 可以通過 PIN 驗(yàn)證和密碼保護(hù)、設(shè)備超時(shí)鎖定，以及在設(shè)備的記憶丟失或被盜時(shí)本地或遠(yuǎn)程“擦掉”或擦除設(shè)備內(nèi)存等功能，來幫助阻止對(duì)設(shè)備本身的未經(jīng)授權(quán)的訪問。支持通信通道和可移動(dòng)存儲(chǔ)的數(shù)據(jù)加密。阻止未經(jīng)授權(quán)的應(yīng)用程序(例如病毒或間諜軟件)安裝到或訪問設(shè)備的關(guān)鍵部分也很重要。將管理角色定義、應(yīng)用程序訪問層、代碼簽名設(shè)置、安全設(shè)置和安全證書結(jié)合起來，也可幫助獲得設(shè)備級(jí)保護(hù)。

　　

　　圖 1 移動(dòng)通信的層次

　　接下來一個(gè)安全層是郵件服務(wù)器，例如含 Service Pack 2 (SP2) 的 Exchange Server 2003 或 Exchange Server 2007。這一層包括郵件安全——使郵件安全傳出和傳入設(shè)備的技術(shù)，以及通過 Exchange ActiveSync® 實(shí)現(xiàn)的郵件服務(wù)器和移動(dòng)設(shè)備之間的交互。不要求 Exchange Server 使用 Windows Mobile 設(shè)備，但是使用 Exchange 可以帶來成本、可伸縮性、性能和管理方面的優(yōu)勢(shì)。

　　優(yōu)異的設(shè)備級(jí)和郵件服務(wù)器安全實(shí)踐固然重要，但是保護(hù)網(wǎng)絡(luò)層也很關(guān)鍵。根據(jù)最佳實(shí)踐配置貴公司的網(wǎng)絡(luò)并實(shí)施強(qiáng)大的安全協(xié)議，可以幫助防止對(duì)網(wǎng)絡(luò)的破壞，即使有一個(gè)或更多移動(dòng)設(shè)備遭到破壞也不怕。

　　設(shè)備上的安全策略

　　防御安全隱患的第一道防線是基于 Windows Mobile 的設(shè)備本身。Windows Mobile 操作系統(tǒng)提供各種支持身份驗(yàn)證、存儲(chǔ)卡加密、虛擬專用網(wǎng)絡(luò) (VPN)、Wi-Fi 加密的設(shè)備級(jí)安全服務(wù)和安全套接字層 (SSL) 服務(wù)。設(shè)備級(jí)安全包括管理誰(shuí)有權(quán)訪問設(shè)備及其數(shù)據(jù)、控制哪些應(yīng)用程序可以在設(shè)備上運(yùn)行，以及創(chuàng)建數(shù)據(jù)傳入和傳出設(shè)備的方式。總之，管理員在含 MSFP 的 Windows Mobile 5.0 和 Windows Mobile 6 上設(shè)置和實(shí)施安全策略時(shí)有很大的靈活性。

　　用戶訪問通過 PIN 或密碼身份驗(yàn)證來管理。設(shè)備可設(shè)置為在一段時(shí)間的非活動(dòng)狀態(tài)后或在關(guān)閉后自動(dòng)鎖定，用戶需要再次解除對(duì)設(shè)備的鎖定后才能使用(參見圖 2)。用戶訪問控制的細(xì)節(jié)由安全策略設(shè)置，它可根據(jù)管理員的安全角色進(jìn)行更改。

　　

　　圖 2 設(shè)置密碼策略

　　安全策略定義移動(dòng)設(shè)備安全的所有級(jí)別(參見圖 3)。誰(shuí)有權(quán)設(shè)置和更改這些安全策略由安全角色決定。“管理員”角色通常預(yù)留給移動(dòng)操作員，他/她可以完全控制安全策略的設(shè)置。“企業(yè)”角色為 Exchange 所用，以管理一些設(shè)備策略，這些策略由 Exchange 管理員配置。根據(jù)與設(shè)備提供商的協(xié)議，您可能可以自定義貴公司的安全策略。

　　Windows Mobile 所使用的可自定義的身份驗(yàn)證方法受本地身份驗(yàn)證插件 (LAP) 控制，它可以與本地身份驗(yàn)證子系統(tǒng) (LASS) 交互。這個(gè)技術(shù)使 Exchange Server 可以精確地控制設(shè)備配置，例如通過強(qiáng)制執(zhí)行密碼長(zhǎng)度和強(qiáng)度要求或啟用簡(jiǎn)單的 PIN 身份驗(yàn)證。

　　Windows Mobile 6 有一組擴(kuò)展的 LAP 功能，它們可以通過使用 Exchange Server 2007 來進(jìn)行配置。您可以啟用 PIN 模式識(shí)別(例如，拒絕使用簡(jiǎn)單的模式，如“1111”或“1234”)，配置密碼或 PIN 過期時(shí)段，允許用戶請(qǐng)求基于某個(gè)條件重設(shè) PIN，或保留 PIN/密碼歷史記錄，以阻止用戶在被要求創(chuàng)建新 PIN 或密碼時(shí)重新使用這些舊的 PIN 或密碼。

　　保護(hù)設(shè)備上的數(shù)據(jù)

　　當(dāng)不正確的 PIN 或密碼的輸入次數(shù)超過管理員設(shè)置的限制后，本地設(shè)備擦除功能會(huì)硬重置這些設(shè)備，從而擦除它的記憶，包括用戶身份驗(yàn)證憑據(jù)。該限制會(huì)被設(shè)置成 Exchange Server 安全策略的一部分。每發(fā)生兩次不正確的輸入后，設(shè)備會(huì)提示用戶輸入結(jié)構(gòu)化的密鑰字符串繼續(xù)(參見圖 4)。這可以保護(hù)設(shè)備不會(huì)由于不小心按錯(cuò)鍵而被意外擦除。在使用 Windows Mobile 6 和 Exchange Server 2007 時(shí)，遠(yuǎn)程擦除存儲(chǔ)卡也是有可能發(fā)生的。

　　

　　圖 4 強(qiáng)制使用 PIN 和密碼

　　如果有人將內(nèi)含敏感公司數(shù)據(jù)的 2GB 的存儲(chǔ)卡落在了出租車上，鎖定設(shè)備并無多大用處。幸運(yùn)的是，您可以使用 Windows Mobile 6 來解決這個(gè)問題。它可對(duì)存儲(chǔ)卡數(shù)據(jù)加密，這樣只有曾經(jīng)對(duì)該存儲(chǔ)卡進(jìn)行過寫入操作的設(shè)備才能讀取它。正如 Windows Mobile 6 的許多其他增強(qiáng)的安全功能一樣，Exchange Server 2007 可用來以無線方式提供這個(gè)安全功能。存儲(chǔ)卡加密對(duì)用戶而言，在很大程度上是透明。Exchange Server 2007 會(huì)讓管理員選擇用戶是否可以更改其存儲(chǔ)卡加密設(shè)置。

　　應(yīng)用程序是否可以在 Windows Mobile 設(shè)備上運(yùn)行是根據(jù)三個(gè)權(quán)限級(jí)別來確定的：特權(quán)、普通和阻止。特權(quán)級(jí)別的應(yīng)用程序(由特權(quán)證書存儲(chǔ)區(qū)中的證書簽名)可寫入注冊(cè)表和系統(tǒng)文件，還可以安裝證書。同臺(tái)式計(jì)算機(jī)或服務(wù)器一樣，可以更改操作系統(tǒng)環(huán)境的應(yīng)用程序越多，破壞這個(gè)環(huán)境的可能性就越大。減少具有“特權(quán)”級(jí)權(quán)限的應(yīng)用程序的數(shù)量通常是一個(gè)比較好的做法。大多數(shù)應(yīng)用程序只需要在“普通”級(jí)別運(yùn)行(由 Unpriv 證書存儲(chǔ)中證書簽名的應(yīng)用程序或用戶已同意運(yùn)行的未簽名應(yīng)用程序)，該權(quán)限允許它們執(zhí)行(但阻止訪問)系統(tǒng)文件。阻止的應(yīng)用程序是指被阻止，并且由于簽名或用戶操作不正確而無法運(yùn)行的應(yīng)用程序。

　　設(shè)備可以有一層或兩層安全訪問配置。使用一層訪問配置，未簽名的應(yīng)用程序要么以“特權(quán)”權(quán)限運(yùn)行，要么被阻止而無法運(yùn)行。如果策略檢查成功或如果用戶允許應(yīng)用程序運(yùn)行，則兩層訪問配置會(huì)在“普通”級(jí)別運(yùn)行未簽名的應(yīng)用程序。根據(jù)設(shè)備設(shè)置，可以提示用戶是否執(zhí)行未簽名的應(yīng)用程序。

　　電子證書，最常用的個(gè)人、設(shè)備和應(yīng)用程序身份驗(yàn)證的形式之一，是設(shè)備、服務(wù)器和網(wǎng)絡(luò)級(jí)別的 Windows Mobile 安全的重要組成部分。Windows Mobile 操作系統(tǒng)在設(shè)備上的不同證書存儲(chǔ)中存儲(chǔ)了好幾種類型的證書。對(duì)于應(yīng)用程序，證書會(huì)確定哪些是可以安裝和運(yùn)行的。對(duì)于要在不提示用戶的情況下在基于 Windows Mobile 的設(shè)備上運(yùn)行的應(yīng)用程序，它必須要經(jīng)過證書的簽名，證明它已被 Microsoft Mobile2Mobile 程序接受。應(yīng)用程序根據(jù)與它們相關(guān)的證書被授予各種權(quán)限級(jí)別。

　　對(duì)于網(wǎng)絡(luò)身份驗(yàn)證，每個(gè)移動(dòng)設(shè)備都帶有很多由證書頒發(fā)機(jī)構(gòu) (CA)(如圖 5 所示)頒發(fā)的受信任商業(yè)根證書。郵件服務(wù)器(例如 Exchange Server)會(huì)在與設(shè)備建立 SSL 連接之前驗(yàn)證設(shè)備根證書的真實(shí)性。如果貴公司使用自定義證書，也許可以將它們安裝在所購(gòu)買的基于 Windows Mobile 的設(shè)備上，或者可能需要?jiǎng)?chuàng)建一個(gè)新的證書。有關(guān)這一點(diǎn)，我會(huì)在本文的“網(wǎng)絡(luò)安全”部分做進(jìn)一步的討論。

　　

　　圖 5 管理電子證書

　　ActiveSync 和 Internet Explorer® Mobile 可使用 SSL 來幫助保護(hù)設(shè)備與公司 Web 服務(wù)器之間的數(shù)據(jù)傳輸。無論可同步化 Microsoft Exchange 數(shù)據(jù)，可配置設(shè)備或下載應(yīng)用程序的連接是否存在，都是這樣。SSL 會(huì)對(duì)帶有 128 位 RC4 或 3DES 密碼器的通信通道加密，因此數(shù)據(jù)無法被外部各方讀取。Windows Mobile 還支持 VPN，用戶可以在通過 Internet 訪問服務(wù)器時(shí)使用數(shù)據(jù)包加密來提供與專用線路類似的安全性。

　　Exchange Server 安全

　　基于 Windows Mobile 的設(shè)備并不要求運(yùn)行 Exchange Server，但是這兩個(gè)系統(tǒng)已設(shè)計(jì)為一起緊密配合運(yùn)行，提供了一個(gè)強(qiáng)大的端到端移動(dòng)消息傳送和工作效率解決方案。自含有 MSFP 的 Windows Mobile 5.0 發(fā)布以來，ActiveSync 已得到增強(qiáng)，可允許遠(yuǎn)程管理 Windows Mobile 設(shè)備的設(shè)置。它提供一種簡(jiǎn)單、有效的方法，讓您可以在大多數(shù) Windows Mobile 設(shè)備中傳播和強(qiáng)制實(shí)施全局安全設(shè)置。

　　ActiveSync 在 Microsoft Windows Server 2003 的應(yīng)用程序/Web 服務(wù)器組件 IIS 上運(yùn)行。IIS 提供的內(nèi)置安全可幫助保護(hù) ActiveSync 本身不受來自網(wǎng)絡(luò)的攻擊。因?yàn)?Microsoft Office Outlook® Web Access (OWA) 也是基于 IIS 的，所以您可以對(duì) ActiveSync 和 OWA 使用同一個(gè)安全證書。

　　當(dāng) ActiveSync 用于傳播 Enterprise 策略時(shí)，這個(gè)策略會(huì)被發(fā)送到下一次與 Exchange Server 同步的設(shè)備。用戶必須接受更改，否則不允許連接到服務(wù)器。很多網(wǎng)絡(luò)會(huì)處理各種設(shè)備，包括不能接受復(fù)雜安全策略的過時(shí)硬件。如果必要，您可以從安全策略需求中排除某些設(shè)備(例如過時(shí)硬件)，這樣它們就可以繼續(xù)連接。

　　Exchange Server 2003 SP2 和 Exchange Server 2007 有一些不同的安全策略控制功能。Exchange Server 2003 SP2 可用來指定最小密碼長(zhǎng)度(4 到 18 個(gè)字符)，要求密碼必須包含數(shù)字和字母，并設(shè)置設(shè)備鎖定之前可處于非活動(dòng)狀態(tài)的時(shí)間長(zhǎng)度。此版本的 Exchange Server 還可以設(shè)置安全設(shè)置被推送到設(shè)備的頻率，并允許按照上述情況排除過時(shí)設(shè)備。

　　隨著 Exchange Server 2007 版本的發(fā)布，ActiveSync 移動(dòng)設(shè)備管理功能已得到了增強(qiáng)，包含所有的 Exchange Server 2003 SP2 功能，以及下列功能：

　　允許或不允許簡(jiǎn)單密碼(如“1234”或“1111”)

　　啟用或不啟用附件下載

　　要求存儲(chǔ)卡加密

　　設(shè)置最大附件大小

　　允許用戶通過 OWA 恢復(fù)設(shè)備密碼

　　啟用對(duì)通用命名約定 (UNC) 和 Microsoft Windows SharePoint® Services (WSS) 文件的訪問

　　使用 Exchange Server 2007，IT 專業(yè)人員可靈活地量身定制針對(duì)每個(gè)用戶和設(shè)備的策略，以便管理用戶組的策略，并可以從安全策略中徹底排除某個(gè)用戶。

　　遠(yuǎn)程訪問擦除

　　除了前面詳細(xì)介紹的本地設(shè)備擦除之外，您還可以通過 Exchange Server 2003 SP2、Exchange Server 2007 或 OWA 遠(yuǎn)程擦除基于 Windows Mobile 的設(shè)備。遠(yuǎn)程擦除在進(jìn)行同步化時(shí)執(zhí)行，即使您沒有使用 ActiveSync 安全策略也無妨。設(shè)備無法停止遠(yuǎn)程擦除硬重置。數(shù)據(jù)、設(shè)置和安全密鑰都會(huì)被重復(fù)的零覆蓋，這對(duì)恢復(fù)不是核心操作系統(tǒng)組成部分的數(shù)據(jù)造成了極大的困難。

　　網(wǎng)絡(luò)安全

　　網(wǎng)絡(luò)安全同設(shè)備和郵件服務(wù)器組件一樣，對(duì)移動(dòng)安全同等重要。它也是最容易受您控制的移動(dòng)基礎(chǔ)結(jié)構(gòu)組成部分。即使一個(gè)或多個(gè)移動(dòng)設(shè)備碰巧都遭到了破壞，根據(jù)最佳實(shí)踐來配置貴公司的網(wǎng)絡(luò)并實(shí)施相應(yīng)的安全協(xié)議有利于阻止對(duì)網(wǎng)絡(luò)的破壞。

　　Windows Mobile 可用于各種網(wǎng)絡(luò)類型。使用標(biāo)準(zhǔn)的 Internet 安全協(xié)議和防火墻，可以設(shè)計(jì)出一個(gè)適合您性能、可伸縮性和安全需要的解決方案。

　　當(dāng)郵件服務(wù)器被保留在公司網(wǎng)絡(luò)中時(shí)，它們可能會(huì)得到作為 Internet 和公司網(wǎng)絡(luò)之間緩沖的邊緣防火墻的保護(hù)。Microsoft Internet Security and Acceleration (ISA) Server 2004 或 ISA Server 2006 都具有專門設(shè)計(jì)用于特殊用途的功能，它會(huì)在將傳入數(shù)據(jù)包傳遞給 Exchange 服務(wù)器之前，檢查所有的傳入數(shù)據(jù)包以確定它們的身份，然后通過 Internet 將出站信息發(fā)回客戶端。

　　配置 ISA Server 要求您啟用 SSL 加密，并指定端口 443 作為 Exchange Server 通信的 SSL Web 偵聽端口。這通過將其限制為單個(gè)端口最小化了來自 Internet 的風(fēng)險(xiǎn)。同時(shí)，應(yīng)要求所有的客戶端在通過 ActiveSync 連接之前建立 SSL 鏈接。

　　ISA Server 可以預(yù)先驗(yàn)證 Web 應(yīng)用程序(如 OWA)用戶，以幫助阻止未經(jīng)驗(yàn)證的用戶訪問應(yīng)用程序服務(wù)器。ISA Server 2006 通過充當(dāng)基于 Windows Mobile 的設(shè)備的 SSL 終止點(diǎn)，改善了 ISA Server 2004 的 SSL 橋接模式。這允許基于 Windows Mobile 的設(shè)備驗(yàn)證 Exchange 服務(wù)器，可在不與其直接連接的情況下，依靠 ISA Server 2006 來回傳遞通信。由于建議的 ISA Server 2006 位置在外圍網(wǎng)絡(luò)，這樣公共 Internet 空間與 Exchange Server 前端之間就有了一個(gè)額外的安全層。

　　身份驗(yàn)證

　　有兩種基本的身份驗(yàn)證類型可供選擇：基本類型和基于證書的類型。基本身份驗(yàn)證是指 Windows Mobile 客戶端和 Exchange 前端服務(wù)器之間是標(biāo)準(zhǔn)的、啟用名稱和密碼的、基于 SSL 的連接。它仍要求證書，因?yàn)?Exchange Server 會(huì)在驗(yàn)證之前尋找設(shè)備上匹配的根證書。Windows Mobile 和 IIS 允許您使用大量與 SSL 相關(guān)的加密方法。

　　基于證書的身份驗(yàn)證在含有 MSFP 的 Windows Mobile 5.0 和 Windows Mobile 6 中都有提供，它使用的是傳輸層安全性 (TLS) 而不是 SSL 基本身份驗(yàn)證。除了根證書以外，TLS 還要求每個(gè)用戶具有一個(gè)含公用和專用密鑰的證書。因?yàn)?TLS 使用的是加密密鑰(最多 2,048 位)，而不是密碼，因此該協(xié)議提供了更嚴(yán)格的身份驗(yàn)證。

　　在 Windows Mobile 6 中，要使用“桌面注冊(cè)”注冊(cè)一個(gè)用戶證書，要求將設(shè)備插接到與證書注冊(cè)服務(wù)器同一域中的臺(tái)式計(jì)算機(jī)。用戶使用密碼、智能卡或其他方式驗(yàn)證注冊(cè)，然后將設(shè)備連接到臺(tái)式計(jì)算機(jī)。然后用戶可以通過臺(tái)式計(jì)算機(jī)訪問證書系統(tǒng)，按順序?qū)⒆C書安裝到移動(dòng)設(shè)備上。桌面注冊(cè)可以用于各種 Windows Mobile 安全性用途，包括證書續(xù)訂，以及 ActiveSync 身份驗(yàn)證證書、SSL/TLS 身份驗(yàn)證證書、802.1x Wi-Fi 證書或 S/MIME 電子簽名證書的分發(fā)。

　　SSL 等安全協(xié)議可以保護(hù)傳輸時(shí)的郵件數(shù)據(jù)，但是一旦它們位于 Windows Mobile 設(shè)備或 Exchange 服務(wù)器上就不會(huì)對(duì)它們加密。S/MIME 是一種熟悉的支持電子簽名和/或加密電子郵件的 MIME 電子郵件標(biāo)準(zhǔn)的安全形式。它提供位于和高于 SSL 傳輸層加密的額外層的保護(hù)。

　　總結(jié)

　　我們需要注意組成創(chuàng)建足夠安全的基礎(chǔ)結(jié)構(gòu)的解決方案的每一個(gè)層次。Windows Mobile、Exchange Server 和 Microsoft 網(wǎng)絡(luò)安全產(chǎn)品(如 ISA Server)聯(lián)手解決了管理移動(dòng)基礎(chǔ)結(jié)構(gòu)的難題。這有利于減輕 IT 部門的一些壓力，從而可以將重點(diǎn)從應(yīng)付移動(dòng)設(shè)備帶來的安全挑戰(zhàn)，轉(zhuǎn)移到它們實(shí)現(xiàn)的工作效率提高方面來。