由于移动消息技术的最新进展,移动设备的安全性逐渐成为人们关注的问题。各家公司都在寻找更好的方法来保护移动设备上驻留的敏感业务数据。
Exchange Server 2003 和一项称为 Exchange ActiveSync® 的技术的出现使得 Windows Mobile® 设备(Pocket PC Phone 或 Smartphone)可以通过使用 HTTPS 安全连接到 Exchange Server 2003。但是,仍然缺少对移动设备的管理。随着 Exchange Server 2003 Service Pack 2 (SP2) 和带有邮件和安全功能包 (MSFP) 的 Windows Mobile 5.0 的发布,您可以设置一个全局策略来影响连接到 Exchange 的所有 Windows Mobile 设备。这些策略可以强制输入特定长度的 PIN、规定要求输入 PIN 之前的非活动超时以及在尝试输入 PIN 失败达到特定次数之后进行设备擦除。
Exchange Server 2003 SP2 还添加了使用 Exchange 移动管理工具进行远程擦除的功能,如图 1 所示。此工具使管理员可以针对丢失的 Windows Mobile 设备发出擦除命令。当设备再次连接到 Exchange 时,会执行硬重置,擦除设备内存中的所有内容。
!["图]("http://www.microsoft.com/technet/technetmag/issues/2007/05/Mobility/zh//fig01_L.gif")
图 1 用于擦除设备的 Exchange 移动管理工具 (单击该图像获得较大视图)
尽管这是移动设备管理和安全性方面一个好的开端,但还有很多安全性要求需要解决。Exchange Server 2007 正好可以解决这些问题。
设备配置和强制
默认情况下,系统为 Exchange Server 2007 的所有邮箱用户启用 Exchange ActiveSync。如果希望仅为一小组用户启用此功能,可以在开始的时候为所有用户禁用此功能。Exchange 管理控制台不允许您为某组用户禁用 ActiveSync,但通过使用如下所示的 Exchange 命令行管理程序命令可以轻松做到这一点:
Get-mailbox –server
此命令将检索 Exchange 2007 服务器上的所有邮箱,并将信息传输到 Set-CASMailbox 命令,以禁用所有现有邮箱的 ActiveSync。
下一步涉及到为贵组织构建 Exchange Mailbox ActiveSync 策略的问题。构造的策略数量将取决于您的用户的各种安全配置文件。例如,通过电子邮件接收敏感金融信息的金融分析人员可能需要比普通用户更为严格的安全设备策略。
若要配置 ActiveSync 策略,请转到“Exchange Management Console”(Exchange 管理控制台)导航树,并选择“Organizational Configuration”(组织配置)容器下面的“Client Access”(客户端访问)。在“Actions”(操作)窗格中,选择“New Exchange ActiveSync Mailbox Policy”(新建 Exchange ActiveSync 邮箱策略)。
在“New Exchange ActiveSync Mailbox Policy”(新建 Exchange ActiveSync 邮箱策略)对话框中,可以为设置创建灵活的策略,通过这些设置来控制是允许将附件下载到某个设备,还是允许不可设置的设备(参见图 2)。可设置的设备是 Windows Mobile 设备,这些设备可以应用和强制指定的策略。不可设置的设备是只能应用部分策略(或完全不能应用策略)的设备。
!["图]("http://www.microsoft.com/technet/technetmag/issues/2007/05/Mobility/zh//fig02_L.gif")
图 2 Exchange Server 2007 ActiveSync 邮箱策略 (单击该图像获得较大视图)
其他功能还包括对加密和密码恢复的设置进行配置。如果启用了“Require encryption on the device”(要求对设备加密)选项,则设备存储卡上的所有文件都将被加密。“Enable password”(启用密码恢复)选项使用户可以通过 Outlook® Web Access 2007 检索设备 PIN。
在为设备应用密码策略之前需要考虑清楚。长而复杂的 PIN 可以提高安全性,但也可能使设备使用不太方便。权衡安全性和使用性的关键是确定密码强度和需要 PIN 之前的超时期限。启用“Password expiration”(密码过期)和“Enforce password history”(强制密码历史)选项也可以增加安全性,但是如果跟踪密码和 PIN 变得十分复杂,则可能会让用户感到失望。
Exchange Server 2007 ActiveSync 邮箱策略有助于增强设备安全性,但是它的某些功能需要使用 Windows Mobile 6.0(仅在我们即将推出的设备上可用)。图 2 显示的功能中,要求对设备加密、强制密码历史和密码过期(天数)都需要新版本。但是,您仍可以针对使用安装了 Windows Mobile 5.0 的设备的用户,利用 Exchange Server 2007 新的灵活策略。
对策略进行定义之后,即可将其应用于用户。在“Exchange Management Console”(Exchange 管理控制台)中,转到“Recipient Configuration”(收件人配置)并选择“Mailbox”(邮箱)。选择要为其启用 ActiveSync 策略的邮箱用户,并从“Actions ”(操作)窗格中选择“Properties”(属性)。转到“Mailbox Features”(邮箱功能)选项卡,并双击“Exchange ActiveSync”。在“Exchange ActiveSync Properties”(Exchange ActiveSync 属性)框中,单击“Browse”(浏览)按钮,并选择要应用于用户的 ActiveSync 策略(参见图 3)。重复相同的步骤可以将不同策略应用于用户,也可以使用以下 Exchange 命令行管理程序命令将某个策略应用于一组用户:
!["图]("http://www.microsoft.com/technet/technetmag/issues/2007/05/Mobility/zh//fig03_L.gif")
图 3 应用 ActiveSync 邮箱策略 (单击该图像获得较大视图)
Set-CASMailbox –Activesyncmailpolicy
最后一步是培训您的最终用户和技术支持人员。请告知您的最终用户,在他们将设备连接到 Exchange Server 2007 时需要输入特定长度的 PIN(参见图 4)。为最终用户讲解应用的安全策略,让他们了解这些更改不会影响其日常工作。
!["图]("http://www.microsoft.com/technet/technetmag/issues/2007/05/Mobility/zh//fig04.gif")
图 4 ActiveSync 邮箱策略需要 PIN
您还应该让最终用户注意到 Exchange Server 2007 中的一种新功能,即,使用 Outlook Web Access 2007 进行自助式远程擦除。如果某个用户丢失了设备,他可以通过 Outlook Web Access 中的“Options”(选项)链接启动设备擦除,而无需与技术支持人员联系(参见图 5)。如果在正常工作时间之外丢失了设备,这一功能将非常有用。
!["图]("http://www.microsoft.com/technet/technetmag/issues/2007/05/Mobility/zh//fig05_L.gif")
图 5 通过 Outlook Web Access 管理设备 (单击该图像获得较大视图)
最后,向您的技术支持人员介绍如何对设备进行远程擦除。操作非常简单:打开“Exchange Management Console”(Exchange 管理控制台),导航到“Recipient Configuration”(收件人配置)并选择“Mailbox”(邮箱)。接下来,选择要启动擦除其设备的用户,并从“Actions”(操作)窗格中选择“Manage Mobile Device”(管理移动设备)。“Manage Mobile Device”(管理移动设备)界面如图 6 所示。请注意,一个用户连接到 Exchange 2007 的 Windows Mobile 设备可能不止一个,因此在启动擦除的时候不要误选。
!["图]("http://www.microsoft.com/technet/technetmag/issues/2007/05/Mobility/zh//fig06_L.gif")
图 6 远程擦除用户设备 (单击该图像获得较大视图)
电子邮件处理和搜索
Windows Mobile 6.0 允许您以 HTML 格式读取电子邮件、设置外出通知(参见图 7)以及标记电子邮件。在 Windows Mobile 6.0 设备上标记电子邮件与在 Outlook 中标记电子邮件的效果相同。现在您可以标记电子邮件并使用 Outlook 的高级功能在返回办公室时进行后续处理,而无需将电子邮件标记为“未读”。以 HTML 格式读取电子邮件的功能为移动设备用户和其他电子邮件线程收件人提供了便利。在使用 Windows Mobile 6.0 答复电子邮件时,电子邮件不会转换为基本文本格式,这样也改善了使用 Outlook 的其他电子邮件收件人的使用体验。
!["图]("http://www.microsoft.com/technet/technetmag/issues/2007/05/Mobility/zh//fig07.gif")
图 7 外出消息
Windows Mobile 6.0 的日历功能有极大增强。现在您可以在一个日历条目中转发、答复或全部答复邮件,并可以查看所有邀请的接受状态。
Windows Mobile 6.0 与 Exchange Server 2007 一起使用,可以提供与搜索和移动文档访问有关的两个新功能。使用移动设备的难题之一是存储容量有限。因此,很多用户的设备上只保留一至三天的电子邮件。通常用户只能从其“Inbox”(收件箱)中的一个文件夹中选择获取电子邮件。因此在需要访问旧邮件或者访问存储在邮箱中不同文件夹内的多个邮件时,这些最低限制就成了问题。
使用 Windows Mobile 6.0,用户可以通过 Exchange Server 2007 搜索和索引引擎对其整个邮箱进行无线搜索。可以根据关键字在多个文件夹中进行电子邮件搜索(参见图 8)。然后从搜索结果中实时提取电子邮件。
!["图]("http://www.microsoft.com/technet/technetmag/issues/2007/05/Mobility/zh//fig08.gif")
图 8 无线电子邮件搜索
移动文档访问
随着文档协作软件(例如,SharePoint®)的增长,以及对传输的电子邮件的最大大小限制,最终用户发送的电子邮件附件越来越少,而更多地的是发送指向文件共享和 SharePoint 网站的链接。除非您可以通过虚拟专用网络 (VPN) 连接到公司网络,否则可能无法通过移动设备访问这些文档。对于移动办公人员而言,这可能是个障碍。
Windows Mobile 6.0 和 Exchange Server 2007 使用户可以通过 UNC 文件共享和 SharePoint 网站以只读模式访问他们的数据。Exchange Server 2007 可以为 Windows Mobile 设备代理针对这些文档的请求(参见图 9)。即使无法通过 VPN 连接到公司网络,用户也可以不受限制地访问电子邮件附带的文档;而且可以访问驻留在文件共享或 SharePoint 网站中的任何文档。
!["图]("http://www.microsoft.com/technet/technetmag/issues/2007/05/Mobility/zh//fig09.gif")
图 9 通过 UNC 链接访问文档
若要管理移动文档访问,请打开“Exchange Management Console”(Exchange 管理控制台),并在导航树的“Server Configuration”(服务器配置)下面选择“Client Access”(客户端访问)。然后转到“ActiveSync”选项卡,选择 Microsoft-Server-ActiveSync 对象,并单击“Action”(操作)窗格中的属性。在“Remote File Servers”(远程文件服务器)选项卡下,您可以配置 SharePoint 网站和文件服务器的主机名允许列表和阻止列表。
此后,返回到您的 Exchange ActiveSync 邮箱策略,确保已选中 Windows® 文件共享和 Windows SharePoint 服务的复选框(参见图 10)。
!["图]("http://www.microsoft.com/technet/technetmag/issues/2007/05/Mobility/zh//fig10_L.gif")
图 10 启用文档访问 (单击该图像获得较大视图)
现在您可以为您的所有 Windows Mobile 设备用户提供更好的文档访问服务。
总结
在远程办公日益流行的今天,无论您身在何处,Windows Mobile 设备的强大功能都使您可以随时访问需要的信息。移动设备的管理和安全性已成为 IT 部门所关注的问题。Exchange Server 2007 与 Windows Mobile 6.0 结合使用可以轻松地创建针对 Windows Mobile 设备的策略,而 Windows Mobile 设备将有助于缓解问题并为远程办公人员提供新功能打下基础。
