移动设备可以提高世界各地工作人员的工作效率,让他们可以访问公司信息,并让他们甚至在离开物理办公室时也能保持联系。这样确实能提高工作效率:只要打开移动设备,开始工作即可。
但是移动设备存在另一问题,即 IT 专业人员面临着保持虚拟办公室的安全和稳定这一艰难任务的挑战。从他们的角度来看,每个移动设备都是一个容易被侵入的潜在网络安全漏洞,都有可能导致数据被窃取。构建更安全的移动设备部署非常关键,但同时必须通过提供无缝、直观的用户体验来取得平衡。
Microsoft® Windows Mobile® 6 及其前身,含消息传送和安全功能包 (MSFP) 的 Windows Mobile 5.0 包含了很多功能,帮助您轻松即可保护公司基础架构,而且不会给您的用户带来多大的不便。使用 Microsoft Exchange Server 作为消息平台可进一步增加可用的安全选项。在本文中,我将阐述如何使用 Windows Mobile、Exchange Server 和一些网络安全最佳实践作为保护贵公司移动设备的基础。
移动通信体系结构
在计划或升级移动部署时要考虑三个层:设备、邮件服务器和网络(参见图 1)。在设备级别,主要的挑战包括只允许授权访问设备以及防止设备上未经授权的应用程序。Windows Mobile 可以通过 PIN 验证和密码保护、设备超时锁定,以及在设备的记忆丢失或被盗时本地或远程“擦掉”或擦除设备内存等功能,来帮助阻止对设备本身的未经授权的访问。支持通信通道和可移动存储的数据加密。阻止未经授权的应用程序(例如病毒或间谍软件)安装到或访问设备的关键部分也很重要。将管理角色定义、应用程序访问层、代码签名设置、安全设置和安全证书结合起来,也可帮助获得设备级保护。
![]("http://searchwinsystem.techtarget.com.cn/imagelist/2007/184/bghbu1kn8z21.gif")
图 1 移动通信的层次
接下来一个安全层是邮件服务器,例如含 Service Pack 2 (SP2) 的 Exchange Server 2003 或 Exchange Server 2007。这一层包括邮件安全——使邮件安全传出和传入设备的技术,以及通过 Exchange ActiveSync® 实现的邮件服务器和移动设备之间的交互。不要求 Exchange Server 使用 Windows Mobile 设备,但是使用 Exchange 可以带来成本、可伸缩性、性能和管理方面的优势。
优异的设备级和邮件服务器安全实践固然重要,但是保护网络层也很关键。根据最佳实践配置贵公司的网络并实施强大的安全协议,可以帮助防止对网络的破坏,即使有一个或更多移动设备遭到破坏也不怕。
设备上的安全策略
防御安全隐患的第一道防线是基于 Windows Mobile 的设备本身。Windows Mobile 操作系统提供各种支持身份验证、存储卡加密、虚拟专用网络 (VPN)、Wi-Fi 加密的设备级安全服务和安全套接字层 (SSL) 服务。设备级安全包括管理谁有权访问设备及其数据、控制哪些应用程序可以在设备上运行,以及创建数据传入和传出设备的方式。总之,管理员在含 MSFP 的 Windows Mobile 5.0 和 Windows Mobile 6 上设置和实施安全策略时有很大的灵活性。
用户访问通过 PIN 或密码身份验证来管理。设备可设置为在一段时间的非活动状态后或在关闭后自动锁定,用户需要再次解除对设备的锁定后才能使用(参见图 2)。用户访问控制的细节由安全策略设置,它可根据管理员的安全角色进行更改。
![]("http://searchwinsystem.techtarget.com.cn/imagelist/2007/184/n97g29n23mz5.gif")
图 2 设置密码策略
安全策略定义移动设备安全的所有级别(参见图 3)。谁有权设置和更改这些安全策略由安全角色决定。“管理员”角色通常预留给移动操作员,他/她可以完全控制安全策略的设置。“企业”角色为 Exchange 所用,以管理一些设备策略,这些策略由 Exchange 管理员配置。根据与设备提供商的协议,您可能可以自定义贵公司的安全策略。
Windows Mobile 所使用的可自定义的身份验证方法受本地身份验证插件 (LAP) 控制,它可以与本地身份验证子系统 (LASS) 交互。这个技术使 Exchange Server 可以精确地控制设备配置,例如通过强制执行密码长度和强度要求或启用简单的 PIN 身份验证。
Windows Mobile 6 有一组扩展的 LAP 功能,它们可以通过使用 Exchange Server 2007 来进行配置。您可以启用 PIN 模式识别(例如,拒绝使用简单的模式,如“1111”或“1234”),配置密码或 PIN 过期时段,允许用户请求基于某个条件重设 PIN,或保留 PIN/密码历史记录,以阻止用户在被要求创建新 PIN 或密码时重新使用这些旧的 PIN 或密码。
保护设备上的数据
当不正确的 PIN 或密码的输入次数超过管理员设置的限制后,本地设备擦除功能会硬重置这些设备,从而擦除它的记忆,包括用户身份验证凭据。该限制会被设置成 Exchange Server 安全策略的一部分。每发生两次不正确的输入后,设备会提示用户输入结构化的密钥字符串继续(参见图 4)。这可以保护设备不会由于不小心按错键而被意外擦除。在使用 Windows Mobile 6 和 Exchange Server 2007 时,远程擦除存储卡也是有可能发生的。
![]("http://searchwinsystem.techtarget.com.cn/imagelist/2007/184/594y5rcrkr10.gif")
图 4 强制使用 PIN 和密码
如果有人将内含敏感公司数据的 2GB 的存储卡落在了出租车上,锁定设备并无多大用处。幸运的是,您可以使用 Windows Mobile 6 来解决这个问题。它可对存储卡数据加密,这样只有曾经对该存储卡进行过写入操作的设备才能读取它。正如 Windows Mobile 6 的许多其他增强的安全功能一样,Exchange Server 2007 可用来以无线方式提供这个安全功能。存储卡加密对用户而言,在很大程度上是透明。Exchange Server 2007 会让管理员选择用户是否可以更改其存储卡加密设置。
应用程序是否可以在 Windows Mobile 设备上运行是根据三个权限级别来确定的:特权、普通和阻止。特权级别的应用程序(由特权证书存储区中的证书签名)可写入注册表和系统文件,还可以安装证书。同台式计算机或服务器一样,可以更改操作系统环境的应用程序越多,破坏这个环境的可能性就越大。减少具有“特权”级权限的应用程序的数量通常是一个比较好的做法。大多数应用程序只需要在“普通”级别运行(由 Unpriv 证书存储中证书签名的应用程序或用户已同意运行的未签名应用程序),该权限允许它们执行(但阻止访问)系统文件。阻止的应用程序是指被阻止,并且由于签名或用户操作不正确而无法运行的应用程序。
设备可以有一层或两层安全访问配置。使用一层访问配置,未签名的应用程序要么以“特权”权限运行,要么被阻止而无法运行。如果策略检查成功或如果用户允许应用程序运行,则两层访问配置会在“普通”级别运行未签名的应用程序。根据设备设置,可以提示用户是否执行未签名的应用程序。
电子证书,最常用的个人、设备和应用程序身份验证的形式之一,是设备、服务器和网络级别的 Windows Mobile 安全的重要组成部分。Windows Mobile 操作系统在设备上的不同证书存储中存储了好几种类型的证书。对于应用程序,证书会确定哪些是可以安装和运行的。对于要在不提示用户的情况下在基于 Windows Mobile 的设备上运行的应用程序,它必须要经过证书的签名,证明它已被 Microsoft Mobile2Mobile 程序接受。应用程序根据与它们相关的证书被授予各种权限级别。
对于网络身份验证,每个移动设备都带有很多由证书颁发机构 (CA)(如图 5 所示)颁发的受信任商业根证书。邮件服务器(例如 Exchange Server)会在与设备建立 SSL 连接之前验证设备根证书的真实性。如果贵公司使用自定义证书,也许可以将它们安装在所购买的基于 Windows Mobile 的设备上,或者可能需要创建一个新的证书。有关这一点,我会在本文的“网络安全”部分做进一步的讨论。
![]("http://searchwinsystem.techtarget.com.cn/imagelist/2007/184/y0vymfu07105.gif")
图 5 管理电子证书
ActiveSync 和 Internet Explorer® Mobile 可使用 SSL 来帮助保护设备与公司 Web 服务器之间的数据传输。无论可同步化 Microsoft Exchange 数据,可配置设备或下载应用程序的连接是否存在,都是这样。SSL 会对带有 128 位 RC4 或 3DES 密码器的通信通道加密,因此数据无法被外部各方读取。Windows Mobile 还支持 VPN,用户可以在通过 Internet 访问服务器时使用数据包加密来提供与专用线路类似的安全性。
Exchange Server 安全
基于 Windows Mobile 的设备并不要求运行 Exchange Server,但是这两个系统已设计为一起紧密配合运行,提供了一个强大的端到端移动消息传送和工作效率解决方案。自含有 MSFP 的 Windows Mobile 5.0 发布以来,ActiveSync 已得到增强,可允许远程管理 Windows Mobile 设备的设置。它提供一种简单、有效的方法,让您可以在大多数 Windows Mobile 设备中传播和强制实施全局安全设置。
ActiveSync 在 Microsoft Windows Server 2003 的应用程序/Web 服务器组件 IIS 上运行。IIS 提供的内置安全可帮助保护 ActiveSync 本身不受来自网络的攻击。因为 Microsoft Office Outlook® Web Access (OWA) 也是基于 IIS 的,所以您可以对 ActiveSync 和 OWA 使用同一个安全证书。
当 ActiveSync 用于传播 Enterprise 策略时,这个策略会被发送到下一次与 Exchange Server 同步的设备。用户必须接受更改,否则不允许连接到服务器。很多网络会处理各种设备,包括不能接受复杂安全策略的过时硬件。如果必要,您可以从安全策略需求中排除某些设备(例如过时硬件),这样它们就可以继续连接。
Exchange Server 2003 SP2 和 Exchange Server 2007 有一些不同的安全策略控制功能。Exchange Server 2003 SP2 可用来指定最小密码长度(4 到 18 个字符),要求密码必须包含数字和字母,并设置设备锁定之前可处于非活动状态的时间长度。此版本的 Exchange Server 还可以设置安全设置被推送到设备的频率,并允许按照上述情况排除过时设备。
随着 Exchange Server 2007 版本的发布,ActiveSync 移动设备管理功能已得到了增强,包含所有的 Exchange Server 2003 SP2 功能,以及下列功能:
允许或不允许简单密码(如“1234”或“1111”)
启用或不启用附件下载
要求存储卡加密
设置最大附件大小
允许用户通过 OWA 恢复设备密码
启用对通用命名约定 (UNC) 和 Microsoft Windows SharePoint® Services (WSS) 文件的访问
使用 Exchange Server 2007,IT 专业人员可灵活地量身定制针对每个用户和设备的策略,以便管理用户组的策略,并可以从安全策略中彻底排除某个用户。
远程访问擦除
除了前面详细介绍的本地设备擦除之外,您还可以通过 Exchange Server 2003 SP2、Exchange Server 2007 或 OWA 远程擦除基于 Windows Mobile 的设备。远程擦除在进行同步化时执行,即使您没有使用 ActiveSync 安全策略也无妨。设备无法停止远程擦除硬重置。数据、设置和安全密钥都会被重复的零覆盖,这对恢复不是核心操作系统组成部分的数据造成了极大的困难。
网络安全
网络安全同设备和邮件服务器组件一样,对移动安全同等重要。它也是最容易受您控制的移动基础结构组成部分。即使一个或多个移动设备碰巧都遭到了破坏,根据最佳实践来配置贵公司的网络并实施相应的安全协议有利于阻止对网络的破坏。
Windows Mobile 可用于各种网络类型。使用标准的 Internet 安全协议和防火墙,可以设计出一个适合您性能、可伸缩性和安全需要的解决方案。
当邮件服务器被保留在公司网络中时,它们可能会得到作为 Internet 和公司网络之间缓冲的边缘防火墙的保护。Microsoft Internet Security and Acceleration (ISA) Server 2004 或 ISA Server 2006 都具有专门设计用于特殊用途的功能,它会在将传入数据包传递给 Exchange 服务器之前,检查所有的传入数据包以确定它们的身份,然后通过 Internet 将出站信息发回客户端。
配置 ISA Server 要求您启用 SSL 加密,并指定端口 443 作为 Exchange Server 通信的 SSL Web 侦听端口。这通过将其限制为单个端口最小化了来自 Internet 的风险。同时,应要求所有的客户端在通过 ActiveSync 连接之前建立 SSL 链接。
ISA Server 可以预先验证 Web 应用程序(如 OWA)用户,以帮助阻止未经验证的用户访问应用程序服务器。ISA Server 2006 通过充当基于 Windows Mobile 的设备的 SSL 终止点,改善了 ISA Server 2004 的 SSL 桥接模式。这允许基于 Windows Mobile 的设备验证 Exchange 服务器,可在不与其直接连接的情况下,依靠 ISA Server 2006 来回传递通信。由于建议的 ISA Server 2006 位置在外围网络,这样公共 Internet 空间与 Exchange Server 前端之间就有了一个额外的安全层。
身份验证
有两种基本的身份验证类型可供选择:基本类型和基于证书的类型。基本身份验证是指 Windows Mobile 客户端和 Exchange 前端服务器之间是标准的、启用名称和密码的、基于 SSL 的连接。它仍要求证书,因为 Exchange Server 会在验证之前寻找设备上匹配的根证书。Windows Mobile 和 IIS 允许您使用大量与 SSL 相关的加密方法。
基于证书的身份验证在含有 MSFP 的 Windows Mobile 5.0 和 Windows Mobile 6 中都有提供,它使用的是传输层安全性 (TLS) 而不是 SSL 基本身份验证。除了根证书以外,TLS 还要求每个用户具有一个含公用和专用密钥的证书。因为 TLS 使用的是加密密钥(最多 2,048 位),而不是密码,因此该协议提供了更严格的身份验证。
在 Windows Mobile 6 中,要使用“桌面注册”注册一个用户证书,要求将设备插接到与证书注册服务器同一域中的台式计算机。用户使用密码、智能卡或其他方式验证注册,然后将设备连接到台式计算机。然后用户可以通过台式计算机访问证书系统,按顺序将证书安装到移动设备上。桌面注册可以用于各种 Windows Mobile 安全性用途,包括证书续订,以及 ActiveSync 身份验证证书、SSL/TLS 身份验证证书、802.1x Wi-Fi 证书或 S/MIME 电子签名证书的分发。
SSL 等安全协议可以保护传输时的邮件数据,但是一旦它们位于 Windows Mobile 设备或 Exchange 服务器上就不会对它们加密。S/MIME 是一种熟悉的支持电子签名和/或加密电子邮件的 MIME 电子邮件标准的安全形式。它提供位于和高于 SSL 传输层加密的额外层的保护。
总结
我们需要注意组成创建足够安全的基础结构的解决方案的每一个层次。Windows Mobile、Exchange Server 和 Microsoft 网络安全产品(如 ISA Server)联手解决了管理移动基础结构的难题。这有利于减轻 IT 部门的一些压力,从而可以将重点从应付移动设备带来的安全挑战,转移到它们实现的工作效率提高方面来。
