В этой статье мы расскажем о новых политиках для безопасности мобильных устройств (device security), которые появились с выходом Exchange 2003 SP2.
Если вы пропустили первую статью из этой серии, то вы можете найти ее по ссылке http://www.msexchange.ru/articles/Exchange-2003-Mobile-Messaging-Part1-Microsoft-DirectPush-technology.html
В первой части из этой серии, посвященной обмену мобильными сообщениями между Exchange 2003 и устройствами, работающими под управлением Windows Mobile 5.0 с установленным Messaging and Security Feature Pack, мы рассмотрели новую технологию DirectPush, включенную в Exchange 2003 SP2.
Все мы знаем, как легко потерять мобильное устройство, или, что еще хуже, что его могут легко украсть. Теперь, когда у нас есть возможность по синхронизации наших устройств с почтовым ящиком, нам нужен правильный способ для обеспечения безопасности для наших устройств, таким образом, чтобы любая корпоративная информация или другие важные данные были надежно сохранены. После установки Exchange 2003 SP2, вы, как администратор, имеете возможность настройки требований для обязательного PIN или пароля для мобильных устройств с Windows 5.0, которые синхронизованы с Exchange серверами в вашей организации. Например, вы можете настроить устройство так, чтобы перед тем, как воспользоваться устройством, пользователю необходимо было ввести четырехзначный цифровой код (personal identification number или PIN). Если пользователь вводит этот PIN неправильно, например, четыре раза, вы можете настроить безопасность на устройстве таким образом, чтобы вся информация на устройстве стиралась (равноценно локальному удалению).
Примечание:
Если вы еще не видели этого, я настоятельно рекомендую вам просмотреть это видео, перед тем как продолжить прочтение этой статьи — в нем показаны политики безопасности, а также, как функциональность удаленного стирания работает на практике.
Политики безопасности для устройства настраиваются в том же месте, что и другие параметры, касающиеся мобильного устройства, а конкретно, на странице Property page для объекта Mobile Services в менеджере Exchange System Manager (смотри Рисунок 1).
Рисунок 1: Страница свойств (Property) для Mobile Services в Exchange System Manager
Если вы нажмете на кнопку Device Security, то откроется страница, на которой вы можете настроить различные параметры, относящиеся к безопасности устройства (Device Security Settings) (смотрите рисунок 2).
Рисунок 2: Параметры, касающиеся безопасности устройства (Device Security Settings)
Так как параметры, касающиеся безопасности устройства глобальны (да, все верно, они применяются для каждого отдельного пользователя, подключенного к Exchange серверам в вашей организации), то очень важно, чтобы вы знали точное назначение каждого параметра. Ниже в таблице я привел описание каждого из параметров.
Параметр | Описание |
Enforce password on device (задать пароль для устройства) | Активирует пароль на устройстве. Ни один из параметров безопасности на устройстве не будет работать, пока не подключен этот параметр. |
Minimum password length (минимальная длина пароля) | Задайте этот параметр, для того чтобы указать требуемую длину пароля на устройстве пользователя. По умолчанию длина составляет 4 символа. Вы может задать длину пароля от 4 до 18 символов. |
Require both numbers and letters (требовать наличие букв и цифр в пароле) | Подключите этот параметр, если вы хотите, чтобы в пароле присутствовали и буквы и цифры. По умолчанию этот параметр отключен. |
Inactivity time (minutes) (Время неактивности в минутах) | Подключите этот параметр, если вы хотите, чтобы пользователи заново вводили пароль по прошествии заданного интервала неактивности. По умолчанию этот параметр отключен. Если включить, то по умолчанию период неактивности составляет пять минут. |
Wipe device after failed (attempts) (Стирать данные после заданного количества неправильных вводов пароля) | Подключите этот параметр, если вы хотите, чтобы память устройства очищалась после заданного количества неправильных вводов пароля. Этот параметр по умолчанию отключен. Если включить, то по умолчанию после восьми попыток неверного ввода пароля память устройства будет очищена. |
Refresh settings on the device (hours) (Обновлять данные на устройстве – интервал времени в часах) | Включите этот параметр, если вы хотите задать время обновления информации на устройстве. По умолчанию этот параметр отключен. Если включить, то обновление по умолчанию будет происходить каждые 24 часа. |
Allow access to devices that do not fully support password settings (разрешать доступ устройств, которые не полностью удовлетворяют политике безопасности) | Включите этот параметр, если вы хотите разрешить устройствам, которые не полностью удовлетворяют политике безопасности иметь возможность для синхронизации с Exchange сервером . Это параметр по умолчанию отключен. Устройства, которые не полностью поддерживают политики безопасности (например, устройства, которые не поддерживают обновление) получат сообщение об ошибке 403 при попытке синхронизации с Exchange сервером . |
Таблица 1: Описание параметров
В добавление к параметрам в таблице, есть также кнопка Exceptions (смотри рисунок 3.) После нажатия на эту кнопку вы можете указать пользователей, которые будут исключением из правил, которые вы зададите в диалоговом окне Device Security Settings. Этот список исключений может быть полезен, если у вас есть особые проверенные пользователи (или менеджеры!), для которых не нужны описанные выше параметры политики безопасности.
Рисунок 3: Список исключений из политик безопасности
Убедитесь, что вы не слишком перестарались с политикой безопасности для устройств, потому что это может закончиться разочарованными пользователями и удаленными данными. Также помните, что у пользователя могут возникнуть проблемы со связью с департаментов IT, если данные на его устройстве были удалены. Пользователи уже используют четырехзначный цифровой код (он же используется в кредитных картах), поэтому использование четырехзначного кода в большинстве ситуаций – это неплохая идея. В действительности наилучшим решением будет использование четырехзначного цифрового кода совместно с разумно настроенным параметром wipe device after failed attempts, это гарантирует, что ваши пользователи не озлобятся на вас.
Итак, а где же хранятся все параметры, отвечающие за безопасность устройства? Почти все значения параметров, настроенных в окне security settings хранятся в Active Directory, а более подробно в атрибуте под названием msExchOmaExtendedProperties, который можно найти в CN=Outlook Mobile Access, CN=Global Settings, CN=Organization, CN=Microsoft Exchange, CN=Services, CN=Configuration, DC=domain, DC=com с помощью инструмента типа ADSI Edit (смотри рисунок 4).
Рисунок 4: Размещение параметров, отвечающих за безопасность в Active Directory
Если вы выберите атрибут msExchOmaExtendedProperties и нажмете на кнопку Edit, то появится окно, изображенное ниже на рисунке 5 below.
Рисунок 5: Атрибут msExchOmaExtendedProperties
Как вы можете видеть, все значения параметров, касающихся безопасности устройств, хранятся в строке с префиксом PolicyData. Значения параметров заключены между тэгами <wap-provisioningdoc>. Т.к. это ничто иное, как блок XML, то у вас есть возможность создания своих собственных политик, задав свои собственные значения формате XML подобном этому. Это очень удобно иметь возможность настраивать эти политики для конкретного пользователя с помощью GUI, но в настоящее время единственный способ настроить эти параметры для конкретного пользователя – это настроить атрибут msExchOmaExtendedProperties для каждого пользователя, но это не очень удобный метод. От представителей Microsoft я слышал, что в будущем появится возможность настраивать параметры для конкретного пользователя с помощью GPO или похожего подхода, но это появится не раньше, чем в версии Exchange 12 RTM. А пока, я могу порекомендовать Dan Winter & Marc Nivens, которые решили это проблему с помощью своего инструмента ADModify.net .
В связи со сложностью темы, я не хочу дальше углубляться в детали о том, как это сделать, но вместо этого я предлагаю вам проверить эту ссылку.
После того, как вы настроили и подключили параметры, относящиеся к безопасности устройства (device security settings) на сервере, на устройстве после следующей синхронизации с сервером появится диалоговое окно, показанное ниже на Рисунке 6.
Рисунок 6: Политики безопасности (Security policy) на устройстве
После нажатия на кнопку OK вам надо задать и подтвердить PIN или пароль, который вы хотите использовать. PIN или пароль необходимо вводить каждый раз, когда устройство разблокируется или после рестарта. Если введен неправильный пароль, может быть из-за того, что один из ваших детей играет с устройством, или потому, что вы забыли заблокировать клавиатуру, когда устройство находится у вас в кармане, вы получите следующее сообщение:
The password you typed is incorrect. Please try again. 1/5 attempts have been made. (Введенный пароль неверен. Попробуйте еще раз. Была сделана 1 из 5 попыток)
Все это, конечно, зависит от ваших настроек для параметра Wipe device after failed в Device Security Settings (смотри рисунок 2).
После второй неудачной попытки ввода пароля, вы получите соответствующее сообщение. Для того, чтобы подтвердить не случайность попытки ввода, вас попросят ввести A1B2C3 или что-нибудь наподобие (в зависимости от настроек вашего мобильного оператора). После того, как вы введете эти символы, вас снова попросят ввести пароль для доступа к вашему устройству. Если вы по какой-либо причине вводите его неверно снова, то вы снова столкнетесь с предупреждающим сообщением. Перед последней доступной попыткой, вы получите предупреждение, что вся информация на устройстве будет удалена после следующей неверной попытки ввода пароля. Удаление (локальное стирание) очистит всю память на устройстве, т.е. все сбросится на заводские настройки. Помните, что несмотря на удаленные данные, устройство остается исправным. Вы можете поспорить, хорошо ли такое решение или нет. Лично я думаю, что это основной фактор риска, т.к. вы можете настроить ваше устройство для хранения вложений к электронной почте на вашей карте памяти!
Примечание:
Если вы знаете, что устройство было украдено или потеряно, вы также можете инициировать удаленное стирание данных на устройстве, в результате чего все данные будут мгновенно удаленно стерты все данные на устройстве. Мы подробнее поговорим об этих возможностях в третьей части нашего цикла.
Если вы хотите изменить ваш PIN или пароль, то нажмите на Start > Settings > Lock.
Рисунок 7: Кнопка Lock в окне Settings
Теперь вам необходимо ввести ваш текущий PIN или пароль для доступа к возможности изменения пароля. После того, как вы сделаете это, появится окно, показанное ниже на рисунке 8.
Рисунок 8: Изменение пароля на устройстве
Важно также отметить, что заблокированное устройство, подключенное к PC с помощью USB кабеля, будет также недоступно, вместо этого вы получите диалоговое окно, показанное ниже на рисунке 9.
Рисунок 9: Подключение заблокированного устройства к PC с помощью USB
В этой статье вы узнали, как можно сделать мобильные устройства в вашем окружении более безопасными с помощью новых политик безопасности, включенных в Exchange 2003 SP2. Вы также видели, как работают эти параметры на стороне клиента. Параметры, отвечающие за безопасность устройства (Device Security settings) – это хорошее улучшение, если говорить о безопасности, но это не обеспечивает оптимальной безопасности даже сейчас.
В следующей статье я покажу вам, как устанавливать инструмент Exchange Server ActiveSync Web Administration, а также как вы можете инициировать удаленное удаление данных с потерянных или украденных устройств и многое другое.
Если вы пропустили первую статью из этой серии, то вы можете найти ее по ссылке http://www.msexchange.ru/articles/Exchange-2003-Mobile-Messaging-Part1-Microsoft-DirectPush-technology.html
Источник http://www.msexchange.org