Auswählen einer Authentifizierungsmethode für ActiveSync

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2007-03-20

Authentifizierung ist der Vorgang, durch den ein Client und ein Server ihre Identität zum Zweck der Datenübertragung überprüfen. In Exchange 2007 wird Authentifizierung für die Bestimmung verwendet, ob die Identität eines Benutzers oder Clients, der mit dem Servercomputer mit Exchange kommunizieren möchte, seine wahre Identität ist. Sie können mithilfe der Authentifizierung überprüfen, ob ein Gerät zu einer bestimmten Person gehört oder ob eine bestimmte Person versucht, sich bei Office Outlook Web Access anzumelden.

Bei der Installation von Microsoft Exchange Server 2007 und der Serverfunktion ClientAccess werden für mehrere Server virtuelle Verzeichnisse konfiguriert. Dabei handelt es sich z. B. um Outlook Web Access, den Verfügbarkeitsdienst, Unified Messaging und Microsoft  Exchange ActiveSync. Standardmäßig wird jedes virtuelle Verzeichnis für die Verwendung einer Authentifizierungsmethode konfiguriert. Für Exchange ActiveSync ist das virtuelle Verzeichnis für die Verwendung der Standardauthentifizierung mit SSL (Secure Sockets Layer) konfiguriert. Sie können die Authentifizierungsmethode für den Servercomputer mit Exchange ActiveSync ändern, indem Sie die Authentifizierungsmethode für das virtuelle Exchange ActiveSync-Verzeichnis ändern.

Dieses Thema bietet einen Überblick über die Authentifizierungsmethoden, die für den Servercomputer mit Exchange ActiveSync zur Verfügung stehen. Für Exchange ActiveSync ist der Client das physikalische Gerät, das für die Synchronisierung mit dem Servercomputer mit Exchange 2007 verwendet wird.

Standardauthentifizierung

Standardauthentifizierung ist die einfachste Methode der Authentifizierung. Bei der Standardauthentifizierung fordert der Server vom Client einen Benutzernamen und ein Kennwort an. Dieser Benutzername und das Kennwort werden als unverschlüsselter Text über das Internet an den Server gesendet. Der Server überprüft, ob der bereitgestellte Benutzername und das Kennwort gültig sind, und gewährt den Zugriff auf den Client. Standardmäßig ist diese Art von Authentifizierung für Exchange ActiveSync aktiviert. Es wird jedoch empfohlen, die Standardauthentifizierung zu deaktivieren, wenn Sie nicht außerdem SSL (Secure Sockets Layer) bereitstellen. Wenn Sie Standardauthentifizierung über SSL verwenden, werden der Benutzername und das Kennwort ebenfalls als unverschlüsselter Text gesendet, der Kommunikationskanal ist jedoch verschlüsselt.

Zertifikatbasierte Authentifizierung

Die zertifikatbasierte Authentifizierung verwendet ein digitales Zertifikat für die Identitätsüberprüfung. Die zertifikatbasierte Authentifizierung stellet neben dem Benutzernamen und dem Kennwort eine andere Form von Anmeldeinformationen zur Verfügung, die die Identität des Benutzers bestätigen, der versucht, auf die Postfachressourcen zuzugreifen, die auf dem Servercomputer mit Exchange 2007 gespeichert sind. Ein digitales Zertifikat besteht aus zwei Komponenten: dem privaten Schlüssel, der auf dem Gerät gespeichert ist, und dem öffentlichen Schlüssel, der auf dem Server installiert ist. Wenn Sie Exchange 2007 so konfigurieren, dass zertifikatbasierte Authentifizierung für Exchange ActiveSync erforderlich ist, können nur Geräte, die die folgenden Kriterien erfüllen, eine Synchronisierung mit Exchange 2007 durchführen:

• Auf dem Gerät ist ein gültiges Clientzertifikat installiert, das für die Benutzerauthentifizierung erstellt wurde.

• Das Gerät verfügt über ein vertrauenswürdiges Stammzertifikat für den Server, mit dem eine Verbindung zum Einrichten der SSL-Verbindung hergestellt wird.

Wenn Sie zertifikatbasierte Authentifizierung bereitstellen, wird verhindert, dass Benutzer, die nur über einen Benutzernamen und ein Kennwort verfügen, eine Synchronisierung mit Exchange 2007 durchführen können. Als weitere Sicherheitsmaßnahme kann das Clientzertifikat für die Authentifizierung nur installiert werden, wenn das Gerät mit einem Computer, der einer Domäne angehört, über Desktop ActiveSync 4.5 oder eine höhere Version in Windows XP oder Windows Mobile Device Center in Windows Vista verbunden ist.

Tokenbasierte Authentifizierungssysteme

Ein tokenbasiertes Authentifizierungssystem ist ein Zwei-Faktor-Authentifizierungssystem. Zwei-Faktor-Authentifizierung basiert auf einem Informationselement, das der Benutzer kennt (z. B. sein Kennwort), und einem externen Gerät, das normalerweise in Form einer Kreditkarte oder eines Key-Fobs vorliegt, das ein Benutzer bei sich tragen kann. Jedes Gerät besitzt eine eindeutige Seriennummer. Neben Hardwaretoken bieten einige Hersteller softwarebasierte Token an, die auf mobilen Geräten ausgeführt werden können.

Token zeigen eine eindeutige Ziffernfolge an, die normalerweise sechsstellig ist und sich alle 60 Sekunden ändert. Wenn ein Token an einen Benutzer ausgegeben wird, wird es mit der Serversoftware synchronisiert. Für die Authentifizierung gibt der Benutzer seinen Benutzernamen, sein Kennwort und die Ziffernfolge ein, die aktuell auf dem Token angezeigt wird. Eine tokenbasierte Authentifizierungssysteme verlangen außerdem die Eingabe einer PIN vom Benutzer.

Die tokenbasierte Authentifizierung ist eine starke Form der Authentifizierung. Der Nachteil der tokenbasierten Authentifizierung liegt darin, dass Authentifizierungsserversoftware installiert und die Authentifizierungssoftware auf dem Computer oder dem mobilen Gerät jedes Benutzers bereitgestellt werden muss. Außerdem besteht das Risiko, dass der Benutzer das externe gerät verlieren kann. Dies kann teuer werden, weil verlorene externe Geräte ersetzt werden müssen. Das Gerät ist jedoch für Dritte ohne die Authentifizierungsinformationen des ursprünglichen Benutzers nutzlos.

Mehrere Unternehmen bieten tokenbasierte Authentifizierungssysteme an. Eines dieser Unternehmen ist RSA. Das Produkt SecurID ist in mehreren Formen verfügbar, z. B. als Key-Fob und in Kreditkartenform. Ein einmaliger Authentifizierungscode wird durch das Token ausgegeben. Jeder Authentifizierungscode ist 60 Sekunden lang gültig. Die meisten Token besitzen außerdem eine Ablaufanzeige auf dem Gerät, z. B. eine Reihe von Punkten, die verschwinden, wenn die verbleibende Zeitspanne für den Code abnimmt. Auf diese Weise wird verhindert, dass ein Benutzer zwar den richtigen Code eingibt, dieser jedoch abläuft, bevor der Authentifizierungsvorgang abgeschlossen ist. Nachdem die Authentifizierung abgeschlossen ist, muss sich der Benutzer nur dann mit einem neuen Code authentifizieren, wenn er auf Wunsch oder aufgrund eines Timeouts des Geräts durch Inaktivität abgemeldet ist. Weitere Informationen zum Konfigurieren eines tokenbasierten Authentifizierungssystems finden Sie in der Dokumentation zum betreffenden System.

Weitere Informationen

Weitere Informationen zur Authentifizierung und Exchange ActiveSync-Sicherheit finden Sie unter den folgenden Themen:

• Verwalten von Exchange ActiveSync-Sicherheit

• Konfigurieren der Standardauthentifizierung für Exchange ActiveSync

• Konfigurieren der zertifikatbasierten Authentifizierung für Exchange ActiveSync

• Installieren von Zertifikaten auf einem Gerät mit Windows Mobile