Comunicazioni

Miglioramento della protezione con Windows Mobile 6

Matt Fontaine

Panoramica:

• Protezione sul dispositivo
• Protezione di Exchange Server
• Protezione di rete

I dispositivi mobili aumentano la produttività dei professionisti in tutto il mondo, fornendo loro l'accesso alle informazioni aziendali e mantenendoli connessi anche quando sono fisicamente lontani

dalla sede. Gli aumenti di produttività sono reali: è sufficiente accendere il dispositivo mobile e iniziare a lavorare.

Sull'altro versante troviamo i professionisti IT che sono impegnati nel difficile compito di garantire la sicurezza e la stabilità dell'ufficio virtuale. Dal loro punto di vista, ogni dispositivo mobile rappresenta una potenziale falla nel sistema di protezione della rete che deve essere tamponata e una potenziale esposizione al furto di dati. Lo sviluppo di una distribuzione più sicura dei dispositivi mobili è cruciale, ma al tempo stesso è necessario garantire un utilizzo trasparente e intuitivo per gli utenti.

Microsoft® Windows Mobile® 6 e il suo predecessore, Windows Mobile 5.0 con Messaging and Security Feature Pack (MSFP), comprende numerose funzioni che aiutano a proteggere l'infrastruttura aziendale con semplicità e disagio minimo per gli utenti. L'utilizzo di Microsoft Exchange Server quale piattaforma di messaggistica consente di aumentare ulteriormente le opzioni di protezione disponibili. In questo articolo viene dimostrato come è possibile utilizzare Windows Mobile, Exchange Server e alcune procedure consigliate di protezione della rete come base per la protezione dei dispositivi mobili aziendali.

Architettura di comunicazione mobile

La pianificazione o l'aggiornamento di una distribuzione mobile comporta la valutazione di tre livelli: il dispositivo, il server dei messaggi e la rete (vedere la Figura 1). A livello di dispositivo, le difficoltà principali consistono nel consentire solo l'accesso autorizzato e impedire la presenza di applicazioni non autorizzate. Windows Mobile aiuta a impedire l'accesso non autorizzato al dispositivo tramite l'autenticazione PIN e la protezione con password, il timeout di blocco del dispositivo e la possibilità di "cancellare" la memoria del dispositivo in modalità locale o remota se viene perduto o rubato. È supportata la crittografia dati del canale di comunicazione e l'archiviazione rimovibile. È inoltre essenziale impedire l'installazione di applicazioni non autorizzate quali virus o spyware o l'accesso a parti critiche del dispositivo. La protezione a livello di dispositivo viene ottenuta grazie a una combinazione di definizione dei ruoli di gestione, livelli di accesso dell'applicazione, impostazioni di firma codice, impostazioni di protezione e certificati di protezione.

Figura 1** Livelli di comunicazione mobile **

Il livello di protezione successivo è il server di messaggistica, quale ad esempio, Exchange Server 2003 con Service Pack 2 (SP2) o Exchange Server 2007. Questo livello comprende la protezione dei messaggi, ovvero la tecnologia che consente la trasmissione sicura da e verso i dispositivi, e l'interazione tra il server dei messaggi e il dispositivo mobile tramite Exchange ActiveSync®. L'utilizzo di dispositivi Windows Mobile non richiede Exchange Server, ma il suo impiego offre vantaggi in termini di costo, scalabilità, prestazioni e amministrazione.

Procedure consigliate di protezione a livello di dispositivo e di server di messaggistica sono importanti, ma anche la protezione del livello di rete è altrettanto critica. Grazie alla configurazione della rete aziendale in base alle procedure consigliate e all'implementazione di efficaci protocolli di protezione, è possibile contribuire a impedire danni alla rete anche se uno o più dispositivi mobili vengono compromessi.

Criteri di protezione sul dispositivo

La prima linea di difesa contro le violazioni della protezione è costituita dal dispositivo Windows Mobile stesso. Il sistema operativo Windows Mobile garantisce estesi servizi di protezione a livello di dispositivo che supportano i servizi di autenticazione, crittografia della scheda di memoria, rete privata virtuale (VPN), crittografia Wi-Fi e Secure Socket Layer (SSL). La protezione a livello di dispositivo coinvolge la gestione di chi può accedere a un dispositivo e ai relativi dati, il controllo delle applicazioni che possono essere eseguite sul dispositivo e la definizione della modalità di trasmissione dei dati da e verso il dispositivo. In generale, gli amministratori dispongono di un buon livello di flessibilità nell'impostazione e applicazione dei criteri di protezione su Windows Mobile 5,0 con MSFP e Windows Mobile 6.

L'accesso utente è gestito tramite un PIN o l'autenticazione con password. Un dispositivo può essere impostato per bloccarsi automaticamente dopo un periodo di inattività o dopo lo spegnimento, richiedendo lo sbocco da parte dell'utente per utilizzarlo nuovamente (vedere la Figura 2). Le specifiche di controllo dell'accesso utente sono stabilite da criteri di protezione, che possono essere modificati in base al ruolo di protezione dell'amministratore.

Figura 2** Impostazione di criteri password **

I criteri di protezione definiscono i livelli globali di protezione del dispositivo mobile (vedere la Figura 3). I ruoli di protezione determinano chi può impostare e modificare questi criteri di protezione. Il ruolo Manager, solitamente riservato agli operatori mobili, fornisce il controllo completo sulle impostazioni dei criteri di protezione. Il ruolo Enterprise è utilizzato da Exchange per gestire alcuni criteri di dispositivo, che vengono configurati dall'amministratore di Exchange. A seconda del contratto stipulato con il fornitore del dispositivo, è possibile personalizzare i criteri di protezione per l'azienda.

Figure 3 Criteri di protezione per i dispositivi mobili

I metodi di autenticazione personalizzabili utilizzati da Windows Mobile sono controllati dai Local Authentication Plug-In (LAP), che interagiscono con il Local Authentication Subsystem (LASS). Questa tecnologia consente a Exchange Server di controllare la configurazione del dispositivo a un livello granulare, ad esempio, applicando requisiti di lunghezza e complessità della password o attivando l'autenticazione PIN semplice.

Windows Mobile 6 comprende un ampio set di funzioni LAP che vengono configurate mediante Exchange Server 2007. È possibile attivare il riconoscimento dello schema di PIN (ad esempio, vietando l'utilizzo di schemi semplici come "1111" o" 1234"), configurare i periodi di scadenza di password o PIN, consentire agli utenti di richiedere la reimpostazione di un PIN in base a determinate condizioni o conservare la cronologia PIN/password per impedire agli utenti di riutilizzare PIN o password precedenti quando devono crearne di nuovi.

Protezione dei dati sui dispositivi

Nel caso un PIN o una password non corretto venga immesso per un numero di volte superiore al limite stabilito dall'amministratore, la funzione locale di cancellazione esegue una reimpostazione hardware del dispositivo, cancellandone la memoria, comprese le credenziali di autenticazione utente. Il limite viene impostato come parte dei criteri di protezione in Exchange Server. Dopo due immissioni non corrette, il dispositivo chiede all'utente di immettere una stringa chiave strutturata per continuare (vedere la Figura 4). Ciò impedisce che il dispositivo venga cancellato accidentalmente a causa di pressioni casuali dei tasti. Quando si utilizza Windows Mobile 6 ed Exchange Server 2007 è anche possibile la cancellazione in modalità remota della scheda di memoria.

Figura 4** Applicazione dell'uso di PIN e password **

Il blocco di un dispositivo non è consigliabile se qualcuno dimentica una scheda di memoria da 2 GB con dati aziendali riservati in un taxi. Fortunatamente, Windows Mobile 6 consente di affrontare anche questo problema. È possibile crittografare i dati della scheda di memoria in modo che possano essere letti solo dal dispositivo che li ha scritti. Analogamente a molte altre funzioni avanzate di protezione di Windows Mobile 6, Exchange Server 2007 può essere utilizzato per eseguire il provisioning via radio di questa funzione di protezione. La crittografia delle schede di memoria è del tutto trasparente per l'utente. Exchange Server 2007 consente all'amministratore di scegliere se gli utenti possono modificare le impostazioni di crittografia della scheda di memoria.

La possibilità di un'applicazione di essere eseguita o meno su un dispositivo Windows Mobile è basata su tre livelli di autorizzazione: Privilegiato, Normale e Bloccato. Le applicazioni di livello privilegiato (con firma di un certificato nell'Archivio certificati privilegiato) possono scrivere sui file del Registro di sistema e di sistema e possono anche installare certificati. Analogamente a un computer desktop o server, tanto maggiore è il numero di applicazioni che possono modificare l'ambiente del sistema operativo, tanto maggiore è la possibilità di compromettere tale ambiente. È generalmente buona norma ridurre il numero di applicazioni con accesso Privilegiato. La maggior parte delle applicazioni deve essere eseguita solamente a livello Normale (applicazioni con firma di un certificato nell'archivio certificati Unpriv o applicazioni senza firma che l'utente ha accettato di eseguire), che ne consente l'esecuzione senza però accedere ai file di sistema. Le applicazioni bloccate sono proprio questo: vengono bloccate e non possono essere eseguite a causa di una firma o di un'azione dell'utente non corretta.

I dispositivi possono prevedere una configurazione dell'accesso di protezione a uno o due livelli. Con una configurazione di accesso a un livello, le applicazioni senza firma vengono eseguite con l'accesso Privilegiato o vengono bloccate e semplicemente non possono essere eseguite. Una configurazione di accesso a due livelli eseguirà le applicazioni senza firma a livello normale se le verifica dei criteri è corretta o se l'utente autorizza l'esecuzione dell'applicazione. A seconda delle impostazioni del dispositivo, all'utente può essere richiesto o meno se eseguire un'applicazione senza firma.

I certificati digitali, una delle forme più comunemente utilizzate di autenticazione personale, dei dispositivi e delle applicazioni, costituiscono una parte cruciale della protezione di Windows Mobile sui livelli di dispositivo, server e rete. Il sistema operativo Windows Mobile memorizza alcuni tipi di certificati in diversi archivi certificati sul dispositivo. Per quanto riguarda le applicazioni, i certificati determinano quelle che possono essere installate ed eseguite. Perché venga eseguita su un dispositivo Windows Mobile senza chiedere conferma all'utente, un'applicazione deve essere firmata con un certificato comprovante l'avvenuta accettazione da parte del programma Microsoft Mobile2Mobile. Alle applicazioni vengono concessi livelli di autorizzazione basati sui certificati a cui sono associate.

Per l'autenticazione di rete, ciascun dispositivo mobile è provvisto di vari certificati principali commerciali attendibili emessi da un'autorità di certificazione (CA) come illustrato nella Figura 5. Prima di stabilire una connessione SSL con un dispositivo, il server di messaggistica (ad esempio, Exchange Server) verifica l'autenticità del relativo certificato principale. Un'azienda che utilizza certificati personalizzati può installarli sui dispositivi Windows Mobile che vengono acquistati o crearne di nuovi. Questo argomento verrà ripreso ulteriormente nella sezione Protezione di rete di questo articolo.

Figura 5** Gestione dei certificati digitali **

ActiveSync e Internet Explorer® Mobile sono in grado di utilizzare SSL per agevolare la protezione della trasmissione di dati tra il dispositivo e un server Web aziendale. Ciò vale nel caso la connessione esista per sincronizzare i dati di Microsoft Exchange, configurare il dispositivo o eseguire il download di applicazioni. SSL crittografa il canale di comunicazione con crittografia RC4 o 3DES a 128 bit in modo che i dati non possano essere letti da estranei. Windows Mobile supporta anche VPN, che utilizza la crittografia di pacchetto per fornire una protezione simile a quella di una linea dedicata durante l'accesso a un server in Internet.

Protezione di Exchange Server

Anche se il funzionamento dei dispositivi Windows Mobile non richiede Exchange Server, i due sistemi sono stati progettati per operare in stretta collaborazione e presentano una solida soluzione di messaggistica e produttività mobile end-to-end. Dal rilascio di Windows Mobile 5.0 con MSFP, ActiveSync è stato migliorato per consentire la gestione remota delle impostazioni dei dispositivi Windows Mobile. Offre un mezzo facile e al tempo stesso potente per applicare impostazioni di protezione globali sulla maggior parte dei dispositivi Windows Mobile.

ActiveSync funziona su IIS, il componente di applicazione/server Web di Microsoft Windows Server 2003. IIS offre protezione incorporata che aiuta a proteggere ActiveSync stesso da attacchi provenienti dalla rete. Poiché anche Microsoft Office Outlook® Web Access (OWA) è basato su IIS, è possibile utilizzare gli stessi certificati di protezione sia per ActiveSync che per OWA.

Quando ActiveSync viene utilizzato per propagare un criterio organizzativo, tale criterio viene recapitato ai dispositivi nel corso della successiva sincronizzazione con Exchange Server. Gli utenti devono accettare le modifiche altrimenti non possono connettersi al server. Molte reti devono gestire un'ampia varietà di dispositivi, compreso hardware legacy che non è in grado di accettare criteri di protezione sofisticati. Se necessario, è possibile escludere dall'obbligo del criterio di protezione determinati dispositivi, quali l'hardware legacy in modo che possa continuare a connettersi.

Le funzionalità di controllo dei criteri di protezione di Exchange Server 2003 SP2 ed Exchange Server 2007 sono piuttosto diverse. Exchange Server 2003 SP2 può essere utilizzato per specificare una lunghezza minima della password da 4 a 18 caratteri, richiedere la presenza di numeri e lettere in una password e impostare la durata di un periodo di inattività prima che un dispositivo si blocchi. Questa versione di Exchange Server è anche in grado di impostare la frequenza con cui le impostazioni di protezione vengono trasmesse ai dispositivi oltre a consentire le esenzioni summenzionate per i dispositivi legacy.

Con il rilascio di Exchange Server 2007, le funzionalità di gestione dei dispositivi mobili di ActiveSync sono state migliorate per includere tutte le funzionalità di Exchange Server 2003 SP2, oltre alle seguenti:

• Consentire o meno l'uso di password semplici (quali "1234" o" 1111")
• Attivare o disattivare il download di allegati
• Richiedere la crittografia delle schede di memoria
• Impostare la dimensione massima degli allegati
• Attivare il ripristino della password di un dispositivo da parte dell'utente tramite OWA
• Attivare l'accesso ai file UNC (Universal Naming Convention) e Microsoft Windows SharePoint® Services (WSS)

Tramite Exchange Server 2007, i professionisti IT dispongono della flessibilità per adattare i criteri a ciascun utente o dispositivo, gestire i criteri per gruppi di utenti ed escludere completamente utenti specifici dai criteri di protezione.

Cancellazione tramite accesso remoto

Oltre alla cancellazione del dispositivo locale descritta in precedenza, è possibile cancellare un dispositivo Windows Mobile in modalità remota utilizzando Exchange Server 2003 SP2, Exchange Server 2007 o OWA. Le cancellazioni in modalità remota, che hanno luogo al momento della sincronizzazione, possono essere eseguite anche se non vengono utilizzati i criteri di protezione di ActiveSync. Non è possibile interrompere una reimpostazione hardware con cancellazione in modalità remota dal dispositivo. Dati, impostazioni, e chiavi di protezione vengono sovrascritti con valori zero ripetuti che rendono estremamente difficile il ripristino di qualsiasi dato che non appartiene al sistema operativo di base.

Protezione di rete

La protezione di rete per la protezione mobile è importante tanto quanto i componenti dispositivo e server di messaggistica. È anche la parte dell'infrastruttura mobile che è più chiaramente sotto controllo. Anche se uno o più dispositivi mobili vengono compromessi, la configurazione della rete aziendale in base alle procedure consigliate e l'implementazione di protocolli di protezione adeguati possono aiutare a impedire qualsiasi danno alla rete.

Windows Mobile funziona bene con vari tipi di rete. L'utilizzo di protocolli di protezione Internet standard e di firewall consente di progettare una soluzione adeguata alle esigenze di prestazioni, stabilità e protezione.

Quando i server di messaggistica vengono tenuti all'interno della rete aziendale, possono essere protetti da un firewall perimetrale con la funzione di cuscinetto tra Internet e i server aziendali. Microsoft Internet Security and Acceleration (ISA) Server 2004 o ISA Server 2006, entrambi dotati di funzionalità progettate appositamente a questo scopo, ispeziona tutti i pacchetti in arrivo per determinarne l'identità prima di consentire il passaggio ai server Exchange, quindi restituisce le informazioni in uscita al client tramite Internet.

La configurazione di ISA Server richiede l'attivazione della crittografia SSL e la designazione della porta 443 come porta di ascolto Web SSL per il traffico di Exchange Server. Questo riduce al minimo l'esposizione in Internet limitandola a una singola porta. Inoltre, prima di connettersi tramite ActiveSync tutti i client sono obbligati a stabilire un collegamento SSL.

ISA Server è in grado di autenticare preventivamente gli utenti di applicazioni Web quali OWA per aiutare a impedire che utenti non autenticati raggiungano i server di applicazioni. ISA Server 2006 migliora il modello di bridging SSL di ISA Server 2004 operando come punto di terminazione SSL per i dispositivi Windows Mobile. Questo consente ai dispositivi Windows Mobile di eseguire l'autenticazione con il server Exchange senza stabilire alcuna connessione diretta e affidandosi invece a ISA Server 2006 per il passaggio del traffico in entrambe le direzioni. Inoltre, poiché la posizione consigliata di ISA Server 2006 è nella rete perimetrale, questo offre un livello di protezione aggiuntivo tra Internet e il front-end di Exchange Server.

Autenticazione

Sono disponibili due tipi di autenticazione di base tra cui scegliere: base e basata sui certificati. Il tipo base si riferisce a una connessione SSL standard con nome e password tra un client Windows Mobile e il server front-end di Exchange. Richiede comunque un certificato perché prima di procedere all'autenticazione Exchange Server cerca un certificato principale corrispondente sul dispositivo. Windows Mobile ed IIS consentono di utilizzare l'ampia varietà di metodologie di crittografia associate a SSL.

L'autenticazione basata sui certificati, che è disponibile sia in Windows Mobile 5.0 con MSFP che in Windows Mobile 6, utilizza TLS (Transport Layer security) invece dell'autenticazione di base SSL. Oltre al certificato principale, TLS richiede che ogni utente disponga di un certificato con chiavi pubbliche e private. Poiché TLS utilizza una chiave di crittografia (fino a 2.048 bit) invece di una password, questo protocollo offre un'autenticazione più efficace.

Con Windows Mobile 6, la registrazione di un certificato utente mediante Desktop Enroll richiede che il dispositivo sia agganciato a un desktop che si trova nello stesso dominio del server di registrazione del certificato. L'utente autentica la registrazione mediante una password, una smart card o un altro metodo, quindi connette il dispositivo a un computer desktop. L'utente accede quindi al sistema di certificati tramite il desktop che, a sua volta, installa il certificato sul dispositivo mobile. Desktop Enroll è in grado di svolgere varie funzioni di protezione di Windows Mobile, tra cui il rinnovo del certificato e la distribuzione di certificati di autenticazione ActiveSync, certificati di autenticazione SSL/TLS, certificati Wi-Fi 802.1x o certificati con firma digitale S/MIME.

I protocolli di protezione quali SSL proteggono i dati dei messaggi in transito, ma non li crittografano quando arrivano sul dispositivo Windows Mobile o sul server Exchange. S/MIME è un formato sicuro del familiare standard MIME che supporta la posta elettronica con firma digitale e/o crittografata. Questo offre un ulteriore livello di protezione che si aggiunge alla crittografia del livello di trasporto SSL.

Conclusioni

La creazione di un'infrastruttura che sia sufficientemente sicura richiede che venga dedicata attenzione a ciascuno dei molti livelli che compongono una soluzione. Windows Mobile, Exchange Server e prodotti per la protezione di rete Microsoft quali ISA Server collaborano reciprocamente per alleviare una gran parte dei problemi di gestione dell'infrastruttura mobile. Ciò contribuisce ad attenuare una parte della pressione posta sui reparti IT, spostando l'attenzione dalle sfide della protezione create dai dispositivi mobili per privilegiare gli incrementi di produttività che questi mettono a disposizione.

Un ringraziamento particolare a Kathy Esser, Katharine Holdsworth, Sarah Norton e Chip Vollers per l'assistenza fornita nella realizzazione di questo articolo.

Matt Fontaine è uno scrittore che si occupa di tecnologia per BuzzBee Company.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.