• Artigo

Comunicações

Aumente a segurança com o Windows Mobile 6

Matt Fontaine

 

Visão geral:

  • Segurança no dispositivo
  • Segurança do Exchange Server
  • Segurança de rede

Os dispositivos móveis aumentam a produtividade dos trabalhadores em todo o mundo, permitindo que eles acessem informações cooperativas e mantendo-os conectados mesmo quando distantes

fisicamente do escritório. Os aumentos na produtividade são reais: basta ligar o dispositivo móvel e começar a trabalhar.

No outro lado da moeda estão os profissionais de TI que são desafiados pela difícil tarefa de manter o escritório virtual seguro e estável. Da sua perspectiva, todo dispositivo móvel é uma potencial falha de segurança na rede a ser conectada e um potencial risco de furto de dados. A criação de uma implantação mais segura de dispositivos móveis é crucial, mas também deve ser equilibrada com o oferecimento de uma experiência de usuário contínua e intuitiva.

O Microsoft® Windows Mobile® 6 e seu antecessor, o Windows Mobile 5.0 com o MSFP (Messaging and Security Feature Pack), incluem muitos recursos que o ajudarão a proteger a infra-estrutura corporativa com uma dificuldade mínima — e com um nível mínimo de inconveniência para seus usuários. A utilização do Microsoft Exchange Server como a plataforma de mensagens aumenta ainda mais as opções de segurança disponíveis. Neste artigo, demonstrarei como você pode usar o Windows Mobile, o Exchange Server e algumas práticas recomendadas de segurança de rede como fundação para a proteção dos dispositivos móveis da sua empresa.

A arquitetura da comunicação móvel

Existem três camadas a serem consideradas durante o planejamento ou a atualização de uma implantação móvel: o dispositivo, o servidor de mensagens e a rede (consulte a Figura 1). Quanto ao dispositivo, os principais desafios incluem permitir somente acesso autorizado ao dispositivo e evitar o uso de aplicativos não autorizados no dispositivos. O Windows Mobile ajuda a evitar o acesso não autorizado ao dispositivo por meio da autenticação de PIN e de proteção de senha, do bloqueio de tempo de expiração do dispositivo e da capacidade de "eliminar" ou de apagar a memória do dispositivo, seja de forma local ou remota, caso ele seja perdido ou furtado. A criptografia de dados do canal de comunicação e o armazenamento removível são suportados. Evitar que aplicativos não autorizados como vírus ou spyware sejam instalados ou acessem partes importantes do dispositivo também é essencial. A definição da função de gerenciamento, camadas de acesso de aplicativo, configurações de assinatura de código, configurações de segurança e certificados de segurança se combinam para ajudá-lo a obter a proteção em nível de dispositivo.

Figura 1 As camadas da comunicação móvel

Figura 1** As camadas da comunicação móvel **

A próxima camada de segurança é o servidor de mensagens, como o Exchange Server 2003 com Service Pack 2 (SP2) ou o Exchange Server 2007. Essa camada inclui tanto a segurança da mensagem — a tecnologia pela qual as mensagens são transmitidas com segurança de e para dispositivos — assim como a interação entre o servidor de mensagens e o dispositivo móvel por meio do Exchange ActiveSync®. O uso do Exchange Server não é obrigatório para a utilização de dispositivos Windows Mobile, mas a sua presença oferece vantagens de custo, de escalabilidade, de desempenho e administrativas.

Boas práticas de segurança no servidor de mensagens e no dispositivo são fundamentais, mas a proteção da camada de rede também é muito importante. Configurar a sua rede corporativa de acordo com as práticas recomendadas e implementar protocolos de segurança fortes podem ajudar a evitar danos em sua rede, mesmo que um ou mais dispositivos móveis sejam comprometidos.

Diretivas de segurança no dispositivo

A primeira linha de defesa contra brechas de segurança está no próprio dispositivo com Windows Mobile. O sistema operacional Windows Mobile oferece diversos serviços de segurança de dispositivo que oferecem suporte a autenticação, criptografia de cartão de armazenamento, VPN (rede virtual privada), criptografia Wi-Fi e serviços SSL (Secure Sockets Layer). A segurança de dispositivo envolve o gerenciamento de quem terá acesso a um dispositivo e aos seus dados, o controle de quais aplicativos poderão ser executados no dispositivo e o estabelecimento de como os dados serão transmitidos de e para o dispositivo. Em geral, os administradores têm uma boa dose de flexibilidade na configuração e na imposição de diretivas de segurança, tanto no Windows Mobile 5.0 com MSFP como no Windows Mobile 6.

O acesso de usuário é gerenciado por meio de um PIN ou de autenticação de senha. Um dispositivo pode ser definido para ser automaticamente bloqueado após um período de inatividade ou depois de ser desligado, exigindo que o usuário desbloqueie o dispositivo para poder usá-lo (consulte a Figura 2). As especificações de controle de acesso de usuário são definidas por diretivas de segurança, que podem ser alteradas dependendo da função de segurança do administrador.

Figura 2 Configurando diretivas de senha

Figura 2** Configurando diretivas de senha **

As diretivas de segurança definem níveis globais de segurança para o dispositivo móvel (consulte a Figura 3). As funções de segurança determinarão quem poderá definir e alterar essas diretivas de segurança. A função de gerente, normalmente reservada para operadores móveis, oferece um controle completo sobre configurações de diretivas de segurança. A função corporativa é usada pelo Exchange no gerenciamento de algumas diretivas de dispositivo, configuradas pelo administrador do Exchange. Dependendo do seu acordo com o provedor do dispositivo, você poderá ser capaz de personalizar as diretivas de segurança para a sua empresa.

Figure 3 Diretivas de segurança para os dispositivos móveis

Diretiva Dispositivo móvel
Block unauthorized penetration into device (Bloquear acesso não autorizado a este dispositivo)

Windows Mobile 5.0 com MSFP

Especifica que o usuário sempre deve ser autenticado no dispositivo para desbloqueá-lo ou para permitir que ele insira um PIN no desktop.
Função padrão: Gerente, Corporativa.

Windows Mobile 6

Concede ou nega a permissão de usuário para alterar configurações de criptografia móvel para mídia de armazenamento removível.
Função padrão: Gerente, Corporativa.
Especifica se o usuário deve ou não ser autenticado no dispositivo quando conectado se o bloqueio do dispositivo estiver ativo. Função padrão: Gerente, Corporativa.
Protect sensitive data in case of device theft or loss (Proteger dados confidenciais em caso de furto ou perda do dispositivo)

Windows Mobile 5.0 com MSFP

Especifica que o usuário sempre deve ser autenticado no dispositivo para desbloqueá-lo ou para permitir que ele insira um PIN no desktop.
Função padrão: Gerente, Corporativa.

Windows Mobile 5.0 com MSFP e Windows Mobile 6

Especifica se uma senha deve ser configurada no dispositivo. Define as configurações de apagamento local e remoto do dispositivo.
Função padrão: Gerente, Corporativa.

Os métodos de autenticação personalizável usados pelo Windows Mobile são controlados por LAPs (Local Authentication Plug-Ins), que interagem com o LASS (Local Authentication Subsystem). Essa tecnologia permite que o Exchange Server controle a configuração do dispositivo em um nível granular — por exemplo, ao impor o comprimento e os requisitos de força da senha ou ao permitir a autenticação PIN simples.

O Windows Mobile 6 possui um conjunto expandido de funções LAP configuradas por meio do Exchange Server 2007. Você pode habilitar o reconhecimento do padrão PIN (por exemplo, negar o uso de padrões simples, como "1111" ou "1234"), configurar os períodos de expiração da senha ou do PIN, permitir que usuários solicitem a redefinição de um PIN com base em certas condições ou manter um histórico de PINs/senhas para evitar que os usuários reutilizem PINS ou senhas antigos quando for solicitado que criem novos.

Protegendo dados em dispositivos

Caso um PIN (ou uma senha) incorreto seja inserido mais vezes do que o permitido pelo administrador, o apagamento de dados no dispositivo o redefine permanentemente, limpando sua memória — incluindo as credenciais de autenticação do usuário. O limite é definido como parte das diretivas de segurança do Exchange Server. Após duas entradas incorretas, o dispositivo solicita que o usuário insira uma cadeia de caracteres de chave estruturada para continuar (consulte a Figura 4). Isso evita que o dispositivo seja apagado acidentalmente por causa de pressionamentos aleatórios de teclas. Também é possível apagar remotamente o cartão de armazenamento usando o Windows Mobile 6 e o Exchange Server 2007.

Figura 4 Aplicar a utilização de PIN e de senha

Figura 4** Aplicar a utilização de PIN e de senha **

O bloqueio de um dispositivo não será o suficiente caso alguém esqueça um cartão de armazenamento de 2 GB cheio de dados corporativos confidenciais em um táxi. Felizmente, você também pode usar o Windows Mobile 6 para lidar com esse problema. Ele pode criptografar os dados do cartão de armazenamento para que somente o dispositivo que o gravou possa lê-lo. Assim como muitos outros recursos de segurança avançados do Windows Mobile 6, o Exchange Server 2007 pode ser usado para oferecer esse recurso pelo ar. A criptografia do cartão de armazenamento é totalmente transparente para o usuário. O Exchange Server 2007 permite que o administrador escolha os usuários que poderão alterar as configurações de criptografia de seus cartões de armazenamento.

A capacidade de execução dos aplicativos em um dispositivo Windows Mobile baseia-se em três níveis de permissão: privilegiado, normal e bloqueado. Os aplicativos de nível privilegiado (assinados por um certificado no armazenamento de certificados privilegiado) podem fazer gravações no registro e em arquivos do sistema e também podem instalar certificados. Assim com um Desktop PC ou um servidor, quanto mais houver aplicativos que possam alterar o ambiente do sistema operacional, maiores serão as chances de comprometê-lo. A redução do número de aplicativos com acesso privilegiado é, geralmente, uma boa prática. A maioria dos aplicativos só precisa ser executada em nível normal (aplicativos que são assinados por um certificado no armazenamento de certificados Unpriv ou aplicativos não assinados que o usuário concordou em executar), o que permite a sua execução mas evita que acessem os arquivos do sistema. Os aplicativos bloqueados são justamente isso — estão bloqueados e não podem ser executados devido a uma assinatura incorreta ou a uma ação do usuário.

Os dispositivos podem ter uma configuração de acesso de segurança de uma ou de duas camadas. Com a configuração de acesso de uma camada, os aplicativos não assinados são executados com acesso privilegiado ou estão bloqueados e simplesmente não podem ser executados. Uma configuração de acesso de duas camadas executará aplicativos não assinados em nível normal caso a diretiva seja verificada com sucesso ou se o usuário permitir a execução dos aplicativos. Dependendo das configurações do dispositivo, será solicitado ou não que o usuário execute um aplicativo não assinado.

Certificados digitais — uma das formas mais usadas de autenticação pessoal, de dispositivo e de aplicativo — são uma parte fundamental da segurança do Windows Mobile no dispositivo, no servidor e na rede. O sistema operacional Windows Mobile mantém vários tipos de certificados em armazenamentos diferentes no dispositivo. Quanto aos aplicativos, os certificados determinam quais podem ser instalados e executados. Para que um aplicativo seja executado em um dispositivo com o Windows Mobile sem que o usuário seja consultado, ele precisa estar assinado com um certificado, provando que foi aceito pelo programa Mobile2Mobile da Microsoft. Os aplicativos recebem níveis de permissão com base nos certificados que estão associados a eles.

Para a autenticação de rede, cada dispositivo móvel vem com alguns certificados raiz comerciais confiáveis emitidos pela CA (autoridade de certificação) como mostrado na Figura 5. O servidor de mensagens (por exemplo, o Exchange Server) verifica a autenticidade do certificado raiz de um dispositivo antes de estabelecer uma conexão SSL com ele. Se a sua empresa utiliza certificados personalizados, talvez você seja capaz de instalá-los nos dispositivos com Windows Mobile adquiridos ou talvez seja preciso criar novos certificados. Falarei um pouco mais sobre isso na seção sobre segurança de rede deste artigo.

Figura 5 Gerenciando certificados digitais

Figura 5** Gerenciando certificados digitais **

O ActiveSync e o Internet Explorer® Mobile podem usar o SSL na proteção das transmissões de dados entre o dispositivo e um servidor Web corporativo. Isso será verdadeiro se a conexão existir para sincronizar dados do Microsoft Exchange, para configurar o dispositivo ou para baixar aplicativos. O SSL criptografa o canal de comunicação com codificação RC4 ou 3DES de 128 bits para que os dados não possam ser lidos por terceiros. O Windows Mobile também oferece suporte a VPN, que usa a criptografia de pacote para oferecer segurança similar à da linha dedicada durante o acesso ao servidor pela Internet.

Segurança do Exchange Server

Embora os dispositivos com Windows Mobile não exijam o Exchange Server para funcionar, ambos os sistemas foram projetados para trabalhar em conjunto e apresentar uma solução de produtividade e de mensagens móveis de ponta a ponta. Desde o lançamento do Windows Mobile 5.0 com MSFP, o ActiveSync foi aperfeiçoado para permitir o gerenciamento remoto das configurações do dispositivo Windows Mobile. Ele oferece um meio fácil, embora poderoso, de propagar e de impor configurações de segurança globais para a maioria dos dispositivos Windows Mobile.

O ActiveSync é executado no IIS, o componente aplicativo/servidor Web do Microsoft Windows Server 2003. O IIS oferece segurança interna que o ajuda a proteger o próprio ActiveSync de ataques vindos da rede. Como o OWA (Outlook® Web Access) do Microsoft Outlook também se baseia no IIS, você poderá usar os mesmos certificados de segurança para ele e para o ActiveSync.

Quando o ActiveSync é usado para propagar uma diretiva corporativa, tal diretiva será entregue aos dispositivos na próxima vez em que eles fizerem a sincronização com o Exchange Server. Os usuários devem aceitar as alterações ou não serão capazes de se conectar ao servidor. Muitas redes lidam com uma grande variedade de dispositivos, incluindo hardware herdado que não aceita diretivas de segurança sofisticadas. Se for necessário, você pode isentar certos dispositivos, como o hardware herdado, do requisito da diretiva de segurança para que eles possam continuar a se conectar.

O Exchange Server 2003 SP2 e o Exchange Server 2007 possuem recursos de controle de diretiva de segurança um pouco diferentes. O Exchange Server 2003 SP2 pode ser usado para especificar um comprimento mínimo de senha de 4 a 18 caracteres, exige números e letras na senha e define o período de inatividade permitido antes do bloqueio do dispositivo. Essa versão do Exchange Server também pode definir a freqüência com que as configurações de segurança devem ser impostas aos dispositivos, assim como pode permitir as isenções citadas anteriormente para dispositivos herdados.

Com o lançamento do Exchange Server 2007, os recursos de gerenciamento de dispositivos móveis do ActiveSync foram aperfeiçoados para incluir todos os recursos do Exchange Server 2003 SP2 mais o seguinte:

  • Permitir ou não as senhas simples (como "1234" ou "1111")
  • Ativar ou desativar o download de anexos
  • Exigir a criptografia do cartão de armazenamento
  • Definir o tamanho máximo do anexo
  • Permitir que o usuário recupere a senha de um dispositivo pelo OWA
  • Permitir o acesso a arquivos UNC (convenção de nomenclatura universal) e WSS (Microsoft Windows SharePoint® Services)

Com o Exchange Server 2007, os profissionais de TI têm a flexibilidade de ajustar as diretivas a cada usuário ou dispositivo para gerenciar diretivas para grupos de usuários, assim como isentar usuários específicos de diretivas de segurança.

Apagamento remoto de acesso

Além do apagamento de dispositivo local detalhado anteriormente, você pode limpar um dispositivo com Windows Mobile de forma remota, usando o Exchange Server 2003 SP2, o Exchange Server 2007 ou o OWA. Os apagamentos remotos, que acontecem na sincronização, podem ser executados mesmo que você não esteja usando as diretivas de segurança do ActiveSync. Uma redefinição definitiva de apagamento remoto não pode ser interrompida no dispositivo. Dados, configurações e chaves de segurança são substituídos por zeros repetidos, fazendo com que seja extremamente difícil recuperar dados que não façam parte do núcleo do sistema operacional.

Segurança de rede

A segurança de rede é tão importante para a segurança móvel quanto os componentes de servidor de mensagens e de dispositivos. Ela também é parte da infra-estrutura móvel que você claramente controla. Mesmo que um ou mais dispositivos móveis sejam comprometidos, configurar a sua rede corporativa de acordo com as práticas recomendadas e implementar os protocolos de segurança corretos poderá ajudá-lo a evitar danos em sua rede.

O Windows Mobile funciona bem com uma variedade de tipos de rede. Usando protocolos de segurança da Internet e firewalls padrão, você pode projetar uma solução que atenda às suas necessidades de desempenho, de estabilidade e de segurança.

Quando servidores de mensagens são mantidos em uma rede corporativa, podem ser protegidos por um firewall de borda que agirá como um buffer entre a Internet e os servidores corporativos. O Microsoft ISA (Internet Security and Acceleration) Server 2004 ou o ISA Server 2006, ambos com recursos projetados especialmente para essa finalidade, inspecionam todos os pacotes de entrada para a determinação de sua identidade antes de passá-los para os servidores Exchange e então enviam informações de saída de volta ao cliente via Internet.

A configuração do ISA Server requer que você habilite a criptografia SSL e especifique a porta 443 como a porta Web SSL que escutará o tráfego do Exchange Server. Isso minimiza a exposição à Internet ao limitá-la a uma única porta. Além disso, deve-se exigir que todos os clientes estabeleçam um link SSL antes de se conectar via ActiveSync.

O ISA Server pode autenticar previamente os usuários de aplicativos Web como o OWA para ajudar a evitar que usuários não autenticados cheguem aos servidores de aplicativos. O ISA Server 2006 aperfeiçoa o modelo de ponte SSL do ISA Server 2004 agindo como o ponto de terminação do SSL para os dispositivos com Windows Mobile. Isso permite que os dispositivos com Windows Mobile sejam autenticados no servidor Exchange, sem nem ao menos uma conexão direta com ele, em vez de confiar no ISA Server 2006 para a passagem do tráfego. E, uma vez que o local recomendado para o ISA Server 2006 é a rede de perímetro, isso gera uma camada extra de segurança entre a nuvem de Internet pública e o front-end do Exchange Server.

Autenticação

Existem dois tipos básicos de autenticação que você pode escolher: a básica e a baseada em certificado. A básica se refere a uma conexão baseada em SSL com nome e senha padrão entre um cliente Windows Mobile e o servidor Exchange de front-end. Ela ainda requer um certificado, já que o Exchange Server procura por uma ocorrência do certificado raiz no dispositivo antes da autenticação. O Windows Mobile e o IIS permitem que você use um conjunto maior de metodologias de criptografia associadas ao SSL.

A autenticação baseada em certificado, disponível no Windows Mobile 5.0 com MSFP e no Windows Mobile 6, usa a TLS (segurança da camada de trabalho) em vez da autenticação básica SSL. Além do certificado raiz, a TLS exige que cada usuário tenha um certificado com chaves pública e privada. Como a TLS usa uma chave de criptografia (de até 2048 bits) em vez de uma senha, esse protocolo oferece uma autenticação mais forte.

Com o Windows Mobile 6, registrar um certificado de usuário com o Desktop Enroll requer que o dispositivo esteja encaixado em um desktop que esteja no mesmo domínio do servidor de registro de certificados. O usuário autentica o registro usando uma senha, um cartão inteligente ou um outro método e então conecta o dispositivo a um desktop PC. Em seguida, o usuário acessa o sistema de certificado por meio do desktop que, por sua vez, instala o certificado no dispositivo móvel. O Desktop Enroll pode servir a uma grande variedade de fins de segurança do Windows Mobile, incluindo a renovação de certificados, assim como a distribuição de certificados de autenticação do ActiveSync, certificados de autenticação SSL/TLS, certificados Wi-Fi 802.1x ou certificados de assinatura digital S/MIME.

Os protocolos de segurança como o SSL protegem os dados da mensagem enquanto eles estão em trânsito, mas não os criptografam quando eles chegam ao dispositivo Windows Mobile ou ao servidor Exchange. O S/MIME é uma forma segura do conhecido padrão de email MIME que oferece suporte a emails criptografados e/ou assinados digitalmente. Isso oferece uma camada adicional de proteção sobre ou abaixo da criptografia de camada de transporte do SSL.

Encerramento

É o exame cuidadoso de cada uma das muitas camadas que formam uma solução que criará uma infra-estrutura suficientemente segura. O Windows Mobile, o Exchange Server e os produtos de segurança de rede da Microsoft, como o ISA Server, trabalham juntos para diminuir muito a dificuldade de gerenciamento da infra-estrutura móvel. Isso ajuda a tirar um pouco da pressão sobre os departamentos de TI, mudando o foco dos desafios de segurança criados por dispositivos móveis para os aumentos de produtividade que eles possibilitam.

Agradeço especialmente a Kathy Esser, Katharine Holdsworth, Sarah Norton e Chip Vollers por sua assistência na criação deste artigo.

Matt Fontaine é escritor de tecnologia da BuzzBee Company.

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..