为启用 UM 的用户配置 PIN 安全性
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2006-10-20
订阅者或 Microsoft Exchange Server 2007 统一消息 (UM) 用户使用电话来连接到已安装统一消息服务器角色的计算机时,用户需要使用 Outlook Voice Access 在统一消息菜单系统中导航。但是,用户可以访问统一消息系统之前,系统将提示输入他们的 PIN。作为管理员,您可以配置 PIN 设置和要求,并执行 PIN 管理任务。为用户启用了统一消息并且生成或创建了 PIN 后,将在用户邮箱中存储用户 PIN 数学计算的哈希值。PIN 的校验和将存储在 Active Directory 中一个名为 ExUMPINChecksum 的属性内。
.gif "note") 注意: |
|---|
| 订阅者必须使用按键输入或双音调多频率 (DTMF) 输入来输入其 PIN,以访问其启用了 UM 的邮箱。PIN 输入不支持语音识别。 |
PIN 是在某些系统(包括统一消息系统)中使用的数字字符串,使用它是为了验证用户身份,并让用户获得访问权。PIN 是用户为访问其 Exchange Server 邮箱而在电话中输入的密码。PIN 的强度取决于它的长度、它受保护的程度以及猜测它的难度。
PIN 最常用于自动柜员机 (ATM)。但统一消息系统也会使用 PIN 来代替字母数字密码。在 Microsoft Exchange 2007 统一消息中,可以通过模拟电话、数字电话或移动电话输入 PIN,使用 PIN 可以访问包含电子邮件、语音邮件和日历信息的用户邮箱。
在 Exchange 2007 统一消息中,可以在 UM 邮箱策略中定义和配置 PIN 策略。可以创建多个 UM 邮箱策略,具体取决于需求。启用用户的 Exchange Server 2007 统一消息时,将使该用户与现有 UM 邮箱策略关联或链接。在 UM 邮箱策略上配置的 UM PIN 策略应当基于组织的安全要求。
PIN 要求
下面是可以在 Exchange 2007 中的 UM 邮箱策略上配置的几个 PIN 配置设置。
最小 PIN 长度
“最小 PIN 长度”设置用于指定邮箱 PIN 的最小位数。范围是 4 到 24,默认值是 6。如果输入 0,则表示不需要用户输入 PIN。
.gif "important") 要点: |
|---|
| 在实践中,建议不要用零配置此设置。通过将此设置配置为零,将会极大地降低网络的安全级别。 |
如果将最小密码长度更改为更高值,在现有用户能够继续使用之前,系统将提示他们输入新的 PIN,其中应当包含新的最小位数。
| 注意: |
|---|
| 增加此数字将创建更安全的 UM 环境。但是,将其设置得太高会导致用户忘记他们的 PIN。 |
PIN 生存期
“PIN 生存期”设置用于控制从用户上次更改其 PIN 的日期到再次强迫他们更改 PIN 的日期之间的时间间隔(天)。范围是 0 到 999,默认值是 60 天。如果输入 0,则 PIN 将不过期。
| 注意: |
|---|
| 当用户的 PIN 将要过期时,统一消息不会向用户发出通知。 |
PIN 重置之前的登录失败次数
“PIN 重置之前的登录失败次数”设置用于指定在邮箱 PIN 自动重置之前连续进行的不成功登录尝试的次数。若要禁用此功能,请将此设置设为无限。否则,必须将它设置为小于“最大登录尝试次数”设置的数字。范围是 1 到 998,默认值是 5。
| 注意: |
|---|
| 若要提高启用 UM 的用户的安全性,请输入小于 5 的数字。 |
最大登录尝试次数
“最大登录尝试次数”设置用于指定在被锁在其邮箱之外以前用户进行的连续呼叫中可以有多少 PIN 输入错误。默认情况下,经过 5 次尝试后,PIN 将自动重置。范围是 1 到 999,默认值是 15。
| 注意: |
|---|
| 若要提高安全性,请减少失败尝试次数。但请记住,如果将它减少到小于默认值的数字,则可能导致用户不必要地被锁在外面。如果启用了 UM 的用户的 PIN 身份验证失败,或者用户尝试登录系统时不成功,统一消息将生成警告事件,可以使用事件查看器查看这些事件。 |
允许通用模式
“允许通用模式”设置用于启用或禁用在创建 PIN 时使用的通用数字模式。默认情况下,此设置被禁用,并且不允许用户输入下表中的下列数字模式:
连续数字 完全由连续数字组成的 PIN 值。1234 和 65432 就是 PIN 的连续数字。
重复数字 由重复数字组成的 PIN 值。11111 和 22222 就是重复数字。
邮箱分机号码后缀 由邮箱分机号码后缀组成的 PIN 值。如果邮箱分机号码为 36697,则 PIN 不能为 6697。
PIN 历史计数
“PIN 历史计数”设置用于配置在可以复用先前用过的任何 PIN 之前用户必须使用的不同 PIN 的个数。范围是 1 到 20,默认值是 5。
管理统一消息 PIN
为 UM PIN 制订计划时,必须确保选择了适合组织的安全级别。必须仔细考虑 UM PIN 要求以及 PIN 安全设置将如何满足或超过组织的安全策略。
| 要点: |
|---|
| 最安全的做法是,对统一消息用户实施强 PIN 要求。可以在创建统一消息 PIN 策略时要求 PIN 具有六位或更多位数来执行这一安全要求,这样做还可提高网络的安全级别。 |
在设置可满足组织安全要求的 PIN 要求之后,必须创建和配置 UM 邮箱策略,以执行组织的 PIN 要求。有关如何创建和管理 UM 邮箱策略的详细信息,请参阅管理统一消息邮箱策略。
| 注意: |
|---|
| 创建 UM 邮箱策略之后,必须使启用 UM 的一个或多个用户与合适的 UM 邮箱策略关联。通过使用 Enable-UMMailbox Exchange 命令行管理程序命令,可以执行此任务。有关 Exchange 命令行管理程序命令的详细信息,请参阅 Enable-UMMailbox 参考主题。 |
有些情况下,UM 用户会忘记他们的 PIN 或被锁在 UM 邮箱之外而无法访问。在这两种情况下,可能都需要您重置已启用 UM 的用户的 PIN。有关如何重置用户的 PIN 的详细信息,请参阅 如何重置用户的统一消息 PIN。
详细信息
有关 UM 邮箱策略的详细信息,请参阅了解统一消息邮箱策略。
有关如何使 UM 邮箱策略与 UM 用户关联的详细信息,请参阅 如何修改用户的统一消息属性。
有关如何配置统一消息 PIN 策略的详细信息,请参阅 如何为 UM 用户设置 PIN 策略。