管理 Exchange ActiveSync 安全

项目
08/07/2014

适用于： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题： 2007-07-14

使用 Exchange ActiveSync，用户可将移动设备与 Microsoft Exchange Server 2007 进行同步。这使用户能够访问多种 Exchange 数据，其中包括电子邮件、日历和联系人数据、任务以及传真邮件和语音邮件等统一消息数据。

注意：
要查看移动设备上的传真邮件，用户可能必须安装其他第三方软件。

部署 Exchange ActiveSync 时必须考虑几个安全注意事项。本主题概述用于部署 Exchange ActiveSync 安全选项。

Exchange ActiveSync Server 安全

您可以在运行 Exchange ActiveSync 的服务器上执行几项与安全相关的任务。最重要的任务之一是配置身份验证方法。Exchange ActiveSync 在安装了客户端访问服务器角色的 Exchange 2007 服务器上运行。该服务器角色与默认的自签名数字证书一起安装。虽然 Exchange ActiveSync 支持自签名证书，但它不是最安全的身份验证方法。为了增强安全性，请考虑部署来自第三方商业证书颁发机构 (CA) 或受信任的 Windows 公钥基础结构 (PKI) 证书颁发机构的受信任证书。有关如何配置受信任数字证书的详细信息，请参阅如何为 Exchange ActiveSync 配置 SSL。

为 Exchange ActiveSync 选择身份验证方法

除部署受信任数字证书外，您还应考虑可用于 Exchange ActiveSync 的多种身份验证方法。默认情况下，安装客户端访问服务器角色时，Exchange ActiveSync 配置为将基本身份验证与安全套接字层 (SSL) 一起使用。为提高安全性，请考虑将身份验证方法更改为数字身份验证或集成 Windows 身份验证。

注意：
如果在 Exchange 2003 服务器上拥有邮箱的用户尝试通过 Exchange 2007 客户端访问服务器使用 Exchange ActiveSync，除非对 Exchange 2003 服务器的 Microsoft-Server-ActiveSync 虚拟目录启用了集成的 Windows 身份验证，否则，该用户将收到错误消息，并且无法进行同步。如果启用了集成的 Windows 身份验证，Exchange 2007 客户端访问服务器和 Exchange 2003 后端服务器可以使用 Kerberos 身份验证进行通信。

如果在 Exchange 2003 服务器上拥有邮箱的用户尝试通过 Exchange 2007 客户端访问服务器使用 Exchange ActiveSync，除非对 Exchange 2003 服务器的 Microsoft-Server-ActiveSync 虚拟目录启用了集成的 Windows 身份验证，否则，该用户将收到错误消息，并且无法进行同步。如果启用了集成的 Windows 身份验证，Exchange 2007 客户端访问服务器和 Exchange 2003 后端服务器可以使用 Kerberos 身份验证进行通信。

将 ISA Server 与 Exchange ActiveSync 一起使用

Microsoft Internet Security and Acceleration (ISA) Server 2006 和 Exchange 2007 设计用于在使用 Exchange ActiveSync 时为 Microsoft Exchange 的客户端访问提供更高的安全性。

运行新建 Exchange 发布规则向导时，使用 ISA Server 2006 可以为 Exchange ActiveSync 配置身份验证方法。有关如何将 ISA Server 2006 与 Exchange ActiveSync 一起使用的详细信息，请参阅为 Exchange 客户端访问配置 ISA Server 2006。

设备安全

除了提高 Exchange ActiveSync 服务器的安全性外，您还应考虑提高您用户的移动设备的安全性。可以使用几种方法提高移动设备的安全性。

Exchange ActiveSync 邮箱策略

使用适用于 Exchange 2007 的 Exchange ActiveSync，可以创建 Exchange ActiveSync 邮箱策略以将一组通用的安全设置应用到用户集合。其中一些设置包括：

要求密码。
指定最小密码长度。
要求在密码中使用数字或特殊字符。
指定要求用户重新输入密码前，设备可以处于非活动状态的时间长度。
指定在错误密码输入超过特定次数后擦除该设备。

有关 Exchange ActiveSync 邮箱策略的详细信息，请参阅使用策略管理 Exchange ActiveSync。

远程设备擦除

移动设备可以存储敏感的公司数据并访问许多公司资源。如果设备丢失或被盗，这些数据可能存在安全风险。远程设备擦除是一项可使 Exchange 服务器将移动设备设置为在下次连接到 Exchange 服务器时删除所有数据的功能。远程设备擦除可从移动设备有效删除所有已同步的信息和个人设置。在设备丢失、被盗或存在其他安全风险时，上述功能很有用。

警告：
发生远程设备擦除后，数据恢复将非常困难。不过，任何数据删除过程都不能通过释放残余数据将设备恢复为像新设备那样空白。使用复杂工具仍有可能恢复设备的数据。