了解 Exchange ActiveSync 安全性

项目
05/13/2016

适用于： Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题： 2010-01-25

如果允许移动电话或其他移动设备与 Exchange 2010 服务器同步，这就允许将敏感的公司信息存储在小型的便携式设备中，而这些设备容易丢失或被盗。在部署 Exchange ActiveSync 之前，建议先熟悉一下可以配置的各种安全设置，以便保证公司信息的安全。要删除丢失或被盗移动电话中的个人和公司数据，可以配置 Exchange ActiveSync 的身份验证方法、部署 Exchange ActiveSync 邮箱策略和使用远程设备擦除。

Exchange ActiveSync Server 安全性

您可以在运行 Exchange ActiveSync 的服务器上执行几项与安全有关的任务。最重要的任务之一是配置身份验证方法。Exchange ActiveSync 在安装了客户端访问服务器角色的 Exchange 2010 计算机上运行。此服务器角色与默认的自签名数字证书一起安装。虽然 Exchange ActiveSync 支持自签名证书，但它不是最安全的身份验证方法。为了增强安全性，请考虑部署来自第三方商业证书颁发机构 (CA) 或受信任的 Windows 公钥基础结构 (PKI) 证书颁发机构的受信任证书。有关如何配置受信任数字证书的详细信息，请参阅为 Exchange ActiveSync 配置 SSL。

为 Exchange ActiveSync 选择身份验证方法

除部署受信任数字证书外，您还应考虑可用于 Exchange ActiveSync 的不同身份验证方法。默认情况下，安装客户端访问服务器角色时，Exchange ActiveSync 配置为将基本身份验证与安全套接字层 (SSL) 一起使用。为提高安全性，请考虑将身份验证方法更改为摘要式身份验证或集成 Windows 身份验证。

设备安全性

除了增强 Exchange ActiveSync 服务器的安全性外，您还应考虑增强用户移动电话的安全性。可以使用几种方法来增强移动电话的安全性。

Exchange ActiveSync 邮箱策略

使用 Exchange ActiveSync for Exchange 2010 可以创建 Exchange ActiveSync 邮箱策略，以将一组通用的安全设置应用于一组用户。这些设置包括：

要求提供密码
指定最小密码长度
要求在密码中包含数字或特殊字符
指定要求用户重新输入密码前移动电话可以处于非活动状态的时间长度
指定在错误密码输入超过特定次数后擦除移动电话或移动设备

有关 Exchange ActiveSync 邮箱策略的详细信息，请参阅使用策略管理 Exchange ActiveSync。

远程设备擦除

移动电话可以存储敏感的公司数据并访问许多组织资源。如果移动电话丢失或被盗，这些数据可能存在安全风险。远程设备擦除是一项可使 Exchange 服务器将移动电话设置为在下次连接到 Exchange 服务器时删除所有数据的功能。远程设备擦除可从移动电话有效删除所有已同步的信息和个人设置。当移动电话丢失、被盗或出现其他问题时，可以采取此措施。

警告：
在进行远程设备擦除之后，数据恢复将非常困难。但是，任何数据删除过程都无法使移动电话或其他移动设备像新的时候那样完全没有数据。通过使用复杂的工具，仍然有可能恢复移动电话或其他移动设备上的数据。