了解 Exchange ActiveSync 安全性
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2007-04-18
使用 Microsoft Exchange ActiveSync,用户可将移动设备与 Microsoft Exchange Server 2007 进行同步。这使用户能够访问多种 Exchange 数据,其中包括电子邮件、日历和联系人数据、任务以及传真邮件和语音邮件等统一消息数据。
.gif "note") 注意: |
|---|
| 若要查看移动设备上的传真邮件,用户可能必须安装其他第三方软件。 |
部署 Exchange ActiveSync 时必须考虑几个安全注意事项。本主题概述用于部署 Exchange ActiveSync 的安全选项。
Exchange ActiveSync Server 安全性
您可以在运行 Exchange ActiveSync 的服务器上执行几项与安全有关的任务。最重要的任务之一是配置身份验证方法。Exchange ActiveSync 在安装了客户端访问服务器角色的 Exchange 2007 计算机上运行。此服务器角色与默认的自签名数字证书一起安装。虽然 Exchange ActiveSync 支持自签名证书,但它不是最安全的身份验证方法。为了增强安全性,请考虑部署来自第三方商业证书颁发机构 (CA) 或受信任的 Windows 公钥基础结构 (PKI) 证书颁发机构的受信任证书。有关如何配置受信任数字证书的详细信息,请参阅如何为 Exchange ActiveSync 配置 SSL。
为 Exchange ActiveSync 选择身份验证方法
除部署受信任数字证书外,您还应考虑可用于 Exchange ActiveSync 的多种身份验证方法。默认情况下,安装客户端访问服务器角色时,Exchange ActiveSync 配置为将基本身份验证与安全套接字层 (SSL) 一起使用。为提高安全性,请考虑将身份验证方法更改为摘要式身份验证或集成 Windows 身份验证。
将 ISA Server 与 Exchange ActiveSync 一起使用
Microsoft Internet Security and Acceleration (ISA) Server 2006 和 Exchange 2007 设计用于在使用 Exchange ActiveSync 时为 Microsoft Exchange 的客户端访问提供更高的安全性。
运行新建 Exchange 发布规则向导时,使用 ISA Server 2006 可以为 Exchange ActiveSync 配置身份验证方法。有关如何将 ISA Server 2006 与 Exchange ActiveSync 一起使用的详细信息,请参阅使用 ISA Server 2006 和 Exchange 2007。
设备安全性
除了增强 Exchange ActiveSync 服务器的安全性外,您还应考虑增强用户移动设备的安全性。可以使用几种方法来增强移动设备的安全性。
Exchange ActiveSync 邮箱策略
使用 Exchange ActiveSync for Exchange 2007 可以创建 Exchange ActiveSync 邮箱策略,以将一组通用的安全设置应用于一组用户。其中一些设置包括:
要求提供密码
指定最小密码长度
要求在密码中包含数字或特殊字符
指定要求用户重新输入密码前,设备可以处于非活动状态的时间长度
指定在错误密码输入超过特定次数后擦除该设备。
有关 Exchange ActiveSync 邮箱策略的详细信息,请参阅使用策略管理 Exchange ActiveSync。
远程设备擦除
移动设备可以存储敏感的公司数据并访问许多组织资源。如果设备丢失或被盗,这些数据可能存在安全风险。远程设备擦除功能可使 Exchange 服务器将移动设备设置为在下次连接到 Exchange 服务器时删除所有数据。远程设备擦除可从移动设备有效删除所有已同步的信息和个人设置。在设备丢失、被盗或存在其他安全风险时,上述功能很有用。
.gif "warning") 警告: |
|---|
| 发生远程设备擦除后,数据恢复将非常困难。不过,任何数据删除过程都不能通过释放残余数据将设备恢复为像新设备那样空白。使用复杂工具仍有可能恢复设备的数据。 |
有关远程设备擦除的详细信息,请参阅了解远程设备擦除。
详细信息
有关 Exchange ActiveSync 安全性的详细信息,请参阅 Exchange ActiveSync 概述。