移動設備可以提高世界各地工作人員的工作效率，讓他們可以訪問公司信息，并讓他們甚至在離開物理辦公室時也能保持聯系。這樣確實能提高工作效率：只要打開移動設備，開始工作即可。

　　但是移動設備存在另一問題，即 IT 專業人員面臨著保持虛擬辦公室的安全和穩定這一艱難任務的挑戰。從他們的角度來看，每個移動設備都是一個容易被侵入的潛在網絡安全漏洞，都有可能導致數據被竊取。構建更安全的移動設備部署非常關鍵，但同時必須通過提供無縫、直觀的用戶體驗來取得平衡。

　　Microsoft® Windows Mobile® 6 及其前身，含消息傳送和安全功能包 (MSFP) 的 Windows Mobile 5.0 包含了很多功能，幫助您輕松即可保護公司基礎架構，而且不會給您的用戶帶來多大的不便。使用 Microsoft Exchange Server 作為消息平臺可進一步增加可用的安全選項。在本文中，我將闡述如何使用 Windows Mobile、Exchange Server 和一些網絡安全最佳實踐作為保護貴公司移動設備的基礎。

　　移動通信體系結構

　　在計劃或升級移動部署時要考慮三個層：設備、郵件服務器和網絡(參見圖 1)。在設備級別，主要的挑戰包括只允許授權訪問設備以及防止設備上未經授權的應用程序。Windows Mobile 可以通過 PIN 驗證和密碼保護、設備超時鎖定，以及在設備的記憶丟失或被盜時本地或遠程“擦掉”或擦除設備內存等功能，來幫助阻止對設備本身的未經授權的訪問。支持通信通道和可移動存儲的數據加密。阻止未經授權的應用程序(例如病毒或間諜軟件)安裝到或訪問設備的關鍵部分也很重要。將管理角色定義、應用程序訪問層、代碼簽名設置、安全設置和安全證書結合起來，也可幫助獲得設備級保護。

　　

　　圖 1 移動通信的層次

　　接下來一個安全層是郵件服務器，例如含 Service Pack 2 (SP2) 的 Exchange Server 2003 或 Exchange Server 2007。這一層包括郵件安全——使郵件安全傳出和傳入設備的技術，以及通過 Exchange ActiveSync® 實現的郵件服務器和移動設備之間的交互。不要求 Exchange Server 使用 Windows Mobile 設備，但是使用 Exchange 可以帶來成本、可伸縮性、性能和管理方面的優勢。

　　優異的設備級和郵件服務器安全實踐固然重要，但是保護網絡層也很關鍵。根據最佳實踐配置貴公司的網絡并實施強大的安全協議，可以幫助防止對網絡的破壞，即使有一個或更多移動設備遭到破壞也不怕。

　　設備上的安全策略

　　防御安全隱患的第一道防線是基于 Windows Mobile 的設備本身。Windows Mobile 操作系統提供各種支持身份驗證、存儲卡加密、虛擬專用網絡 (VPN)、Wi-Fi 加密的設備級安全服務和安全套接字層 (SSL) 服務。設備級安全包括管理誰有權訪問設備及其數據、控制哪些應用程序可以在設備上運行，以及創建數據傳入和傳出設備的方式。總之，管理員在含 MSFP 的 Windows Mobile 5.0 和 Windows Mobile 6 上設置和實施安全策略時有很大的靈活性。

　　用戶訪問通過 PIN 或密碼身份驗證來管理。設備可設置為在一段時間的非活動狀態后或在關閉后自動鎖定，用戶需要再次解除對設備的鎖定后才能使用(參見圖 2)。用戶訪問控制的細節由安全策略設置，它可根據管理員的安全角色進行更改。

　　

　　圖 2 設置密碼策略

　　安全策略定義移動設備安全的所有級別(參見圖 3)。誰有權設置和更改這些安全策略由安全角色決定。“管理員”角色通常預留給移動操作員，他/她可以完全控制安全策略的設置。“企業”角色為 Exchange 所用，以管理一些設備策略，這些策略由 Exchange 管理員配置。根據與設備提供商的協議，您可能可以自定義貴公司的安全策略。

　　Windows Mobile 所使用的可自定義的身份驗證方法受本地身份驗證插件 (LAP) 控制，它可以與本地身份驗證子系統 (LASS) 交互。這個技術使 Exchange Server 可以精確地控制設備配置，例如通過強制執行密碼長度和強度要求或啟用簡單的 PIN 身份驗證。

　　Windows Mobile 6 有一組擴展的 LAP 功能，它們可以通過使用 Exchange Server 2007 來進行配置。您可以啟用 PIN 模式識別(例如，拒絕使用簡單的模式，如“1111”或“1234”)，配置密碼或 PIN 過期時段，允許用戶請求基于某個條件重設 PIN，或保留 PIN/密碼歷史記錄，以阻止用戶在被要求創建新 PIN 或密碼時重新使用這些舊的 PIN 或密碼。

　　保護設備上的數據

　　當不正確的 PIN 或密碼的輸入次數超過管理員設置的限制后，本地設備擦除功能會硬重置這些設備，從而擦除它的記憶，包括用戶身份驗證憑據。該限制會被設置成 Exchange Server 安全策略的一部分。每發生兩次不正確的輸入后，設備會提示用戶輸入結構化的密鑰字符串繼續(參見圖 4)。這可以保護設備不會由于不小心按錯鍵而被意外擦除。在使用 Windows Mobile 6 和 Exchange Server 2007 時，遠程擦除存儲卡也是有可能發生的。

　　

　　圖 4 強制使用 PIN 和密碼

　　如果有人將內含敏感公司數據的 2GB 的存儲卡落在了出租車上，鎖定設備并無多大用處。幸運的是，您可以使用 Windows Mobile 6 來解決這個問題。它可對存儲卡數據加密，這樣只有曾經對該存儲卡進行過寫入操作的設備才能讀取它。正如 Windows Mobile 6 的許多其他增強的安全功能一樣，Exchange Server 2007 可用來以無線方式提供這個安全功能。存儲卡加密對用戶而言，在很大程度上是透明。Exchange Server 2007 會讓管理員選擇用戶是否可以更改其存儲卡加密設置。

　　應用程序是否可以在 Windows Mobile 設備上運行是根據三個權限級別來確定的：特權、普通和阻止。特權級別的應用程序(由特權證書存儲區中的證書簽名)可寫入注冊表和系統文件，還可以安裝證書。同臺式計算機或服務器一樣，可以更改操作系統環境的應用程序越多，破壞這個環境的可能性就越大。減少具有“特權”級權限的應用程序的數量通常是一個比較好的做法。大多數應用程序只需要在“普通”級別運行(由 Unpriv 證書存儲中證書簽名的應用程序或用戶已同意運行的未簽名應用程序)，該權限允許它們執行(但阻止訪問)系統文件。阻止的應用程序是指被阻止，并且由于簽名或用戶操作不正確而無法運行的應用程序。

　　設備可以有一層或兩層安全訪問配置。使用一層訪問配置，未簽名的應用程序要么以“特權”權限運行，要么被阻止而無法運行。如果策略檢查成功或如果用戶允許應用程序運行，則兩層訪問配置會在“普通”級別運行未簽名的應用程序。根據設備設置，可以提示用戶是否執行未簽名的應用程序。

　　電子證書，最常用的個人、設備和應用程序身份驗證的形式之一，是設備、服務器和網絡級別的 Windows Mobile 安全的重要組成部分。Windows Mobile 操作系統在設備上的不同證書存儲中存儲了好幾種類型的證書。對于應用程序，證書會確定哪些是可以安裝和運行的。對于要在不提示用戶的情況下在基于 Windows Mobile 的設備上運行的應用程序，它必須要經過證書的簽名，證明它已被 Microsoft Mobile2Mobile 程序接受。應用程序根據與它們相關的證書被授予各種權限級別。

　　對于網絡身份驗證，每個移動設備都帶有很多由證書頒發機構 (CA)(如圖 5 所示)頒發的受信任商業根證書。郵件服務器(例如 Exchange Server)會在與設備建立 SSL 連接之前驗證設備根證書的真實性。如果貴公司使用自定義證書，也許可以將它們安裝在所購買的基于 Windows Mobile 的設備上，或者可能需要創建一個新的證書。有關這一點，我會在本文的“網絡安全”部分做進一步的討論。

　　

　　圖 5 管理電子證書

　　ActiveSync 和 Internet Explorer® Mobile 可使用 SSL 來幫助保護設備與公司 Web 服務器之間的數據傳輸。無論可同步化 Microsoft Exchange 數據，可配置設備或下載應用程序的連接是否存在，都是這樣。SSL 會對帶有 128 位 RC4 或 3DES 密碼器的通信通道加密，因此數據無法被外部各方讀取。Windows Mobile 還支持 VPN，用戶可以在通過 Internet 訪問服務器時使用數據包加密來提供與專用線路類似的安全性。

　　Exchange Server 安全

　　基于 Windows Mobile 的設備并不要求運行 Exchange Server，但是這兩個系統已設計為一起緊密配合運行，提供了一個強大的端到端移動消息傳送和工作效率解決方案。自含有 MSFP 的 Windows Mobile 5.0 發布以來，ActiveSync 已得到增強，可允許遠程管理 Windows Mobile 設備的設置。它提供一種簡單、有效的方法，讓您可以在大多數 Windows Mobile 設備中傳播和強制實施全局安全設置。

　　ActiveSync 在 Microsoft Windows Server 2003 的應用程序/Web 服務器組件 IIS 上運行。IIS 提供的內置安全可幫助保護 ActiveSync 本身不受來自網絡的攻擊。因為 Microsoft Office Outlook® Web Access (OWA) 也是基于 IIS 的，所以您可以對 ActiveSync 和 OWA 使用同一個安全證書。

　　當 ActiveSync 用于傳播 Enterprise 策略時，這個策略會被發送到下一次與 Exchange Server 同步的設備。用戶必須接受更改，否則不允許連接到服務器。很多網絡會處理各種設備，包括不能接受復雜安全策略的過時硬件。如果必要，您可以從安全策略需求中排除某些設備(例如過時硬件)，這樣它們就可以繼續連接。

　　Exchange Server 2003 SP2 和 Exchange Server 2007 有一些不同的安全策略控制功能。Exchange Server 2003 SP2 可用來指定最小密碼長度(4 到 18 個字符)，要求密碼必須包含數字和字母，并設置設備鎖定之前可處于非活動狀態的時間長度。此版本的 Exchange Server 還可以設置安全設置被推送到設備的頻率，并允許按照上述情況排除過時設備。

　　隨著 Exchange Server 2007 版本的發布，ActiveSync 移動設備管理功能已得到了增強，包含所有的 Exchange Server 2003 SP2 功能，以及下列功能：

　　允許或不允許簡單密碼(如“1234”或“1111”)

　　啟用或不啟用附件下載

　　要求存儲卡加密

　　設置最大附件大小

　　允許用戶通過 OWA 恢復設備密碼

　　啟用對通用命名約定 (UNC) 和 Microsoft Windows SharePoint® Services (WSS) 文件的訪問

　　使用 Exchange Server 2007，IT 專業人員可靈活地量身定制針對每個用戶和設備的策略，以便管理用戶組的策略，并可以從安全策略中徹底排除某個用戶。

　　遠程訪問擦除

　　除了前面詳細介紹的本地設備擦除之外，您還可以通過 Exchange Server 2003 SP2、Exchange Server 2007 或 OWA 遠程擦除基于 Windows Mobile 的設備。遠程擦除在進行同步化時執行，即使您沒有使用 ActiveSync 安全策略也無妨。設備無法停止遠程擦除硬重置。數據、設置和安全密鑰都會被重復的零覆蓋，這對恢復不是核心操作系統組成部分的數據造成了極大的困難。

　　網絡安全

　　網絡安全同設備和郵件服務器組件一樣，對移動安全同等重要。它也是最容易受您控制的移動基礎結構組成部分。即使一個或多個移動設備碰巧都遭到了破壞，根據最佳實踐來配置貴公司的網絡并實施相應的安全協議有利于阻止對網絡的破壞。

　　Windows Mobile 可用于各種網絡類型。使用標準的 Internet 安全協議和防火墻，可以設計出一個適合您性能、可伸縮性和安全需要的解決方案。

　　當郵件服務器被保留在公司網絡中時，它們可能會得到作為 Internet 和公司網絡之間緩沖的邊緣防火墻的保護。Microsoft Internet Security and Acceleration (ISA) Server 2004 或 ISA Server 2006 都具有專門設計用于特殊用途的功能，它會在將傳入數據包傳遞給 Exchange 服務器之前，檢查所有的傳入數據包以確定它們的身份，然后通過 Internet 將出站信息發回客戶端。

　　配置 ISA Server 要求您啟用 SSL 加密，并指定端口 443 作為 Exchange Server 通信的 SSL Web 偵聽端口。這通過將其限制為單個端口最小化了來自 Internet 的風險。同時，應要求所有的客戶端在通過 ActiveSync 連接之前建立 SSL 鏈接。

　　ISA Server 可以預先驗證 Web 應用程序(如 OWA)用戶，以幫助阻止未經驗證的用戶訪問應用程序服務器。ISA Server 2006 通過充當基于 Windows Mobile 的設備的 SSL 終止點，改善了 ISA Server 2004 的 SSL 橋接模式。這允許基于 Windows Mobile 的設備驗證 Exchange 服務器，可在不與其直接連接的情況下，依靠 ISA Server 2006 來回傳遞通信。由于建議的 ISA Server 2006 位置在外圍網絡，這樣公共 Internet 空間與 Exchange Server 前端之間就有了一個額外的安全層。

　　身份驗證

　　有兩種基本的身份驗證類型可供選擇：基本類型和基于證書的類型。基本身份驗證是指 Windows Mobile 客戶端和 Exchange 前端服務器之間是標準的、啟用名稱和密碼的、基于 SSL 的連接。它仍要求證書，因為 Exchange Server 會在驗證之前尋找設備上匹配的根證書。Windows Mobile 和 IIS 允許您使用大量與 SSL 相關的加密方法。

　　基于證書的身份驗證在含有 MSFP 的 Windows Mobile 5.0 和 Windows Mobile 6 中都有提供，它使用的是傳輸層安全性 (TLS) 而不是 SSL 基本身份驗證。除了根證書以外，TLS 還要求每個用戶具有一個含公用和專用密鑰的證書。因為 TLS 使用的是加密密鑰(最多 2,048 位)，而不是密碼，因此該協議提供了更嚴格的身份驗證。

　　在 Windows Mobile 6 中，要使用“桌面注冊”注冊一個用戶證書，要求將設備插接到與證書注冊服務器同一域中的臺式計算機。用戶使用密碼、智能卡或其他方式驗證注冊，然后將設備連接到臺式計算機。然后用戶可以通過臺式計算機訪問證書系統，按順序將證書安裝到移動設備上。桌面注冊可以用于各種 Windows Mobile 安全性用途，包括證書續訂，以及 ActiveSync 身份驗證證書、SSL/TLS 身份驗證證書、802.1x Wi-Fi 證書或 S/MIME 電子簽名證書的分發。

　　SSL 等安全協議可以保護傳輸時的郵件數據，但是一旦它們位于 Windows Mobile 設備或 Exchange 服務器上就不會對它們加密。S/MIME 是一種熟悉的支持電子簽名和/或加密電子郵件的 MIME 電子郵件標準的安全形式。它提供位于和高于 SSL 傳輸層加密的額外層的保護。

　　總結

　　我們需要注意組成創建足夠安全的基礎結構的解決方案的每一個層次。Windows Mobile、Exchange Server 和 Microsoft 網絡安全產品(如 ISA Server)聯手解決了管理移動基礎結構的難題。這有利于減輕 IT 部門的一些壓力，從而可以將重點從應付移動設備帶來的安全挑戰，轉移到它們實現的工作效率提高方面來。