Windows Mobile 6 a Exchange server 2007 – bezpečnostní politiky pro ActiveSync

  • Article

Autor: Pavel Koza

Není velkým tajemstvím, že z celkového pohledu společnosti Microsoft je zařízení se systémem Windows Mobile především malý a plně mobilní klient pro přístup k podnikovému Exchange serveru, a teprve potom všechno ostatní. Toto tvrzení podporují nejen změny mezi Windows Mobile 5 a Windows Mobile 6, kde se opět vylepšovala především synchronizace s nyní nejnovější verzí Exchange server 2007, ale například i fakt, že Microsoft prodal technologii Exchange Server ActiveSync společnosti Nokia, která je na poli chytrých kapesních počítačů a chytrých telefonů jedním z hlavních konkurentů Microsoftu a jeho Windows Mobile.

Na rozdíl od koncových uživatelů má podniková sféra jiné priority a na zařízení, potažmo jejich správu, i jiné nároky - bezpečností dat na zařízení či během synchronizace počínaje a snadnou správou bezpečnostních politik konče. Exchange Server 2007 (včetně service packu 1) již představuje dostatečně silný nástroj pro většinu základních požadavků systémových administrátorů. Pro skutečně maximální možnosti správy mobilních zařízení pak Microsoft nabízí speciální produkt nazvaný Microsoft System Center Mobile Device Manager 2008, my se ale budeme věnovat pouze vlastnostem nabízeným samotným Exchange Serverem 2007.

Správa bezpečnostních politik mobilních zařízení je soustředěna do uzlu Organization Configuration -> Client Access. Po instalaci prvního service packu pro Exchange Server 2007 je vytvořena základní bezpečnostní politika pro Exchange ActiveSync nazvaná Default, která je pak automaticky přiřazena každému klientu, který serverový ActiveSync využívá. Podle potřeby je možné upravit buď tuto výchozí politiku za předpokladu, že pro naše potřeby stačí pouze jedna jediná, nebo je možné vytvořit politik více a každému uživateli přiřadit jemu odpovídající. Na rozdíl od politik systémových (Windows Group Policies) může být každému mailboxu přiřazena pouze jediná politika, odpadají tak některé starosti s vymýšlením pořadí politik nebo dědičností. Přiřazení politiky k mailboxu je možné jednotlivě pomocí Exchange Management Console nebo jednotlivě či hromadně pro všechny schránky nebo pro filtrovanou skupinu přes Exchange Management Shell.

Nyní je ten správný čas blíže si představit možnosti nastavení politik Exchange ActiveSync. V prvé řadě je třeba upozornit na to, že se možnosti liší podle edice instalovaného a používaného Exchange Serveru. Základní sada nastavení po instalaci Exchange Serveru 2007 bez prvního service packu byla pro obě edice shodná, po instalaci SP1 však již mezi edicemi rozdíly jsou.

Obr1

Nejdříve k tomu, co je u obou edic společné, stručně řečeno jsou to první tři záložky nastavení. První záložka (General, Obr1) nabízí několik důležitých nastavení. Pomocí aktivace Allow non-provisionable devices je možné povolit synchronizaci i těm zařízením, u kterých z nějakého důvodu neproběhlo nastavení bezpečnostních politik zcela správně, a tak není možné zajistit například dostatečnou ochranu synchronizovaných informací. Volba Refresh interval zase udává počet hodin, po jejichž uplynutí je ze serveru zaslána aktuální verze příslušných politik, které jsou dané schránce přiřazeny.

Obr2

Druhá záložka (Password, Obr2) v sobě skrývá všechna nastavení týkající se hesla, jehož zadání lze pomocí této politiky na zařízení vynutit. A to jak základní vlastnosti jako délku, typ, platnost i další, rozšířené vlastnosti, tak i některé pokročilé a uživatelsky příjemné funkce, jako je například možnost si při zapomenutém nebo chybně nastaveném heslu do zařízení vyžádat přes Outlook Web Access speciální a velmi dlouhé heslo obnovovací, díky kterému se může majitel vyhnout zdlouhavému procesu vymazání a znovunastavení celého zařízení, nebo možnost vynuceně zapnout šifrování souborů na paměťových kartách (šifruje se pouze při zápisu, pokud už některé soubory na kartě jsou, nechají se beze změny). Na rozdíl od předchozí verze Windows Mobile nyní v případě opakovaného chybného zadání hesla dojde nejen k vymazání obsahu zařízení, ale i celé paměťové karty, takže případný útočník nemá možnost, jak data z karty získat – pokud ji nechá v zařízení, bude smazána, pokud ji vyjme, získá pouze zašifrované informace.

Obr3

Následující záložka (Sync Settings, Obr3) slouží k nastavení vlastností synchronizace. Zde naopak není nic zvláštního, všechny položky je možné konfigurovat i na zařízení, a tak kromě jisté úspory času najde nastavení těchto hodnot užitek pouze ve specifických případech.

Poslední dvě záložky mohou využívat pouze majitelé Enterprise edice Exchange Serveru 2007 a s Enterprise Client Access License (CAL) na zařízení. S jejich pomocí je možné zakázat určité vlastnosti zařízení nebo systému. Na rozdíl od koncových uživatelů, pro které je maximální funkčnost a vybavení zařízení většinou prioritou číslo jedna, mají administrátoři IT a bezpečnostní technici ve firmách přesně opačné požadavky a zařízení podporující spoustu profilů Bluetooth, WiFi a kvalitní integrovaný digitální fotoaparát k tomu je pro ně ve firmě často nepřijatelným bezpečnostním rizikem. Hardwarové úpravy, případně zařízení bez těchto vlastností, nebývají vždy k dispozici, a tak nabízí Microsoft možnost upravit vlastnosti zařízení pomocí bezpečnostních politik.

Obr4

Čtvrtá záložka (Device, Obr4) nabízí vypnutí několika z hlediska bezpečnosti klíčových vlastností zařízení:

  • Vyměnitelná paměť (paměťová karta)
  • Digitální fotoaparát
  • Bezdrátová síť WLAN
  • Infračervený port
  • Sdílení internetu na zařízení – pomocí tohoto nástroje je možné připojit se přes zařízení k internetu z jiného zařízení nebo notebooku
  • Vzdálená plocha ze zařízení
  • Synchronizace se stolním počítačem
  • Nastavení Bluetooth profilů

Díky tomu lze jakékoliv zařízení snadno a rychle funkčně omezit na požadovanou úroveň, a navíc je samozřejmě tato operace vratná například v situaci, kdy pracovník postoupí na jiné místo ve firmě bez daného omezení.

Obr5

Poslední záložka (Advanced, Obr5) dále rozšiřuje možnosti funkčního omezení zařízení. Umožní zablokovat spuštění prohlížeče internetu nebo poštovního klienta, všechny aplikace a instalační balíčky bez digitálního podpisu, ale hlavně je možné vyspecifikovat seznam povolených nebo naopak blokovaných aplikací, takže lze z plnohodnotného Windows Mobile zařízení udělat jednoúčelového klienta schopného spustit jen jednu jedinou aplikaci (žádoucí například u aplikací sloužících pro sběr dat nebo zadávání objednávek).

Tím je přehled možností nastavení bezpečnostních politik kompletní. Díky nim je pro administrátory podnikových sítí snadné mít pod kontrolou všechna mobilní zařízení s instalovaným systémem Windows Mobile 6, které se připojují k Exchange Serveru 2007 a synchronizují s ním informace (poštu, kontakty, kalendář, úkoly). Velkou výhodou je jednoduché a přehledné rozhraní integrované přímo do nástroje pro správu Exchange a v neposlední řadě i nulové pořizovací náklady, protože vše je standardní součástí Exchange Serveru 2007. Zařízení s Windows Mobile 6 tvoří spolu s Exchange Serverem velmi silnou dvojici a mnoho dalších vlastností je k dispozici přímo z mobilního zařízení, ale o tom až někdy příště.