匿名投稿
投稿指南
RSS订阅
Microsoft Windows Mobile 5.0 安全特性
- 外围防护
- 设备锁定:PIN,延迟
- 身份验证协议:PAP,CHAP,MS-CHAP,NTLM,TLS
- 数据保护
- 128位加密服务:CAPIv2
- 应用的安装和执行
- 防病毒 API
- 网络保护
- 安全浏览:HTTP(SSL),WAP(WTLS)
- 虚拟专用网(PPTP, L2TP IPSec)
- 无线安全网络(WEP,802.1x,WPA)
- 同 Microsoft Exchange Server 2003 集成
- 强制 IT 安全策略
- 远程设备擦除
- S/MIME
- 基于证书的身份验证
Windows Mobile 6 安全的增强
- 存储卡安全
- 存储卡加密
- 存储卡擦除(Microsoft Exchange Server 2007)
- 产生个人数字证书
- 全新的桌面和设备数字证书注册工具
- PFX 导入
- 加密/证书服务
- 为用户添加根证书
- SLL 和 DPAPI 的 AES 128/256位实现
- Wildcard 证书支持
- SMIME 配置增强
- 内建的消息和 Office 文档版权管理
Exchange 2007 策略
- 更加规范的访问控制
- 通过设备 ID:只允许企业预配置的设备
- 通过用户代理:只允许企业授权的设备
- 每用户独立策略配置
- 新增策略
- 存储卡加密
- 允许/拒绝附件
- 允许/拒绝 UNC/SharePoint 访问
- 新增设备锁定策略
- 设备超时增强
- 密码过期
- 密码历史记录
- 用户 PIN/密码重置
十大头号安全考虑
1. 我们确实不希望进入端口被打开
- 您已经开始使用 Outlook Web Access 了吗?
- 绝大部分人已经开始使用了
- 只有一个端口需要被打开:443(SSL)
- 数据传输需要被预授权
- ISA 提供过滤器确保数据为 ActiveSync 传输
2. 我们如何阻止不被信任的设备访问 Exchange?
- 前门设备 vs. 后门设备
- 两个方案
- Exchange Server 2003: 使用基于证书的身份验证
- Exchange Server 2007 提供了 DeviceID 阻止功能
- 如果用户不被允许同步,则任何设备都不能同步
- 如果用户被允许同步:
- 如果 deviceID 阻止列表为空,用户可以和任何设备同步
- 如果 deviceID 阻止列表不为空,用户可以和指定设备同步
- 使用Exchange Management Shell 运行 Set-CASMailbox
- Set-CASMailbox -identity:<user> -ActiveSynAllowedDeviceIDs:"<deviceID_1>", "<deviceID_2>"
3. 我们必须实现双重身份认证
实现双重身份验证
- 什么是双重身份验证?
- 三种身份验证方式:
- “你知道的”(密码、PIN)
- “你有的”(信用卡、员工胸卡)
- “你是”(指纹、虹膜、声音)
- 双重身份验证同时使用上面的任意2种
- 首先需要考虑的是用户体验
- “你有的”和“你知道的”是常见方式
- 三种常见方式:
- 安全 ID:安全 ID 令牌和设备 PIN
- 基于证书的身份验证:证书和设备 PIN
- 私有 APN:SIM 和设备 PIN
私有 APN
