Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Информационная безопасность Улучшение безопасности при помощи Windows Mobile 6 RSS

Улучшение безопасности при помощи Windows Mobile 6

Текущий рейтинг: 3.06 (проголосовало 16)
 Посетителей: 7087 | Просмотров: 10002 (сегодня 0)  Шрифт: - +

Мобильные устройства увеличивают производительность работников по всему миру, предоставляя доступ к корпоративной информации и обеспечивая доступ к сети, даже если они не находятся

физически в офисе. Улучшения производительности значительные: просто включите мобильное устройство и приступите к работе.

На другой стороне монеты находится сложная работа специалистов отделов ИТ по поддержанию безопасности и стабильности виртуального офиса. С их точки зрения все мобильные устройства являются потенциальными уязвимостями безопасности сети и потенциальными возможностями кражи данных. Создание более надежного развертывания мобильных устройств является критически важным, но оно должно быть сбалансировано с обеспечением беспрепятственной и интуитивно понятной работы пользователей.

Microsoft® Windows Mobile® 6 и ее предшественник Windows Mobile 5.0 с функциональным пакетом «Messaging and Security Feature Pack» (MSFP) включают множество функций обеспечения безопасности корпоративной инфраструктуры, не предоставляя значительных трудностей и какие-либо неудобств для пользователей. Использование Microsoft Exchange Server в качестве платформы управления сообщениями еще более увеличивает количество доступных возможностей обеспечения безопасности. В данной статье я продемонстрирую использование Windows Mobile, Exchange Server и некоторых методик обеспечения безопасности сети в качестве основы защиты мобильных устройств компании.


Архитектура мобильной связи

При планировании или обновлении развертывания мобильных устройств необходимо принимать во внимание три уровня: устройство, сервер сообщений и сеть (см. рис. 1). На уровне устройства ключевые задачи включают обеспечение только авторизованного доступа к устройству и запрет несанкционированного доступа к нему. Windows Mobile помогает предотвратить несанкционированный доступ к самому устройству с помощью ПИН-кода и пароля, блокировке при тайм-ауте устройства и возможности стирания памяти устройства локально или удаленно в случае потери или кражи устройства. Поддерживается шифрование данных канала связи и удаленного хранилища. Кроме того, важно предотвращение установки несанкционированных приложений, таких как вирусы и шпионские программы, или доступа этих приложений к критических частям устройства. Определение роли управления, уровни доступа к приложению, параметры подписывания кода и сертификаты безопасности осуществляют защиту на уровне устройства.

Рис. 1 Уровни мобильной связи
Рис. 1 Уровни мобильной связи

Следующим уровнем безопасности является сервер управления сообщениями, такой как Exchange Server 2003 с пакетом обновления 2 (SP2) или Exchange Server 2007. Этот уровень включает безопасность сообщений, технологию безопасной передачи сообщений с устройства и на него, а также взаимодействие сервера управления сообщениями и мобильного устройства с помощью Exchange ActiveSync®. Exchange Server не является необходимым условием использования устройств Windows Mobile, но он предоставляет преимущества стоимости, масштабируемости, производительности и администрирования.

Верные методики защиты на уровне устройства и сервера управления сообщениями являются ключевым фактором, но слой сети также является критически важным. Настройка корпоративной сети в соответствии с рекомендациями и реализация протоколов с надежной защитой помогают предотвратить повреждение сети даже при компрометации одного или нескольких устройств.


Политики безопасности на устройстве

Первой линий защиты от нарушений безопасности является само устройство Windows Mobile. Операционная система Windows Mobile предоставляет множество служб обеспечения безопасности на уровне устройства, включая проверку подлинности, шифрование карт памяти, виртуальные частные сети (VPN), шифрование Wi-Fi и службы протокола SSL. Безопасность на уровне устройства включает управление данными устройствами и пользователями, имеющими доступ к нему, управление приложениями, которые могут быть запущены на устройстве, и установление способа передачи данных устройством. Как правило, администраторы обладают достаточной гибкостью в настройке и применении политик безопасности Windows Mobile 5.0 с функциональным пакетом MSFP и Windows Mobile 6.

Управление доступом пользователей осуществляется через проверку подлинности с помощью ПИН-кода или пароля. Может быть установлена автоматическая блокировка устройства после определенного периода бездействия или выключения и необходимость последующего разблокирования устройства пользователем для его использования (см. рис. 2). Особенности управления доступом пользователей устанавливаются политиками безопасности, которые могут быть изменены в зависимости от роли безопасности администратора.

Рис. 2 Установка политик пароля
Рис. 2 Установка политик пароля

Политики безопасности определяет глобальные уровни безопасности для мобильного устройства (см. рис. 3).

Рис 3  Политики безопасности для мобильных устройств

Политика Мобильное устройство
Блокирование несанкционированного использования устройства

Windows Mobile 5.0 с пакетом возможностей MSFP

Укажите, что пользователь должен всегда выполнять проверку подлинности на устройстве для его разблокировки, или разрешите пользователю ввести ПИН-код на настольной системе.
Роль по умолчанию: администратор, предприятие.

Windows Mobile 6

Разрешите или запретите разрешение пользователя для изменения параметров шифрования съемных носителей.
Роль по умолчанию: администратор, предприятие.
Укажите необходимость проверки подлинности пользователя при подключении устройства при включенной функции блокировки устройства. Роль по умолчанию: администратор, предприятие.
Защита важных данных в случае потери или кражи устройства

Windows Mobile 5.0 с функциональным пакетом MSFP

Укажите, что пользователь должен всегда выполнять проверку подлинности на устройстве для его разблокировки, или разрешите пользователю ввести ПИН-код на настольной системе.
Роль по умолчанию: администратор, предприятие.

Windows Mobile 5.0 с функциональным пакетом MSFP и Windows Mobile 6

Укажите необходимость установки пароля на устройстве. Настройте параметры удаленного или локального стирания памяти устройства.
Роль по умолчанию: администратор, предприятие.

Роли безопасности определяют пользователей, которые могут устанавливать и изменять политики безопасности. Роль «администратор», обычно зарезервированная для мобильных операторов, предоставляет полное управление параметрами политики безопасности. Роль «предприятие» используется Exchange для управления некоторыми политиками устройств, которые настраиваются администратором Exchange. В зависимости от соглашения с поставщиком устройства может быть возможной настройка политик безопасности для вашей компании.

Настраиваемые способы проверки подлинности, используемые Windows Mobile, управляются локальными подключаемыми модулями проверки подлинности (LAP), которые взаимодействуют с локальной подсистемой проверки подлинности (LASS). Это технология позволяет Exchange Server управлять настройкой устройства на детальном уровне, например, устанавливая требования к длине и надежности пароля или простую проверку подлинности с помощью пароля.

Windows Mobile 6 имеет расширенный набор функций LAP, настраиваемых с помощью Exchange Server 2007. Можно включить распознавание шаблонов ПИН-кода (например, запретить использование простых шаблонов, таких как «1111» или «1234»), настроить сроки действия пароля или ПИН-кода, разрешить пользователям выполнять сброс ПИН-кода на основе определенных условий или сохранять историю ПИН-кода/пароля для запрета использования старых ПИН-кодов или паролей при создании новых.


Защита данных на устройствах

В случае ввода неправильного ПИН-кода или пароля количество раз, превышающее установленный администратором предел, функция локального стирания устройства выполняет аппаратный сброс устройства, удаляя его память, включая учетные данные проверки подлинности пользователя. Ограничение числа попыток ввода пароля является частью политик безопасности Exchange Server. После каждых двух неверных попыток ввода устройство запрашивает ввод структурированной ключевой строки для продолжения (см. рис. 4). Это предотвращает случайное стирание памяти устройства из-за нажатия произвольной последовательности клавиш. При использовании Windows Mobile 6 и Exchange Server 2007 также поддерживается удаленное стирание карт памяти.

Рис. 4 Принудительное использование ПИН-кода и пароля
Рис. 4 Принудительное использование ПИН-кода и пароля

Блокировка устройства не является хорошим решением, если пользователь забывает в такси карту памяти объемом 2 ГБ с важными корпоративными данными. К счастью, для решения это проблемы также можно использовать Windows Mobile 6. Можно зашифровать данные на карте памяти, чтобы их могло прочитать только устройство, выполнившее запись этих данных. Как и многие другие улучшенные функции безопасности Windows Mobile 6, Exchange Server 2007 может использоваться для беспроводного предоставления этой функции безопасности. Шифрование карты памяти почти незаметно для пользователя. Exchange Server 2007 позволяет администратору устанавливать возможность изменения пользователями параметров шифрования карты памяти.

Возможность запуска приложений на устройстве Windows Mobile основана на трех уровнях разрешения: «Privileged» (Привилегированный), «Normal» (Обычный) и «Blocked» (Заблокировано). Приложения привилегированного (подписанные сертификатом хранилища привилегированных сертификатов) могут выполнить запись в реестр и системные файлы, а также могут устанавливать сертификаты. Как и с настольными компьютерами или серверами, чем больше приложений могут изменять среду операционной системы, тем больше вероятность компрометации среды. Обычно рекомендуется уменьшение количества приложений с привилегированным доступом. Большинство приложений должно работать только на обычном уровне (приложения, подписанные сертификатом хранилища сертификатов Unpriv, или неподписанные приложения, запуск которых разрешен пользователем), который позволяет их запуск, но ограничивает доступ к системным файлам. Заблокированные приложения не могут быть выполнены из-за неправильного подписывания или запрещения пользователем.

Устройства могут иметь одно- или двухуровневую настройку безопасного доступа. При одноуровневой настройке доступа неподписанные приложения выполняются с привилегированным доступом или блокируется, и их запуск невозможен. При двухуровневой настройке доступа неподписанные приложения запускаются на обычном уровне при успешной проверке политикой или разрешении запуска приложения пользователем. В зависимости от параметров устройства может появиться запрос на выполнение неподписанного приложения.

Цифровые сертификаты, одна из самых распространенных форм проверки подлинности пользователей, устройств и приложений, являются важной частью безопасности Windows Mobile на уровнях устройства, сервера и сети. Операционная система Windows Mobile сохраняет несколько типов сертификатов в различных хранилищах сертификатов на устройстве. Независимо от приложений сертификаты определяют приложения, установка и запуск которых возможны. Приложение, которое может быть запущено на устройстве Windows Mobile без запроса пользователя, должно быть подписано сертификатом, принятым программой Microsoft Mobile2Mobile. Приложениям предоставляются уровни разрешения на основе сертификатов приложений.

Для проверки подлинности сети все устройства поставляются с рядом доверенных коммерческих корневых сертификатов, выпущенных центром сертификации, как показано на рис. 5. Сервер обмена сообщениями (например, Exchange Server) проверяет подлинность корневого сертификата устройства до установления подключения SSL с этим устройством. При использовании в вашей компании настраиваемых сертификатов их можно установить на приобретенных устройствах Windows Mobile или необходимо создать новые сертификаты. Я рассмотрю это позже в разделе «Сетевая безопасность» данной статьи.

Рис. 5 Управление цифровыми сертификатами
Рис. 5 Управление цифровыми сертификатами

ActiveSync и Internet Explorer® Mobile могут использовать SSL для защиты передачи данных между устройством и корпоративным веб-сервером. Это является верным при наличии подключения для синхронизации данных Microsoft Exchange, настройки устройства или загрузки приложений. SSL выполняет шифрование канала связи с помощью 128-разрядных шифров RC4 или 3DES, чтобы данные не могли быть прочитаны третьими лицами. Windows Mobile также поддерживает VPN, которая использует шифрование пакетов для обеспечения безопасности, сходной с безопасностью выделенной линии при доступе к серверу через Интернет.


Безопасность Exchange Server

Хотя для работы устройств Windows Mobile не требуется Exchange Server, эти две системы предназначены для совместной работы и представляют надежное законченное решение работы и обмена мобильными сообщениями. С выпуском Windows Mobile 5.0 с функциональным пакетом MSFP служба ActiveSync была улучшена и допускает удаленное управление параметрами устройств Windows Mobile. Она предоставляет простые и довольно мощные средства распространения и применения глобальных параметров безопасности на большинстве устройств Windows Mobile.

ActiveSync работает в IIS, компоненте приложения/веб-сервера Microsoft Windows Server 2003. IIS обеспечивает встроенную безопасность, помогающую обеспечить защиту ActiveSync от атак через сеть. Поскольку веб-клиент Microsoft Office Outlook® также основан на IIS, можно использовать одни и те же сертификаты безопасности для ActiveSync и веб-клиента Outlook.

При использовании ActiveSync для распространения политики предприятия эта политика предоставляется устройствам при их следующей синхронизации с Exchange Server. Для возможности подключения к серверу пользователи должны принять изменения. Множество сетей состоят из различного ряда устройств, включая устаревшее оборудование, которое не может принимать сложные политики безопасности. При необходимости можно исключить из требования политики безопасности определенные устройства, например, устаревшее оборудование, для обеспечения возможности их подключения.

Exchange Server 2003 с пакетом обновления 2 (SP2) и Exchange Server 2007 имеет немного другие возможности управления политикой безопасности. Exchange Server 2003 с пакетом обновления 2 (SP2) может использоваться для указания минимальной длины пароля от 4 до 18 символов, необходимости использования в пароле букв и цифр, а также периода бездействия до блокировки устройства. Данная версия Exchange Server также позволяет устанавливать частоту передачи на устройства параметров безопасности, а также разрешает упомянутые выше исключения устаревших устройств.

В выпуске Exchange Server 2007 возможности управления мобильными устройствами ActiveSync были улучшены и включают все возможности Exchange Server 2003 с пакетом обновления 2 (SP2), а также следующие.

  • Разрешение или запрет простых паролей (таких как «1234» или «1111»)
  • Включение или отключение загрузки вложений
  • Необходимость шифрования карты памяти
  • Установка максимального размера вложения
  • Включение восстановления пароля устройства пользователем с помощью OWA
  • Включение доступа к файлам с универсальными именами (UNC) и Microsoft Windows SharePoint® Services (WSS)

При помощи Exchange Server 2007 специалисты отделов ИТ имеют возможность адаптировать политики к каждому пользователю или устройству, управлять политиками для групп пользователей, а также исключать отдельных пользователей из сферы действия политик безопасности вообще.


Стирание при помощи удаленного доступа

Кроме описанного выше локального стирания данных устройства можно стереть память устройства Windows Mobile удаленно с помощью Exchange Server 2003 с пакетом обновления 2 (SP2), Exchange Server 2007 или OWA. Удаленное стирание, выполняющееся при синхронизации, может быть осуществлено, даже если политики безопасности ActiveSync не используются. Удаленный аппаратный сброс со стиранием не может быть остановлен на устройстве. Данные, параметры и ключи безопасности переписываются повторяющимися нулями, что чрезвычайно затрудняет восстановление данных, не являющихся частью основных файлов операционной системы.


Сетевая безопасность

Безопасность сети является настолько же важной для мобильной безопасности, как и компоненты устройства и сервера сообщений. Она также является частью мобильной инфраструктуры, которой вы можете управлять наиболее ясно. Даже при компрометации одного или нескольких мобильных устройств настройка корпоративной сети в соответствие с рекомендациями и внедрение верных протоколов безопасности может предотвратить повреждение сети.

Windows Mobile хорошо работает с различными типами сетей. Используя стандартные брандмауэры и протоколы безопасности Интернета, можно спроектировать решение, соответствующее вашим требованиям к производительности, стабильности и безопасности.

При нахождении серверов сообщений в корпоративной сети они могут быть защищены пограничным брандмауэром, выступающим в качестве буфера между Интернетом и корпоративными серверами. Microsoft Internet Security and Acceleration (ISA) Server 2004 или ISA Server 2006, имеющие функции, предназначенные специально для этого, проверяют все входящие пакеты для определения их идентификационных данных перед их пересылкой серверам Exchange, а затем отправляют исходящую информацию обратно клиентам через Интернет.

Для настройки ISA Server требуется включить шифрование SSL и назначить порт 443 в качестве прослушивающего веб-порта SSL для трафика Exchange Server. Это минимизирует воздействие Интернета, ограничивая его одним портом. Кроме того, перед подключением через ActiveSync все клиенты должны установить подключение SSL.

ISA Server может выполнять предварительную проверку подлинности веб-приложений, таких как OWA, для предотвращения несанкционированного доступа к серверам приложений. В ISA Server 2006 режим моста SSL из ISA Server 2004 улучшен возможностью работы в качестве точки терминации SSL для устройств Windows Mobile. Это позволяет устройствам Windows Mobile выполнять проверку подлинности на сервере Exchange без прямого подключения к нему, вместо этого ISA Server 2006 передает трафик в обоих направлениях. А поскольку рекомендованным расположением ISA Server 2006 является демилитаризованная зона, это допускает дополнительный слой безопасности между общественным Интернетом и клиентским интерфейсом Exchange Server.


Проверка подлинности

Выбор осуществляется из двух основных типов проверки подлинности: обычной и на основе сертификатов. Обычная проверка подлинности – это стандартное подключение на основе SSL с проверкой имени и пароля между клиентом Windows Mobile и сервером клиентского доступа Exchange. Для нее требуется сертификат, поскольку Exchange Server до проверки подлинности выполняет поиск соответствующего корневого сертификата на устройстве. Windows Mobile и IIS позволяют использовать широкий ряд методов шифрования, связанных с SSL.

Проверка подлинности на основе сертификата, доступная в Windows Mobile 5.0 с функциональным пакетом MSFP и Windows Mobile 6, использует протокол TLS, а не обычную проверку подлинности SSL. Кроме корневого сертификата, для TLS требуется, чтобы у каждого пользователя был сертификат с открытым и секретным ключами. Поскольку TLS вместо пароля использует ключ шифрования (до 2 048 бит), данный протокол обеспечивает более надежную проверку подлинности.

При использовании Windows Mobile 6 для регистрации пользовательского сертификата с помощью настольной регистрации необходимо, чтобы устройство было подключено к настольной системе, находящейся в том же домене, что и сервер регистрации сертификатов. Пользователь проверяет подлинности заявки с помощью пароля, смарт-карты или другого способа, а затем подключает устройство к настольному компьютеру. Затем пользователь осуществляет доступ к системе сертификатов с настольной системы, которая в свою очередь устанавливает сертификат на мобильном устройстве. Настольная регистрация служит для различных целей безопасности Windows Mobile, включая обновление сертификатов, а также распространение сертификатов проверки подлинности ActiveSync, сертификатов проверки подлинности SSL/TLS, сертификатов 802.1x Wi-Fi или цифровых подписанных сертификатов S/MIME.

Протоколы безопасности, такие как SSL, защищают данные во время их передачи, но не выполняют их шифрование после передачи на устройство Windows Mobile или сервер Exchange. S/MIME – это безопасная форма известного стандарта электронной почты MIME, который поддерживает подписанную цифровым путем и/или зашифрованную электронную почту. Это обеспечивает дополнительный слой защиты помимо шифрования уровня транспорта SSL.


Краткое заключение

Для создания достаточно безопасной инфраструктуры необходимо уделить внимание каждому из множества слоев, составляющих решение. Windows Mobile, Exchange Server и продукты сетевой безопасности Microsoft, например ISA Server, предназначены для совместного использования для устранения множества трудностей, связанных с управлением мобильной инфраструктурой. Это упрощает работу подразделений ИТ, позволяя им заниматься не проблемами безопасности мобильных устройств, а повышением производительности.

Автор: Мэт Фонтейн (Matt Fontaine)  •  Иcточник: TechNet Magazine  •  Опубликована: 03.07.2007
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.