Verwalten von Exchange ActiveSync-Sicherheit
Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Letztes Änderungsdatum des Themas: 2007-07-14
Exchange ActiveSync ermöglicht Benutzern, mobile Geräte mit Microsoft Exchange Server 2007 zu synchronisieren. Auf diese Weise erhalten Benutzer Zugriff auf eine Vielzahl von Exchange-Daten, z. B. auf E-Mail-Nachrichten, Kalender- und Kontaktdaten, Aufgaben und Unified Messaging-Daten wie etwa Faxnachrichten und Voicemailnachrichten.
Hinweis
Um Faxnachrichten auf einem mobilen Gerät anzeigen zu können, müssen Benutzer ggf. zusätzliche Software von Drittanbietern installieren.
Sie müssen mehrere Sicherheitsaspekte berücksichtigen, wenn Sie Exchange ActiveSync bereitstellen. Diese Thema bietet eine Übersicht der Sicherheitsoptionen für die Bereitstellung von Exchange ActiveSync.
Exchange ActiveSync-Serversicherheit
Auf einem Server, der Exchange ActiveSync ausführt, können mehrere sicherheitsbezogene Aufgaben ausgeführt werden. Eine der wichtigsten Aufgaben ist die Konfiguration einer Authentifizierungsmethode. Exchange ActiveSync wird auf einem Servercomputer mit Exchange 2007 ausgeführt, auf dem die Serverfunktion ClientAccess installiert ist. Diese Serverfunktion wird standardmäßig mit einem selbstsignierten, digitalen Zertifikat installiert. Obwohl das selbstsignierte Zertifikat von Exchange ActiveSync unterstützt wird, handelt es sich dabei nicht um die sicherste Authentifzierungsmethode. Wenn Sie zusätzliche Sicherheit benötigen, sollten Sie ein vertrauenswürdiges Zertifikat von einer Zertifizierungsstelle eines kommerziellen Drittanbieters oder einer vertrauenswürdigen Zertifizierungsstelle mit einer Windows Public-Key-Infrastruktur in Betracht ziehen. Weitere Informationen zum Konfigurieren eines vertrauenswürdigen digitalen Zertifikats finden Sie unter Konfigurieren von SSL für Exchange ActiveSync.
Auswählen einer Authentifizierungsmethode für Exchange ActiveSync
Die sollten nicht nur ein vertrauenswürdiges digitales Zertifikat bereitstellen, sondern auch die verschiedenen Authentifizierungsmethoden berücksichtigen, die für Exchange ActiveSync zur Verfügung stehen. Wenn die Serverfunktion ClientAccess installiert ist, wird Exchange ActiveSync standardmäßig für die Verwendung von Standardauthentifizierung mit SSL (Secure Sockets Layer) konfiguriert. Wenn Sie erhöhte Sicherheit bereitstellen möchten, können Sie die Authentifizierungsmethode in Digestauthentifizierung oder integrierte Windows-Authentifizierung ändern.
Hinweis
Benutzern mit Postfächern auf einem Exchange 2003-Server, die versuchen, Exchange ActiveSync über einen Exchange 2007-Clientzugriffsserver zu verwenden, wird ein Fehler angezeigt, und sie können keine Synchronisation ausführen, wenn nicht die integrierte Windows-Authentifizierung für das virtuelle Verzeichnis Microsoft-Server-ActiveSync auf dem Windows-Server aktiviert wird. Dies ermöglicht die Kommunikation des Exchange 2007-Clientzugriffsservers und des Exchange 2003-Back-End-Servers mithilfe von Kerberos-Authentifizierung.
Verwenden von ISA Server mit Exchange ActiveSync
Microsoft Internet Security and Acceleration (ISA) Server 2006 und Exchange 2007 wurden entwickelt, um die Sicherheit für den Clientzugriff auf Microsoft Exchange zu erhöhen, wenn Sie Exchange ActiveSync verwenden.
ISA Server 2006 ermöglicht die Konfiguration von Authentifizierungsmethoden für Exchange ActiveSync, wenn Sie den Assistenten für neue Exchange-Veröffentlichungsregeln ausführen. Weitere Informationen zum Verwenden von ISA Server 2006 mit Exchange ActiveSync finden Sie unter Konfigurieren von ISA Server 2006 für Exchange-Clientzugriff.
Gerätesicherheit
Sie können nicht nur die Sicherheit des Servercomputers mit Exchange ActiveSync erhöhen, sondern auch die Sicherheit der mobilen Geräte Ihrer Benutzer. Es gibt verschiedene Methoden, mit denen Sie die Sicherheit mobiler Geräte steigern können.
Exchange ActiveSync-Postfachrichtlinien
In Exchange ActiveSync für Exchange 2007 können Sie Exchange ActiveSync-Postfachrichtlinien erstellen, um eine allgemeine Zusammenstellung von Sicherheitseinstellungen auf eine Gruppe von Benutzern anzuwenden. Zu diesen Einstellungen gehören die Folgenden:
Erzwingen eines Kennworts.
Angeben der minimalen Kennwortlänge.
Erzwingen von Zahlen oder Sonderzeichen im Kennwort.
Festlegen, nach welcher Inaktivitätsdauer der Benutzer das Kennwort für das Gerät erneut eingeben muss.
Angeben, dass das Gerät zurückgesetzt wird, wenn eine angegebene Anzahl falscher Kennworteingaben überschritten wird.
Weitere Informationen zu Exchange ActiveSync-Postfachrichtlinien finden Sie unter Verwalten von Exchange ActiveSync mit Richtlinien.
Remotegerätezurücksetzung
Mobile Geräte können vertrauliche Geschäftsdaten speichern und bieten den Zugriff auf viele Unternehmensressourcen. Wenn ein Gerät verloren geht oder gestohlen wird, sind die Daten gefährdet. Die Remotegerätezurücksetzung ist ein Feature, das es dem Exchange-Server ermöglicht, für ein mobiles Gerät festzulegen, dass es beim nächsten Herstellen der Verbindung zum Exchange-Server alle seine Daten löscht. Bei einer Remotegerätezurücksetzung werden effektiv alle synchronisierten Informationen und persönlichen Einstellungen von einem mobilen Gerät entfernt. Dies kann sinnvoll sein, wenn ein Gerät verloren geht, gestohlen wird oder auf andere Weise gefährdet ist.
Achtung: |
---|
Nachdem eine Remotegerätezurücksetzung aufgetreten ist, ist die Datenwiederherstellung außerordentlich schwierig. Es gibt jedoch keinen Datenentfernungsvorgang, der ein Gerät so rückstandsfrei von verbliebenen Daten hinterlässt, wie es bei einem neuen Gerät der Fall ist. Die Wiederherstellung der Daten eines Geräts kann mithilfe von Spezialtools auch weiterhin möglich sein. |
Weitere Informationen zur Remotegerätezurücksetzung finden Sie unter Grundlegendes zum Remote-Gerätelöschvorgang.