Kommunikation
Verbesserte Sicherheit mit Windows Mobile 6
Matt Fontaine
Kurz zusammengefasst:
- Sicherheit im Gerät
- Exchange Server-Sicherheit
- Netzwerksicherheit
Mobile Geräte erhöhen die Produktivität von Mitarbeitern weltweit, bieten ihnen Zugriff auf Unternehmensdaten und sorgen für Verbindung, selbst wenn die Mitarbeiter nicht im
Büro anwesend sind. Die Folge sind echte Produktivitätssteigerungen: der Mitarbeiter muss lediglich das mobile Gerät einschalten und kann mit der Arbeit beginnen.
Die Kehrseite der Medaille ist, dass IT-Fachleute vor der schwierigen Aufgabe stehen, das virtuelle Büro zu sichern und stabil zu halten. Aus ihrer Perspektive ist jedes mobile Gerät eine potenzielle Lücke in der Netzwerksicherheit, die es zu schließen gilt, und zudem anfällig für Datendiebstahl. Es ist wichtig, für eine sicherere Bereitstellung von mobilen Geräten zu sorgen, doch diese Geräte müssen trotzdem nahtlos, intuitiv und benutzerfreundlich zu bedienen sein.
Microsoft® Windows Mobile® 6 und sein Vorgänger Windows Mobile 5.0 mit dem Messaging and Security Feature Pack (MSFP) umfassen viele Features, die Ihnen unter minimalen Schwierigkeiten bei der Sicherung der Unternehmensinfrastruktur behilflich sind, und das unter möglichst wenig Unannehmlichkeiten für Ihre Benutzer. Die Verwendung von Microsoft Exchange Server als Messagingplattform erhöht die verfügbaren Sicherheitsoptionen noch weiter. In diesem Artikel wird erörtert, wie Sie Windows Mobile, Exchange Server und einige bewährte Methoden der Netzwerksicherheit als Grundlage für den Schutz der mobilen Geräte ihres Unternehmens einsetzen können.
Architektur für mobile Kommunikation
Beim Planen oder Aktualisieren einer mobilen Bereitstellung gilt es, drei Schichten zu beachten: das Gerät, den Messagingserver und das Netzwerk (siehe Abbildung 1). Auf der Geräteebene gehören zu den wichtigsten Herausforderungen ein autorisierter Zugriff auf das Gerät und das Verhindern nicht autorisierter Anwendungen auf dem Gerät. Windows Mobile hilft durch PIN-Authentifizierung und Kennwortschutz, Sperren des Geräts nach einem Zeitlimit und die Möglichkeit, den Speicher des Geräts bei Verlust oder Diebstahl durch lokale oder Remoteausführung zu „bereinigen“ oder zu löschen, einen nicht autorisierten Zugriff auf das Gerät zu verhindern. Die Datenverschlüsselung des Kommunikationskanals und des Wechseldatenträgers wird unterstützt. Zudem ist es äußerst wichtig, die Installation nicht autorisierter Anwendungen wie Viren oder Spyware oder deren Zugriff auf kritische Bereiche des Geräts zu verhindern. Die Definition von Verwaltungsrollen, Stufen für den Anwendungszugriff, Einstellungen für die Codesignatur, Sicherheitseinstellungen und Sicherheitszertifikate tragen gemeinsam zum Schutz auf Geräteebene bei.
Abbildung 1** Schichten mobiler Kommunikation **
Die nächste Sicherheitsschicht ist der Messagingserver wie beispielsweise Exchange Server 2003 mit Service Pack 2 (SP2) oder Exchange Server 2007. Diese Schicht umfasst sowohl die Nachrichtensicherheit (die Technologie, mit der Nachrichten sicher zum und vom Gerät übertragen werden) als auch die Interaktion zwischen dem Messagingserver und dem mobilen Gerät über Exchange ActiveSync®. Exchange Server ist für die Verwendung von Windows Mobile-Geräten nicht erforderlich, doch die Verwendung von Exchange bietet Vorteile bei Kosten, Skalierbarkeit, Leistung und Verwaltung.
Gute Sicherheitspraktiken auf der Geräteebene und beim Messagingserver sind unentbehrlich, doch der Schutz der Netzwerkschicht ist ebenfalls äußerst wichtig. Durch Konfigurieren des Unternehmensnetzwerks anhand bewährter Methoden und durch Implementieren leistungsfähiger Sicherheitsprotokolle können Sie das Netzwerk vor Schaden schützen, selbst wenn ein oder mehrere mobile Geräte gefährdet sind.
Sicherheitsrichtlinien für das Gerät
Die erste Verteidigungslinie gegen Sicherheitsverletzungen ist das Windows Mobile-Gerät selbst. Das Windows Mobile-Betriebssystem stellt umfangreiche Sicherheitsdienste auf Geräteebene bereit, die Authentifizierung, Speicherkartenverschlüsselung, virtuelle private Netzwerke (VPN), Wi-Fi-Verschlüsselung und SSL-Dienste (Secure Sockets Layer) unterstützen. Bei der Sicherheit auf Geräteebene geht es um die Verwaltung des Zugriffs auf Gerät und Daten, die Steuerung der Anwendungen, die auf dem Gerät ausgeführt werden können, und die Festlegung, wie Daten zum und vom Gerät übertragen werden. Im Allgemeinen haben Administratoren beim Festlegen und Durchsetzen der Sicherheitsrichtlinien bei Windows Mobile 5.0 mit MSFP und Windows Mobile 6 viel Flexibilität.
Der Benutzerzugriff wird durch eine PIN oder Kennwortauthentifizierung verwaltet. Ein Gerät kann so eingestellt werden, dass es nach einem bestimmten Zeitraum der Inaktivität oder nach dem Ausschalten automatisch gesperrt wird, sodass der Benutzer es vor der Weiterverwendung entsperren muss (siehe Abbildung 2). Die Einzelheiten der Benutzerzugriffssteuerung werden mithilfe von Sicherheitsrichtlinien festgelegt, die abhängig von der Sicherheitsrolle des Administrators geändert werden können.
Abbildung 2** Festlegen von Kennwortrichtlinien **
Durch Sicherheitsrichtlinien werden globale Sicherheitsstufen für das mobile Gerät definiert (siehe Abbildung 3). Wer diese Sicherheitsrichtlinien festlegen und ändern kann, wird durch Sicherheitsrollen bestimmt. Die normalerweise Mobilfunkbetreibern vorbehaltene Managerrolle bietet vollständige Kontrolle über die Sicherheitsrichtlinieneinstellungen. Die Enterprise-Rolle dient bei Exchange zum Verwalten bestimmter Geräterichtlinien, die vom Exchange-Administrator konfiguriert werden. Abhängig von Ihrer Vereinbarung mit dem Geräteanbieter können Sie möglicherweise Sicherheitsrichtlinien für Ihr Unternehmen anpassen.
Figure 3 Sicherheitsrichtlinien für mobile Geräte
Umgebung | Mobiles Gerät |
Sperrung nicht autorisierter Eindringversuche in das Gerät | Windows Mobile 5.0 mit MSFPLegen Sie fest, dass sich der Benutzer immer auf dem Gerät authentifizieren muss, um es zu entsperren, oder ermöglichen Sie es dem Benutzer, eine PIN auf dem Desktop-PC einzugeben.Standardrolle: Manager, Enterprise. Windows Mobile 6Ermöglichen oder verweigern Sie dem Benutzer die Berechtigung, mobile Verschlüsselungseinstellungen für Wechselspeichermedien zu ändern.Standardrolle: Manager, Enterprise. Geben Sie an, ob sich der Benutzer auf dem Gerät bei einer Verbindung authentifizieren muss, wenn die Gerätesperre aktiv ist. Standardrolle: Manager, Enterprise. |
Schützen Sie vertrauliche Daten im Fall von Gerätediebstahl oder -verlust | Windows Mobile 5.0 mit MSFPLegen Sie fest, dass sich der Benutzer immer auf dem Gerät authentifizieren muss, um es zu entsperren, oder ermöglichen Sie es dem Benutzer, eine PIN auf dem Desktop-PC einzugeben.Standardrolle: Manager, Enterprise. Windows Mobile 5.0 mit MSFP und Windows Mobile 6Legen Sie fest, ob ein Kennwort auf dem Gerät konfiguriert werden muss. Konfigurieren Sie Einstellungen für die lokale Bereinigung des Geräts oder die Bereinigung von einem Remotestandort aus.Standardrolle: Manager, Enterprise. |
Von Windows Mobile verwendete anpassbare Authentifizierungsmethoden werden von lokalen Authentifizierungs-Plug-Ins (Local Authentication Plug-Ins, LAPs) gesteuert, die mit dem lokalen Authentifizierungssubsystem (Local Authentication Subsystem, LASS) interagieren. Diese Technologie ermöglicht es Exchange Server, die Gerätekonfiguration auf fein abgestimmter Ebene zu kontrollieren, indem beispielsweise Anforderungen an Kennwortlänge und -stärke durchgesetzt oder einfache PIN-Authentifizierung aktiviert werden.
Windows Mobile 6 verfügt über einen erweiterten Satz an LAP-Funktionen, die mithilfe von Exchange Server 2007 konfiguriert werden. Sie können die PIN-Mustererkennung aktivieren (und beispielsweise die Verwendung einfacher Muster wie „1111“ oder „1234“ unterbinden), Ablauffristen für Kennwort oder PIN konfigurieren, Benutzern die Anforderung einer PIN-Rücksetzung unter bestimmten Bedingungen ermöglichen oder einen PIN/Kennwortverlauf erstellen, sodass Benutzer alte PINs oder Kennwörter nicht wiederverwenden können, wenn sie zum Erstellen neuer aufgefordert werden.
Der Schutz von Daten auf Geräten
Falls eine falsche PIN oder ein falsches Kennwort häufiger eingegeben wird als dies aufgrund des vom Administrator festgelegten Limits zulässig ist, setzt die lokale Bereinigungsfunktion das Gerät zurück, wobei der Speicher einschließlich Benutzeranmeldeinformationen für die Authentifizierung gelöscht wird. Das Limit wird als Teil der Sicherheitsrichtlinien in Exchange Server festgelegt. Nach jeweils zwei falschen Eingaben fordert das Gerät den Benutzer zur Eingabe einer strukturierten Schlüsselzeichenfolge auf, um fortzufahren (siehe Abbildung 4). Dies verhindert, dass das Gerät unbeabsichtigt aufgrund zufälliger Tastatureingaben bereinigt wird. Die Bereinigung der Speicherkarte von einem Remotestandort aus ist bei Verwendung von Windows Mobile 6 und Exchange Server 2007 ebenfalls möglich.
Abbildung 4** Durchsetzen der PIN- und Kennwortverwendung **
Das Sperren eines Geräts ist wenig sinnvoll, wenn jemand eine 2-GB-Speicherkarte mit vertraulichen Unternehmensdaten in einem Taxi vergisst. Glücklicherweise können Sie Windows Mobile 6 auch zur Behandlung dieses Problems verwenden. Das Programm kann Speicherkartendaten verschlüsseln, sodass nur das Gerät, auf dem auf die Speicherkarte geschrieben wurde, diese auch lesen kann. Wie bei vielen anderen erweiterten Sicherheitsfeatures von Windows Mobile 6 kann Exchange Server 2007 verwendet werden, um dieses Sicherheitsfeature von einem Remotestandort aus bereitzustellen. Die Speicherkartenverschlüsselung ist für den Benutzer größtenteils transparent. Mithilfe von Exchange Server 2007 kann der Administrator auswählen, ob Benutzer ihre Einstellungen für die Speicherkartenverschlüsselung ändern können.
Ob Anwendungen auf einem Windows Mobile-Gerät ausgeführt werden können oder nicht, basiert auf drei Berechtigungsebenen: Privilegiert, Normal und Gesperrt. Anwendungen der privilegierten Ebene (anhand eines Zertifikats im Zertifikatsspeicher „Privilegiert“ signiert) können in die Registrierungs- und Systemdateien schreiben und auch Zertifikate installieren. Wie bei einem Desktop-PC oder Server ist die Chance einer Gefährdung dieser Umgebung umso höher, je mehr Anwendungen die Betriebssystemumgebung ändern können. Allgemein ist es eine gute Vorgehensweise, die Anzahl von Anwendungen mit dem Zugriff „Privilegiert“ möglichst gering zu halten. Die meisten Anwendungen müssen nur auf der Ebene „Normal“ ausgeführt werden (Anwendungen, die entweder von einem Zertifikat im Unpriv-Zertifikatsspeicher signiert werden oder nicht signierte Anwendungen, deren Ausführung der Benutzer zugestimmt hat), sodass die Ausführung erfolgt, aber der Zugriff auf Systemdateien verhindert wird Gesperrte Anwendungen sind, wie der Name schon sagt, gesperrt. Sie können aufgrund falscher Signatur oder Benutzeraktionen nicht ausgeführt werden.
Geräte können eine ein- oder zweistufige Sicherheitszugriffskonfiguration haben. Bei einstufiger Zugriffskonfiguration werden nicht signierte Anwendungen entweder mit dem Zugriff „Privilegiert“ ausgeführt oder gesperrt, sodass sie nicht ausgeführt werden können. Eine zweistufige Zugriffskonfiguration führt nicht signierte Anwendungen auf normaler Ebene aus, wenn die Richtlinienprüfung erfolgreich ist oder wenn der Benutzer die Ausführung der Anwendung ermöglicht. Abhängig von den Geräteeinstellungen kann der Benutzer gefragt werden, ob eine nicht signierte Anwendung ausgeführt werden soll oder nicht.
Digitale Zertifikate – eine der gebräuchlichsten Formen der Personen-, Geräte- und Anwendungsauthentifizierung – sind ein entscheidender Teil der Windows Mobile-Sicherheit auf Geräte-, Server- und Netzwerkebene. Das Windows Mobile-Betriebssystem speichert mehrere Arten von Zertifikaten in verschiedenen Zertifikatsspeichern auf dem Gerät. In Bezug auf Anwendungen bestimmen Zertifikate, welche Anwendungen installiert und ausgeführt werden können. Damit eine Anwendung auf einem Windows Mobile-Gerät ausgeführt werden kann, ohne dass der Benutzer zu einer Eingabe aufgefordert wird, muss sie mit einem Zertifikat signiert werden, das beweist, dass sie vom Microsoft Mobile2Mobile-Programm akzeptiert wurde. Anwendungen erhalten Berechtigungsebenen auf der Grundlage der Zertifikate, die ihnen zugeordnet sind.
Zur Netzwerkauthentifizierung ist jedes mobile Gerät mit einer Reihe vertrauenswürdiger Stammzertifikate ausgestattet, die von einer Zertifizierungsstelle (CA) ausgestellt wurden, wie in Abbildung 5 dargestellt. Der Messagingserver (beispielsweise Exchange Server) überprüft die Echtheit des Stammzertifikats eines Geräts, bevor eine SSL-Verbindung mit diesem Gerät eingerichtet wird. Wenn Ihr Unternehmen benutzerdefinierte Zertifikate verwendet, können Sie diese möglicherweise auf den Windows Mobile-Geräten installieren, die Sie erwerben. Andernfalls müssen Sie neue Zertifikate erstellen. Auf diesen Punkt wird im Abschnitt über Netzwerksicherheit dieses Artikels noch näher eingegangen.
Abbildung 5** Verwalten digitaler Zertifikate **
ActiveSync und Internet Explorer® Mobile können SSL zum Sichern der Datenübertragung zwischen dem Gerät und einem Unternehmenswebserver verwenden. Dies gilt unabhängig davon, ob die Verbindung zum Synchronisieren von Microsoft Exchange-Daten, zum Konfigurieren des Geräts oder zum Herunterladen von Anwendungen besteht. SSL verschlüsselt den Kommunikationskanal mit 128-Bit-RC4- oder 3DES-Verschlüsselung, sodass Daten von Außenstehenden nicht gelesen werden können. Windows Mobile unterstützt außerdem VPN, wobei die Paketverschlüsselung verwendet wird, um Sicherheit ähnlich wie bei einer Standleitung bereitzustellen, wenn über das Internet auf einen Server zugegriffen wird.
Exchange Server-Sicherheit
Obwohl Windows Mobile-Geräte Exchange Server nicht benötigen, um zu funktionieren, wurden die beiden Systeme so entwickelt, dass sie eng zusammenarbeiten und eine stabile mobile End-to-End-Messaging- und Produktivitätslösung bieten. Seit der Veröffentlichung von Windows Mobile 5.0 mit MSFP wurde ActiveSync verbessert, sodass die Verwaltung der Einstellungen von Windows Mobile-Geräten von einem Remotestandort aus möglich ist. Dies ist ein einfaches, aber leistungsstarkes Mittel zum Übertragen und Durchsetzen globaler Sicherheitseinstellungen für die meisten Windows Mobile-Geräte.
ActiveSync wird auf IIS, der Anwendungs-/Webserverkomponente von Microsoft Windows Server 2003 ausgeführt. IIS bietet integrierte Sicherheit, die ActiveSync selbst vor über das Netzwerk eingehenden Angriffen schützt. Da Microsoft Office Outlook® Web Access (OWA) ebenfalls auf IIS basiert ist, können dieselben Sicherheitszertifikate sowohl für ActiveSync als auch für OWA verwendet werden.
Bei Verwendung von ActiveSync zum Übertragen einer Unternehmensrichtlinie wird diese Richtlinie für die Geräte bereitgestellt, wenn sie das nächste Mal mit Exchange Server synchronisiert werden. Benutzer müssen die Änderungen akzeptieren, bevor sie eine Verbindung zum Server herstellen können. Viele Netzwerke haben mit einer Vielzahl von Geräten einschließlich veralteter Hardware zu tun, die technisch ausgereifte Sicherheitsrichtlinien nicht akzeptieren kann. Falls erforderlich, können Sie bestimmte Geräte wie beispielsweise veraltete Hardware von der Sicherheitsrichtlinienanforderung ausnehmen, sodass sie weiterhin eine Verbindung herstellen können.
Exchange Server 2003 SP2 und Exchange Server 2007 verfügen über etwas andere Steuerungsfunktionen in Bezug auf Sicherheitsrichtlinien. Exchange Server 2003 SP2 kann verwendet werden, um eine Mindestkennwortlänge von 4 bis 18 Zeichen anzugeben, wobei sowohl Zahlen als auch Buchstaben in einem Kennwort erforderlich sind, und festzulegen, wie lang der Zeitraum der Inaktivität sein darf, bevor das Gerät gesperrt wird. Bei dieser Version von Exchange Server kann auch festgelegt werden, wie oft Sicherheitseinstellungen an Geräte übertragen werden, wobei die bereits erwähnten Ausnahmen für veraltete Geräte möglich sind.
Mit der Veröffentlichung von Exchange Server 2007 wurden die ActiveSync-Verwaltungsfunktionen für mobile Geräte verbessert, sodass sie nun alle Exchange Server 2003 SP2-Funktionen sowie die folgenden umfassen:
- Zulassen oder Verbieten einfacher Kennwörter (wie „1234“ oder „1111“)
- Aktivieren oder Deaktivieren von Anlagendownloads
- Anforderung von Speicherkartenverschlüsselung
- Festlegen der maximalen Anlagengröße
- Ermöglichen der Wiederherstellung eines Gerätekennworts durch den Benutzer über OWA
- Ermöglichen des Zugriffs auf UNC- (Universal Naming Convention) und WSS-Dateien (Microsoft Windows SharePoint® Services)
Exchange Server 2007 bietet IT-Fachleuten die Flexibilität, Richtlinien für jeden Benutzer oder jedes Gerät zuzuschneiden, Richtlinien für Gruppen von Benutzern zu verwalten sowie bestimmte Benutzer gänzlich von Sicherheitsrichtlinien auszunehmen.
Bereinigung per Remotezugriff
Neben der lokalen Gerätebereinigung, auf die bereits ausführlich eingegangen wurde, können Windows Mobile-Geräte mithilfe von Exchange Server 2003 SP2, Exchange Server 2007 oder OWA von einem Remotestandort aus bereinigt werden. Die Bereinigung von einem Remotestandort aus, die nach der Synchronisierung stattfindet, kann auch dann durchgeführt werden, wenn keine ActiveSync-Sicherheitsrichtlinien verwendet werden. Das Zurücksetzen durch eine Bereinigung von einem Remotestandort aus kann vom Gerät aus nicht abgebrochen werden. Daten, Einstellungen und Sicherheitsschlüssel werden mit wiederholten Nullen überschrieben, sodass es äußerst schwierig wird, Daten, die nicht Teil des Kernbetriebssystems sind, wiederherzustellen.
Netzwerksicherheit
Die Netzwerksicherheit ist für die mobile Sicherheit genauso wichtig wie die Geräte- und Messagingserverkomponenten. Sie ist zudem der Teil der mobilen Infrastruktur, den Sie am meisten steuern können. Selbst wenn ein oder mehrere mobile Geräte gefährdet sind, kann das Konfigurieren Ihres Unternehmensnetzwerks gemäß bewährter Methoden und das Implementieren der richtigen Sicherheitsprotokolle dazu beitragen, Schaden vom Netzwerk abzuwenden.
Windows Mobile ist für verschiedene Netzwerkarten gut geeignet. Mit standardmäßigen Internetsicherheitsprotokollen und Firewalls können Sie eine Lösung erstellen, die Ihren Anforderungen an Leistung, Stabilität und Sicherheit entspricht.
Wenn Messagingserver innerhalb des Unternehmensnetzwerks eingesetzt werden, können sie von einer Edgefirewall geschützt werden, die als Puffer zwischen dem Internet und den Unternehmensservern dient. Microsoft Internet Security and Acceleration (ISA) Server 2004 oder ISA Server 2006 (beide verfügen über Features speziell zu diesem Zweck) prüft die Identität aller eingehenden Pakete, bevor sie an die Exchange-Server weitergeleitet werden, und sendet dann ausgehende Informationen über das Internet zurück an den Client.
Zum Konfigurieren von ISA Server muss die SSL-Verschlüsselung aktiviert und Port 443 als überwachender SSL-Webport für den Exchange Server-Datenverkehr bestimmt werden. So wird das Gefahrenpotenzial des Internets durch die Begrenzung auf einen einzelnen Port minimiert. Außerdem sollten alle Clients vor der Verbindung über ActiveSync eine SSL-Verbindung herstellen müssen.
ISA Server kann Benutzer von Webanwendungen wie OWA im Voraus authentifizieren, sodass nicht authentifizierte Benutzer daran gehindert werden, die Anwendungsserver zu erreichen. Mit ISA Server 2006 wird das SSL-Bridgingmodell von ISA Server 2004 verbessert, indem die Software als SSL-Endpunkt für Windows Mobile-Geräte dient. Dies ermöglicht die Authentifizierung von Windows Mobile-Geräten gegenüber Exchange Server, ohne eine direkte Verbindung herzustellen. Stattdessen leitet ISA Server 2006 den Datenverkehr hin und her. Da sich der empfohlene Standort von ISA Server 2006 im Umkreisnetzwerk befindet, bietet dies eine zusätzliche Sicherheitsschicht zwischen dem öffentlichen Internet und dem Exchange-Front-End-Server.
Authentifizierung
Es stehen zwei grundlegende Arten der Authentifizierung zur Auswahl: Standard- und zertifikatbasierte Authentifizierung. Die Standardauthentifizierung bezieht sich auf eine standardmäßige, mit Namen und Kennwort aktivierte, SSL-basierte Verbindung zwischen einem Windows Mobile-Client und dem Exchange-Front-End-Server. Ein Zertifikat ist nach wie vor erforderlich, da Exchange Server vor der Authentifizierung nach einem passenden Stammzertifikat auf dem Gerät sucht. Windows Mobile und IIS ermöglichen die Verwendung einer der vielen Verschlüsselungsmethoden von SSL.
Die zertifikatbasierte Authentifizierung, die sowohl bei Windows Mobile 5.0 mit MSFP als auch bei Windows Mobile 6 zur Verfügung steht, verwendet TLS (Transport Layer Security) anstelle der SSL-Standardauthentifizierung. Neben dem Stammzertifikat ist bei TLS erforderlich, dass jeder Benutzer über ein Zertifikat mit öffentlichen und privaten Schlüsseln verfügt. Da TLS einen Verschlüsselungsschlüssel (bis zu 2.048 Bit) anstelle eines Kennworts verwendet, bietet dieses Protokoll stärkere Authentifizierung.
Bei Windows Mobile 6 erfordert das Registrieren eines Benutzerzertifikats mithilfe von Desktop Enroll, dass das Gerät bei einem Desktop-PC angedockt wird, der sich in derselben Domäne wie der zur Zertifikatsregistrierung verwendete Server befindet. Der Benutzer authentifiziert die Registrierung mithilfe eines Kennworts, einer Smartcard oder einer anderen Methode und verbindet das Gerät dann mit einem Desktop-PC. Der Benutzer greift nun über den Desktop-PC auf das Zertifikatssystem zu, wobei der Desktop-PC wiederum das Zertifikat auf dem mobilen Gerät installiert. Desktop Enroll steht für eine ganze Reihe von Windows Mobile-Sicherheitszwecken zur Verfügung, darunter Zertifikatserneuerung sowie die Verteilung von ActiveSync-Authentifizierungszertifikaten, SSL/TLS-Authentifizierungszertifikaten, 802.1x Wi-Fi-Zertifikaten oder S/MIME-Zertifikaten für die digitale Signatur.
Sicherheitsprotokolle wie SSL schützen Nachrichtendaten während der Übermittlung, verschlüsseln sie jedoch nicht, wenn sie auf dem Windows Mobile-Gerät oder dem Exchange-Server eingehen. S/MIME ist eine sichere Form des vertrauten MIME-E-Mail-Standards, der digital signierte bzw. verschlüsselte E-Mail unterstützt. Dies bietet eine zusätzliche Schutzschicht neben der SSL-Transportschichtverschlüsselung.
Zusammenfassung
Jede der vielen Schichten, aus denen eine Lösung besteht, muss berücksichtigt werden, um eine ausreichend sichere Infrastruktur zu erstellen. Windows Mobile, Exchange Server und Microsoft-Netzwerksicherheitsprodukte wie ISA Server arbeiten zusammen, um die Probleme beim Verwalten einer mobilen Infrastruktur zu verringern. Damit wird die Arbeit von IT-Abteilungen erleichtert, sodass diese sich nicht hauptsächlich auf die durch mobile Geräte hervorgerufenen Sicherheitsherausforderungen konzentrieren müssen, sondern sich den hierdurch ermöglichten Produktivitätssteigerungen zuwenden können.
Mein besonderer Dank geht an Kathy Esser, Katharine Holdsworth, Sarah Norton und Chip Vollers für ihre Hilfe beim Verfassen dieses Artikels.
Matt Fontaine ist Autor technischer Artikel für BuzzBee Company.
© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.