Настройка безопасности ПИН-кода для пользователя единой системы обмена сообщениями
Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Последнее изменение раздела: 2011-04-28
Когда подписчик или пользователь единой системы обмена сообщениями (UM) MicrosoftExchange Server 2010 использует телефон для подключения к серверу единой системы обмена сообщениями, он применяет голосовой доступ к Outlook для перемещения по меню единой системы обмена сообщениями. Тем не менее, прежде чем пользователи смогут получить доступ к единой системе обмена сообщениями, система запрашивает у них ПИН-код. Администраторы могут настраивать параметры и требования для ПИН-кодов, а также выполнять задачи управления ПИН-кодами. Если для пользователя включена поддержка единой системы обмена сообщениями и создан ПИН-код, в почтовом ящике пользователя будет храниться хэш-значение (результат математического вычисления) для его ПИН-кода. Контрольная сумма ПИН-кода сохраняется в Служба каталогов Active Directory в виде атрибута ExUMPINChecksum.
.gif "Примечание") Примечание. |
|---|
| Чтобы войти в свой почтовый ящик с поддержкой единой системы обмена сообщениями, абонент должен ввести ПИН-код, воспользовавшись кнопочным тональным или многочастотным двухтональным (DTMF) режимом ввода. Распознавание речи для ввода ПИН-кода не поддерживается. |
Необходимы сведения о других задачах управления, связанных с политиками почтовых ящиков единой системы обмена сообщениями? См. раздел Управление политиками почтовых ящиков единой системы обмена сообщениями.
Содержание
Общие сведения о ПИН-кодах
Требования к ПИН-кодам
Управление ПИН-кодами единой системы обмена сообщениями
Общие сведения о ПИН-кодах
ПИН-код — это цифровая строка, которая используется в определенных системах, включая единые системы обмена сообщениями, для проверки подлинности пользователя и предоставления ему доступа. ПИН-код — это код доступа, который пользователь вводит по телефону, чтобы обратиться к своему почтовому ящику Exchange Server. Стойкость ПИН-кода зависит от его длины, степени защиты и от того, насколько трудно его угадать.
ПИН-коды широко используются в банкоматах (АТМ). Но они используются и в единых системах обмена сообщениями вместо алфавитно-цифровых паролей. В единой системе обмена сообщениями Exchange 2010 ПИН-код вводится с помощью аналогового, цифрового или мобильного телефона и используется для получения доступа к почтовому ящику пользователя, содержащему электронную и голосовую почту, а также данные календаря.
В единой системе обмена сообщениями Exchange 2010 политики ПИН-кодов определяются и настраиваются в политике почтовых ящиков единой системы обмена сообщениями. В зависимости от конкретных требований может быть создано несколько политик почтовых ящиков для единой системы обмена сообщениями. После включения для пользователя поддержки единой системы обмена сообщениями Exchange 2010 необходимо связать его с существующей политикой почтовых ящиков единой системы обмена сообщениями. Политики ПИН-кодов единой системы обмена сообщениями, настраиваемые в политике почтовых ящиков единой системы обмена сообщениями, должны отвечать требованиям безопасности организации.
Требования к ПИН-кодам
Далее приводится несколько параметров настройки ПИН-кодов, которые можно устанавливать в соответствии с политикой почтовых ящиков единой системы обмена сообщениями в Exchange 2010.
Минимальная длина ПИН-кода
Минимальная длина ПИН-кода определяет минимальное число цифр, из которого может состоять ПИН-код почтового ящика. Диапазон значений этого параметра — от 4 до 24, по умолчанию — 6. Если ввести 0, пользователям не нужно будет вводить ПИН-код.
.gif "Важно") Важно! |
|---|
| Устанавливать для этого параметра нулевое значение не рекомендуется. Нулевая длина ПИН-кода существенно уменьшает уровень безопасности сети. |
Если изменить минимальную длину пароля на большую, существующим подписчикам, прежде чем они смогут продолжить работу, будет предложено ввести новый ПИН-код, который содержит новое минимальное число цифр.
| Примечание. |
|---|
| Увеличение этого значения повышает безопасность среды единой системы обмена сообщениями. Но при чрезмерном его увеличении пользователи могут испытывать трудности с запоминанием своего ПИН-кода. |
Срок действия ПИН-кода
Срок действия ПИН-кода определяет временной интервал в днях с даты последнего изменения подписчиком ПИН-кода до даты, когда он должен будет снова изменить свой ПИН-код. Диапазон значений — от 0 до 999, значение по умолчанию — 60 дней. Если введен 0, срок действия ПИН-кода не ограничен.
| Примечание. |
|---|
| Единая система обмена сообщениями не извещает пользователя об окончании срока использования его ПИН-кода. |
Число ошибок входа до сброса ПИН-кода
Число ошибок входа до сброса ПИН-кода определяет допустимое число последовательных неудачных попыток входа до того, как ПИН-код почтового ящика автоматически сбрасывается. Чтобы отключить эту функцию, установите для этого параметра неограниченное число ошибок. В противном случае должно быть задано число, которое меньше максимального числа попыток входа. Диапазон возможных значений — от 1 до 998, значение по умолчанию составляет 5.
| Примечание. |
|---|
| Чтобы повысить безопасность пользователей единой системы обмена сообщениями, введите число, которое меньше 5. |
Максимальное число попыток входа
Максимальное число попыток входа определяет, сколько последовательных ошибочных попыток ввода ПИН-кода может выполнить подписчик, прежде чем его доступ к почтовому ящику будет блокирован. По умолчанию после 5 попыток ПИН-код автоматически сбрасывается. Диапазон возможных значений — от 1 до 999, значение по умолчанию составляет 15.
| Примечание. |
|---|
| Чтобы повысить безопасность, следует уменьшить число неудачных попыток. Но нужно помнить, что уменьшение этого значения до числа, значительно меньшего, чем значение по умолчанию, может привести к нежелательным блокировкам пользователей. Если проверка подлинности ПИН-кода пользователя единой системы обмена сообщениями не удалась или если пользователь не смог успешно войти в систему, единая система обмена сообщениями генерирует события предупреждений, которые можно просматривать с помощью средства просмотра событий. |
Разрешить общие шаблоны
Параметр «Разрешить общие шаблоны» используется для включения и отключения использования общих числовых шаблонов при создании ПИН-кода. По умолчанию этот параметр отключен, что не позволит пользователям ввести числа, соответствующие шаблонам, приведенным в следующем списке.
Последовательные цифры Значения ПИН-кода, которые полностью состоят из последовательных цифр. Примеры последовательных цифр для ПИН-кодов: 1234 и 65432.
Повторяющиеся цифры Значения ПИН-кода, которые состоят из повторяющихся цифр. Примеры повторяющихся цифр: 11111 и 22222.
Суффикс добавочного номера почтового ящика Значения ПИН-кода, которые совпадают с суффиксом добавочного номера почтового ящика. Например, если добавочный номер почтового ящика — 36697, ПИН-код не может равняться 6697.
Счетчик журнала ПИН-кода
Счетчик журнал ПИН-кода задает число различных ПИН-кодов, которые пользователь должен использовать, прежде чем сможет повторно использовать любые ранее использованные ПИН-коды. Диапазон возможных значений — от 1 до 20, значение по умолчанию составляет 5.
Управление ПИН-кодами единой системы обмена сообщениями
Планируя ПИН-коды для единой системы обмена сообщениями, убедитесь, что выбраны надлежащие уровни безопасности для организации. Необходимо тщательно учитывать требования к ПИН-кодам единой системы обмена сообщениями и проанализировать, соответствуют ли настройки безопасности ПИН-кодов параметрам политики безопасности организации или превышают их.
| Важно! |
|---|
| По соображениям безопасности рекомендуется вводить жесткие требования к ПИН-кодам для пользователей единой системы обмена сообщениями. Этого можно достичь созданием политик ПИН-кодов единой системы обмена сообщениями, которые, требуя для ПИН-кодов шесть и больше цифр, повышают уровень безопасности сети. |
После определения требований к ПИН-кодам, отвечающим требованиям безопасности для организации, необходимо создать и настроить политику поддержки почтовых ящиков единой системы обмена сообщениями, чтобы реализовать требования организации к ПИН. Дополнительные сведения о создании политики поддержки почтовых ящиков единой системы обмена сообщениями и управлении ей см. в разделе Управление политиками почтовых ящиков единой системы обмена сообщениями.
| Примечание. |
|---|
| Создав политику поддержки почтовых ящиков единой системы обмена сообщениями, необходимо связать пользователей единой системы обмена сообщениями с соответствующей политикой поддержки почтовых ящиков единой системы обмена сообщениями. Эту задачу можно выполнить с помощью команды Enable-UMMailbox командной консоли Exchange Management Shell. Дополнительные сведения о командах командной консоли Exchange см. в разделе справки Enable-UMMailbox. |
Бывают ситуации, когда пользователи единой системы обмена сообщениями забывают свой ПИН-код или доступ к их почтовым ящикам единой системы обмена сообщениями блокируется. В обоих случаях может потребоваться выполнить сброс ПИН-кода пользователя единой системы обмена сообщениями. Дополнительные сведения о том, как сбросить ПИН пользователя, см. в разделе Сброс ПИН-кода единой системы обмена сообщениями для пользователя с включенной поддержкой единой системы обмена сообщениями.
© Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.