使用Exchange Server解决移动设备安全问题

移动设备出现这样问题的原因是由于它们完全脱离管理控制(除非你买了第三方软件)。Windows没有任何针对移动设备的群机制设置，所以用户可以很轻易地从公司网上拷贝敏感数据并且用非加密的格式或者在自己的移动设备上安装这些数据。

如果这还不令你感到担心，设想：用户甚至不必拥有自己移动设备的密码。用户设置其VPN也很普遍，则VPN密码存在设备中，并在连接时自动提供。实际上，移动设备给你的网络开了一个大大敞开的后门。如果设备丢失或者被盗，后果不堪设想!

目前有一些第三方产品可以帮你保护移动设备，但很多人没有意识到的是微软的Microsoft Exchange Server也能实现这个功能。实际上，微软在发布Service Pack 2时的主要目标就是让移动设备更加安全可靠。安全性的增强在Exchange Server 2007中进一步地改进。

Exchange 2003 SP2和Exchange 2007中移动设备安全性的实际实施是不同的。差别一部分是因为Exchange 2007 中使用了一些列与Exchange 2003不同的管理工具。另外一个原因是Exchange 2007允许用户在每个邮箱的基础上使用移动设备安全机制。Exchange 2003只允许使用单一的移动设备机制。考虑到Exchange Server的两个版本有如此重大的差别，我会在后面的部分重点讨论Exchange 2007。

建立一个移动设备安全机制

在Exchange 2007建立一个移动设备安全机制，打开Exchange Management Console，通过控制台的向导选择"Organization Configuration | Client Access."在选择Client Access时，Details面板会显示所有可以用在移动设备上的所有机制。顺便提一下，在Exchange Server 2007中，这些机制被称作Exchange ActiveSync Mailbox Policies。现在，点击Actions面上的New Exchange ActiveSync Mailbox Policy链接。

在这时，管理控制台会安装New Exchange ActiveSync Mailbox Policy，如图A所示。正如你在图中看到的，你可以在机制中设置很多参数。

图A

通过Exchange Server 2007 可以建立 ActiveSync Mailbox Policies.

首先你要做的是输入一个要建立的机制的名字。大多数情况下，最好输入一个能描述机制作用的名字。

在Mailbox Policy Name部分下面是一些复选框关于不同的机制要素。第一个复选框是用来选择是否允许非临时的设备。也就是说你在建立的安全policy与一些旧的移动设备是不兼容的。如果安全性对于你来说确实十分重要，最好不选这个框，这样Exchange不会允许这种设备的使用。记住，尽管没有选择这个框，并不代表在所有旧的移动设备中都会禁止。设备的禁用只应用在分配机制的用户上。

下一个复选框本身已经解释了作用：是否允许移动用户下载邮件附件到其设备上。是否允许下载取决于业务的性质以及是否使用邮箱的Exchange。阻止邮件附件节省了无线带宽，降低了感染病毒的风险，但不是对于所有类型的业务都是合适的。