Dokumentace Exchange ActiveSync

Transkript

1 IceWarp Server Dokumentace Exchange ActiveSync Verze 10 Printed on 1 December, 2009 Copyright IceWarp Ltd. All rights reserved.

2 Obsah Dokumentace Exchange ActiveSync Obecné Kompatibilní zařízení Nastavení serveru Bezpečnostní politiky Lokální a vzdálený výmaz Lokální výmaz Vzdálený výmaz Potvrzení em Jak definovat bezpečnostní politiku Politika na úrovni serveru Výchozí politika Politika na úrovni domény Politika na úrovni uživatele Politika na úrovni zařízení Dědičnost politik Souhlas s politikou Potvrzení em Výjimky pro nekompatibilní zařízení Výjimky pro zvláštní uživatele Jak zrušit nastavenou politiku Referenční příručka Šifrování SSL na platformě Windows Mobile Požadavky na SSL spojení Windows Mobile 5.0 a Windows Mobile 6.x PocketPC/Smartphone 2002 a 2003 Nastavení šifrování SSL pro ActiveSync Windows Mobile a ověřené certifikáty Další informace Nastavení na zařízení Záloha stávajících dat Konfigurace

3 Řešení potíží Reset databáze ActiveSync Změna heartbeat Intervalu Přístup do GroupWare z mailu Doporučení pro delší výdrž na baterie Bezpečnostní zásady SmartDiscover Přehled Jak funguje Konfigurace Globální adresář Jak vytvořit GAL Technologie SmartSync

4 Dokumentace Exchange ActiveSync Obecné Exchange ActiveSync (zkráceně EAS) je proprietární aplikační protokol pro bezdrátovou synchronizaci dat, vyvinutý společností Microsoft původně pro vlastní platformu Microsoft Exchange. Společnost IceWarp získala oficiální licenci implementovat a nabízet tento protokol v rámci svého produktu s cílem nativní podpory moderních koncových zařízení typu Apple iphone a veškerých zařízení s operačním systémem Windows Mobile případně starší PocketPC platformy. IceWarp Server tak může nabídnout úplnou synchronizaci dat oproti podporovaným zařízením. Díky zabudované podpoře odpadá i nutnost instalovat synchronizační software, což přispívá efektivnímu zavedení mobilního řešení a zároveň přináší mnohé funkce oproti alternativní technologii SyncML. Exchange ActiveSync je optimalizovaný pro sítě s vysokou latencí a nízkou přenosovou rychlostí, tedy typických okolnostech mobilních dat. Protokol samotný je předáván na úrovni HTTP ve formátu XML a dovoluje uživatelům centralizovaný přístup ke všem důležitým datům uloženým na IceWarp serveru. S ActiveSyncem mohou mobilní zařízení přistupovat k ům, kalendářům, adresářům a seznamům úkolů a mít je k dispozici také pro použití off-line. Abychom předešli běžnému nedorozumění, je předesíláme, že aplikace ActiveSync (Communication Center ve Windows Vista a Windows 7) používá zcela odlišný komunikační protokol na bázi XML, který je ovšem určen výhradně pro synchronizaci lokálně připojených zařízení (přes Bluetooth, nebo kabelem přes RS232 či USB). Podobně je tomu s isync a itunes aplikacích v systému Mac OS X, který také používá svůj vlastní protokol na bázi SyncML pro synchronizaci dat se zařízením připojeným k počítači uživatele. Ani jeden z protokolů není IceWarp serverem podporován, neboť pro vzdálenou sychronizaci nemá žádný význam. Ochranné známky a prohlášení o podpoře Windows, Vista, Exchange, SQL Server, ActiveSync, AutoDiscover, DirectPush, RemoteWipe jsou registrované ochranné známky společnosti Microsoft. Blackberry, BIS (Blackberry Internet Service), BES (Blackberry Enterprise Server) jsou registrované ochranné známky společnosti Research In Motion. iphone, isync, Mac, OS X jsou registrované ochranné známky společnosti Apple. Symbian je registrovaná ochranná známka společnosti Symbian Software. Palm, Palm OS, WebOS jsou registrované ochranná známka společnosti Palm. Android je registrovaná ochranná známka společnosti Google. Nokia for Exchange je registrovaná ochranná známka společnosti Nokia. NotifySync je registrovaná ochranná známka společnosti Notify. AstraSync je registrovaná ochranná známka společnosti MailSite Software. Moxier je registrovaná ochranná známka společnosti Emtrace Technologies. MySQL je registrovaná ochranná známka společnosti MySQL AB. Pro podporu výše zmíněných produktů (s výjimkou implementace Exchange ActiveSync v IceWarp Serveru), pro informace o právních aspektech jejich používání, stejně tak za účelem seznámení se s podmínkami ochrany dat vyplývajících z jejich používání, se obracejte přímo na konkrétní dodavatele nebo navštivte jejich webové stránky a jiné internetové zdroje, kde lze získat více podrobností.

5 Kompatibilní zařízení Zařízení s vestavěnou podporou pro Exchange ActiveSync: Windows CE, PocketPC Windows Smartphone Windows Mobile 5,6 Apple iphone OS X Telefony Nokia na platformě Symbian S60, S90 (některé až v novější verzi firmware) Palm OS 4 Palm WebOS Google/HTC Android 2.0 (vybrané modely i ve starší verzi) Pokud chybí nativní podpora Exchange ActiveSyncu, lze na zařízení doinstalovat aplikace třetích stran, které synchronizaci umožní: Starší verze Nokia N Series, E Series, S60 v3: Mail for Exchange (zdarma ke stažení ze stránek Nokia) Symbian S60/S80/S90/UIQ: DataViz RoadSync BlackBerry: Notify Corp NotifySync (OS 4.0 a vyšší), MailSite Software AstraSync (OS 4.2 a vyšší jen pro řady 8xxx, 9xxx) Android OS 1.x: Exchange od Touchdown nebo Moxier Mail od Emtrace Technologies Motorola s podporou Java MIDP 2.0: DataViz RoadSync Vlastnosti EAS umožňuje synchronizaci následujících typů dat (ne všechny typy jsou vždy podporovány aplikačním software přítomným v zařízení): y Kontakty Kalendáře Úkoly Technologie DirectPush funguje jak pro okamžitou synchronizaci nových ů, tak pro kontakty, kalendáře a úkoly IceWarp Exchange ActiveSync navíc přináší: synchronizace kompletní struktury složek a to včetně sdílených a veřejných složek zobrazuje všechny složky tak jako webový klient nebo Outlook poradí si i s více složkami stejného typu (pokud to zařízení podporuje, lze mít např. oddělené kalendáře) u jiných zařízení lze zvolit která složka se bude synchronizovat správa složek (pouze na platformě Windows Mobile 6.0 a vyšší)

6 přídání/smazání/přejmenování/přesun složek v rámci struktury ůčtu kompletní ové funkce (odesílání, odpovídání, přeposílání, označení jako nečtené/přečtené apod.) správa příloh (také na platformě Windows Mobile) uživatelsky definované filtry zpětně omezená synchronizace ů pouze zprávy ne starší než zadaný počet dnů ové filtry pouze zprávy do dané velikosti, pouze zprávy bez přílohy apod. zpětně omezená synchronizace kalendářů pouze záznamy ne starší než zadaný počet dnů zpětně omezená synchronizace úkolů pouze úkoly označené jako nesplněné správa zařízení a vzdálené smazání výpis všech připojených zařízení podle domény či uživatele včetně konkrétního typu zařízen funkce RemoteWipe pro vzdálené smazání veškerých dat na odcizeném nebo ztraceném zařízení vyhledávání v globálním firemním adresáři (GAL, Global Address List) pro automatické doplňování ových adres pro hledání kontaktů podle jména technologie AutoDiscover ve spolupráci se serverovou částí SmartDiscover zjednodušuje konfiguraci na straně uživatele na zadání ové adresy a hesla technologie SmartSync inteligentní zotavení ze situací, kdy by vlivem kolísavého signálu mohlo dojít ke ztrátě dat právě přenášených na server plánování schůzek pomocí pozvánek a akcí přijmout/zamítnout pouze schůzky vytvořené ve webovém klientu nebo klientu IceWarp Desktop bezpečnostní politiky bezpečnostní politiky k prosazení ochrany zařízení heslem, síly hesla, nastavení počtu neůspěšných pokusů odemknutí přístroje umožňuje offline smazání veškerých dat pro případ zneužití Omezení v aktuální verzi plná podpora pouze v revizi EAS 2.5, zařízení s podporou revize 12.1 jsou zpětně kompatibilní (safe mode) z revize EAS 12.0 je implementován AutoDiscover a podpora příloh z revize EAS 12.1 je implementována pouze obálka (základní synchronizační metody) není implementován formát pozvánek na schůzku TNEF (týká se pozvánek vytvořených v aplikaci Outlook), podpora je omezena na pozvánky vytvořené přímo na zařízení, webovým klientem WebClient nebo aplikací IceWarp Desktop

7 není implementována většina metod revize EAS 12.1 (ekvivalentní Exchange 2007: S/MIME funkce pro kvalifikované ověření odesílatele a dekryptování zašifrovaných zpráv, hromadné stahování příloh, rozšířená sada bezpečnostních politik, získání zapomenutého hesla, logické operátory ve vyhledávání) nelze nastavit automatický odpovídač zprávy v HTML nejsou na platformě Windows Mobile zobrazeny v plném formátování, ale jsou automaticky převedeny na obyčejný text (což usnadní čtení a sníží přenos dat) Výhody bezdrátové synchronizace nevyžaduje žádný middleware žádná instalace aplikací a připojování kabelem žádné měsíční poplatky za užívání Srovnání s technologií SyncML velká škála zařízení s nativní podporou funkce pro správu zařízení push na TCP/IP vrstvě bez nutnosti SMS přístup ke sdíleným složkám umožňuje synchronizovat více složek stejného typu Výhody technologie DirectPush okamžítá notifikace příchozích zpráv vhodná pro pomalejší datová připojení (GSM, WAP, EDGE) zprávy se stahují na pozadí od chvíle kdy přijdou na server žádné poplatky za odeslané SMS push notifikace Výhody technologie SmartSync bezchybně dokončí synchronizaci kde by jiné servery vynucovaly úplnou resynchronizaci spoří množství přenesených dat, čas i baterii zajišťuje konzistenci dat a řeší možné konflikty předchází nekonečným smyčkám při problematické konektivitě určená nejen do sítí/oblastí s horší kvalitou datových přenosů Přístup do GroupWare z mailu lze nahlédnout na soubory, poznámky a úkoly přímo v ové aplikaci data jsou synchronizována jedním směrem ze serveru na zařízení jakožto y s přílohou překonává omezení velikosti příloh

8 nevyžaduje žádné dodatečné aplikace funguje ihned, snadná konfigurace přenosy jsou zajištěny šifrováním SSL Kompatibilní zařízení (nativně) Windows Mobile Windows PocketPC Windows Smartphone iphone 2G/ 3G Nokia E Series Nokia N Series Palm OS 4, 5 Vyžaduje plugin ne ne ne / MFE ne ne Palm WebOS Kalendář Kontakty Úkoly - DirectPush ** Časový plán funkce push (špička/mimo špičku) Vyhledávání v GAL Podsložky *** - - Správa složek 6.x Filtry pro / kalendáře/ úkoly/ / / / /- / / / /- / / AutoDiscover ** RemoteWipe - - Bezpečnostní politiky - - imip (plánování schůzek) -

9 Kompatibilní zařízení (nenativně) Android Android BlackBerry BlackBerry Symbian TouchDown Moxier NotifySync Astrasync S60, S80, S90, UIQ RoadSync Vyžaduje plugin ano ano ano ano ano NitroDesk TouchDown Moxier Mail NotifySync AstraSync DataViz** RoadSync Kalendář Kontakty Úkoly - - DirectPush Časový plán funkce push (špička/mimo špičku) Vyhledávání v GAL Podsložky - Správa složek Filtry pro / kalendáře/ úkoly/ / / / / / /- / /- / /- AutoDiscover x a vyšší - RemoteWipe - 3.x a vyšší Bezpečnostní politiky imip (plánování schůzek) dostupné - nedostupné - 3.x a vyšší - 3.x a vyšší * Podpora technologie DirectPush je dostupná pouze na PDAs a chytrých telefonech od verze operačního systému Windows Mobile 5.0 s aktualizací Messaging and Security Feature Pack (MSFP/AKU2) a vyšší (Windows Mobile 6.x). Pro správné fungování metod DirectPush a AutoDiscover je třeba na zařízení povolit zabezpečení SSL a na serveru použít certifikát od kvalifikované certifikační autority. Viz kapitola Šifrování SSL na platformě Windows Mobile.

10 ** Klientem RoadSync jsou již z výroby vybaveny vybrané modely LG, Nokia, Samsung a Sony Ericsson nebo může být doinstalován na většinu zařízení s operačním systémem Symbian. RoadSync je také dostupný pro starší verze Androidem poháněných zařízení T-Mobile a HTC. RoadSync (omezený na synchronizaci ů) je také dostupný jako Java MIDP 2.0 aplikace pro telefony Motorola (RAZR, KRZR ) a starší zařízení na platformě Palm OS. *** iphone narozdíl od Windows Mobile umožňuje synchronizovat více složek stejného typu v aplikacích Mail, Kontakty, Kalendář, ale na druhou stranu neumí složky přejmenovat, mazat nebo přesouvat. V této příručce dále najdete: Nastavení serveru Bezpečnostní politiky Šifrování SSL na platformě Windows Mobile Nastavení na zařízení Řešení potíží Přístup do GroupWare z mailu Doporučení pro delší výdrž na baterie Bezpečnostní zásady SmartDiscover Globální adresář SmartSync Nastavení serveru Nastavení Exchange ActiveSync na serveru je triviální záležitostí, protože vše potřebné bylo již zkonfigurováno pro služby web serveru a administrace je tak z pohledu primárního nastavení vcelku jednoduchá. 1. V dialogu Pomoc Licence, zkontrolujte, zda máte aslepoň jednu nevyexpirovanou uživatelskou licenci pro ActiveSync. Jestliže je ve sloupci Aktualizace vyprší záporné číslo, znamená to, že licence (ať už plná nebo zkušební) vypršela a je nutné obstarat si její aktualizaci. 2. V dialogu GroupWare - Obecné - Push Server se přesvědčte, že služba Push je zapnuta volbou Aktivní a že jí přidělený síťový port nekoliduje s jinou službou v rámci serveru. V opačném případě zde změňte číslo portu na jiné, neobsazené. Povolit tento port na firewallu je obvykle zbytečné, služba je používána jen lokálně samotným serverem. Pokud nechcete využívat technologii ActiveSync DirectPush ani SyncML SMS Push na žádném zařízení v rámci serveru, například z důvodů nižších datových přenosů a úspory baterií, je možné nechat službu Push vypnutou, synchronizace na ní nezávisí. 3. V okně Systém Služby, zkontrolujte, že běží služba webového serveru označená jako Control. Vyberte ji a klepnutím na tlačítko Možnosti otevřete podrobná nastavení. Zkontrolujte, že je základní port je nastavena na standartní port 80 (HTTP). Pokud tomu tak není, změňte nastavení na port 80. Jestliže po provedení změn nelze službu Control vůbec spustit, je v kolizi s jinou aktuálně běžící službou na stejném portu (typicky Microsoft IIS, Apache), kterou bude nutné přesunout na jiný port.

11 ActiveSync nebude na většině zařízení pracovat správně, pokud služba webového serveru Control běží na jiném než standartním portu Pro správnou funkci vyhledávání v globálním seznamu kontaktů GAL, je třeba mít aslespoň jednu veřejnou složku (skupinu) označenou jako GAL, jinak bude výchozí adresář GAL sestaven ze všech uživatelů na serveru. Více v kapitole Globální adresář GAL. 5. Zapněte šifrované spojení přes SSL na standartních portech pro službu IMAP (port 587) and Control (port 443), opět v okně Systém Služby. Šifrování SSL zabezpečí veškeré adresy, hesla, y a další data během přenosu mezi zařízením a serverem. Pro službu IMAP je zmíněné číslo portu pouze doporučené, může tedy běžet na jakémkoli jiném portu aniž by to ovlivnilo funcki ActiveSyncu. 6. V uzlu Web server otevřete nastavení web stránky Výchozí nebo jiné akutálně používané stránkz a v záložce Skriptování se ujistěte o existenci konfiguračních záznamů pro rozšíření [activesync] a [autodiscover], které musí být namapovány na knihovnu php\php.dll. Normálně se tyto záznamy samy vytvoří při upgrade na verzi 10, pokud předtím chyběly. Více informací je v kapitole Řešení potíží (na straně ). 7. V části GroupWare - ActiveSync zapněte ActiveSync zaškrtnutím volby Aktivní. Důležité: neměňte nastavení adresy URL ani nepřidávejte jiné číslo portu. Pouze ověřte, že část hostname odpovídá adrese vašeho serveru, ze které je přístupný z internetu. Změny provádějte jen v případě, že je to nutné pro zvláštní účely (např. vynucení spojení SSL). 8. Pod tlačítkem Přístupový mód, zvolte Všechny účty nebo Použít nastavení domény/účtu, podle možností dané licencí. Pro začátek je možné zvolit všechny, licence budou postupně přidělovány tak jak budou uživatelé službu ActiveSync využívat, a po vyčerpání licencovaného počtu budou další moci používat ActiveSync ve zkušební době sedmi dnů, přičemž administrátor bude upozorněn em, že je třeba pro ně licenci dokoupit, nebo pro ně službu deaktivovat. Pokud se rozhodnete pro druhou možnost, ujistěte se, že služba ActiveSync je aktivní pro konkrétní uživatele v části Správa účtů uživatel nebo doména Služby. 9. Pro správnou funkci technologie AutoDiscover, zkontrolujte její nastavení na straně serveru v části Systém - Služby SmartDiscover, tedy zda vyplněná URL přesně odpovídá adrese URL v části ActiveSync. Více v kapitole SmartDiscover. Opět je třeba mít správně nastavený port pro spojení s šifrováním SSL, tedy v části Systém - Služby - Control - Možnosti musí být SSL port webové služby přiřazen na 443 (HTTPS). AutoDiscover jinak nebude na mobilních zařízeních fungovat. 10. Pro správnou funkci technologií AutoDiscover a DirectPush napříč zařízeními, doporučujeme na server nainstalovat digitální SSL certifikát pocházející od ověřené certifikační autority jako např. Verisign. Referenční tabulka

12 Položka Aktivní URL Popis Zapne službu ActiveSync. Adresa URL je složena ze: Jména serveru nebo aliasu: např. mail.icewarpdemo.com Jméno serveru (hostname či alias) musí přesně odpovídat, jinak nebude služba ActiveSync dosažitelná. Všimněte si, že čísla implicitních portů (80 pro HTTP, 443 pro HTTPS) se zde neuvádějí. Jiné číslo portu lze specifikovat za jménem serveru oddělením dvojtečkou, v závislosti na nastevní služby Control, to se však pro normální fungování služby ActiveSync nedoporučuje (některá zařízení nepodporují spojení na jiných portech). Cesty specifikované Microsoftem: Microsoft-Server-ActiveSync Přístupový mód Správa zařízení Pozn.: Tuto část za žádných okolností neměňte. Cesta je zde zobrazena jen pro úplnost, chcete-li ověřit probíhající spojení k webovému serveru v záznamech logu. Cesta rozlišuje spojení ActiveSync od jiných webových služeb a implicitině ji používá každé kompatibilní zařízení. Část URL je tudíž zcela zbytečné zadávat při konfiguraci na straně zařízení, to může jedině přivodit problémy. Stiskem tlačítka zobrazíte standartní dialog ve kterém lze určit, pro které uživatele či domény bude služba ActiveSync k dispozici. Stiskem tlačítka zobrazíte dialog Přístroje s podporou ActiveSync. V něm se nachází seznam všech zařízení, které se dosud připojily ke službě ActiveSync. Seznam se vyprázdní smazáním databáze ActiveSync. Viz dále v textu. Tlačítko Globální politika / Doménová politika / Uživatelská politika Nastavení politiky Odebrat zařízení Popis Stiskem tlačítka zobrazíte dialog pro nastavení bezpečnostní politiky na úrovni serveru/domény/uživatele, kontextově podle toho, z které části administračního rozhranní je dialog vyvolán. Více informací je v kapitole Bezpečnostní politika. Stiskem tlačítka zobrazíte dialog pro nastavení bezpečnostní politiky na úrovni zařízení, pro zařízení vybrané ze seznamu. Více informací hledejte v kapitole Bezpečnostní politika. Stiskem tlačítka odstraníte vybrané zařízení ze seznamu. Tím dojde k odebrání zařízení ze seznamu na všech úrovních a při dalším pokusu o synchronizaci se na zařízení vynutí resynchronizace veškerých dat. Tímto

13 Vzdálený výmaz Odvolat výmaz způsobem lze vyřešit případný problém s jedním zařízením, aniž by to ovlivnilo ostatní uživatele. Stiskem tlačítka vyšlete povel RemoteWipe na vybrané zařízení. Akci smazání všech dat na zařízení bude poté nutno ještě jednou potvrdit. Jakmile je povel RemoteWipe zahájen, o stavu jeho provádění jste informováni ve sloupci Stav. Seznam zařízení se v průběhu provádění povelu Remote Wipe automaticky obnovuje. Nepodporované znamená, že povel RemoteWipe není zařízením podporován a tedy nemůže být uplatněn (obvykle takové zařízení nepodporuje ani nastavení bezpečností politiky). Čekající znamená, že povel byl zahájen, ale bude vyslán až při nejbližší synchronizaci s daným zařízením (technologie DirectPush není aktivní, takže povel nemůže být vyslán ihned). Jakmile dojde k úspěšnému vykonání povelu RemoteWipe, zařízení je odebráno ze seznamu a systém o této skutečnosti informuje potvrzujícím em posledního uživatele zařízení (a v kopii též administrátora serveru). Oznámení sděluje, že veškerá data na zařízení, včetně uživatelského profilu, byly úspěšně smazány a nemůže tak dojít k jejich zneužití. Zařízení se v seznamu znovu objeví po první úspěšné synchronizaci, za předpokladu, že na něm uživatel znovu zkonfiguruje svůj uživatelský profil. Všimněte si, že povel RemoteWipe je vázán na konkrétní zařízení, stejný uživatel může mezitím synchronizovat sekundární zařízení, zatímco je povel Remote Wipe v účinnosti (ve stavu Čekající) pro primární zařízení. Stiskem tlačítka zrušíte předtím zahájený povel Remote Wipe. Své rozhodnutí musíte ještě jednou potvrdit. Povel Remote Wipe lze zrušit jen tehdy, je-li ve stavu Čekající a nebyl tedy ještě vykonán. Pokud zařízení používá okamžitou synchronizaci technologií DirectPush, Remote Wipe bude vykonán ihned a k jeho případnému zrušení nebude možnost.

14 Bezpečnostní politiky Bezpečnostní politiky se aplikují na kompatibilní zařízení synchronizující data s IceWarp serverem přes protokol ActiveSync, čímž představují účinný nástroj pro ochranu citlivých dat, uložených na zařízení, jako jsou y, kontakty, záznamy v adresáři a v podstatě všechny uživatelsky vytvořená nastavení a údaje. Pokud jsou nastaveny globálně, server vynutí jejich uplatnění na veškerá zařízení dříve, než jim začne cokoliv posílat a v případě, že byly na zařízení aplikovány nově, jsou vynuceny počínaje další manuální nebo automatickou synchronizací. Doporučujeme jejich globální používání v rámci celé organizace jak je to jen možné. Zařízení které je nepodporují nebo jen zčásti je dobré vyměnit za kompatibilní modely nebo u nich provést firmware upgrade na nověší verzi, která plnou podporu přináší (např. Microsoft Feature Pack pro Windows Mobile 5.0). Jejich používání v kombinaci s technologií vzdáleného výmazu (Remote Wipe) tak významně snížíte možnosti útočníka získat podniková data z odcizeného mobilního přístroje. V součinosti se zamykáním přístroje heslem, je důrazně doporučována také možnost lokálního výmazu (Local Wipe) po vyčerpání zadaného počtu neúspěšných pokusů o odemčení přístroje. Potenciální útočník tak nemá dostatek možností k uhodnutí hesla, a veškerá data jsou smazána po vyčerpání nastaveného počtu pokusů, což je užitečné zejména v případě, že zařízení je mimo signál nebo přípojení k síti není dostupné, takže nelze přijmout povel Remote Wipe pro vzdálený výmaz. Další z výhod bezpečnostních politik je skutečnost, že narozdíl od jiných řešení pro ochranu dat jejich průběžným šifrováním, nemají žádný dopad na odezvu zařízení ani životnost baterie, ikdyž jsou ze serveru pravidelně vynucována v nastaveném intervalu. Na obrázcích níže jsou vidět uživatelsky definované bezpečnostní zásady na platformě Windows Mobile a Apple iphone. Jakmile jsou prvky bezpečnosti vynucovány bezpečnostní politkou, uživatel je může pouze přijmout, avšak nemůže změnit jejich nastavení. Windows Mobile Settings Personal Lock Apple iphone Settings General Passcode Lock

15 Lokální a vzdálený výmaz Ztráta nebo odcizení mobilního zařízení představuje pro jakoukoli společnost vysoké bezpečnostní riziko v souvislosti s přístupem do systémů, ochrany duševního vlastnictví a know-how, a z toho vyplývajících ztrát finančního charakteru. Není výjimkou, že na mobilních zařízeních přechováváme citlivé údaje obchodního styku, včetně osobních údajů a dalších dat identifikovatelných s konkrétními projekty a osobami, zaměstanci, zákazníky, vedle důvěrných ů, příloh zpráv obsahujících interní dokumenty a řady dalších položek. Díky bezpečnostním prvkům Exchange ActiveSyncu lze riziko s tím spojené účinně omezit. Lokální nebo vzdálený výmaz uvede zařízení do stavu po vybalení z krabice, tedy nenávratně smaže veškerá data, aplikace a uživatelská nastavení. Výmaz je v obou případech implementován tak, že přepisuje paměť zařízení neměnným bitovým vzorem, což velmi znesnadňuje případné pokusy o obnovení původních dat. Pozn.: Výmaz zařízení na platformě Windows Mobile zahrnuje také smazání dat z paměťové karty. Čas potřebný k dokončení výmazu celé paměti na Apple iphone může dosahovat až téměř k jedné hodině, kdy je zařízení jakoby ve stavu načítání systému. Lokální výmaz Lokální výmaz zařízení se vyvolá automaticky, pokud uživatel nezadá správné heslo k odemčení zařízení víckrát, než je povoleno (implicitní hodnota je po osmém pokusu, ale administrátor tento počet může snížit nebo zvýšit). Po několika nesprávných pokusech zařízení vyzve uživatele k opsání několika znaků z obrazovky (většinou je to řetězec "a1b2c3"). Toto opatření brání tomu, aby si uživatel nevědomě smazal svůj přístoj náhodnými stisky kláves, když jej např. nechá s odemčenou klávesnicí v kapse a podobně. Po opsání kódu lze pokračovat v zadání hesla, jakmile je počet pokusů vyčerpán, zařízení bezodkladně zahájí formátování obsahu paměti. Vzdálený výmaz Vyvolat vzdálený výmaz může pouze administrátor systému na žádost užívatele, přes administrační rozhranní v seznamu Zařízení ActiveSync. Vzdálený výmaz je nezávislý na nastaveních lokálního výmazu a je možné jej vyvolat i v případě, že zařízení nemají nastavenou žádnou bezpečnostní politiku, typicky však zařízení podporují obojí nebo ani jednu možnost. Příkaz vzdáleného výmazu je do zařízení vyslán mimo kontrolu uživatele přístroje a je vykonán ve chvíli, kdy se zařízení připojí k serveru za účelem synchronizace. Uživatel tedy nemůže jeho vykonání nijak ovlivnit. Potvrzení em Jakmile dojde k úspěšnému vykonání povelu RemoteWipe, systém o této skutečnosti informuje potvrzujícím em posledního uživatele zařízení (a v kopii též administrátora serveru). Oznámení sděluje, že veškerá data na zařízení, včetně uživatelského profilu, byly úspěšně smazány a nemůže tak dojít k jejich zneužití. Zařízení, která nepodporují bezpečnostní politiky, neumějí ani vzdálený výmaz, na což je administrátor upozorněn tím, že ve sloupci Vzdálený výmaz v seznamu Zařízení ActiveSync se objeví status Nepodporované. Správce systému musí (dle uvážení) explicitně vyjmout taková zařízení z bezpečnostních politik aby vůbec byla připuštěna k synchronizaci dat se serverem a poučit uživatele takových zařízení, aby sami aktivovali bezpečnostní funkce alespoň lokálně, jako je ochrana zařízení heslem a lokální výmaz po deseti neúspěšných pokusech.

16 Jak definovat bezpečnostní politiku Bezpečnostní politika může být definována zvlášt na úrovni serveru, domény, uživatele nebo i pro konkrétní zařízení (poslední možnost je určena spíše pro možnost vyjmout nekompatibilní zařízení z politiky definované na vyšší úrovni), politika tím nabývá účinnost dědičným způsobem na všech nižších úrovních, i pro nové uživatele a prvně připojená zařízení. Po instalaci serveru není definována žádná politika. Všimněte si, že v titulku okna Zařízení ActiveSync je zobrazena konkrétní doména nebo uživatel, na kterého se právě zobrazená politika vztahuje. Politika na úrovni serveru GroupWare ActiveSync Zařízení ActiveSync Globální politika Politika na úrovni serveru se vztahuje na všechny stávající i nově vytvořené domény, uživatele a zařízení připojující se k serveru, nestanoví-li jinak politika z nižší úrovně. Výchozí politika Po instalaci není zavedena žádná politika, což znamená, že kompatibilní zařízení při synchronizaci obdrží takzvané "neutralizační opatření", tedy politiku která ruší účinnost předešlého nastavení a vrací zařízení do výchozího stavu, kdy si bezpečnostní funkce může ovládat sám uživatel, včetně možnosti je vypnout úplně. Obrázek ukazuje nastavení této neutrální nebo výchozí politiky, která se automaticky nastaví při použití volby Zdědit (v okně Globální politika na úrovni serveru): vypne ochranu zařízení heslem* nastaví délku hesla na libovolnou povolí použití jak alfanumerického, tak čistě numerického hesla umožní uživatelsky změnit dobu nečinnosti před dotazem na heslo z výchozích pěti minut na libovolný čas dovolí uživateli deaktivovat lokální výmaz anebo změnit výchozí počet neúspěšných pokusu po nichž k výmazu dojde ukončí pravidelné zavádění této politiky do zařízení k synchronizaci budou připuštěna všechna zařízení, ať už funkce bezpečnostní politiky podporují plně, částečně nebo vůbec, to se hodí k sestavení seznamu zařízení používaných v organizaci a následnému zavedení přísnějších pravidel dle konkrétních zařízení a uživatelů * Než může uživatel případné heslo zámku změnit nebo vypnout, musí správně zadat stávajícího heslo.

17 Politika na úrovni domény Domény & Účty Správa <doména> Služby Zařízení ActiveSync Doménová politika Dialog slouží ke konfiguraci bezpečnostní politiky pro vybranou doménu (s účinností na podřízené úrovně, nestanoví-li konkrétní nižší politika jinak), lze také vyjmout celou doménu z účinnosti serverové politiky vypnutím volby U přístroje vyžadovat heslo. Vybráním konkrétního zařízení ze seznamu Zařízení ActiveSync a stiskem tlačítka Nastavení politiky (nebo poklepáním na položku v seznamu) otevřete dialog pro nastavení politiky jednoho konkrétního zařízení. Politika na úrovni uživatele Domény a Účty Správa doména Služby Zařízení ActiveSync Uživatelská politika Dialog slouží ke konfiguraci bezpečnostní politiky pro vybraný účet (s účinností na všechna zařízení uživatele, nestanoví-li jinak politika konkrétního zařízení), lze také vyjmout daný účet z účinnosti serverové nebo doménové politiky vypnutím volby U přístroje vyžadovat heslo. Vybráním konkrétního zařízení ze seznamu Zařízení ActiveSync a stiskem tlačítka Nastavení politiky (nebo poklepáním na položku v seznamu) otevřete dialog pro nastavení politiky jednoho konkrétního zařízení. Politika na úrovni zařízení Bezpečnostní politika specifická pro zařízení je zvláštní tím, že může být definována až poté, co se zařízení pokusí o synchronizaci se serverem (tj. známe jeho ID zařízení, které jej jednoznačně určuje a odlišuje tak více stejných zařízení jednoho uživatele). GroupWare ActiveSync Zařízení ActiveSync Uživatel a Typ přístroje Nastavení politiky nebo Domény & Účty Správa doména Služby Zařízení ActiveSync Uživatel a Typ přístoje Nastavení politiky nebo Domény & Účty Správa účet Služby Zařízení ActiveSync Uživatel a Typ přístoje Nastavení politiky

18 nebo Na kterékoli úrovni, poklepáním na položku v seznamu Zařízení ActiveSync otevřete dialog pro nastavení politiky jednoho konkrétního zařízení. Dialog slouží ke konfiguraci bezpečnostní politiky pro vybrané zařízení, lze také vyjmout konkrétní zařízení z účinnosti politiky na úrovni serveru, domény nebo uživatele vypnutím volby U přístroje vyžadovat heslo. Tato možnost nalezne největší využití v případech, kdy uživatel má ke svému účtu přiřazeno více různých zařízení a vy chcete z nastavené politiky dočasně jedno (nekompatibilní) zařízení vyjmout, zatímco ostatní zařízení mají nadále dodržovat nastavenou politiku, jakož i další zařízení co si k účtu v budoucnosti uživatel pořídí. Dědičnost politik Politiky nižších úrovní upravují a zpřesňují obecnější politiky z vyšší úrovně. Nastavení z vyšší úrovně se automaticky dědí směrem dolů a ovlivňuje ty domény, účty a zařízení, na kterých nebyla předtím administrátorem zavedena jiná politika. Pakliže byla, tlačítkem Zdědit v dialogu předtím upravené politiky ji lze přepsat nastavením z vyšší úrovně (nadále se do ní promítnou všechny změny učiněné na vyšší úrovni, na principu dědičnosti). Že dědičnost funguje lze snadno ověřit- když si prohlédnete nastavení politiky na úrovni domény, uvidíte, že nastavení daná na úrovni serveru jsou zapnutá i pro doménu, a podobně mezi úrovněmi doména - uživatel a uživatel - zařízení. Všimněte si, že v záhlaví okna Zařízení ActiveSync je zobrazena informace, zda je tato bezpečností politika zděděná z výchozí, serverové, doménové nebo uživatelské politiky, nebo zda byla na této úrovni upravena- v takovém případě nabízí možnost politiku zdědit z nejbližší nadřazené úrovně. Další možnost jak zjistit, že daná politika je zděděná z vyšší úrovně, je podle tlačítka Zdědit - když je neaktivní, politika nebyla upravená a je již zděděná z vyšší úrovně nebo používá výchozí nastavení. Když je aktivní, znamená to, že politika byla na této úrovni (domény, uživatel nebo zařízení) administrátorem upravena a je možné tyto změny odvolat zděděním nastavení z vyšší úrovně. Souhlas s politikou Politika nastavená na serveru se do zařízení přenese těsně před následující synchronizací, okamžitě v případě použití technologie DirectPush, včetně úplně první synchronizace po zkonfigurování profilu ActiveSync na zařízení. Jakmile zařízení politiku přijme, vyzve uživatele k odsouhlasení nově zavedené nebo změněné bezpečnostní politiky, s možností politiku nepřijmout. Pokud uživatel nesouhlasí a politiku odmítne, nebude moci nadále synchronizovat data oproti serveru, který tak na nezabezpečené zařízení nebude nadále posílat žádné další data. Ve chvíli kdy uživatel politiku přijme, jediná možnost jak se vyhnout její účinnosti je tvrdý reset zařízení, což kromě všech dat vymaže i konfigurační profil ActiveSync.

19 Podobné potvrzovací dialogy se zobrazí také v případě, že se změní například politika týkající se délky hesla, poté je uživatel vyzván k nastavení nového hesla dle požadovaných parametrů. Potvrzení em Pokud uživatel novou či změněnou politiku nepřijme, nebo aplikovaná politika není zařízením podporována a do doby než bude pro zařízení vytvořena výjimka tak není možné takové zařízení synchronizovat (viz dialog Zařízení ActiveSync, ve sloupci Vzdálený výmaz bude v takovém případě status Nepodporované), uživatel zařízení (a správce systému v kopii) je informován em, že zařízení nebylo připuštěno k synchronizaci. Výjimky pro nekompatibilní zařízení Pro starší nebo s bezpečnostními politikami nekompatibilní zařízení, které by díky účinnosti bezpečnostní politiky definované na vyšší úrovni nebylo možné synchronizovat, může administrátor stanovit výjimku upravením konkrétní politiky. Tím povolí přístup ze starších zařízení (např. na platformě Windows Mobile 5.0 bez aktualizace Feature Pack, pro přístroje značky Palm a jiné), do té doby, než dojde k výměně těchto zařízení za nové, přičemž stávající politiky zůstavají v platnosti pro všechna ostatní zařízení, včetně těch, kterými budou vyňatá zařízení nahrazena. Udělit zařízení výjimku lze tak, že v dialogu Nastavení politiky (poklepáním na zařízení v seznamu) zaškrtneme volbu Povolit přístup na zařízení plně nepodporující nastavení hesla. * Výjimky pro zvláštní uživatele Analogicky lze udělit výjimku na úrovni uživatel nebo domény z přísnější politiky na úrovni serveru resp. domény tak, že přepíšeme výchozí (zděděnou) politiku pro konkrétního uživatele či doménu. Typicky budete chtít vypnout bezpečnostní funkce pro konkrétního uživatele jež o to požádá, ale ponechat bezpečnostní nastavení pro všechny ostatní. Výjimku tak vytvoříte jen pro důvěryhodné uživatele, u kterých je riziko zneužití jejich dat minimální, nebo kteří trvají na používání nekompatibilních zařízení teď i v budoucnu. Mějte však na paměti, že uživatelé z řad managementu, ale i asistenti ve vyšší

20 pozicích, kteří většinou takové výjimky požadují, nosí na svých zařízeních často vysoce cenné informace, a nejsou tak nejvhodnějšími adepty na udělování výjimek z bezpečnostních opatření. Udělit uživateli výjimku lze tak, že v dialogu Domény & Účty Správa <doména> - <účet> Služby Zařízení ActiveSync Uživatelská politika zaškrtneme volbu Povolit přístup na zařízení plně nepodporující nastavení hesla. * * Volbu Obnovit nastavení na přístroji (hodin) je vhodné ponechat zapnutou, tím se server pokouší pravidelně bezpečnostní politiku na zařízení prosadit, takže v případě, že nová aktualizace firmware daného zařízení nebo nová verze ActiveSync klienta přinese podporu bezpečnostní politiky, bude politika samočinně aplikována při nejbližší příležitosti. Pokud takový scénář není pravděpodobný, může být tato volba vypnuta. Jak zrušit nastavenou politiku Zrušit bezpečnostní politiku jednou aplikovanou na zařízení lze poklepáním na něj v seznamu Zařízení ActiveSync a vypnutím volby U přístroje vyžadovat heslo, poté kliknutím na tlačítko OK a následně Použít. Na zařízení je tím vysláno tzv. "neutralizační opatření", blíže popsané zkraje kapitoly Jak definovat bezpečnostní politiku, které ruší účinnost předchozích bezpečnostní politiky. Po navázání synchronizace se serverem (pokud je zapnutý DirectPush tak okamžitě), dojde k přepsání bezpečnostních nastavení podle výchozí bezpečnostní politiky. Pozn.: tím není automaticky zrušen požadavek na heslo pro odemknutí zařízení. Uživatel nejprve musí správně zadat stávající heslo, než může změnit bezpečnostní nastavení nebo úplně zrušit požadavek na heslo pro odemknutí. Pozn.: vypnutím volby U přístroje vyžadovat heslo se na zařízení použije výchozí politika dovolující uživatelské bezpečnostní nastavení, předchozí konfigurace bezpečnostní politiky pro dané zařízení ale zůstává v dialogu uložená (volby jsou zašedlé) a vymaže se až s odebráním zařízení ze seznamu Zařízení ActiveSync použitím volby Odebrat zařízení. Administrátor tak může přehodnotit své rozhodnutí politiku zrušit (nebo když ji zruší omylem) a opět ji v aplikovat v původním rozsahu nastavení. Referenční tabulka Bezpečnostní politiky Exchage ActiveSync v revizi 2.5 umožňují administrátorovi systému nebo domény vynutit ochranu zařízení heslem, nastavit délku a sílu hesla, nastavit dobu nečinnosti před uzamčením a počet neúspěšných pokusů po kterých dojde k lokálnímu výmazu. Pozn.: V této části je termínem heslo označován kód zámku zařízení, který uživatel musí zadat, aby mohl zařízení vůbec použít. Neplést se SIM PIN nebo heslem k účtu. Položka Politiky se dědí z výchozí/doména/účet úrovně Popis Podle této Informace v záhlaví se dá na první pohled zjistit, zda jde o politiku specifikovanou administrátorem, nebo politiku zděděnou z jedné z nadřazených úrovní: výchozí politika globální politika doménová politika

21 uživatelská politika U přístroje vyžadovat heslo Minimální délka hesla (znaků) Vyžadovat čísla i znaky Pakliže jde o politiku specifikovanou administrátorem, tedy nikoliv zděděnou, text v záhlaví zní: Pro příkaz k dědění politik z vyšší úrovně klikněte na tlačítko "Zdědit" níže. Pozn.: připomínáme koncept dědičnosti: Dědičnost znamená, že politika z vyšší úrovně (např. z domény) se automaticky promítá do všech nižších úrovní (např. na uživatele). Zároveň pokud není na doméně nastaveno jinak, uživatel zdědí politiku nastavenou na serveru. A tak dále až do výchozí úrovně, na které dědičnost nelze nastavit a zůstává neměnná. Pokud na některé úrovni politiku změníte, máte možnost ji vrátit zpět na hodnoty zděděné z vyšší úrovně tlačítkem Zdědit. Bezpečnostní funkce jsou implicitně na zařízení vypnuté, bezpečnostní kód není třeba zadávat. Zaškrtnutím volby U přístroje vyžadovat heslonastavíme ochranu zařízení heslem, které bude třeba zadat po zapnutí nebo po nastavené době nečinnnosti. Zároveň s tím se zpřístupní podrobnější nastavení bezpečnostní politiky, umožňující určit sílu hesla a další související volby. Vypnutím volby U přístroje vyžadovat heslo dojde k deaktivaci nastavené bezpečnostní politiky na všech zařízeních podle úrovně na které politiku definujete, a uživatelé tak budou moci prvky zabezpečení sami měnit, nebo vypnout úplně. Zapnutím volby definujete, že délka hesla nebude libovolná, ale bude řízena nastavením bezpečnostní politiky, která umožňuje specifikovat délku hesla. Výchozí nastavení délky hesla jsou 4 znaky. Přípustný rozsah je 2 až 18 znaků. Pokud zadáte číslo mimo přípustný rozsah, automaticky se upraví na nejbližší povolenou hodnotu (2 nebo 18), jakmile přesunete kurzor mimo vstupní pole kliknutím, klávesou Tab nebo opuštěním dialogu tlačítkem OK. Vypnutí volby způsobí, že délku hesla si bude moci uživatel sám zvolit. Zapnutím volby definujete, že síla hesla nebude libovolná, ale bude řízena nastavením bezpečnostní politiky na serveru, která umožňuje specifikovat, že heslo musí být alfanumerické (obsahovat jak číslice tak písmena). Napříkad při zapnutí volby Vyžadovat čísla i znaky a nastavením volby Minimální délka hesla na 8 znaků způsobí, že uživatelé zařízení na platformě Windows Mobile si budou muset nastavit heslo složené alespoň z pěti písmen a alespoň ze tří číslic. Nebudou moci změnit nastavení Password Type na číselné heslo typu PIN, jako jediná přípustná volba zůstane jen Strong password. Uživatelé zařízení iphone budou si budou muset zvolit heslo z alespoň osmi znaků v kombinaci písmen a číslic a jednoho speciálního znaku: &#@%. Vypnutí volby způsobí, že uživatel si bude moci sám zvolit zda pro vytvoření použít číslice, písmena nebo jejich kombinaci, s výjimkou sekvencí typu 1234, 1111, které jako heslo použít nelze. Volba Minimální

22 Doba neaktivity (minut) Vymazat přístroj po selhání (počet pokusů) Obnovit nastavení na přístroji (hodin) délka hesla má vždy vliv na délku hesla, ať je numerické nebo alfanumerické. Zapnutím volby definujete, že nastavení doby nečinnosti nebude libovolné, ale bude se řídit bezpečnostní politikou, která umožňuje určit dobu nečinnosti v minutách, po které bude uživatel vyzván k zadání hesla. Pokud uživatel použije nějaký ovládací prvek zařízení před uplynutím doby nečinnosti, heslo zadávat nemusí a čas se počítá od znovu. Zadejte požadovanou dobu nečinnosti v minutách (započítává se i pohotovostní režim). Toto nastavení je nezávislé na nastavení zámku klávesnice nebo pohotovostního režimu- pokud je doba nečinnosti nastavená například na 5 minut a zařízení třeba po 2 minutách nečinnosti usne, uživatel po další 1 minutě zařízení zapne a heslo zadávat nemusí. Přípustný rozsah je minut. Pokud zadáte vyšší číslo, uloží se namísto něj nejvyšší hodnota Výchozí nastavení je 5 minut. 0 znamená, že požadavek na heslo se zobrazí vždy po zapnutí zařízení, nebo po jeho probuzení z pohotovostního režimu. Pokude nejsou nastavené žádné funkce pro úsporu energie a zařízení se nikdy do pohotovostního režimu nedostane, 0 znamená, že heslo bude vyžadováno jen po zapnutí zařízení. Vypnutím volby umožníte, že uživatel si bude moci délku doby nečinnosti zvolit sám (ochranu heslem po zapnutí ale zrušit nemůže). Zapnutím volby definujete, že nastavení lokálního výmazu nebude libovolné, ale bude se řídit bezpečnostní politikou, která umožňuje určit počet neúspěšných pokusů, po kterých dojde samočinně k vymazání veškerých dat a uživatelských nastavení na zařízení. Pozn.: pokud se počet nesprávných pokusů blíží k polovině zadané hodnoty, zařízení vyzve uživatele k opsání několika znaků z obrazovky (většinou je to řetězec a1b2c3) než lze pokračovat v zadávání hesla. To brání nechtěnému vyvolání lokálního výmazu a ztrátě všech dat na zařízení, je-li například ponecháno v kapse s neuzamčenou klávesnicí. Zadejte maximální počet neúspěšných pokusů o zadání hesla. Povolený rozsah je Pokud zadáte vyšší číslo, uloží se namísto něj nejvyšší hodnota 99. Výchozí nastavení je 8 pokusů. 0 znamená, že lokální reset je na zařízení zakázán úplně, ani uživatel jej nemůže manuálně zapnout. Vypnutím volby umožníte, že uživatel si bude moci maximální počet neúspěšných pokusů zvolit sám. Některá zařízení takové nastavení uživateli umožňují, na jiných taková volba schází a použijí přednastavenou hodnotu 8 nebo 10. Umožňuje zvolit, že bezpečnostní politka se bude na zařízení pravidelně obnovovat v daném intervalu v hodinách. Takové nastavení je vhodné pro případ, že některý pokročilý uživatel, změnou registru nebo jinak, přenastaví či deaktivuje prvky bezpečnostní politiky určené

23 Povolit přístup na zařízení plně nepodporující nastavení hesla administrátorem. Díky pravidelné obnově bezpečnostních nastavení se takové uživatelské změny zanedlouho přepíšou podle bezpečnostní politiky na serveru. Zapnutím volby aktivujete pravidelnou obnovu bezpečnostní politiky ve zvoleném intervalu. Vepište dobu v hodinách, po které zařízení před další synchronizací zároveň obdrží administrátorem nastavenou bezpečnostní politiku. Přípustný rozsah je hodin. Pokud zadáte číslo mimo přípustný rozsah, automaticky se upraví na nejbližší povolenou hodnotu (1 nebo 9999). Výchozí nastavení je 24 hodin. Vypnutím volby určíte, že bezpečnostní nastavení se na zařízení aplikují pouze jednou, před první synchronizací (tj. po nakonfigurování účtu pro ActiveSync), nebo zároveň s nadcházející synchronizací, pokud se na něj bezpečnostní politika předtím nevztahovala, nebo pokud ji administrátor změní. Zapnutím volby povolíte synchronizaci i zařízením, která nejsou kompatibilní se všemí prvky bezpečnostní politiky (starší zařízení bez aktualizace MSFP) nebo ji nepodporují vůbec. Tím umožníte synchronizaci obecně všem zařízením, která podporují Exchange ActiveSync. Implicitně je tato volba zapnutá. Vypnutím volby umožníte synchronizaci jen zařízením, která jsou plně kompatibilní s bezpečnostími politikami, ostatní obdrží od serveru chybové hlášení 449 Needs provisioning a přenos jakýchkoli dat ze serveru jim bude znemožněn. Uživatel (a v kopii administrátor primární domény) v takovém případě obdrží s informací, že zařízení byl odmítnut přístup na server z důvodu nesouladu s bezpečnostní politkou (buď ji nepodporují, nebo uživatel nesouhlasil s jejím použitím). Zdědit OK Zrušit Stisknutím tlačítka se administrátorem nastavená politika přepíše nastavením z vyšší úrovně (podědí). Informace, z které úrovně se politika zdědí, je uvedena v záhlaví dialogu. Stisknutím tlačítka OK uložíte nastavenou konfiguraci. Samotná bezpečnostní politika se na zařízení odešle až stisknutím tlačítka Použít. Pokud nedošlo k žádným změnám v nastavení, tlačítko Použít nebude aktivní. Ikdyby se změnila jen dědičnost a tlačítko Použít bylo aktivní, mechanismus rozezná, že efektivně nedošlo k žádným změnám v bezpečnostních nastaveních a tedy nebude znovu na zařízení tatáž nastavení vynucovat- k tomu dojde případně až po uplnytí intervalu, ve kterém dochází k jejich automatickému obnovení. Stisknutím tlačítka Zrušit zavřete okno dialogu bez uložení změn.

24 Šifrování SSL na platformě Windows Mobile Požadavky na SSL spojení Pro správnou funkci DirectPush a AutoDiscover na zařízení s Windows Mobile je třeba při konfiguraci účtu aktivovat SSL spojení pro ověření autentičnosti serveru. Dále je nutné zajistit, že server používá SSL certifikát, který zařízení považuje za důvěryhodný- v opačném případě zařízení nenechá uživatele rozhodnout o pravosti certifikátu, samo jej zamítne a SSL spojení nevytvoří. Administrátor má tedy na výběr z několika variant: 1. (Doporučeno.) Pořiďte si ověřený certifikát vydaný (podepsaný kořenovým certifikátem) uznávanou certifikační autoritou, které zařízení implicitně důvěřuje (viz dále v sekci Důvěryhodné certifikáty na Windows Mobile, nebo na zařízení v seznamu Settings System Certificates Root). Nainstalujte tento certifikát na server. Podrobnosti jak na to naleznete v kapitole Getting a Digital Certificate ve Windows nápovědě (pod tlačítkem F1), pokud v Administrační konzoli otevřete nastavení Systém - Certifikáty. 2. (Nedoporučuje se.) Pořiďte si ověřený certifikát vydaný certifikační autoritou, který je podepsaný mezilehlým certifikátem od certifikační autority, které zařízení implicitně důvěřuje, což ale znamená, že stále musíte na zařízení dodatečně naimportovat mezilehlý certifikát. 3. (Jen pro zvláštní nebo testovací účely.) Jestliže použijete svůj vlastní self-signed certifikát (bez nadřazené certifikační autority), bude nutné do všech používaných zařízení naimportovat odpovídající kořenový certifikát.

25 Windows Mobile 5.0 a Windows Mobile 6.x Zvolíte-li možnost č. 1, vyhnete se jakékoli dodatečné konfiguraci zařízení. Zvolíte-li možnost č. 2 nebo č. 3, následující návod vám ukáže, jak do zařízení naimportovat mezilehlý nebo self-signed certifikát. 1. Pomocí SSL utility vyexportujte kořenový certifikát ve formátu DER kódovaný v X.509, tj. s příponou.cer. 2. Vyexportovaný soubor kořenového/mezilehlého certifikátu přeneste na zařízení, buď do adresáře \Storage připojením kabelem pomocí aplikace ActiveSync (Tools Explore), nebo na paměťovou kartu vloženou do zařízení. 3. Případně je možné soubor certifikátu poslat em přes stávající účet typu IMAP/POP před samotnou konfigurací ActiveSync účtu, přílohu potom uložte do nějaké složky. 4. Nakonec najděte soubor certikátu v aplikaci File Explorer (mobilní verze Průzkumníka), poklepejte na něj a potvrďte, že jej chcete přidat mezi důvěřované certifikáty. 5. Chcete-li ověřit, že byl správně naimportován, jděte do menu Start, vyberte Settings a přepněte se na záložku System - Certificates; ceritifikát bude v seznamu Intermediary nebo Root. Pozn.: instalace kořenových certifikátu může být zakázána výrobcem zařízení nebo operátorem- v takovém případě je nutné k jeho nahrání použít speciální programové vybavení. PocketPC/Smartphone 2002 a 2003 Tato starší generace operačního systému ještě neimplementuje technologie DirectPush ani AutoDiscover, přesto je dobré SSL spojení zkonfigurovat kvůli ochraně přenášených dat. Zařízení na platformě PocketPC 2002 a PocketPC 2003 komunikují se serverem ActiveSync výhradně přes spojení SSL (Secure Sockets Layer). Zařízení na platformě Windows Mobile 2003 už nejsou omezena jen na připojení SSL. V každém případě je velmi výhodné připojení SSL použít k ochraně dat a přihlašovacích údajů, které jsou jinak přenášeny v nezakódové podobě, což je dáno samotnou specifikací protokolu (XML formát). Tyto platformy používají rozhraní Microsoft Crypto API (CAPI) k bezpečnému uložení kořenových certifikátů na zařízení, pro import kořenového certifikátu je většinou nutné použít nástroj poskytovaný k tomuto účelu společností Microsoft. Další informace naleznete na stránkách technické podpory společnosti Microsoft, včetně odkazu na stažení zmíněného programového vybavení. Pozn.: instalace kořenových certifikátu může být zakázána operátorem od kterého přístroj pochází. Použití utility k importu certifikátu do kořenového úložiště předpokládá, že na zařízení lze spouštět nepodepsané aplikace (Unrestricted Application Security Policy). Nastavení šifrování SSL pro ActiveSync Zapnutí SSL na platformě Windows Mobile 2003/5.0/6.0/6.1 provedete buď v průvodci nastavením ActiveSync nebo později v aplikaci ActiveSync - Server Synchronization - vybráním volby This server requires an encrypted (SSL) connection, tím pádem umožníte správnou funkci DirectPush a AutoDiscover.