Методология
alukash.jpgАлексей Лукаш
osenchenko.jpgОлег Сенченко

Мобильные устройства часто используются для работы с конфиденциальными данными, поэтому безопасная настройка почтовых клиентов для мобильных устройств играет важную роль в обеспечении киберустойчивости организации. Применение современных методов шифрования и аутентификации позволит обеспечить высокий уровень защищенности информации от несанкционированного доступа.

Подходы к организации доступа через интернет по протоколу ActiveSync

Подходы к организации доступа мобильных клиентов через интернет по протоколу ActiveSync, приведенные в этом разделе, применяются:

  • если необходима защита от брутфорс-атак;
  • если необходимо предотвратить несанкционированное чтение почты в случае компрометации учетной записи пользователя;
  • если на внешнем периметре включена двухфакторная аутентификация для OWA.

Протокол ActiveSync используется для подключения мобильных клиентов. В зависимости от требований и возможностей существуют несколько вариантов организации доступа мобильных клиентов.

Ниже перечислены варианты организации доступа в порядке убывания их эффективности с точки зрения информационной безопасности:

  • Запретите подключение мобильных клиентов по протоколу ActiveSync без VPN, при этом следует запретить подключение клиентов Microsoft Outlook с ноутбуков без VPN, как это сделано для .
  • При необходимости использования мобильных клиентов по протоколу ActiveSync, не подключенных к VPN, используйте аутентификацию по сертификатам.
  • При невозможности использования аутентификации по сертификатам используйте в Microsoft Exchange карантин для новых мобильных устройств с ручным подтверждением доступа системным администратором.
  • При использовании дополнительных продуктов, например портала самообслуживания Multifactor (подробная информация доступна по ссылке) или аналогичных решений, возможно реализовать механизм подтверждения нового устройства самим пользователем без участия системных администраторов.

Настройка аутентификации по сертификатам для мобильных клиентов и (или) Outlook on the web (Outlook Web App)

Предварительные условия для настройки аутентификации по сертификатам для мобильных клиентов и (или) Outlook on the web (Outlook Web App):

  • Наличие приложения для выписки, учета и управления сертификатами. На момент написания этих рекомендаций в реестре российского ПО зарегистрированы приложения для управления сертификатами от компаний АО «Аладдин Р.Д.» и ООО «Аванпост».
  • Ознакомление с рекомендациями по использованию сертификатов в Microsoft Exchange, доступными по ссылке.

Описание процесса настройки аутентификации по сертификатам представлено на сайте Microsoft по ссылке.

После настройки необходимо проверить, что базовая аутентификация (basic access authentication) отключена для мобильных клиентов (подробная информация доступна в разделе Step 4 по ссылке).

Настройка карантина для новых мобильных устройств

Настройка карантина для новых мобильных устройств применяется:

  • если разрешено подключение по протоколу ActiveSync через интернет;
  • если нет возможности использовать аутентификацию по сертификатам.

Карантин — временная блокировка нового устройства после первого его подключения по протоколу ActiveSync.

Пример команды для включения политики карантина по умолчанию для всех новых устройств:

Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Quarantine -AdminMailRecipients will@contoso.com,roger@contoso.com

ВАЖНО! Перед включением политики карантина необходимо для каждого почтового ящика добавить в список ActiveSyncAllowedDeviceIDs перечень ID тех устройств, которые активны у пользователя. В противном случае после включения режима карантина все существующие у пользователей устройства перейдут в статус «в карантине» и перестанут получать почту с сервера Microsoft Exchange.

Получить текущий список мобильных устройств пользователя можно с помощью команды:

Get-ActiveSyncDeviceStatistics -Mailbox \<username\> \| select DeviceID, LastSuccessSync

Удаленное управление мобильными устройствами

Удаленное управление мобильными устройствами применяется:

  • если используются корпоративные мобильные устройства для доступа к почте;
  • если разрешено подключение по протоколу ActiveSync через интернет.

Ограничьте использование мобильных почтовых клиентов только приложением Microsoft Outlook для iOS или Android (подробная информация доступна в разделе Device access policy по ссылке). Альтернативные мобильные клиенты игнорируют настройку и требования политик, распространяемых с сервера Microsoft Exchange на мобильных клиентов, и потому не могут использоваться.

В политиках для мобильных устройств (подробная информация доступна по ссылке) настройте следующие требования к мобильному устройству:

  • наличие пароля или PIN-кода для разблокировки мобильного устройства;
  • наличие шифрования на мобильном устройстве. Примечание:
  • для устройств на базе iOS шифрование включено по умолчанию;
  • для устройств на базе Android версии 7.0 и выше требование к включению шифрования на устройстве существует по умолчанию.

Действия при утере мобильных устройств или при подозрении на их компрометацию

Применение мобильных устройств сопряжено с рисками потери, кражи и компрометации самих устройств, а также их содержимого. Причем устройства не всегда могут принадлежать организации. Политика BYOD (bring your own device) позволяет использовать собственную технику для выполнения рабочих задач. Самый частый пример — использование клиента электронной почты, подключенного к почтовому серверу компании. Ниже представлены инструкции как для личных, так и для корпоративных устройств, которые должны быть выполнены в случае утраты или компрометации этих устройств.

1. Корпоративное устройство

В случае если настроено удаленное управление устройствами, воспользуйтесь функцией удаленной очистки данных (подробная информация доступна по ссылке). Если такое управление не настроено, смотрите ниже пункт 2 «Личное устройство».

2. Личное устройство

Получите список устройств пользователя, которые подключены к его почтовому ящику, с помощью команды: Get-MobileDeviceStatistics.

Далее действуйте по одному из вариантов:

  1. Заблокируйте доступ к почтовому ящику пользователя по протоколу ActiveSync с помощью команды: Set-CasMailbox -Identity \<MailboxIdentity\> -ActiveSyncEnabled \<$true \| $false\>.

При этом любые подключения по протоколу ActiveSync к этому почтовому ящику будут запрещены (подробная информация доступна по ссылке).

  1. Заблокируйте конкретное устройство пользователя. Для этого получите список активных устройств пользователя с помощью команды: Get-MobileDeviceStatistics

А затем заблокируйте устройство с помощью команды:

Set-CASMailbox -Identity \<username\> -ActiveSyncBlockedDeviceIDs @{add=’DeviceId’}, где DeviceId — идентификационный номер устройства, определенный на первом шаге.

Все эти действия можно выполнить из графического интерфейса Exchange Admin Center, выбрав в свойствах конкретного почтового ящика пункт меню Mailbox features, затем раздел Phone and Voice Features и далее раздел Mobile Devices.