Voorkom dat smartphones liegen tegen Exchange
Gepubliceerd: Vrijdag 25 september 2009
Auteur: Galen Gruman
Onlangs bleek dat iPhones onterecht toegang kregen tot Exchange omdat ze aan Exchange meldden dat ze on-device encryptie hadden, terwijl ze dat in feite niet ondersteunden. Die zaak heeft wat vraagtekens gezet bij de mobiele support voor Exchange ActiveSync policies.
Policies zijn een belangrijk middel waarmee je je netwerk veilig kunt houden. Maar nu blijkt dat goede informatie over de support op mobiele apparaten voor deze EAS policies niet zo makkelijk te krijgen is. Bovendien is het lang niet altijd duidelijk wat er gebeurt als een Exchange server is geconfigureerd om een policy te gebruiken, terwijl een mobiel apparaat die policy niet ondersteunt.
De feiten
Het is aan de beheerder om zeker te stellen dat er aan de policies wordt voldaan, welk apparaat er ook wordt gebruikt. Daarom hebben we de feiten even op een rij gezet.
Exchange ActiveSync 2007 kent 29 toegangs- en beveiligingspolicies die door de beheerder kunnen worden geactiveerd. (Kijk op de Technet pagina's voor details over de policies)
Er zijn maar een paar mobiele apparaten die in ieder geval een paar van deze EAS policies ondersteunen. Dat zijn ten eerste de iPhone, natuurlijk apparaten met Windows Mobile, de E en N series en de S60 van Nokia en tot slot WebOS en Palm OS van Palm.
Windows Mobile 6.1 ondersteunt alle 29 policies, al heb je voor een aantal ervan wel een Exchange enterprise licentie nodig. Apple en Nokia hebben tot nu toe niet gereageerd op verzoeken om precies te vertellen welke policies ze ondersteunen en een woordvoerster van Palm is tot nu toe niet in staat gebleken om de bewuste informatie boven water te krijgen. Op hun websites hebben de drie bedrijven wel wat informatie staan:
• De site van Nokia zegt dat ze "alle security policies" ondersteunen, zonder erbij te vermelden welke dat precies zijn.
• Apple zegt dat de iPhone de volgende policies ondersteunt: Allow Camera, Password Enabled, Allow History, Maximum Failed Password Attemts, Minimum Password Length, Maximum Inactivity Time Lock, Policy Refresh Interval, Minimum Device Comlex Characters, Require Manual Synchronization While Roaming en - alleen in iPhone 3.1 - Require Device Encryption.
• Palm geeft aan dat WebOS 1.1 de volgende policies ondersteunt: Password Enabled, Alphanumeric Password, Password History, Maximum Failed Password Attemts, Maximum Password Length, Maximum Inactivity Lock, Minimum Device Complex Characters en Password Recovery.
Android van Google ondersteunt EAS helemaal niet en BlackBerry ondersteunt het niet direct. In plaats van EAS heb je voor de BlackBerry RIM's eigen BlackBerry Enterprise Server, die zelf een aantal policies heeft. Vanzelfsprekend ondersteunt BlackBerry OS die allemaal.
Veel apparaten kunnen wel met Exchange verbinden via IMAP, als Exchange tenminste zo is geconfigureerd dat dit wordt toegelaten. Maar de EAS policies kunnen niet worden afgedwongen via IMAP.
Zeker stellen dat EAS niet wordt omzeild
Aan het onterecht rapporteren van on-device encryptie door iPhones werd een einde gemaakt door de update naar iPhone OS 3.1, die op 8 september werd uitgebracht. Maar doordat ze gebruikers en beheerders niet op de hoogte hadden gesteld van de fix voor apparaten die voorheen logen over hun encryptie, zorgde Apple ervoor dat gebruikers ineens geen toegang meer hadden tot Exchange nadat ze hun upgrade hadden uitgevoerd. (Overigens hebben de iPhone 3G S en het laatste model van de iPhone Touch wel de beschikking over on-device encryptie, dus die spraken de waarheid als het daar om ging)
De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.
