Когда подписчик или пользователь единой системы обмена сообщениями (UM) в Microsoft Exchange Server 2007 подключается к компьютеру, которому присвоена роль сервера единой системы обмена сообщениями, с помощью телефона, он использует голосовой доступ Outlook для перехода по меню UM. Однако, прежде чем пользователь сможет обратиться к единой системе обмена сообщениями, система запрашивает у него ПИН. Администраторы могут настраивать параметры и требования ПИН, а также выполнять задачи управления ПИН. Если для пользователя включена поддержка единой системы обмена сообщениями, при создании ПИН в почтовом ящике пользователя будет храниться хэш (математическое вычисление) его ПИН. Контрольная сумма ПИН сохраняется в виде атрибута ExUMPINChecksum в Active Directory.

Примечание.
Чтобы войти в свой почтовый ящик с поддержкой UM, абонент должен ввести ПИН, воспользовавшись кнопочным тональным или многочастотным двухтональным (DTMF) режимом ввода. Распознавание речи для ввода ПИН не поддерживается.

ПИН — строка цифр, которая используется в определенных системах, включая единые системы обмена сообщениями, для проверки подлинности пользователя и предоставления ему доступа. ПИН — это код, который пользователь вводит с помощью телефона, чтобы получить доступ к своему почтовому ящику Exchange Server. Стойкость ПИН зависит от его длины, степени его защиты и от того, как трудно его разгадать.

ПИН широко используется в банкоматах (АТМ). Однако они также используются и в единых системах обмена сообщениями вместо алфавитно-цифровых паролей. В единой системе обмена сообщениями Microsoft Exchange 2007 ПИН вводится с помощью аналогового, цифрового или мобильного телефона и используется для получения доступа к почтовому ящику пользователя, содержащему электронную и голосовую почту, а также данные календаря.

В единой системе обмена сообщениями Exchange 2007 политики ПИН определяются и настраиваются на основе политики почтовых ящиков единой системы обмена сообщениями. В зависимости от конкретных требований может быть создано несколько политик поддержки почтовых ящиков единой системы обмена сообщениями. После активации пользователя для единой системы обмена сообщениями Exchange Server 2007 необходимо связать его с существующей политикой почтовых ящиков единой системы обмена сообщениями. Политики ПИН единой системы обмена сообщениями, настраиваемые на основе политики поддержки почтового ящика единой системы обмена сообщениями, должны отвечать требованиям безопасности организации.

Требования к ПИН

Далее приводится несколько параметров настройки ПИН, которые можно устанавливать в соответствии с политикой поддержки почтовых ящиков UM в Exchange 2007.

Минимальная длина ПИН

Минимальная длина ПИН определяет минимальное число цифр, которое может содержать ПИН почтового ящика. Диапазон значений этого параметра — от 4 до 24, умолчание — 6. Если ввести 0, пользователям не нужно будет вводить ПИН.

Важно!
Устанавливать для этого параметра нулевое значение не рекомендуется. Нулевая длина ПИН существенно уменьшает уровень безопасности сети.

Если изменить минимальную длину пароля на большую, существующим подписчикам, прежде чем они смогут продолжить работу, будет предложено ввести новый ПИН, который содержит новое минимальное число цифр.

Примечание.
С увеличением этого значения создается более безопасная среда единой системы обмена сообщениями. Однако при чрезмерном его увеличении пользователи могут испытывать трудности с запоминанием своего ПИН.

Срок действия ПИН

Срок действия ПИН определяет временной интервал в днях с даты последнего изменения подписчиком ПИН до даты, когда он должен будет изменить ПИН снова. Диапазон значений — от 0 до 999, умолчание — 60 дней. Если введен 0, срок действия ПИН не ограничен.

Примечание.
Единая система обмена сообщениями не извещает пользователя о том, что срок использования ПИН истекает.

Число ошибок входа до сброса ПИН

Число ошибок входа до сброса ПИН определяет допустимое число последовательных неудачных попыток входа до того, как ПИН почтового ящика автоматически сбрасывается. Чтобы отключить эту функцию, установите для этого параметра неограниченное число ошибок. В противном случае должно быть задано число, которое меньше максимального числа попыток входа. Диапазон возможных значений — от 1 до 998, умолчание — 5.

Примечание.
Чтобы повысить безопасность пользователей единой системы обмена сообщениями, введите число, которое меньше 5.

Максимальное число попыток входа

Максимальное число попыток входа определяет, сколько подписчик может сделать последовательных ошибочных звонков ввода ПИН, прежде чем его доступ к почтовому ящику будет блокирован. По умолчанию после пяти попыток ПИН автоматически сбрасывается. Диапазон возможных значений — от 1 до 999, умолчание — 15.

Примечание.
Чтобы повысить безопасность, следует уменьшить число неудачных попыток. Однако нужно помнить, что уменьшение этого значения до числа, значительно меньшего, чем умолчание, может привести к чрезмерным блокировкам пользователей. Единая система обмена сообщениями генерирует предупреждения, которые можно просматривать с помощью средства просмотра событий, если проверка подлинности ПИН пользователя единой системы обмена сообщениями не удалась или если пользователь не смог успешно зарегистрироваться в системе.

Разрешить общие шаблоны

Параметр «Разрешить общие шаблоны» используется для включения и отключения использования общих числовых шаблонов при создании ПИН. По умолчанию этот параметр отключен, что не позволит пользователям ввести числа, соответствующие следующим шаблонам:

  • Последовательные цифры — значения ПИН, которые полностью состоят из последовательных цифр. Примеры последовательных цифр для ПИН: 1234 и 65432.

  • Повторяющиеся цифры — значения ПИН, которые состоят из повторяющихся цифр. Примерами повторяющихся цифр являются 11111 и 22222.

  • Суффикс добавочного номера почтового ящика — значения ПИН, которые совпадают с суффиксом добавочного номера почтового ящика. Например, если добавочный номер почтового ящика — 36697, ПИН не может равняться 6697.

Счетчик ПИН

Счетчик ПИН задает число разных ПИН, которые пользователь должен использовать, прежде чем сможет повторно использовать любые ранее использованные ПИН. Диапазон возможных значений — от 1 до 20, умолчание — 5.

Управление ПИН единой системы обмена сообщениями

Планируя ПИН единой системы обмена сообщениями, убедитесь, что выбираете надлежащие уровни безопасности для своей организации. Необходимо тщательно проработать требования к ПИН единой системы обмена сообщениями и проанализировать, в какой мере настройки безопасности ПИН соответствуют или превышают параметры политики безопасности организации.

Важно!
Практика обеспечения безопасности предполагает применение жестких требований к ПИН для пользователей единой системы обмена сообщениями. Этого можно достичь созданием политик ПИН единой системы обмена сообщениями, которые, требуя для ПИН шесть и больше цифр, повышают уровень безопасности сети.

После определения требований к ПИН, которые отвечают требованиям безопасности для организации, необходимо создать и настроить политику поддержки почтовых ящиков единой системы обмена сообщениями, чтобы установить организационные требования к ПИН. Дополнительные сведения о создании и управлении политикой поддержки почтовых ящиков единой системы обмена сообщениями см. в разделе Управление политиками почтовых ящиков единой системы обмена сообщениями.

Примечание.
После создания политики поддержки почтовых ящиков единой системы обмена сообщениями необходимо связать пользователей единой системы обмена сообщениями с соответствующей политикой поддержки почтовых ящиков единой системы обмена сообщениями. Эту задачу можно выполнить с помощью команды Enable-UMMailbox командной консоли Exchange Management Shell. Дополнительные сведения о командах командной консоли Exchange см. в разделе справки Enable-UMMailbox.

Бывают ситуации, когда пользователи единой системы обмена сообщениями забывают свой ПИН или доступ к их почтовому ящику единой системы обмена сообщениями блокируется. В обоих случаях может потребоваться выполнить сброс ПИН пользователя единой системы обмена сообщениями. Дополнительные сведения о том, как сбросить ПИН пользователя см. в разделе Сброс ПИН пользователя в единой системе обмена сообщениями.

Дополнительные сведения