MSFP - Messaging Security and Feature Pack (AKU 2.0)

Um die mit Exchange 2003 eingeführte Funktion Always up-to-date in Verbindung mit dem Exchange ActiveSync Server zu nutzen, benötigen Sie das Messaging Security and Feature Pack auf ihrem mobilen Endgerät.

Habe ich schon MSFP installiert ?
Kontrollieren Sie dazu die Versionsnummer unter "Start - Einstellungen - Info"
In Windows Mobile 5.0-basierten Geräten ab Versionsnummer 148xx.2.x.x ist das Messaging & Security Feature Pack bereits enthalten.

 

MSFP ist kein "Update", welches Sie von Microsoft landen können. Der Hersteller/Vertrieb ihres Windows Mobile Endgeräts muss ihnen ein Firmware Update bereitstellen.

Das MSFP wird manchmal auch aus "Adaption Kit Update 2 (AKU2)" bezeichnet.

Einige Mobilgeräte sind "gelockt". Hinweise auf Programme zum Entsperren habe ich vor einiger Zeit auf folgenden Seiten gelesen
http://forum.xda-developers.com/viewtopic.php?t=6963
http://forum.xda-developers.com/viewtopic.php?t=24779
Ich kann nicht beurteilen, wie dies rechtlich zu sehen ist.

Geräte, die MSFP unterstützen

Folgende Geräte sind für Exchange 2003 SP2 mit Pushfunktion tauglich bzw. können aktualisiert werden. Ich habe die Geräte nach den deutschen Providern getrennt. Allerdings wissen Sie alle, dass keiner Geräte selbst herstellt, sondern von HTC und anderen diese produzieren und mit eigener Firmware ausstatten lassen. Daher sind einige Geräte im Prinzip baugleich, d.h. Unterscheiden sich vielleicht nur durch kleine Abweichungen der Gehäuse.

Achtung
Baugleich bedeutet nicht, dass Sie z.B. die Firmware eines MDA Vario auf einem VPA compact laden können.

Sehr aktuell erscheint mir auch die Seite http://www.windowsmobiletraining.com/index.aspx?action=theme&type=article&file=article_msfp_Updates.html
(Anmeldung mit Windows Live ID (ehemals Passport) erforderlich.

Microsoft Übersicht der Geräte mit MSFP on Board und verfügbare Updates (primäre uS/UK) http://www.Microsoft.com/windowsmobile/business/5/default.mspx

Microsoft

Microsoft baut zwar keine eigenen Smartphones, aber es gibt einen Emulator, um eigene Programme zu testen. Dies ist ideal für Demonstrationen und Experimente

Endgerät
und ähnliche
Download
Microsoft Virtual Mobile Image

MobileEmulator
Seit Mai zum Download verfügbar unter:

Standalone Device Emuator 1.0 with Windows Mobile OS Images
http://www.Microsoft.com/downloads/details.aspx?
FamilyID=c62d54a5-183a-4a1e-a7e2-cc500ed1f19a&DisplayLang=en
Enthält Windows Mobile 5.0 with Messaging and Security Feature Pack (MSFP)
Emulator Image: efp.msi 56.6 MB
Standalone Emulator: V1Emulator.zip 867 KB

Details auch auf dem Exchange Blog
http://blogs.technet.com/b/exchange/archive/2006/05/19/427746.aspx

T-Mobile

T-Mobile hat auf der CeBit 2006 die Verfügbarkeit der neuen Firmware für April angekündigt. Auf der Webseite sollen die Updates veröffentlicht werden, die dann von den Anwendern selbst installiert werden müssen. Ein UpdateMöglichkeit  im T-Punkt ist wohl nur ein Gerücht.

vodafone

Vodafone hat ebenfalls auf der CeBit 06 den April 06 als der "große" Monat für Updates angekündigt. Es ist dann doch Mai geworden. VPA steht für vodafone Personal Assistant
Endgerät Download

VPA Compact I

Noch keine Informationen

VPA Compact II

ROM-Version 2.21.3.1
http://www.vodafone.de/business/support_download/81336.html

VDA II

ROM-Version 2.0.9.0
http://www.vodafone.de/business/support_download/81336.html

VPA IV UMTS

ROM-Version 1.30.91
http://www.vodafone.de/business/support_download/81336.html

VPA compact s

Windows Mobile 5 mit MSFP von Anfang an enthalten

e-plus

Endgerät Download

PDA IV

http://www.myqtek.com/germany/myqtek.aspx
Wir über "QTEK" geliefert

Pocket PDA

http://www.myqtek.com/germany/myqtek.aspx
Wir über "QTEK" geliefert

o2

andere

Einige Geräte sind noch nicht auf dem Markt oder werden nicht von den deutschen Anbietern vertrieben. Allerdings könne Sie sich ja auch ein Gerät aus den uSA oder Asien mitbringen.

Endgerät
und ähnliche
Download

QTek 9100

http://www.myqtek.com/germany/myqtek.aspx
Anmeldung erforderlich

Datei: 233309-qtek9100_2180707_21807109_20710_qtek_ger_ship.exe

Erfolg gemeldet von Christian Oehring

QTek 8310

http://www.myqtek.com/germany/myqtek.aspx (Anmeldung erforderlich)

Testbericht mit RegTweaks: http://www.worldofi.de/HWTests/qtek8310.htm

BIOS Update HowTo http://www.mobilejoe.de/joeforums/showthread.php?t=19180

QTek 9000

http://www.myqtek.com/germany/myqtek.aspx
Anmeldung erforderlich

i-mate K-JAM
SPV M3000
QTek 9100

Dopod 838 (?)

HTC Wizard

http://www.clubimate.com
K-JAM_WWE_216901_2169101_020710_ship.zip  57MB

Gerätedetails: http://www.imate.com/t-DETAILS_KJAM.aspx

Fujitsu-Siemens PocketLoox T810  und T830 (Vorserie)

Windows Mobile 5 mit MSFP ist bereits installiert.
http://www.fujitsu-siemens.de/products/
mobile/handhelds/pocket_loox_t_series.html

Voraussichtlich Sommer 06

Orange SPV C600`

http://www.business.orange.co.uk/servlet/Satellite?pagename=Business%2FDevices&c=PaDPage&cid=1044130727244&mid=1044129765401

iMate SP5/SP5m

ftp://ftp.clubimate.com/

iMate K-Jam

http://www.mobilegadgetnews.com/lofiversion/index.php?t11328.html

iMate JasJar

ftp://ftp.clubimate.com/JASJAR_WWE_13076_164_10900_wwe_ship.zip

Sprint PPC-6700

http://www4.sprint.com/pcsbusiness/downloads/APAC_SPCS_20600_300_11200_ship.exe

 

Laut Aussage eines Herstellers ist das mit den Updates nicht ganz so einfach, da jeder neuer Build einer Firmware von Microsoft durch eine unabhängige Institution (Veritest ?) überprüft werden muss, was ca. 1 Woche dauert, nicht kostenlos ist und für jede Sprache getrennt durchzuführen ist. Zudem müssen dann auch die Endgeräte wieder verschiedene Tests (Konformität mit GSM. WiFI, Bluetooth etc.) durchlaufen, so dass sich ein Hersteller schon sehr sicher sein will, dass die Firmware möglichst wenig Fehler enthält

Was bietet mir MSFP ?

  • Always up-to-date
    Ist ein neues Verwahren um sehr schnell über neue Nachrichten informiert zu werden.
  • RemoteWipe und LocalWipe
    Mit ganz wenig Handgriffen kann das Gerät sowohl lokal aber auch über ActiveSync aus der Ferne "gelöscht" werden. Schlimm genug, wenn ein Gerät verloren oder geklaut wird, aber so sind zumindest die Daten nicht auch noch in fremde Hände gekommen.

Die "Remote Wipe" Funktion löscht nur die Daten auf dem PDA aber nicht die Daten auf einer eventuell eingesteckten SD-Karte. Sie können den internen Speicher eines PDA mit einer SD-Karte umfangreich erweitern und dort auch Firmendaten ablegen. Zur Sicherheit dieser sollten Sie alle Daten auf der SD-Karte immer mit einer Zusatzsoftware verschlüsseln.

  • zertifikatbasierte Anmeldung
    ActiveSync benötigt normalerweise einen Benutzernamen mit Kennwort, der auf dem Endgerät gespeichert wird. Dies kann durch ein Zertifikat abgelöst werden. Damit kann das Endgerät sich abgleichen aber es ist kein Kennwort des Anwenders mehr lokal gespeichert.
  • Sicherheitsrichtlinien
    ähnlich zu Gruppenrichtlinien kann der Administrators eines Netzwerks den Schutz des Endgeräts erzwingen, z.B.: dass nach einer bestimmten Zeit ohne Aktivität das Gerät gesperrt wird und erst nach Eingabe einer PIN wieder aktiviert wird. Die Länge und Komplexität des Kennworts kann vorgegeben werden
  • Zugriff auf die GAL
    Der Zugriff auf das Adressbuch des Servers ist nun sehr einfach möglich.
  • Tasks ?
    Auch Aufgaben können nun über ActiveSync abgeglichen werden.

Insofern ist MSFP ein wichtiges Update für Firmenkunden, die mit Exchange ActiveSync ihre Daten abgleichen. Mit dem Update kann natürlich auch der Hersteller die ein oder andere sonstige Verbesserung mit verteilen. Aber für Einzelpersonen gibt es keine besondere Eile nun

MSFP und Zertifikate

Erstmals mit dem MSFP ist auch eine Zertifikatbasierende Anmeldung möglich. Der Vorteil ist darin zu sehen, dass auf dem PocketPC nur ein Zertifikat vorhanden ist und keine Kennwort mehr hinterlegt wird. Das Zertifikat kann dann nur für ActiveSync verwendet werden, während ein Angreifer das Kennwort vielleicht auslesen und auch andere Zugangswege nutzen könnte.

Für die Zertifikatbasierte Anmeldung ist es erforderlich, dass der PocketPC direkt mit dem Exchange Server oder Frontend Server kommuniziert. Erst der ISA2006 soll auch als Proxy diese Anmeldung verstehen und durchlassen.
Mit dem ISA2004 oder anderen Firewalls können Sie zumindest noch die Webseite "veröffentlichen" und damit einen besseren Schutz erreichen. Die Authentifizierung können Sie aber nicht auf den ISA2004 verlagern.

Allerdings ist diese Einrichtung nicht gerade einfach, da dazu der PocketPC mit dem Desktop eine ActiveSync Verbindung haben muss und der Administrator muss im Active Directory per VBScript einige Einträge setzen. Erst dann findet der ActiveSync Client die CA und kann das benötigte Zertifikat anfordern und auf dem PocketPC einspielen.

Wenn Sie wirklich die zertifikatbasierte Anmeldung einsetzen wollen für weitere Details sollten Sie das entsprechende Whitepaper genau lesen.

Weitere Links