Workspace ONE-oversigt over kompromitterede enheder

Berørte produkter:

• Workspace ONE

Mobilenheder tillader konstant kommunikation og adgang til virksomhedsindhold on the go. Mens mobilenheder holder vigtige virksomhedsoplysninger flydende, kan malware og ødelagt indhold introduceres i dit netværk. Da disse potentielle sikkerhedstrusler er mulige, skal din Mobile Device Management (MDM)-strategi forberedes til enhver form for udfordring. En sådan sikkerhedsudfordring er tilstedeværelsen af en kompromitteret enhed i din mobilflåde.

Ikke relevant

Oversigt

Kompromitterede enheder omfatter jailbroken iOS og rooted Android-enheder, som en bruger har ændret fra leverandørens forudindstillinger. Disse enheder fjerner indbyggede sikkerhedsindstillinger, og kan introducere malware i dit netværk og få adgang til dine virksomhedsressourcer. I et MDM-miljø er den overordnede kæde kun så stærk som det svageste led. En enkelt udsat enhed kan beskadige følsomme oplysninger eller ødelægge dine servere. Overvågning og registrering af kompromitterede enheder bliver mere kompliceret i et BYOD (Bring Your Own Device)-miljø med forskellige versioner af enheder og operativsystemer. Kompromitterede enheder er et stort sikkerhedsproblem for en virksomhed og bør omgående håndteres.

Jailbroken og rootede enheder udsender grundlæggende beskyttelsespunkter, hvilket gør dem sårbare over for uønskede aktiviteter, som f.eks.:

• Adgangskode og identitetstyveri: Ikke-krypterede brugernavne og adgangskoder indsamles og bruges til at gå dybere ind i følsomme områder eller antage virksomhedens identitet.
• Dataopfangelse: Sendt og modtaget kommunikation er i normal visning ubeskyttet ifølge normale sikkerhedsforanstaltninger.
• Virusinfiltration: Et ubeskyttet netværk er et let offer for virus og malware, hvilket muligvis ødelægger virksomhedens data og gør det uopretteligt.

Udfordringen ved registrering

Enheder, der kører på forskellige platforme, reagerer forskelligt mod kompromitteret registrering. For eksempel understøtter iOS 7+-enheder baggrundskontrol, men kan indeholde yderligere begrænsninger. Android-enheder gør det muligt at køre baggrundskontrol uden begrænsninger. Workspace ONEs (tidligere AirWatch) løsning til dette problem sikrer, at der registreres på tværs af flere enheder og operativsystemer.

Workspace ONE-procedure

Med henblik på at håndtere sådanne variationer har Workspace ONE udviklet en unik procedure i flere lag til kompromitteret enhedsregistrering. Se nedenstående skema for at forstå begrænsningerne og mulighederne for iOS- og Android-platforme.

Platformsmuligheder

Registrering af kompromitterede enheder med Workspace ONE

Workspace ONEs løsning spænder over hele levetiden for en tilmeldt enhed, idet ikke-indbudte enheder og bindinger med kompromitterede eller ikke-kompatible enheder låses. Vores beskyttede registreringsalgoritmer er under konstant indtrængningstest, research og udvikling baseret på nye operativsystemer, der sikrer de mest avancerede registreringsmuligheder. Denne registreringsmetode i flere niveauer til kompromitterede enheder består af følgende:

Agent-tilmelding

Workspace ONEs første forsvarslinje mod uønskede enheder starter ved registrering. Konfigurer kompatibilitetsindstillinger, og registrer kompromitterede enheder, før du giver adgang til en enhed. Kræv, at alle enheder opfylder sikkerhedsindstillingerne eller installerer profiler for brugeren. Registrering af sikkerhedsoverholdelse varierer afhængigt af tilmeldingstypen:

• Agent-baserede iOS- eller Android-enheder kan tilmeldes Workspace ONE MDM Agent, der er downloadet fra iTunes App Store eller Google Play-butikken. Når agenten er installeret, kontrollerer agenten status for enheden, og enheden sender derefter oplysningerne til serveren i henhold til det tidsinterval, der er angivet i Workspace ONE-administrationskonsollen.
• Webbaserede iOS-enheder er de eneste enheder, der understøtter webbaseret tilmelding med standardwebbrowseren på enheden ved hjælp af registrerings-URL-adressen. Hvis du vil registrere status for sådanne enheder, skal alle Workspace ONE SDK-integrerede apps installeres på enheden, såsom Workspace ONE MDM Agent, Workspace ONE Browser, Workspace ONE Secure Content Locker eller en SDK-aktiveret virksomhedsapp.

Du kan finde flere oplysninger om at sammenligne de forskellige tilmeldingsstrategier i platformsvejledningen for iOS.

Baggrundskontrol

Når enheden er tilmeldt, skal du administrere dens overholdelse. Workspace ONE MDM Agent laver løbende baggrundskontrol af alle Android-enheder og nyere versioner af iOS-operativsystemet (iOS 7+) med adgang til et mobilnetværk.

Fås til iOS 7-enheder, og du kan drage fordel af Workspace ONE Agent-baserede funktioner, herunder:

• Baggrundsopdatering af app - Workspace ONE giver mulighed for at indstille interval-baseret indsamling og transmission af enhedsoplysninger gennem Workspace ONE Agent. Du kan således sende en tidsparameter til enheden, der angiver, hvor ofte Workspace ONE Agent som minimum skal startes. Aktiver denne indstilling ved at gå til Enheder > Indstillinger > Apple > Apple iOS > Agent-indstillinger i Workspace ONE-administrationskonsollen. Fra denne side skal du klikke på Baggrundsopdatering af app og konfigurere de tilgængelige indstillinger. Indstil til det mindste opdateringsinterval , og indstil agenten til kun at tjekke, hvis enheden er tilsluttet et Wi-Fi-netværk. Indstilling af det mindste opdateringsinterval betyder, at enheden forsøger at sende enhedsoplysninger til MDM-serveren ikke mere end én gang i det angivne minimum.

Figur 1: (Kun på engelsk) Konfigurer agentindstillinger
 

• Lydløs Apple push-meddelelsestjeneste (APN) – Workspace ONE anmoder automatisk om baggrundskontrol ved hjælp af lydløs APN regelmæssigt. I denne forekomst sender Workspace ONE Admin-konsollen en meddelelse til den enhed, der anmoder om, at status for kompromitteret returneres til Workspace ONE-serveren. På enheden skal push-meddelelser være tændt for Workspace ONE-agenten.

Figur 2: (Kun på engelsk) AirWatch MDM-agent

Du kan også køre en forespørgsel manuelt ved at gå til siden med enhedsoplysninger for en bestemt enhed og klikke på Mere > Forespørgsel > Workspace ONE MDM-agent som vist nedenfor. Denne forespørgsel vises kun, hvis den ønskede version af Workspace ONE Agent er installeret på enheden.

Ved hjælp af den kompromitterede registreringsfunktion i Workspace ONE SDK kan du desuden oprette baggrundslogik i det interne program for at foretage jailbreak-registrering i baggrunden.

App-aktiveret kontrol

Fastlæg brug af registreringskontrolpunkter for virksomhedsinformation og Workspace ONE-funktion. Når en enhed starter Workspace ONE Secure Content Locker, verificerer AirWatch Browser eller AirWatch MDM Agent automatisk kompatibilitetsstatus og tilføjer en beskyttelsesmur for dine oplysninger.

Aktivér ombrudte apps til iOS og Android med kompromitteret beskyttelse. Aktivér indstillingen fra siden Indstillinger og politikker (Grupper &indstillinger > Alle indstillinger > Apps > Indstillinger og politikker > sikkerhedspolitikker) sammen med andre indstillinger for de ombrudte apps, og tildel profilen til den ombrudte app. Du kan finde flere oplysninger og trinvise instruktioner i Workspace ONE App-ombrydningsvejledning.

Aktivér dine SDK-apps til iOS med kompromitteret registrering. Start med iOS SDK v.3.2, hvor du kan kontrollere enhedens kompromitterede status direkte i dit program, uanset om enheden er online eller offline. Dit program kan kun bruge denne funktion, hvis enheden har kørt et beaconsignal mindst én gang før. Du kan få flere oplysninger og eksempelkode i Workspace ONE iOS SDK-vejledning.

Overholdelsesprogram

Når Workspace ONE registrerer kompromitterede eller ikke-kompatible enheder, udfører overholdelsesprogrammet hurtigt kontrol på disse enheder baseret på den enhedspolitik, der er angivet af administratoren på konsollen. Workspace ONE giver fleksibilitet til administratoren til at kræve den første enhedsstatus og indstille tidsintervallet for overholdelsesprogrammet.

Registrering indbygget i virksomhedsappen

I stedet for at installere Workspace ONE Agent for at få adgang til SDK, skal du bygge Workspace ONE SDK ind i dine interne apps. SDK leveres med nøglefunktioner i MDM (som er beskrevet i vores komplette SDK-profil), herunder jailbreak og rootregistrering, der konstant scanner for overholdelse. Almindeligt anvendte virksomhedsapps, der udrulles til en enhedskørselsregistrering, scanner hyppigere, så du registrerer kompromitterede enheder.

En administrator kan derefter angive de handlinger, der skal udføres for en app, der er installeret på den kompromitterede enhed i administrationskonsollen. Hvis du f.eks. har fundet en enhed, der er registreret som kompromitteret, kan administratoren gøre følgende:

• Send brugeradvarselsmeddelelse.
• Låse bruger ud af enheden.
• Slet applikations- og virksomhedsdata.
• Begrænse adgang

Gennemtvinge og overvåge kompromitterede enheder

Gennemtvinge overholdelsespolitikker for at overvåge den kompromitterede status for iOS-og Android-enheder. Workspace ONE Admin-konsollen giver administratoren værktøj til at holde systemet på vagt og sikkert.

Overholdelsesprogram

Overholdelsesprogrammet fungerer som sikkerhedskontrolpunkt og låser automatisk eller udfører yderligere handlinger på enheder eller brugere. Baseret på de overholdelsesregler, der er angivet af administratoren for en enhed, kan overholdelsesprogrammet registrere, om en enhed ikke er en enhed, og foretage definerede handlinger på den. Disse regler og handlinger kan defineres i Workspace ONE Admin-konsollen.

Når reglerne og handlingerne er oprettet, sørger overholdelsesprogrammet for resten. Afhjælpning er automatiseret. Hvis en scanning afdækker en kompromitteret enhed, kører computeren igennem forudindstillede advarsler og eskalerede handlinger. Administratorer er ikke tvunget til at håndtere hver forekomst, når de bliver fundet.

Administrationskonsollen aktiverer imidlertid selvbetjening til overholdelsesprotokollen. Administratorer kan fjerne en enhed og sende en e-mail eller SMS-besked til brugeren om, hvordan og hvorfor deres enhed ikke er kompatibel, uden at brugeren skal kontakte administratoren.

Med den tid, der er gemt af overholdelsesprogrammet til at administrere enheder, kan administratorer gennemgå ugentlige eller månedlige rapporter for at forstå gentagne angreb.

Overholdelse af sidste kompromitterede scanning

Overholdelse af den sidste kompromitterede scanning giver administratoren mulighed for at indstille tidsintervallet for, hvornår agenten skal udføre enhedsscanningen. Dette sikrer, at der kan træffes sikkerhedsforanstaltninger, hvis AirWatch ikke modtager en overholdelsesstatus fra enheden i et bestemt tidsrum.

Overholdelse af kompromitteret status

Overholdelsesreglen for kompromitteret status giver administratoren mulighed for at konfigurere handlinger for en kompromitteret enhed.

For ovennævnte to overholdelsesregler kan følgende handlinger anvendes:

• Advisér: Giver brugeren besked ved at sende SMS-, e-mail- og push-meddelelser.
• Program: Blokering eller fjernelse af nogle eller alle administrerede apps.
• Kommando: Udførelse af sletning i virksomheden eller anmodning om kontrol af enhed.
• Profil: Blokering eller fjernelse af alle profiler eller bestemte profiltyper eller en bestemt profil.

Enhedskontrolpanel

Administratorer kan se oversigten over de tilmeldte enheder. Oversigten indeholder sikkerhedsoplysningerne, der oplyser administratoren om, hvorvidt der er foretaget en kompromitteret registrering af enheden eller ej. Hvis enheden ikke er kompromitteret, vises grønt flueben.

Figur 3: (Kun på engelsk) Enhedskontrolpanel

Visualiser enhedens overholdelse

Dit dashboard indeholder en grafisk fremstilling af den procentdel af kompromitterede enheder, der er tilmeldt i en organisationsgruppe. Dette giver administratoren et avanceret overblik over de kompromitterede enheder og hjælper med at spore sådanne enheder.

Figur 4: (Kun på engelsk) Dashboard

Kør planlagte eller on-demand-overholdelsesrapporter

Workspace ONE Admin-konsollen leveres også med mere end 100 standardrapporter, herunder en liste over overholdelsesrapporter, der kan køres automatisk med planlagte intervaller eller genereret on-demand. Se hurtigt alle ikke-kompatible enheder på hele flåden eller i specifikke organisationsgrupper. Isolér de enheder, der er stødt på fejl, til blokerede apps, svage adgangsindstillinger og den samlede sikkerhedsoverholdelse. Overholdelsesrapporter giver et overblik over kompromitterede eller ikke-kompatible enheder i dit system.

Figur 5: (Kun på engelsk) Alle rapporter

Konklusion

Sikring af MDM er et stadig stigende behov, og derfor har Workspace ONE taget et skridt i denne retning ved at tilbyde en ikke-parallel løsning, der giver dig mulighed for at opdage sikkerhedstrusler, f.eks. kompromitterede enheder. Workspace ONEs unikke løsning til registrering af flere niveauer er designet til at være effektiv på alle enhedsplatforme og giver også fleksibilitet til at foretage de nødvendige handlinger på de fundne enheder. Alle ovennævnte komponenter i registreringsløsningen gør Workspace ONE til en effektiv løsning til at holde din virksomhed sikret.

For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.