Article Number: 000125398
Workspace ONE 受损设备概述
Summary: 本文讨论 Workspace ONE 受损设备概览。
Article Content
Symptoms
受影响的产品:
- Workspace ONE
移动设备允许在路上持续通信并访问企业内容。虽然移动设备保持重要的业务信息流动,但恶意软件和损坏的内容可能会引入到您的网络中。由于这些潜在的安全威胁,您的移动设备管理 (MDM) 战略应准备好应对任何挑战。其中一个安全挑战是您的移动设备组中存在受损设备。
Cause
不适用
Resolution
概览
受损设备包括“越权”iOS 和用户已从制造商预设更改的“根”Android 设备。这些设备将会失去必不可少的安全设置,可能在网络中引入恶意软件并访问您的企业资源。在 MDM 环境中,整体链仅像其最弱的链路一样不堪一击。单个受损设备可泄漏敏感信息或损坏您的服务器。在使用不同设备和操作系统版本的自带设备 (BYOD) 环境中监控和检测受损设备变得更加棘手。受损设备是企业的主要安全问题,应立即处理。
越狱和根设备放弃基本保护,使其成为诸如下列异常活动的脆弱入口点:
- 密码和身份盗用:收集未加密的用户名和密码,并用于深入了解敏感区域或假定公司身份。
- 数据拦截:发送和接收的通信在普通视图中,不受正常安全措施保护。
- 病毒渗透:无保护网络是病毒和恶意软件入侵的必备工具,可能会损坏贵公司的数据,使其无法恢复。
检测的挑战
在不同平台上运行的设备对受损设备的响应不同。例如,iOS 7 + 设备支持后台检查,但可能会有其它限制。Android 设备,允许进行背景调查,而没有任何限制或限制。解决此问题的 Workspace ONE(以前称为 AirWatch)解决方案可确保跨多个设备和操作系统进行检测。
Workspace ONE 方法
为处理此类变体,Workspace ONE 为受损设备检测开发了一种独特的多层方法。请参阅下表,了解 iOS 和 Android 平台的限制和功能。
平台功能
| 功能 | iOS | Android |
|---|---|---|
| 代理注册 | 注册过程中检测到受损状态 | 注册过程中检测到受损状态 |
| 背景检查 | 对于运行 iOS 7 及更高版本的设备,可使用 Workspace ONE MDM Agent 进行后台检查。 | 允许后台检测 |
| 按需检查 | 通过计划的 Apple Push Notification 服务 (APNs) 消息提供:
|
通过使用 GCM 消息提供:
|
| 法规遵从性引擎 | 检测到受损设备或状态为过时时自动采取补救措施。 | 检测到受损设备或状态为过时时自动采取补救措施。 |
| 在企业应用程序中内置检测 | 可使用 Workspace ONE App Wrapping,以在覆盖的应用程序中执行的受损检测 | 可使用 Workspace ONE App Wrapping,以在覆盖的应用程序中执行的受损检测 |
提醒:对于运行可访问蜂窝连接的 iOS 6 及更低版本的设备,如果启用了 GPS 跟踪,则可使用 Workspace ONE MDM Agent 进行后台检查。对于运行 iOS 6 和更低版本的只能访问 Wi-Fi 连接的设备,可使用嵌入内部应用程序中的 Workspace ONE SDK 进行后台检查。
使用 Workspace ONE 检测受损设备
Workspace ONE 的解决方案涵盖已注册设备的整个生命周期,锁定了不要求的设备,并与受损或不符合要求的设备断开连接。我们的专有检测算法不断进行基于新操作系统的渗透测试、研究和开发,确保尽可能提供先进的检测功能。针对受损设备的此多层检测方法包括:
代理注册
Workspace ONE 针对多余设备的第一道防线在注册时启动。配置法规遵从性设置并检测受损设备,然后再允许进入设备。要求所有设备都符合用户的安全设置或安装配置文件。安全法规遵从性检测因注册类型而异:
- 基于代理 - iOS 或 Android 设备可以注册从 iTunes 应用商店或 Google Play 商店下载的 Workspace ONE MDM Agent。安装代理后,代理会检查设备的状态,然后,设备将根据在 Workspace ONE Admin Console 上设置的时间间隔将信息发送到服务器。
- 基于 Web — iOS 设备是唯一支持使用注册 URL 在设备上使用默认 Web 浏览器进行基于 Web 的注册的设备。要检测此类设备的状态,应在设备上安装任何 Workspace ONE SDK 嵌入式应用程序,例如 Workspace ONE MDM Agent、Workspace ONE Browser、Workspace ONE Secure Content Locker 或启用 SDK 的企业应用程序。
有关比较各种注册方法的详细信息,请参阅“iOS 平台指南”。
后台检查
设备注册后,管理其合规性。Workspace ONE MDM Agent 提供持续的后台检查,以了解所有 Android 设备的受损状态,并查看可访问蜂窝网络的 iOS 操作系统 (iOS 7 +) 的更新版本。
可用于 iOS 7 设备,您可以利用基于 Workspace ONE Agent 的功能,包括:
- 后台应用程序刷新 — Workspace ONE 提供了一种方法来设置完全通过 Workspace ONE Agent 收集和传输设备信息的时间间隔。在这种情况下,您可以向设备发送时间参数,指明启动 Workspace ONE Agent 的最低频率。通过转至 Workspace ONE Admin Console 中的 Devices > Settings > Apple > Apple iOS > Agent Settings 来启用此设置。在此页面中,单击 后台应用程序刷新 并配置可用选项。设置最小刷新间隔 ,并将 代理设置为仅在设备连接到 Wi-Fi 网络时才签入。设置最小刷新间隔意味着设备尝试在分配的最小值中将设备信息发送到 MDM 服务器不超过一次。
图 1:(仅限英文)配置代理设置
- 静默 Apple 推送通知服务 (APNs) — Workspace ONE 会定期使用静默式 APNs 自动请求后台检查。在此情况下,Workspace ONE Admin Console 将向设备发送一则通知,请求将受损状态发送回 Workspace ONE 服务器。在设备上,必须为 Workspace ONE Agent 开启推送通知。
图 2:(仅限英文)AirWatch MDM Agent
您还可以通过转到特定设备的 设备详细信息 页面,然后单击 More > Query > Workspace ONE MDM Agent 手动运行查询,如下所示。仅当设备上安装了所需的 Workspace ONE Agent 版本时,才会显示此查询。
提醒:这两个 iOS 7 特定的后台检查功能都需要 Workspace ONE Agent v4.9 及更高版本。此外,Workspace ONE Agent 不能处于非活动状态。它必须是“Active”、“Suspended”或“Background”。如果应用程序是手动关闭的,则在用户再次打开应用程序之前,后台检查不会恢复。
此外,使用 Workspace ONE SDK 中的受损检测功能,您可以在内部应用程序中绑定到此后台逻辑,以完成后台越灾检测。
应用程序启动的检查
为企业信息和 Workspace ONE 功能使用建立检测检查点。设备启动 Workspace ONE Secure Content Locker、AirWatch Browser 或 AirWatch MDM Agent 时,检测系统会自动验证法规遵从性状态,从而在您的信息中添加额外的保护壁。
为具有受损保护的 iOS 和 Android 启用覆盖的应用程序。从 Settings and Policies 页面(Groups & Settings > All Settings > Apps > Settings and Policies > Security Policies)以及其他设置中启用设置,并将配置文件分配给您包装的应用程序。有关更多信息和分步说明,请参阅 Workspace ONE App Wrapping Guide (Workspace ONE 应用程序包装指南)。
为具有受损检测的 iOS 启用 SDK 应用程序。从 iOS SDK v.3.2 开始,您可以直接在应用程序中检查设备的受损状态,无论设备是联机还是脱机。如果设备过去至少成功运行过一次 Beacon 调用,则应用程序只能使用此功能。有关更多信息和示例代码,请参阅 Workspace ONE iOS SDK Guide (Workspace ONE iOS SDK 指南)。
法规遵从性引擎
Workspace ONE 检测到受损或不符合要求的设备后,合规性引擎会根据管理员在控制台上设置的设备策略,快速对这些设备采取措施。Workspace ONE 使管理员能够灵活地要求初始设备状态并设置法规遵从性引擎的时间间隔频率。
在企业应用程序中内置检测
不是安装 Workspace ONE Agent 来访问 SDK,而是将 Workspace ONE SDK 构建到内部应用程序中。SDK 提供了 MDM 的主要功能(在我们的完整 SDK 配置文件中阐述),其中包括持续扫描法规遵从性的越狱和根检测。通常运行企业应用程序,这些应用程序会更频繁地向下推送到设备运行检测扫描,因此您可以更快地捕获受损设备。
然后,管理员可以指定在管理员控制台中受损设备上安装的应用程序要执行的操作。例如,如果发现某个设备受损,管理员可以应用以下操作:
- 发送用户警告消息。
- 将用户锁定在设备之外。
- 擦除应用程序和企业数据。
- 限制访问
实施和监控受损设备
强制实施法规遵从性策略以监控 iOS 和 Android 设备的受损状态。Workspace ONE Admin Console 为管理员提供用于使系统保持警觉和安全的工具。
提醒:Windows Phone 设备的受损设备检测是不必要的,因为由于操作系统的 UEFI 和安全引导过程,没有已知的越线或根源。
法规遵从性引擎
法规遵从性引擎充当安全检查点,自动锁定设备或用户,或者对其采取其它操作。根据管理员为设备设置的法规遵从性规则,法规遵从性引擎可以检测设备是否不符合要求并对其采取已定义的操作。可在 Workspace ONE Admin Console 中定义这些规则和操作。
一旦建立规则和操作,法规遵从性引擎就会处理剩余的问题。修复会自动进行。如果扫描发现受损设备,计算机将运行预设警告和上报的操作。在找到每个实例时,不会强制管理员寻址每个实例。
但是,Admin Console 将为法规遵从性协议启用自助服务。管理员可以擦除设备,并向用户发送一封电子邮件或短信,说明其设备为何不符合要求,而无需用户与管理员联系。
借助管理设备的法规遵从性引擎节省的时间,管理员可以查看每周或每月合规性报告,以了解重复违规情况。
上次受损扫描合规性
上次受损扫描合规性允许管理员设置代理应执行设备扫描的时间间隔。这可确保如果 AirWatch 在一定时间内没有从设备收到法规遵从性状态,则可采取预防措施。
受损状态合规性
受损状态法规遵从性规则允许管理员设置受损设备的操作。
对于上述两个法规遵从性规则,可以应用以下操作:
- 通知:通过发送 SMS、电子邮件和推送通知来通知用户。
- Application:阻止或删除少数或所有受管应用程序。
- 命令:执行企业擦除或请求设备签入。
- Profile:阻止或删除所有配置文件或特定配置文件类型或特定配置文件。
设备控制面板
管理员可以查看已注册设备的汇总。摘要包括通知管理员是否在设备上进行受损检测的安全详细信息。如果设备未受损,则会显示绿色复选标记。
图 3:(仅限英文)设备控制面板
可视化设备合规性
您的控制面板以图形形式表示在组织组中注册的受损设备的百分比。这为管理员提供了受损设备的概要视图,并有助于跟踪此类设备。
图 4:(仅限英文)仪表 板
运行计划的或按需合规性报告
Workspace ONE Admin Console 还附带 100 多个标准报告,包括可按计划的时间间隔自动运行或按需生成的法规遵从性报告的列表。快速查看整个机群或特定组织组中的任何不符合要求的设备。隔离用于数据块列表应用程序、弱密码设置和总体安全合规性的违规设备。合规性报告允许您查看系统中受损或不符合要求的设备。
图 5:(仅限英文)所有报告
结论
安全的 MDM 是一种日益增长的需求,因此,Workspace ONE 通过允许和帮助您检测受损设备等安全威胁的无与伦比的解决方案,在这个方向上先行一步。Workspace ONE 独特的多层检测解决方案设计为在所有设备平台上都有效,还提供了对检测到的设备执行所需操作的灵活性。上述所有检测解决方案要素使 Workspace ONE 成为一个有效的解决方案,可确保您的企业安全。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。
Additional Information
Videos
Article Properties
Affected Product
VMWare AirWatch, Workspace One
Last Published Date
02 Jul 2024
Version
13
Article Type
Solution