Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Visión general de dispositivos marcados como en peligro en Workspace ONE

Summary: En este artículo, se describe la descripción general de los dispositivos en peligro de Workspace ONE.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Productos afectados:

  • Workspace ONE

Los dispositivos móviles permiten la comunicación constante y el acceso a contenido empresarial en todo momento. Si bien los dispositivos móviles mantienen el flujo de información de negocios importante, tanto malware como contenido dañado pueden ingresar en la red. Dadas estas posibles amenazas de seguridad, su estrategia de administración de dispositivos móviles (MDM) debe estar preparada para cualquier desafío. Un desafío de seguridad es la presencia de un dispositivo en peligro en la flota móvil.

Cause

No corresponde

Resolution

Descripción general

Los dispositivos en peligro incluyen los dispositivos iOS con “jailbreak” y los dispositivos Android “rooteados” cuyos usuarios hayan alterado la configuración del fabricante. Estos dispositivos eliminan la configuración de seguridad integral y pueden introducir malware en la red y acceder a los recursos empresariales. En un entorno de MDM, la cadena general depende de la solidez de su vínculo más débil. Un único dispositivo en peligro podría filtrar información confidencial o dañar los servidores. El monitoreo y la detección de dispositivos en peligro se tornan más complicados en un entorno de Bring Your Own Device (BYOD), con diferentes versiones de dispositivos y sistemas operativos. Los dispositivos en peligro son una preocupación importante en la seguridad de una empresa y se deben abordar inmediatamente.

Los dispositivos con jailbreak y rooteados pierden protecciones básicas, lo que hace que sean puntos de entrada vulnerables para la actividad no deseada, como:

  • Robo de contraseña e identidad: Los nombres de usuario y las contraseñas no cifrados se recopilan y se utilizan para profundizar en áreas confidenciales o asumir la identidad de la empresa.
  • Interceptación de datos: La comunicación enviada y recibida se puede ver a simple vista; no está protegida por medidas de seguridad normales.
  • Infiltración de virus: Una red no protegida es un cartel de bienvenida a virus y malware, y puede dañar los datos de su empresa y hacer que sean irrecuperables.

El desafío de la detección

Los dispositivos que se ejecutan en diferentes plataformas responden de manera diferente a la detección de riesgos. Por ejemplo, los dispositivos con iOS 7 o versiones posteriores son compatibles con las comprobaciones en segundo plano, pero pueden portar limitaciones adicionales. Los dispositivos Android permiten que las comprobaciones en segundo plano se realicen sin restricciones ni limitaciones. Si utiliza la solución de Workspace ONE (anteriormente AirWatch) para este problema, garantiza la detección en varios dispositivos y sistemas operativos.

Enfoque de Workspace ONE

Para tratar estas variaciones, Workspace ONE ha desarrollado un enfoque único de múltiples niveles para la detección de dispositivos en peligro. Consulte la siguiente tabla para comprender las limitaciones y funcionalidades de las plataformas iOS y Android.

Funcionalidades de la plataforma

Capacidad iOS Android
Inscripción de agentes Se detectó un estado de peligro durante la inscripción Se detectó un estado de peligro durante la inscripción
Comprobación en segundo plano Para los dispositivos que ejecutan iOS 7 y versiones posteriores, las comprobaciones en segundo plano están disponibles mediante el uso de Workspace ONE MDM Agent. Permite la detección en segundo plano
Comprobaciones a demanda Disponible a través de la mensajería programada del servicio de notificaciones de inserción de Apple (APN):
  • Al iniciar Workspace ONE Content Locker
  • Al iniciar Workspace ONE Browser
  • Al iniciar Workspace ONE MDM Agent
Disponible mediante mensajería de GCM:
  • Al iniciar Workspace ONE Secure Content Locker
  • Al iniciar Workspace ONE Browser
  • Al iniciar Workspace ONE MDM Agent
Motor de cumplimiento de normas Acciones de corrección automatizadas al detectar un dispositivo en peligro o si el estado está desactualizado. Acciones de corrección automatizadas al detectar un dispositivo en peligro o si el estado está desactualizado.
Detección incorporada en las aplicaciones empresariales Está disponible Workspace ONE App Wrapping para ejecutar la detección de peligros en las aplicaciones envueltas Está disponible Workspace ONE App Wrapping para ejecutar la detección de peligros en las aplicaciones envueltas
Nota: En el caso de los dispositivos que ejecutan iOS 6 y versiones anteriores que pueden acceder a una conexión celular, las comprobaciones en segundo plano estarán disponibles mediante el uso de Workspace ONE MDM Agent si el seguimiento por GPS está habilitado. Para los dispositivos que ejecutan iOS 6 y versiones anteriores que solo pueden acceder a una conexión Wi-Fi, las comprobaciones en segundo plano están disponibles mediante workspace ONE SDK integrado en aplicaciones internas.

Detección de dispositivos en peligro con Workspace ONE

La solución Workspace ONE abarca toda la vida útil de un dispositivo inscrito, bloqueando los dispositivos no invitados, y cortando lazos con dispositivos en peligro o que no cumplen con las normas. Nuestros algoritmos de detección patentados se someten constantemente a pruebas de penetración, investigación y desarrollo basadas en nuevos sistemas operativos, lo que garantiza las funcionalidades de detección más avanzadas posibles. Este enfoque de detección de múltiples niveles para dispositivos en peligro consta de lo siguiente:

Inscripción de agentes

La primera línea de defensa de Workspace ONE frente a los dispositivos no deseados comienza en la inscripción. Configure los ajustes de cumplimiento de normas y detecte los dispositivos en peligro antes de permitir la entrada a un dispositivo. Exija que todos los dispositivos cumplan con los ajustes de seguridad o los perfiles de instalación para el usuario. La detección del cumplimiento de normas de seguridad varía según el tipo de inscripción:

  • Basada en agente: los dispositivos iOS y Android pueden inscribirse con Workspace ONE MDM Agent, que se puede descargar en la tienda de aplicaciones de iTunes o Google Play Store. Una vez que se instala el agente, el agente comprueba el estado del dispositivo y, a continuación, envía la información al servidor según el intervalo de tiempo establecido en la consola de administración de Workspace ONE.
  • Basado en web: los dispositivos iOS son los únicos dispositivos que admiten la inscripción basada en web con el navegador web predeterminado en el dispositivo mediante la URL de inscripción. Para detectar el estado de estos dispositivos, estos deben tener instalada cualquiera de las aplicaciones integradas del SDK de Workspace ONE, como Workspace ONE MDM Agent, Workspace ONE Browser, Workspace ONE Secure Content Locker o una aplicación empresarial con SDK habilitado.

Para obtener más información sobre los diversos enfoques de inscripción, consulte la guía de la plataforma iOS.

Comprobaciones en segundo plano

Después de inscribir el dispositivo, administre su cumplimiento de normas. Workspace ONE MDM Agent proporciona comprobaciones en segundo plano continuas para comprobar el estado de peligro de todos los dispositivos Android y las versiones más recientes del sistema operativo iOS (iOS 7+) con acceso a una red celular.

Disponible para dispositivos iOS 7; puede aprovechar las funciones del agente Workspace One, incluidas las siguientes:

  • Actualización de aplicaciones en segundo plano: Workspace ONE proporciona un medio para establecer la recopilación basada en intervalos y la transmisión de información del dispositivo por completo a través del agente workspace ONE. En este caso, puede enviar un parámetro de tiempo al dispositivo para determinar con qué frecuencia se debe iniciar el agente Workspace ONE, con un valor mínimo. Para habilitar esta configuración, vaya a Devices > Settings > Apple > Apple iOS > Agent Settings en la consola de administración de Workspace ONE. En esta página, haga clic en Background App Refresh y configure las opciones disponibles. Establezca el Intervalo mínimo de actualización y establezca que el agente solo verifique si el dispositivo está conectado a una red Wi-Fi. Establecer el intervalo de actualización mínimo significa que el dispositivo intenta enviar información del dispositivo al servidor de MDM no más de una vez en el mínimo asignado.

Configurar ajustes del agente
Figura 1: (Solo en inglés) Configurar ajustes del agente
 

  • Servicio de notificación push silenciosa de Apple (APN): Workspace ONE solicita automáticamente comprobaciones en segundo plano mediante APN silenciosas con regularidad. En esta instancia, la consola de administración de Workspace ONE envía una notificación al dispositivo en la que se solicita el estado comprometido al servidor de Workspace ONE. En el dispositivo, las notificaciones de inserción deben estar activadas para el agente Workspace ONE.

Agente mdm de AirWatch
Figura 2 (Solo en inglés) Agente mdm de AirWatch

También puede ejecutar manualmente una consulta al ir a la página Detalles del dispositivo de un dispositivo específico y hacer clic en Más > Consultar > Workspace ONE MDM Agent, como se muestra a continuación. Esta consulta solo aparece si está instalada la versión necesaria del agente Workspace ONE en el dispositivo.

Nota: Ambas funciones específicas de comprobación en segundo plano de iOS 7 requieren Workspace ONE Agent v4.9 y versiones posteriores. Además, el agente Workspace ONE no puede estar en un estado Inactive. Su estado debe ser Active, Suspended o Background. Si la aplicación se cierra manualmente, las comprobaciones en segundo plano no se reanudan hasta que el usuario abre la aplicación nuevamente.

Además, mediante el uso de la funcionalidad de detección de peligro en el SDK de Workspace ONE, puede vincular esta lógica de comprobación en segundo plano en la aplicación interna para detectar el jailbreak en segundo plano.

Comprobaciones iniciadas por aplicaciones

Establezca puntos de control de detección para la información empresarial y el uso de funciones de Workspace ONE. Cuando un dispositivo inicia Workspace ONE Secure Content Locker, AirWatch Browser o el agente AirWatch MDM, el sistema de detección verifica automáticamente el estado del cumplimiento de normas, lo que agrega una pared adicional de protección a la información.

Habilite sus aplicaciones envueltas para iOS y Android con protección frente a dispositivos en peligro. Habilite la configuración en la página Configuración y políticas (Grupos y ajustes > Todas las configuraciones > Aplicaciones > Configuración y políticas > Políticas de seguridad) junto con otros ajustes para las aplicaciones envueltas y asigne el perfil a la aplicación ajustada. Para obtener más información e instrucciones paso a paso, consulte la Guía de envoltura de aplicaciones de Workspace ONE.

Habilite sus aplicaciones SDK para iOS con detección de riesgos. A partir de iOS SDK v.3.2, puede comprobar el estado de peligro del dispositivo directamente en la aplicación, independientemente de si el dispositivo está en línea o sin conexión. La aplicación solo puede usar esta función si el dispositivo ha ejecutado una llamada de baliza correctamente al menos una vez en el pasado. Para obtener más información y un código de ejemplo, consulte la Guía del SDK iOS de Workspace ONE.

Motor de cumplimiento de normas

Cuando Workspace ONE detecta dispositivos en peligro o que no cumplen con las normas, el motor de cumplimiento rápidamente toma acciones sobre estos de acuerdo con la política establecida por el administrador en la consola. Workspace ONE proporciona flexibilidad para que el administrador exija el estado inicial del dispositivo y establezca la frecuencia del intervalo de tiempo del motor de cumplimiento de normas.

Detección incorporada en las aplicaciones empresariales

En lugar de instalar el agente Workspace ONE para acceder al SDK, integre el SDK de Workspace ONE en las aplicaciones internas. El SDK incluye las funciones clave de MDM (que se describen en nuestro perfil de SDK completo), que incluyen la detección de jailbreak y rooteo, a través del monitoreo constante del cumplimiento de normas. Por lo general, ejecute aplicaciones empresariales que se envían a un dispositivo y ejecuten análisis de detección con mayor frecuencia, de modo que detecte los dispositivos en peligro con mayor rapidez.

A continuación, un administrador puede especificar las acciones que se tomarán para una aplicación que está instalada en el dispositivo en peligro, en la consola de administración. Por ejemplo, si se detecta que un dispositivo está en riesgo, el administrador puede aplicar las siguientes acciones:

  • Enviar un mensaje de advertencia al usuario.
  • Bloquear el usuario del dispositivo.
  • Borrar los datos empresariales y de aplicaciones.
  • Restringir el acceso

Supervisión y monitoreo de dispositivos en peligro

Aplique directivas de cumplimiento de normas para monitorear el estado de peligro de los dispositivos iOS y Android. La consola de administración de Workspace ONE cuenta con herramientas para que el administrador mantenga el sistema alerta y protegido.

Nota: La detección de dispositivos comprometidos para dispositivos Windows Phone no es necesaria, ya que no hay desconocimientos o raíces conocidos debido a los procesos UEFI y Secure Boot del sistema operativo.

Motor de cumplimiento de normas

El motor de cumplimiento de normas funciona como un punto de control de seguridad, por lo que se bloquea automáticamente, o lleva a cabo una acción adicional en los dispositivos o usuarios. Según las reglas de cumplimiento de normas establecidas por el administrador para un dispositivo, el motor de cumplimiento de normas puede detectar si un dispositivo no cumple con estas y realizar acciones definidas sobre él. Estas reglas y acciones se pueden definir en la consola de administración de Workspace ONE.

Después de establecer las reglas y acciones, el motor de cumplimiento de normas se encarga del resto. La corrección está automatizada. Si un análisis descubre un dispositivo en peligro, la computadora se ejecuta a través de advertencias predefinidas y acciones escaladas. No se obliga a los administradores a abordar cada instancia que encuentran.

Sin embargo, la consola de administración habilita el autoservicio para el protocolo de cumplimiento de normas. Los administradores pueden borrar un dispositivo, y enviar un correo electrónico o un mensaje SMS al usuario para explicarle cómo y por qué el dispositivo no está cumpliendo las normas, sin que el usuario tenga que comunicarse con ellos.

Con el tiempo que ahorran los dispositivos de administración del motor de cumplimiento de normas, los administradores pueden revisar informes de cumplimiento semanales o mensuales para comprender a los infractores repetidos.

Cumplimiento de normas del último escaneo en peligro

El cumplimiento de normas Last Compromised Scan (Último escaneo de peligro) permite al administrador establecer el intervalo de tiempo dentro del cual el agente debe ejecutar el escaneo de dispositivos. Esto garantiza que si AirWatch no ha recibido un estado de cumplimiento de normas del dispositivo durante un período determinado, se pueden tomar medidas preventivas.

Cumplimiento de normas Compromised Status

La regla de cumplimiento de normas Compromised Status (Estado de peligro) permite al administrador configurar acciones para un dispositivo en peligro.

Para las dos reglas de cumplimiento de normas anteriores, se pueden aplicar las siguientes acciones:

  • Notificar: notificar al usuario por correo electrónico, SMS y notificaciones de inserción.
  • Aplicación: bloquear o eliminar algunas o todas las aplicaciones administradas.
  • Comando: realizar un borrado empresarial o solicitar que un dispositivo se presente.
  • Perfil: bloquear o eliminar todos los perfiles o un tipo de perfil determinado, o un perfil específico.

Panel de control del dispositivo

Los administradores pueden ver el resumen de los dispositivos inscritos. El resumen incluye los detalles de seguridad que informan al administrador si se realizó una detección de peligro en el dispositivo o no. Si el dispositivo no está en riesgo, se muestra una marca de verificación verde.

Panel de control del dispositivo
Figura 3: (Solo en inglés) Panel de control del dispositivo

Visualizar cumplimiento de normas de dispositivos

El Dashboard cuenta con una representación gráfica del porcentaje de dispositivos en peligro que están inscritos en un grupo de la empresa. Esto le brinda al administrador una vista de alto nivel de los dispositivos en peligro y ayuda en el seguimiento de dichos dispositivos.

Panel
Figura 4: (Solo en inglés) Tablero

Ejecutar informes de cumplimiento de normas programados o según demanda

La consola de administración de Workspace ONE también incluye más de 100 informes estándar, incluida una lista de informes de cumplimiento de normas que se pueden ejecutar automáticamente a intervalos programados o según demanda. Vea rápidamente los dispositivos que no cumplen con las normas en toda la flota o en grupos de empresas específicos. Aísle los dispositivos que no cumplan con los atributos de las aplicaciones en lista de bloqueo, ajustes débiles de código de acceso y cumplimiento de normas de seguridad general. Los informes de cumplimiento de normas permiten una vista general de los dispositivos en peligro o que no cumplen con las normas de su sistema.

Todos los informes
Figura 5: (Solo en inglés) Todos los informes

Conclusión

Tener una MDM protegida es una necesidad siempre en aumento y, por lo tanto, Workspace ONE da un paso adelante en esa dirección, ya que ofrece una solución sin precedentes que le posibilita detectar amenazas de seguridad, como los dispositivos en peligro. La solución única de detección de múltiples niveles Workspace ONE se diseñó para ser eficaz en todas las plataformas de dispositivos y también proporciona flexibilidad para tomar las acciones necesarias en los dispositivos detectados. Todos los ingredientes anteriores de la solución de detección hacen que Workspace ONE sea una solución eficaz para mantener su empresa protegida.


Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.

Additional Information

   

Videos

   

Affected Products

VMWare AirWatch, Workspace One
Article Properties
Article Number: 000125398
Article Type: Solution
Last Modified: 17 Sept 2024
Version:  14
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.