Workspace ONE 检测和管理受损设备
Summary: Workspace ONE 如何检测和管理被入侵的设备,例如越狱的 iOS 和获得 root 权限的 Android。了解用于保护企业的多层检测、合规性监视和自动化安全操作。
Instructions
受影响的产品:
- Workspace ONE
移动设备允许在路上持续通信并访问企业内容。虽然移动设备使重要的业务信息保持流动,但恶意软件和损坏的内容可能会被引入您的网络。由于这些潜在的安全威胁,您的移动设备管理 (MDM) 战略应准备好应对任何挑战。其中一个安全挑战是您的移动设备组中存在受损设备。
概览
受感染的设备包括用户从制造商预设中更改的“越狱”iOS 和“root”Android 设备。这些设备将会失去必不可少的安全设置,可能在网络中引入恶意软件并访问您的企业资源。在 MDM 环境中,整体链仅像其最弱的链路一样不堪一击。单个受损设备可泄漏敏感信息或损坏您的服务器。在使用不同设备和操作系统版本的自带设备 (BYOD) 环境中监控和检测受损设备变得更加棘手。受损设备是企业的主要安全问题,应立即处理。
越狱和根设备放弃基本保护,使其成为诸如下列异常活动的脆弱入口点:
- 密码和身份盗用:收集未加密的用户名和密码,并将其用于更深入地了解敏感区域或冒充公司身份。
- 数据拦截:发送和接收的通信在众目睽睽之下,不受正常安全措施的保护。
- 病毒渗透:未受保护的网络是病毒和恶意软件入侵的好帮手,可能会损坏公司的数据并使其无法恢复。
检测的挑战
在不同平台上运行的设备对受损设备的响应不同。例如,iOS 7 + 设备支持后台检查,但可能会有其它限制。Android 设备允许不受任何限制或限制地进行背景调查。此问题的 Workspace ONE(以前称为 AirWatch)解决方案可确保跨多个设备和操作系统进行检测。
Workspace ONE 方法
为了应对此类变化,Workspace ONE 开发了一种独特的多层方法来检测受损设备。请参阅下表,了解 iOS 和 Android 平台的限制和功能。
平台功能
| 功能 | iOS | Android |
|---|---|---|
| 代理注册 | 注册过程中检测到受损状态 | 注册过程中检测到受损状态 |
| 背景检查 | 对于运行 iOS 7 及更高版本的设备,可以使用 Workspace ONE MDM Agent 进行背景调查。 | 允许后台检测 |
| 按需检查 | 通过计划的 Apple Push Notification 服务 (APNs) 消息提供:
|
通过使用 GCM 消息提供:
|
| 法规遵从性引擎 | 当检测到受损设备或设备状态过时时,自动执行修正操作。 | 当检测到受损设备或设备状态过时时,自动执行修正操作。 |
| 在企业应用程序中内置检测 | 可使用 Workspace ONE App Wrapping,以在覆盖的应用程序中执行的受损检测 | 可使用 Workspace ONE App Wrapping,以在覆盖的应用程序中执行的受损检测 |
使用 Workspace ONE 检测受损设备
Workspace ONE 的解决方案涵盖已注册设备的整个生命周期,可锁定不请自来的设备,并切断与受损或不合规设备的联系。我们专有的检测算法不断进行渗透测试、研究和基于新操作系统的开发,确保提供最先进的检测功能。针对受损设备的此多层检测方法包括:
代理注册
Workspace ONE 针对多余设备的第一道防线在注册时启动。配置法规遵从性设置并检测受损设备,然后再允许进入设备。要求所有设备符合安全设置或为用户安装配置文件。安全法规遵从性检测因注册类型而异:
- 基于代理 - iOS 或 Android 设备可以注册从 iTunes 应用商店或 Google Play 商店下载的 Workspace ONE MDM 代理。安装代理后,代理会检查设备的状态,然后,设备将根据在 Workspace ONE Admin Console 上设置的时间间隔将信息发送到服务器。
- 基于 Web - iOS 设备是唯一支持使用注册 URL 的设备通过设备上的默认 Web 浏览器进行基于 Web 的注册的设备。要检测此类设备的状态,应在设备上安装任何 Workspace ONE SDK 嵌入式应用程序,例如 Workspace ONE MDM Agent、Workspace ONE Browser、Workspace ONE Secure Content Locker 或启用 SDK 的企业应用程序。
有关比较各种注册方法的详细信息,请参阅“iOS 平台指南”。
后台检查
设备注册后,管理其合规性。Workspace ONE MDM Agent 提供持续的后台检查,以了解所有 Android 设备的受损状态,并查看可访问蜂窝网络的 iOS 操作系统 (iOS 7 +) 的更新版本。
适用于 iOS 7 设备,您可以利用基于 Workspace ONE Agent 的功能,包括:
- 后台应用程序刷新 — Workspace ONE 提供了一种完全通过 Workspace ONE Agent 设置基于间隔的设备信息收集和传输的方法。在这种情况下,您可以向设备发送时间参数,指明启动 Workspace ONE Agent 的最低频率。通过转至 Workspace ONE 管理控制台中的 设备>设置>AppleApple>iOS>Agent 设置 来启用此设置。在此页面中,单击 后台应用程序刷新 并配置可用选项。设置最小刷新间隔 ,并将 Agent 设置为仅在设备连接到 Wi-Fi 网络时签入。设置最小刷新间隔意味着设备尝试向 MDM 服务器发送设备信息的次数不超过分配的最小值一次。
- 静默 Apple 推送通知服务 (APNs) - Workspace ONE 会定期使用静默 APNs 自动请求背景调查。在此情况下,Workspace ONE Admin Console 将向设备发送一则通知,请求将受损状态发送回 Workspace ONE 服务器。在设备上,必须为 Workspace ONE Agent 开启推送通知。
您还可以通过转到特定设备的“设备详细信息”页面,然后单击 更多>查询>Workspace ONE MDM 代理来手动运行查询,如下所示。仅当设备上安装了所需的 Workspace ONE Agent 版本时,才会显示此查询。
此外,使用 Workspace ONE SDK 中的受损检测功能,您可以在内部应用程序中绑定到此后台逻辑,以完成后台越狱检测。
应用程序启动的检查
为企业信息和 Workspace ONE 功能使用建立检测检查点。设备启动 Workspace ONE Secure Content Locker、AirWatch Browser 或 AirWatch MDM Agent 时,检测系统会自动验证法规遵从性状态,从而在您的信息中添加额外的保护壁。
为具有受损保护的 iOS 和 Android 启用覆盖的应用程序。从“设置和策略”页面(“组和设置>”、“所有设置>”、“应用程序”、“设置>”和“策略>”、“安全策略”)中启用设置,并为打包应用启用其他设置,并将配置文件分配给打包应用。有关更多信息和分步说明,请参阅《Workspace ONE App Wrapping Guide》。
为具有受损检测的 iOS 启用 SDK 应用程序。从 iOS SDK v.3.2 开始,您可以直接在应用程序中检查设备的受损状态,无论设备是联机还是脱机。如果设备过去至少成功运行过一次 Beacon 调用,则应用程序只能使用此功能。有关更多信息和示例代码,请参阅《Workspace ONE iOS SDK 指南》。
法规遵从性引擎
一旦 Workspace ONE 检测到受损或不合规的设备,合规性引擎会根据管理员在控制台上设置的设备策略快速对这些设备执行操作。Workspace ONE 为管理员提供了灵活性,允许要求初始设备状态并设置合规性引擎的时间间隔频率。
在企业应用程序中内置检测
不是安装 Workspace ONE Agent 来访问 SDK,而是将 Workspace ONE SDK 构建到内部应用程序中。SDK 提供了 MDM 的主要功能(在我们的完整 SDK 配置文件中阐述),其中包括持续扫描法规遵从性的越狱和根检测。通常,运行的企业应用程序会向下推送到设备,更频繁地运行检测扫描,以便更快地捕获受感染的设备。
然后,管理员可以在 Admin Console 中指定要对受感染设备上安装的应用程序执行的操作。例如,如果发现某个设备受损,管理员可以应用以下操作:
- 发送用户警告消息。
- 将用户锁定在设备之外。
- 擦除应用程序和企业数据。
- 限制访问
实施和监控受损设备
强制实施法规遵从性策略以监控 iOS 和 Android 设备的受损状态。Workspace ONE Admin Console 为管理员提供了确保计算机保持警报和安全的工具。
法规遵从性引擎
法规遵从性引擎充当安全检查点,自动锁定设备或用户,或者对其采取其它操作。根据管理员为设备设置的合规性规则,合规性引擎可以检测设备是否不符合要求,并对其执行定义的操作。可在 Workspace ONE Admin Console 中定义这些规则和操作。
一旦建立规则和操作,法规遵从性引擎就会处理剩余的问题。修复会自动进行。如果扫描发现受影响的设备,计算机将运行预设警告和升级操作。管理员不会在发现每个实例时就对其进行处理。
但是,Admin Console 将为法规遵从性协议启用自助服务。管理员可以擦除设备,并向用户发送一封电子邮件或短信,说明其设备为何不符合要求,而无需用户与管理员联系。
利用合规性引擎管理设备所节省的时间,管理员可以查看每周或每月的合规性报告,以了解屡次违规者。
上次受损扫描合规性
上次受损扫描合规性允许管理员设置代理应执行设备扫描的时间间隔。这可确保如果 AirWatch 在一定时间内没有从设备收到法规遵从性状态,则可采取预防措施。
受损状态合规性
受损状态法规遵从性规则允许管理员设置受损设备的操作。
对于上述两个法规遵从性规则,可以应用以下操作:
- 通知:通过发送短信、电子邮件和推送通知来通知用户。
- Application:阻止或删除少数或全部托管应用。
- 命令:正在执行企业擦除或请求设备签入。
- Profile:阻止或删除所有配置文件、特定配置文件类型或特定配置文件。
设备控制面板
管理员可以查看已注册设备的汇总。摘要包括安全详细信息,告知管理员是否已在设备上执行了受损检测。如果设备未受损,则会显示绿色复选标记。
可视化设备合规性
仪表板以图形形式表示在组织组中注册的受感染设备所占的百分比。这为管理员提供了受感染设备的概要视图,并有助于跟踪此类设备。
运行计划的或按需合规性报告
Workspace ONE Admin Console 还附带 100 多个标准报告,包括可按计划的时间间隔自动运行或按需生成的法规遵从性报告的列表。快速查看整个机群或特定组织组中的任何不合规设备。隔离列入黑名单的应用、弱验证码设置和整体安全合规性的违规设备。通过合规性报告,可以鸟瞰系统中受损或不合规的设备。
结论
安全的 MDM 是一种日益增长的需求,因此,Workspace ONE 通过允许和帮助您检测受损设备等安全威胁的无与伦比的解决方案,在这个方向上先行一步。Workspace ONE 独特的多层检测解决方案在所有设备平台上都有效,并且还提供了对检测到的设备执行所需操作的灵活性。检测解决方案的上述所有要素使 Workspace ONE 成为确保企业安全的有效解决方案。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。