跳转至主要内容
  • 快速、轻松地下订单
  • 查看订单并跟踪您的发货状态
  • 创建并访问您的产品列表

Przegląd urządzeń, których integralność została naruszona, w rozwiązaniu Workspace ONE

摘要: W tym artykule opisano omówienie urządzeń, których integralność została naruszona.

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。

症状

Dotyczy produktów:

  • Workspace ONE

Urządzenia mobilne umożliwiają użytkownikom stałą komunikację i dostęp do zawartości przedsiębiorstwa w czasie podróży. Chociaż urządzenia mobilne zapewniają przepływ istotnych informacji biznesowych, mogą pozwolić na wprowadzenie do sieci złośliwego oprogramowania i uszkodzonej zawartości. Ze względu na te potencjalne zagrożenia bezpieczeństwa strategia zarządzania urządzeniami mobilnymi (ang. Mobile Device Management, MDM) powinna zostać przygotowana na wszelkie wyzwania. Jednym z takich wyzwań dla bezpieczeństwa jest obecność we flocie urządzeń mobilnych urządzeń, których integralność została naruszona.

原因

Nie dotyczy

解决方案

Omówienie

Do urządzeń, których integralność została naruszona, należą urządzenia z systemem iOS, na których wykonano „jailbreak”, oraz urządzenia z systemem Android, które zostały „zrootowane”, i w obu przypadkach zmieniono ustawienia fabryczne producenta. Takie urządzenia eliminują wbudowane ustawienia zabezpieczeń i mogą wprowadzać do sieci złośliwe oprogramowanie oraz uzyskać dostęp do zasobów przedsiębiorstwa. W środowisku MDM cały łańcuch jest tylko tak silny, jak jego najsłabsze ogniwo. Pojedyncze zagrożone urządzenie może ujawniać wrażliwe informacje lub uszkadzać serwery. Monitorowanie i wykrywanie zagrożonych urządzeń staje się jeszcze trudniejsze w środowisku z własnymi urządzeniami (BYOD), gdzie używane są różne wersje urządzeń i systemów operacyjnych. Urządzenia, których integralność została naruszona, stanowią poważne naruszenie bezpieczeństwa w przedsiębiorstwie i należy się nimi od razu zająć.

Urządzenia pozbawione ograniczeń i zrootowane tracą podstawowe zabezpieczenia, co sprawia, że są narażone na niepożądane działania, takie jak:

  • Kradzież hasła i tożsamości: Niezaszyfrowane nazwy użytkowników i hasła są gromadzone i wykorzystywane w celu zagłębienia się w wrażliwe obszary lub przejęcia tożsamości firmy.
  • Przechwycenie danych: informacje są wysyłane i odbierane jako widoczne i nie są chronione przez standardowe środki bezpieczeństwa.
  • Infiltracja przez wirusy: niezabezpieczona sieć to łatwy cel dla wirusów i złośliwego oprogramowania, które mogą uszkadzać dane firmy i uniemożliwić ich odzyskanie.

Problem z wykrywaniem

Urządzenia działające na różnych platformach w różny sposób poddają się wykrywaniu złamanych zabezpieczeń. Na przykład urządzenia z systemem iOS 7 lub nowszym obsługują kontrole w tle, ale mogą mieć dodatkowe ograniczenia. Urządzenia z systemem Android umożliwiają kontrole w tle bez żadnych ograniczeń. Rozwiązanie Workspace ONE (dawniej AirWatch) pozwala wyeliminować ten problem poprzez wykrywanie zagrożeń na wielu urządzeniach i w różnych systemach operacyjnych.

Podejście zastosowane w rozwiązaniu Workspace ONE

W celu uporania się z takimi odchyleniami w rozwiązaniu Workspace ONE zastosowano unikatowe wielowarstwowe rozwiązanie wykrywania urządzeń, których integralność została naruszona. Zapoznaj się z poniższą tabelą, aby zrozumieć ograniczenia i możliwości platform iOS i Android.

Możliwości platformy

Możliwość iOS Android
Rejestracja agenta Wykrycie naruszenia podczas rejestracji Wykrycie naruszenia podczas rejestracji
Kontrola w tle W przypadku urządzeń z systemem iOS 7 lub nowszym możliwe są kontrole w tle z użyciem agenta MDM Workspace ONE. Umożliwia wykrywanie w tle
Kontrole na żądanie Dostępne w ramach zaplanowanego przesyłania komunikatów Apple Push Notification Service (APNs):
  • Po uruchomieniu aplikacji Workspace ONE Content Locker
  • Po uruchomieniu przeglądarki Workspace ONE
  • Po uruchomieniu agenta MDM Workspace ONE
Dostępne za pośrednictwem komunikatów GCM Messaging:
  • Po uruchomieniu aplikacji Workspace ONE Secure Content Locker
  • Po uruchomieniu przeglądarki Workspace ONE
  • Po uruchomieniu agenta MDM Workspace ONE
Mechanizm zgodności Zautomatyzowane działania naprawcze po wykryciu urządzenia, którego integralność została naruszona, lub nieaktualnego statusu. Zautomatyzowane działania naprawcze po wykryciu urządzenia, którego integralność została naruszona, lub nieaktualnego statusu.
Wykrywanie wbudowane w aplikacje dla przedsiębiorstw Dostępna funkcja opakowania aplikacji Workspace ONE pozwalająca wymusić wykrywanie zagrożeń w opakowanych aplikacjach Dostępna funkcja opakowania aplikacji Workspace ONE pozwalająca wymusić wykrywanie zagrożeń w opakowanych aplikacjach
Uwaga: w przypadku urządzeń z systemem iOS 6 i starszymi wersjami, które mogą uzyskiwać dostęp do sieci komórkowej, kontrole w tle z użyciem agenta MDM Workspace ONE są dostępne, jeśli jest włączone śledzenie GPS. W przypadku urządzeń z systemem iOS 6 lub starszym, które mogą mieć jedynie dostęp do połączenia Wi-Fi, dostępne są kontrole w tle z użyciem zestawu SDK Workspace ONE, który jest wbudowany w aplikacjach wewnętrznych.

Wykrywanie urządzeń, których integralność została naruszona, z użyciem rozwiązania Workspace ONE

Rozwiązanie Workspace ONE obejmuje cały czas eksploatacji zarejestrowanego urządzenia, umożliwiając blokowanie niezamówionych urządzeń i usuwanie powiązań z zagrożonymi lub niezgodnymi urządzeniami. Nasze algorytmy wykrywania zastrzeżonego stale przechodzą testy penetracji, badania i rozwój w oparciu o nowe systemy operacyjne, zapewniając najbardziej zaawansowane możliwości wykrywania. To wielowarstwowe podejście do wykrywania zagrożonych urządzeń obejmuje następujące elementy:

Rejestracja agenta

Pierwszą linię obrony rozwiązania Workspace ONE przed niechcianymi urządzeniami stanowi rejestracja. Konfigurowanie ustawień zgodności i wykrywanie urządzeń, których integralność została naruszona, przed zezwoleniem na dostęp do urządzenia. Wymaganie od wszystkich urządzeń zgodności z ustawieniami zabezpieczeń lub instalowanie profilów użytkownika. Wykrywanie zgodności z zabezpieczeniami różni się w zależności od typu rejestracji:

  • Urządzenia z systemem iOS lub Android mogą zarejestrować się z użyciem agenta MDM Workspace ONE pobranego ze sklepu iTunes lub Google Play. Po zainstalowaniu agenta sprawdzany jest stan urządzenia, a następnie urządzenie zaczyna zgodnie z interwałem czasowym ustawionym w rozwiązaniu Workspace ONE wysyłać informacje do serwera.
  • Web-based - iOS devices are the only devices that support web-based enrollment with the default web browser on the device using the enrollment URL. Aby wykryć stan takich urządzeń, należy zainstalować na urządzeniu dowolną aplikację Workspace ONE z wbudowanym zestawem SDK, na przykład agenta MDM Workspace ONE, przeglądarkę Workspace ONE, aplikację Secure Content Locker lub aplikację dla przedsiębiorstw z obsługą SDK.

Aby uzyskać więcej informacji na temat różnych metod rejestracji, zobacz Podręcznik platformy iOS.

Kontrole w tle

Po zarejestrowaniu urządzenia można zarządzać jego zgodnością. Agent MDM Workspace ONE udostępnia bieżące kontrole w tle dotyczące stanu naruszenia zabezpieczeń dla wszystkich urządzeń z systemem Android i nowszych wersji systemu operacyjnego iOS (iOS 7 lub nowszy) z dostępem do sieci komórkowej.

Agent Workspace ONE oferuje następujące funkcje przeznaczone w szczególności dla urządzeń z systemem iOS 7:

  • Odświeżanie aplikacji w tle — rozwiązanie Workspace ONE umożliwia ustawianie zbioru i przesyłania informacji o urządzeniach w oparciu o interwały za pośrednictwem agenta Workspace ONE. W takim przypadku można wysłać do urządzenia parametr czasu określający, z jaką minimalną częstotliwością ma być uruchamiany agent Workspace ONE. Włącz to ustawienie, przechodząc do opcji Devices > Settings > Apple > Apple iOS > Agent Settings w konsoli administracyjnej Workspace ONE. Na tej stronie kliknij opcję Odświeżanie aplikacji w tle i skonfiguruj dostępne opcje. Ustaw minimalny interwał odświeżania i ustaw agenta, aby sprawdzał, czy urządzenie jest podłączone do sieci Wi-Fi. Ustawienie minimalnego interwału odświeżania oznacza, że urządzenie podejmuje próbę wysłania informacji o urządzeniu do serwera MDM nie więcej niż raz w przypisanym minimalnym okresie czasu.

Konfiguracja ustawień agenta
Rysunek 1. (tylko w języku angielskim) Konfiguracja ustawień agenta
 

  • Usługa cichego powiadomienia Apple Push Notification Service (APNs) — Workspace ONE regularnie wysyła żądania kontroli w tle przy użyciu dyskretnych apn. W tym przypadku konsola administracyjna Workspace ONE wyśle do urządzenia powiadomienie, żądając zwrócenia do serwera Workspace ONE informacji o stanie zagrożenia. W urządzeniu należy włączyć powiadomienia push dla agenta Workspace ONE.

AirWatch MDM Agent
Rysunek 2. (tylko w języku angielskim) AirWatch MDM Agent

Kwerendę można również uruchomić ręcznie, przechodząc do strony Szczegóły urządzenia dla określonego urządzenia i klikając opcję More > Query > Workspace ONE MDM Agent, jak podano poniżej. Ta kwerenda pojawia się tylko wtedy, gdy na urządzeniu jest zainstalowana żądana wersja agenta Workspace ONE.

Uwaga: Obie te funkcje sprawdzania tła dla systemu iOS 7 wymagają agenta Workspace ONE w wersji 4.9 lub nowszej. Ponadto agent Workspace ONE nie może znajdować się w stanie nieaktywnym. Musi być aktywny, zawieszony lub działać w tle. Jeśli aplikacja jest ręcznie zamknięta, kontrole w tle nie są wznawiane do momentu ponownego otwarcia aplikacji przez użytkownika.

Dodatkowo, korzystając z funkcji wykrywania naruszenia bezpieczeństwa w zestawie SDK Workspace ONE, można powiązać algorytmy kontroli w tle z aplikacją wewnętrzną, aby uzyskać funkcję wykrywania działań „jailbreak” w tle.

Kontrole zainicjowane przez aplikację

Ustalanie punktów kontrolnych na potrzeby dostarczania informacji o przedsiębiorstwie i użycia funkcji Workspace ONE. Gdy urządzenie uruchomi aplikację Workspace ONE Secure Content Locker, przeglądarkę AirWatch lub agenta MDM AirWatch, system wykrywający automatycznie weryfikuje stan zgodności, dodając kolejną warstwę ochrony danych.

Włącz ochronę przed naruszeniem bezpieczeństwa opakowanych aplikacji dla systemów iOS i Android. Włącz ustawienie na stronie Ustawienia i zasady (Grupy & Ustawienia > Wszystkie ustawienia > Aplikacje > Ustawienia i zasady > Zasady zabezpieczeń) wraz z innymi ustawieniami opakowanych aplikacji i przypisz profil do opakowanej aplikacji. Aby uzyskać więcej informacji i zapoznać się ze szczegółowymi instrukcjami, zobacz Podręcznik z opakowania aplikacji Workspace ONE.

Włącz wykrywanie zagrożeń w aplikacjach SDK dla systemu iOS. Począwszy od wersji 3.2 zestawu SDK dla systemu iOS, stan zagrożenia urządzenia można sprawdzić bezpośrednio w aplikacji, niezależnie od tego, czy urządzenie jest w trybie online, czy offline. Aplikacja może korzystać z tej funkcji wyłącznie wtedy, gdy urządzenie przynajmniej raz w przeszłości uruchomiło połączenie sygnałowe. Aby uzyskać więcej informacji i przykładowy kod, zapoznaj się z przewodnikiem SDK Workspace ONE dla systemu iOS.

Mechanizm zgodności

Gdy rozwiązanie Workspace ONE wykryje zagrożone lub niezgodne urządzenie, mechanizm zgodności niezwłocznie podejmie działanie w oparciu o zasady urządzeń ustawione przez administratora w konsoli. Rozwiązanie Workspace ONE zapewnia administratorowi swobodę w zakresie wymagania wstępnego stanu urządzenia, a także ustawiania częstotliwości uruchamiania mechanizmu zgodności.

Wykrywanie wbudowane w aplikacje dla przedsiębiorstw

Zamiast instalować agenta Workspace ONE, aby uzyskać dostęp do zestawu SDK, można wbudować zestaw SDK do aplikacji wewnętrznych. Zestaw SDK oferuje główne funkcje MDM (które zostały opisane w kompletnym profilu SDK), w tym funkcje wykrywania działań „jailbreak” i rootowania, które nieustannie kontrolują stan zgodności. Najczęściej uruchamiane aplikacje dla przedsiębiorstw, które są wypychane do wykrywania urządzeń, są skanowane częściej, dzięki czemu szybciej można wychwycić urządzenia, których integralność została naruszona.

Administrator może także w konsoli administracyjnej określić, jakie działania mają zostać podjęte wobec aplikacji zainstalowanej na urządzeniu, którego integralność została naruszona. Na przykład, jeśli okaże się, że zabezpieczenia urządzenia zostały złamane, administrator może zastosować następujące działania:

  • Wysłanie komunikatu z ostrzeżeniem dla użytkownika.
  • Zablokowanie użytkownikowi dostępu do urządzenia.
  • Wymazanie aplikacji i danych przedsiębiorstwa.
  • Ograniczenie dostępu

Egzekwowanie zasad i monitorowanie zagrożonych urządzeń

Wymuś zgodność z zasadami w celu monitorowania zagrożenia urządzeń z systemem iOS i systemem Android. Konsola administracyjna Workspace ONE oferuje narzędzia, które umożliwiają zachowanie czujności i zabezpieczenie systemu.

Uwaga: Wykrywanie urządzeń z systemem Windows Phone, których integralność została naruszona, jest niepotrzebne, ponieważ proces UEFI i secure boot systemu operacyjnego nie ma znanych jailbreaków ani zabezpieczeń.

Mechanizm zgodności

Mechanizm zgodności służy jako punkt kontrolny zabezpieczeń, automatycznie blokując urządzenia lub podejmując dodatkowe czynności wobec urządzeń i użytkowników. W oparciu o reguły zgodności ustawione wobec urządzenia przez administratora, mechanizm zgodności może wykryć, czy urządzenie zachowuje zgodność z wymogami i wykonać na nim określone działania. Te reguły i działania można definiować w konsoli administracyjnej rozwiązania Workspace ONE.

Po ustaleniu reguł i działań mechanizm zgodności zajmuje się resztą. Działania naprawcze są zautomatyzowane. Jeśli skanowanie wykryje zagrożone urządzenie, komputer przechodzi przez wstępnie ustawione ostrzeżenia i eskaluje działania. Po wykryciu administratorzy nie muszą zajmować się każdą instancją.

Konsola administracyjna umożliwia jednak samodzielne sprawdzenie zgodności. Administratorzy mogą usunąć urządzenie i wysłać do użytkownika wiadomość e-mail lub SMS, wyjaśniając, w jaki sposób i dlaczego dane urządzenie nie jest zgodne z wymogami, bez konieczności kontaktowania się użytkownika z administratorem.

W czasie zaoszczędzonym przez mechanizm zgodności zarządzający urządzeniami administratorzy mogą przeglądać cotygodniowe lub miesięczne raporty zgodności, aby zrozumieć powtarzające się problemy.

Funkcja zgodności Skanowanie ostatnio naruszonych

Funkcja zgodności Skanowanie ostatnio naruszonych umożliwia administratorom ustawienie interwału, w jakim agent ma wykonywać skanowanie urządzeń. Daje to pewność, że jeśli rozwiązanie AirWatch przez określony czas nie otrzyma od urządzenia informacji o stanie zgodności, mogą zostać podjęte środki zapobiegawcze.

Funkcja zgodności Status naruszenia

Funkcja zgodności Status naruszenia umożliwia administratorom konfigurowanie działań, jakie mają być podjęte wobec zagrożonego urządzenia.

W przypadku dwóch reguł powyższych zgodności można zastosować następujące działania:

  • Powiadamianie: powiadamianie użytkownika za pomocą wiadomości SMS, poczty e-mail i powiadomień push.
  • Application: blokowanie lub usuwanie części lub wszystkich zarządzanych aplikacji.
  • Polecenie: wykonanie wymazywania danych przedsiębiorstwa lub żądanie zaewidencjonowania urządzenia.
  • Profile: blokowanie lub usuwanie wszystkich profili, określonych typów profilu albo określonego profilu.

Panel sterowania urządzeniami

Administratorzy mogą wyświetlić podsumowanie zarejestrowanych urządzeń. Zawiera ono szczegółowe informacje o zabezpieczeniach, informujące administratora, czy poszczególne urządzenia były sprawdzane pod kątem naruszenia integralności. Jeśli urządzenie nie jest zagrożone, jest przy nim wyświetlany zielony znacznik wyboru.

Panel sterowania urządzeniami
Rysunek 3. (tylko w języku angielskim) Panel sterowania urządzeniami

Wizualizacja zgodności urządzenia

Pulpit nawigacyjny przedstawia w formie graficznej odsetek zagrożonych urządzeń zarejestrowanych w grupie organizacji. Zapewnia to administratorowi ogólny widok zagrożonych urządzeń i pomaga w śledzeniu takich urządzeń.

Pulpit
Rysunek 4. (tylko w języku angielskim) Pulpitu nawigacyjnego

Generowanie raportów zgodności z przepisami zgodnie z planem lub na żądanie

W konsoli administracyjnej Workspace ONE jest także dostępnych ponad 100 standardowych raportów, w tym lista raportów zgodności, które mogą być wykonywane automatycznie w zaplanowanych odstępach czasu lub generowane na żądanie. Szybki przegląd wszelkich niezgodnych urządzeń w całej flocie lub w określonych grupach organizacji. Izolowanie urządzeń naruszających zasady poprzez obecność zabronionych aplikacji, słabe hasła lub ogólną niezgodność z zasadami bezpieczeństwa. Raporty zgodności umożliwiają uzyskanie ogólnego obrazu urządzeń zagrożonych lub niezgodnych z zasadami.

Wszystkie raporty
Rysunek 5. (tylko w języku angielskim) Wszystkie raporty

Wnioski

Rozwiązanie Workspace ONE wychodzi naprzeciw coraz pilniejszej potrzebie posiadania bezpiecznych funkcji MDM, oferując wyjątkowe rozwiązanie, które zapewnia wykrywanie zagrożeń dla bezpieczeństwa, takich jak urządzenia, których zabezpieczenia zostały złamane. Unikatowe wielowarstwowe rozwiązanie wykrywania Workspace ONE zostało opracowane pod kątem zapewnienia skuteczności na wszystkich platformach urządzeń. Zapewnia także swobodę w zakresie wyboru działań, jakie mają być podjęte wobec wykrytych urządzeń. Wszystkie powyższe składniki rozwiązania wykrywania sprawiają, że Workspace ONE jest skutecznym rozwiązaniem, które chroni Twoje przedsiębiorstwo.


Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.

其他信息

   

视频

   

受影响的产品

VMWare AirWatch, Workspace One
文章属性
文章编号: 000125398
文章类型: Solution
上次修改时间: 17 9月 2024
版本:  14
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。