Workspace ONE registrering og administration af kompromitterede enheder

Berørte produkter:

• Workspace ONE

Mobilenheder tillader konstant kommunikation og adgang til virksomhedsindhold on the go. Mens mobile enheder holder vigtige forretningsoplysninger flydende, kan malware og beskadiget indhold introduceres i dit netværk. Da disse potentielle sikkerhedstrusler er mulige, skal din Mobile Device Management (MDM)-strategi forberedes til enhver form for udfordring. En sådan sikkerhedsudfordring er tilstedeværelsen af en kompromitteret enhed i din mobilflåde.

Oversigt

Kompromitterede enheder inkluderer "jailbroken" iOS og "rooted" Android-enheder, som en bruger har ændret fra producentens forudindstillinger. Disse enheder fjerner indbyggede sikkerhedsindstillinger, og kan introducere malware i dit netværk og få adgang til dine virksomhedsressourcer. I et MDM-miljø er den overordnede kæde kun så stærk som det svageste led. En enkelt udsat enhed kan beskadige følsomme oplysninger eller ødelægge dine servere. Overvågning og registrering af kompromitterede enheder bliver mere kompliceret i et BYOD (Bring Your Own Device)-miljø med forskellige versioner af enheder og operativsystemer. Kompromitterede enheder er et stort sikkerhedsproblem for en virksomhed og bør omgående håndteres.

Jailbroken og rootede enheder udsender grundlæggende beskyttelsespunkter, hvilket gør dem sårbare over for uønskede aktiviteter, som f.eks.:

• Adgangskode og identitetstyveri: Ukrypterede brugernavne og adgangskoder indsamles og bruges til at gå dybere ind i følsomme områder eller antage virksomhedsidentitet.
• Dataaflytning: Sendt og modtaget kommunikation er i almindelig visning, ubeskyttet af normale sikkerhedsforanstaltninger.
• Virusinfiltration: Et ubevogtet netværk er en siddende and for virus- og malwareindtrængen, der potentielt ødelægger din virksomheds data og gør dem uoprettelige.

Udfordringen ved registrering

Enheder, der kører på forskellige platforme, reagerer forskelligt mod kompromitteret registrering. For eksempel understøtter iOS 7+-enheder baggrundskontrol, men kan indeholde yderligere begrænsninger. Android-enheder gør det muligt at foretage baggrundstjek uden begrænsninger eller begrænsninger. Workspace ONEs (tidligere AirWatch) løsning på dette problem sikrer registrering på tværs af flere enheder og operativsystemer.

Workspace ONE-procedure

For at håndtere sådanne variationer har Workspace ONE udviklet en unik tilgang i flere niveauer til registrering af kompromitterede enheder. Se nedenstående tabel for at forstå begrænsningerne og mulighederne på iOS- og Android-platforme.

Platformsmuligheder

Registrering af kompromitterede enheder med Workspace ONE

Workspace ONEs løsning strækker sig over hele levetiden for en tilmeldt enhed, låser ubudne enheder ude og afbryder båndene til kompromitterede eller ikke-kompatible enheder. Vores proprietære detektionsalgoritmer gennemgår konstant penetrationstest, forskning og udvikling baseret på nye operativsystemer, hvilket sikrer de mest avancerede detektionsfunktioner muligt. Denne registreringsmetode i flere niveauer til kompromitterede enheder består af følgende:

Agent-tilmelding

Workspace ONEs første forsvarslinje mod uønskede enheder starter ved registrering. Konfigurer kompatibilitetsindstillinger, og registrer kompromitterede enheder, før du giver adgang til en enhed. Kræv, at alle enheder overholder sikkerhedsindstillingerne eller installerer profiler for brugeren. Registrering af sikkerhedsoverholdelse varierer afhængigt af tilmeldingstypen:

• Agentbaseret – iOS- eller Android-enheder kan tilmelde sig Workspace ONE MDM Agent, der downloades fra iTunes App Store eller Google Play Store. Når agenten er installeret, kontrollerer agenten status for enheden, og enheden sender derefter oplysningerne til serveren i henhold til det tidsinterval, der er angivet i Workspace ONE-administrationskonsollen.
• Webbaseret – iOS-enheder er de eneste enheder, der understøtter webbaseret tilmelding med standardwebbrowseren på enheden ved hjælp af tilmeldingswebadressen. Hvis du vil registrere status for sådanne enheder, skal alle Workspace ONE SDK-integrerede apps installeres på enheden, såsom Workspace ONE MDM Agent, Workspace ONE Browser, Workspace ONE Secure Content Locker eller en SDK-aktiveret virksomhedsapp.

Du kan finde flere oplysninger om at sammenligne de forskellige tilmeldingsstrategier i platformsvejledningen for iOS.

Baggrundskontrol

Når enheden er tilmeldt, skal du administrere dens overholdelse. Workspace ONE MDM Agent laver løbende baggrundskontrol af alle Android-enheder og nyere versioner af iOS-operativsystemet (iOS 7+) med adgang til et mobilnetværk.

Workspace ONE Agent-baserede funktioner, der er tilgængelige for iOS 7-enheder, kan du drage fordel af Workspace ONE Agent-baserede funktioner, herunder:

• Appopdatering i baggrunden – Workspace ONE giver mulighed for at indstille intervalbaseret indsamling og overførsel af enhedsoplysninger udelukkende via Workspace ONE-agenten. Du kan således sende en tidsparameter til enheden, der angiver, hvor ofte Workspace ONE Agent som minimum skal startes. Aktivér denne indstilling ved at gå til Enhedsindstillinger>>Apple>Apple iOS>Agent Settings i Workspace ONE Admin Console. Fra denne side skal du klikke på Background App Refresh og konfigurere de tilgængelige indstillinger. Indstil minimumsopdateringsintervallet, og indstil agenten til kun at tjekke ind, hvis enheden har forbindelse til et Wi-Fi-netværk. Indstilling af minimumsopdateringsintervallet betyder, at enheden ikke forsøger at sende enhedsoplysninger til MDM-serveren mere end én gang inden for det tildelte minimum.
  
• Apple Silent Push Notification Service (APNs) – Workspace ONE anmoder automatisk regelmæssigt om baggrundstjek ved hjælp af lydløse APN'er. I denne forekomst sender Workspace ONE Admin-konsollen en meddelelse til den enhed, der anmoder om, at status for kompromitteret returneres til Workspace ONE-serveren. På enheden skal push-meddelelser være tændt for Workspace ONE-agenten.
  

Du kan også køre en forespørgsel manuelt ved at gå til siden Enhedsoplysninger for en bestemt enhed og klikke på Flere>forespørgsler>på Workspace ONE MDM Agent som vist nedenfor. Denne forespørgsel vises kun, hvis den påkrævede version af Workspace ONE Agent er installeret på enheden.

Ved hjælp af den kompromitterede registreringsfunktion i Workspace ONE SDK kan du desuden knytte denne baggrundslogik i dit interne program til at udføre registrering af jailbreaks i baggrunden.

App-aktiveret kontrol

Fastlæg brug af registreringskontrolpunkter for virksomhedsinformation og Workspace ONE-funktion. Når en enhed starter Workspace ONE Secure Content Locker, verificerer AirWatch Browser eller AirWatch MDM Agent automatisk kompatibilitetsstatus og tilføjer en beskyttelsesmur for dine oplysninger.

Aktivér ombrudte apps til iOS og Android med kompromitteret beskyttelse. Aktivér indstillingen fra siden Indstillinger og politikker (Grupper og indstillinger>, alle indstillinger>, apps>, indstillinger og politikker>, sikkerhedspolitikker) sammen med andre indstillinger for dine indpakkede apps, og tildel profilen til din indpakkede app. Du kan finde flere oplysninger og en trinvis vejledning i Workspace ONE App Wrapping Guide.

Aktivér dine SDK-apps til iOS med kompromitteret registrering. Start med iOS SDK v.3.2, hvor du kan kontrollere enhedens kompromitterede status direkte i dit program, uanset om enheden er online eller offline. Dit program kan kun bruge denne funktion, hvis enheden har kørt et beaconsignal mindst én gang før. Du kan finde flere oplysninger og eksempler på kode i Workspace ONE iOS SDK Guide.

Overholdelsesprogram

Når Workspace ONE registrerer kompromitterede eller ikke-kompatible enheder, reagerer overholdelsesprogrammet hurtigt på disse enheder baseret på den enhedspolitik, der er angivet af administratoren på konsollen. Workspace ONE giver administratoren fleksibilitet til at kræve den indledende enhedsstatus og indstille tidsintervalfrekvensen for overholdelsesprogrammet.

Registrering indbygget i virksomhedsappen

I stedet for at installere Workspace ONE Agent for at få adgang til SDK, skal du bygge Workspace ONE SDK ind i dine interne apps. SDK leveres med nøglefunktioner i MDM (som er beskrevet i vores komplette SDK-profil), herunder jailbreak og rootregistrering, der konstant scanner for overholdelse. Almindeligt køre Enterprise-apps, der skubbes ned til en enhed, kører registrering af scanninger oftere, så du fanger kompromitterede enheder hurtigere.

En administrator kan derefter angive de handlinger, der skal udføres for en app, der er installeret på den kompromitterede enhed i Admin Console. Hvis du f.eks. har fundet en enhed, der er registreret som kompromitteret, kan administratoren gøre følgende:

• Send en brugeradvarselsmeddelelse.
• Lås brugeren ude af enheden.
• Slet program- og virksomhedsdata.
• Begrænse adgang

Gennemtvinge og overvåge kompromitterede enheder

Gennemtvinge overholdelsespolitikker for at overvåge den kompromitterede status for iOS-og Android-enheder. Workspace ONE Admin Console giver administratoren værktøjer til at holde computeren opmærksom og sikker.

Overholdelsesprogram

Overholdelsesprogrammet fungerer som sikkerhedskontrolpunkt og låser automatisk eller udfører yderligere handlinger på enheder eller brugere. Baseret på de overholdelsesregler, der er angivet af administratoren for en enhed, kan overholdelsesprogrammet registrere, om en enhed ikke klager og udføre definerede handlinger på den. Disse regler og handlinger kan defineres i Workspace ONE Admin-konsollen.

Når reglerne og handlingerne er oprettet, sørger overholdelsesprogrammet for resten. Afhjælpning er automatiseret. Hvis en scanning afslører en kompromitteret enhed, kører computeren gennem forudindstillede advarsler og eskalerede handlinger. Administratorer er ikke tvunget til at adressere hver forekomst, efterhånden som de findes.

Administrationskonsollen aktiverer imidlertid selvbetjening til overholdelsesprotokollen. Administratorer kan fjerne en enhed og sende en e-mail eller SMS-besked til brugeren om, hvordan og hvorfor deres enhed ikke er kompatibel, uden at brugeren skal kontakte administratoren.

Med den tid, der spares af administrationsenheder i Overholdelsesprogrammet, kan administratorer gennemgå ugentlige eller månedlige overholdelsesrapporter for at forstå gentagne lovovertrædere.

Overholdelse af sidste kompromitterede scanning

Overholdelse af den sidste kompromitterede scanning giver administratoren mulighed for at indstille tidsintervallet for, hvornår agenten skal udføre enhedsscanningen. Dette sikrer, at der kan træffes sikkerhedsforanstaltninger, hvis AirWatch ikke modtager en overholdelsesstatus fra enheden i et bestemt tidsrum.

Overholdelse af kompromitteret status

Overholdelsesreglen for kompromitteret status giver administratoren mulighed for at konfigurere handlinger for en kompromitteret enhed.

For ovennævnte to overholdelsesregler kan følgende handlinger anvendes:

• Melde: Underret brugeren ved at sende SMS, e-mail og push-meddelelser.
• Ansøgning: Blokering eller fjernelse af få eller alle de administrerede apps.
• Kommando: Udførelse af Enterprise Wipe eller anmodning om check-in af enhed.
• Profil: Blokering eller fjernelse af alle profiler eller en bestemt profiltype eller en bestemt profil.

Enhedskontrolpanel

Administratorer kan se oversigten over de tilmeldte enheder. Oversigten indeholder sikkerhedsoplysninger, der informerer administratoren om, hvorvidt kompromitteret registrering blev udført på enheden eller ej. Hvis enheden ikke er kompromitteret, vises et grønt flueben.

Visualiser enhedens overholdelse

Dit dashboard giver en grafisk repræsentation af procentdelen af kompromitterede enheder, der er tilmeldt en organisationsgruppe. Dette giver administratoren et overblik på højt niveau over de kompromitterede enheder og hjælper med sporing af sådanne enheder.

Kør planlagte eller on-demand-overholdelsesrapporter

Workspace ONE Admin-konsollen leveres også med mere end 100 standardrapporter, herunder en liste over overholdelsesrapporter, der kan køres automatisk med planlagte intervaller eller genereret on-demand. Få hurtigt vist eventuelle ikke-kompatible enheder i hele din flåde eller i specifikke organisationsgrupper. Isoler krænkende enheder for blokerede apps, svage adgangskodeindstillinger og generel sikkerhedsoverholdelse. Overholdelsesrapporter giver et fugleperspektiv af kompromitterede eller ikke-kompatible enheder i dit system.

Konklusion

Sikring af MDM er et stadig stigende behov, og derfor har Workspace ONE taget et skridt i denne retning ved at tilbyde en ikke-parallel løsning, der giver dig mulighed for at opdage sikkerhedstrusler, f.eks. kompromitterede enheder. Workspace ONEs unikke registreringsløsning i flere niveauer er designet til at være effektiv på alle enhedsplatforme og giver også fleksibilitet til at udføre de nødvendige handlinger på de registrerede enheder. Alle ovenstående ingredienser i registreringsløsningen gør Workspace ONE til en effektiv løsning til at holde din virksomhed sikret.

For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.