210 likes | 285 Views
Mobilně a (ne)bezpečně. Zdeněk Jiříček Microsoft. Scénáře správy zařízení. Správa nativním protokolem mobilních zařízení. Spr áva v doménovém prostředí. Řešení postavená na konzumerizaci IT. Maximálně zabezpečené zařízení Možnost vynucení bezpečnostních politik
E N D
Mobilně a (ne)bezpečně Zdeněk Jiříček Microsoft
Scénáře správy zařízení Správa nativním protokolem mobilních zařízení Správa v doménovém prostředí Řešení postavená na konzumerizaci IT • Maximálně zabezpečené zařízení • Možnost vynucení bezpečnostních politik • Šifrování a vícefaktorová autentizace • Výhody vycházející z vlastností Windows 7/8 (Bitlocker, SecureBoot, Dynamic Access…) • Zařízení spravované samotným uživatelem • Komunikace pomocí veřejných „free“ emailových služeb (Gmail, Hotmail) • Správce sítě nemá žádný dohled nad zařízením • Omezené možnosti zabezpečení • Nesourodá řešení třetích stran pro zabezpečení • Vynutitelnost granularity politik je nízká
Správa v doménovém prostředí • Maximální správa pomocí Group Policy v ActiveDirectory • Bezpečnostní funkce a vlastnosti Windows 8 (Bitlocker, Bitlocker To Go, Trusted/ Measured Boot, UEFI, Virtual Smart Card, Trusted Platform Module-TPM) • Centrální server pro správu(System Center - ConfigMgr, OpsMgr, EndpointProtection atd.) • Reverzní proxy server (Unified Access Gateway) • Externí přístup do korporátní sítě bez VPN (Direct Access)
Správa nativním protokolem mobilních zařízení • Správa pomocí Exchange ActiveSync (EAS) • Původně určen pro synchronizaci emailů mezi Exchange serverema mobilním telefonem • Bezpečnostnífunkce: • RemoteWipe (vzdálené vymazání zařízení) • DevicePasswordPolicies (min. délka PIN, alfanumerické znaky, historie hesel atd.) • DeviceEncryptionPolicies (šifrování mobilního zařízení) • Správa pomocí centrálního nástroje System Center ConfigMgr + Intune • Správa mobilních zařízení přes všechny platformy (Windows RT, Windows Phone, iOS, Android)
Řešení postavená na konzumerizaci IT • Uživatel si přinese své vlastní zařízení do organizace (BYOD) • Zabezpečení zařízení je na samotném uživateli • Velká pravděpodobnost úniku dat • Obtížné připojení do organizační sítě • Řešení problému • Lze začlenit zařízení do domény? (Windows tablety...) • Pokud toto není možné • Virtual Desktop Infrastructure (VDI z Windows, OS X, Linux atd.) • Vynutit bezpečnostní politiky (EAS, ConfigMgr, Intune – lze na Windows RT, Windows Phone, iOS, Android) • Windows To Go (Windows 8 na jakémkoliv PC z USB)
Správa klientů s využitím cloudové služby Windows Intune Windows RT Windows 8 Windows 7 Windows Vista Windows XP Windows Phone 8 x86 / x64 iOS Publikace Android aplikací DirSync Přímá správa a publikace aplikací Windows 8Windows To Go Windows 7 Windows Vista Windows XP x86 / x64 EAS Android Internet CorpNet
2012 Kombinace ConfigMgr SP1 a služby Windows Intune Windows 8 Windows To Go Windows 7 Windows Embedded Windows Vista Windows XP Mac Windows RT x86 / x64 DirSync Windows Phone 8 Service Pack 1 iOS Distribuce Android aplikací Přímá správa a distribuce aplikací Android EAS Windows 8 Windows 7 Windows Vista Windows XP x86/ x64 Internet CorpNet
DirectAccess Schéma zabezpečení Korporátní síť Internet DirectAccessklient AD& DNS(Win 2003+) Servery pro správu Člen domény s certifikátem Aplikace& Data Direct Access Server IPsec MožnýIPsec end-to-end IPsec – za pomocí certifikátu na počítači, členství v doméně, smart karet a NAP
Šifrování disku, části disku a USB flash disků BitLocker • Zabraňuje neautorizovanému přístupu k datům na ztraceném anebo ukradeném zařízení • Podporuje šifrování systémového i/nebo datového oddílu • Nabízí celou řadu předbootovacích autentizačních možností: • TPM-only, PIN/Password, Network Unlock, USB storage • Podporuje PC, serveryi tablety BitLocker to Go • Ochrana dat na externích přenosných discích (např. USB flash disk) • Možnost přidělit nebo zamítnout přístup pro zápis • Přístup pro čtení naWindows Vista & Windows XP (Bitlocker to Go Reader)
Intune MDM - verze „D“ - 12/2012 update • Možnost integrace s Active Directory • Možnost integrace s SCCM do jedné konzole • Proaktivní monitoring počítačů • Nastavení bezpečnostních politik • Zlepšená samoobslužná instalace a aktualizace softwaru • Inventář hardware a software vč. reportů, pro všechny typy klientů • Nastavení zasílání výstrah • Antivirus / Antimalware • Vylepšená správa skupin • Zlepšené nastavení bezpečnostních politik • Přímá správa mobilních zařízení (Windows RT, Windows Phone 8, iOS) nebo bezpečnostní zásady přes EAS (Exchange ActiveSync) pro Android a Windows Phone 7.5 • Publikace software uživatelůmpřes „Portál společnosti“ • Nasazení firemních aplikací • Inventář hardware Tablet / Smartphone PC
Company Portal: https://portal.manage.microsoft.com Uživatelé mohou přihlásit zařízení, vzdáleně smazat Instalace aplikací Kontakty a zprávy z IT oddělení Instalace „CompanyApps“ Windows RT
Shrnutí • Updatujte strategii pro Risk Management u mobilních organizací • Od všeobecné ochrany interní infrastrukutry k ochraně klíčových aktiv • Klasifikujte aktiva a zmapujte jejich pohyb po síti organizace • Zvolte vhodný typ klientských zařízení a architektury zabezpečení • Vyzkoušejte si Windows Intune (testovací účet), Příručka Getting Started