1 / 21

Mobilně a (ne)bezpečně

Mobilně a (ne)bezpečně. Zdeněk Jiříček Microsoft. Scénáře správy zařízení. Správa nativním protokolem mobilních zařízení. Spr áva v doménovém prostředí. Řešení postavená na konzumerizaci IT. Maximálně zabezpečené zařízení Možnost vynucení bezpečnostních politik

susan-holland
Download Presentation

Mobilně a (ne)bezpečně

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Mobilně a (ne)bezpečně Zdeněk Jiříček Microsoft

  2. Scénáře správy zařízení Správa nativním protokolem mobilních zařízení Správa v doménovém prostředí Řešení postavená na konzumerizaci IT • Maximálně zabezpečené zařízení • Možnost vynucení bezpečnostních politik • Šifrování a vícefaktorová autentizace • Výhody vycházející z vlastností Windows 7/8 (Bitlocker, SecureBoot, Dynamic Access…) • Zařízení spravované samotným uživatelem • Komunikace pomocí veřejných „free“ emailových služeb (Gmail, Hotmail) • Správce sítě nemá žádný dohled nad zařízením • Omezené možnosti zabezpečení • Nesourodá řešení třetích stran pro zabezpečení • Vynutitelnost granularity politik je nízká

  3. Správa v doménovém prostředí • Maximální správa pomocí Group Policy v ActiveDirectory • Bezpečnostní funkce a vlastnosti Windows 8 (Bitlocker, Bitlocker To Go, Trusted/ Measured Boot, UEFI, Virtual Smart Card, Trusted Platform Module-TPM) • Centrální server pro správu(System Center - ConfigMgr, OpsMgr, EndpointProtection atd.) • Reverzní proxy server (Unified Access Gateway) • Externí přístup do korporátní sítě bez VPN (Direct Access)

  4. Správa nativním protokolem mobilních zařízení • Správa pomocí Exchange ActiveSync (EAS) • Původně určen pro synchronizaci emailů mezi Exchange serverema mobilním telefonem • Bezpečnostnífunkce: • RemoteWipe (vzdálené vymazání zařízení) • DevicePasswordPolicies (min. délka PIN, alfanumerické znaky, historie hesel atd.) • DeviceEncryptionPolicies (šifrování mobilního zařízení) • Správa pomocí centrálního nástroje System Center ConfigMgr + Intune • Správa mobilních zařízení přes všechny platformy (Windows RT, Windows Phone, iOS, Android)

  5. Řešení postavená na konzumerizaci IT • Uživatel si přinese své vlastní zařízení do organizace (BYOD) • Zabezpečení zařízení je na samotném uživateli • Velká pravděpodobnost úniku dat • Obtížné připojení do organizační sítě • Řešení problému • Lze začlenit zařízení do domény? (Windows tablety...) • Pokud toto není možné • Virtual Desktop Infrastructure (VDI z Windows, OS X, Linux atd.) • Vynutit bezpečnostní politiky (EAS, ConfigMgr, Intune – lze na Windows RT, Windows Phone, iOS, Android) • Windows To Go (Windows 8 na jakémkoliv PC z USB)

  6. Správa klientů s využitím cloudové služby Windows Intune Windows RT Windows 8 Windows 7 Windows Vista Windows XP Windows Phone 8 x86 / x64 iOS Publikace Android aplikací DirSync Přímá správa a publikace aplikací Windows 8Windows To Go Windows 7 Windows Vista Windows XP x86 / x64 EAS Android Internet CorpNet

  7. 2012 Kombinace ConfigMgr SP1 a služby Windows Intune Windows 8 Windows To Go Windows 7 Windows Embedded Windows Vista Windows XP Mac Windows RT x86 / x64 DirSync Windows Phone 8 Service Pack 1 iOS Distribuce Android aplikací Přímá správa a distribuce aplikací Android EAS Windows 8 Windows 7 Windows Vista Windows XP x86/ x64 Internet CorpNet

  8. DirectAccess Schéma zabezpečení Korporátní síť Internet DirectAccessklient AD& DNS(Win 2003+) Servery pro správu Člen domény s certifikátem Aplikace& Data Direct Access Server IPsec MožnýIPsec end-to-end IPsec – za pomocí certifikátu na počítači, členství v doméně, smart karet a NAP

  9. Šifrování disku, části disku a USB flash disků BitLocker • Zabraňuje neautorizovanému přístupu k datům na ztraceném anebo ukradeném zařízení • Podporuje šifrování systémového i/nebo datového oddílu • Nabízí celou řadu předbootovacích autentizačních možností: • TPM-only, PIN/Password, Network Unlock, USB storage • Podporuje PC, serveryi tablety BitLocker to Go • Ochrana dat na externích přenosných discích (např. USB flash disk) • Možnost přidělit nebo zamítnout přístup pro zápis • Přístup pro čtení naWindows Vista & Windows XP (Bitlocker to Go Reader)

  10. Intune MDM - verze „D“ - 12/2012 update • Možnost integrace s Active Directory • Možnost integrace s SCCM do jedné konzole • Proaktivní monitoring počítačů • Nastavení bezpečnostních politik • Zlepšená samoobslužná instalace a aktualizace softwaru • Inventář hardware a software vč. reportů, pro všechny typy klientů • Nastavení zasílání výstrah • Antivirus / Antimalware • Vylepšená správa skupin • Zlepšené nastavení bezpečnostních politik • Přímá správa mobilních zařízení (Windows RT, Windows Phone 8, iOS) nebo bezpečnostní zásady přes EAS (Exchange ActiveSync) pro Android a Windows Phone 7.5 • Publikace software uživatelůmpřes „Portál společnosti“ • Nasazení firemních aplikací • Inventář hardware Tablet / Smartphone PC

  11. Company Portal: https://portal.manage.microsoft.com Uživatelé mohou přihlásit zařízení, vzdáleně smazat Instalace aplikací Kontakty a zprávy z IT oddělení Instalace „CompanyApps“ Windows RT

  12. Shrnutí • Updatujte strategii pro Risk Management u mobilních organizací • Od všeobecné ochrany interní infrastrukutry k ochraně klíčových aktiv • Klasifikujte aktiva a zmapujte jejich pohyb po síti organizace • Zvolte vhodný typ klientských zařízení a architektury zabezpečení • Vyzkoušejte si Windows Intune (testovací účet), Příručka Getting Started

  13. Děkuji za pozornost

More Related