APP下载

管理iOS与Android设备

2018-11-07顾武雄

网络安全和信息化 2018年9期
关键词:凭证页面客户端

尽管PC与笔记本的操作系统仍是Windows独霸群雄,但是在智能移动设备的部分(手机、平板)却是正好相反,Windows反而成为了稀有动物了。因为如今几乎是iOS与Android系列设备的天下了,看来BYOD的信息安全问题所要管理的对象当中,使用iOS与Android的员工已变成了最主要的目标了。

在这里我们首当应该先了解针对Android系列的设备,该如何经由Windows Intune进行管理,因为由于它的安全管制措施并没有像Apple那样的严厉,因此无论您的设备是 HUAWEI、ASUS、SAMSUNG还是小米机等设备,皆只要在“Play商店”中搜寻Windows Intune关键词便可以找到它的App,然后完成安装与账号的登录即可。

至于iOS的设备呢?那可就稍微比较麻烦一点,不过还好那只是初次在Windows Intune网站上的设置比较啰唆一点而已。请先开启至系统管理入口网站中的“移动设备管理”→“iOS”节点页面。在此可以看到在我们进行iOS设备管理之前,必须先取得APNs的凭证,而这项凭证的取得必须使用一组Apple ID的登录才能够产生与下载。

请开启Apple Push Certificates Portal网站(https://idmsa.apple.com),然后输入Apple ID与密码并且点击“Sign in”登录。接着请点击“Create Certificate” 按钮。在“Create a New Push Certificate”页面中,它要求我们必须先上传一个凭证签入的要求文件,才能够创建一个新的凭证文件来供我们使用,因此我们必须再回到Windows Intune的系统管理入口网站中,来产生凭证要求档。

点击在“移动设备管理”→“iOS”节点页面中的“上传APNs凭证”连接,接着点击“下载APNs凭证要求”按钮,然后再将此文件(*.csr)存储在本地计算机之中等待使用。回到刚刚的Apple Push Certificates Portal网站继续。

再次回到等待中的“Create a New Push Certificate”页面中之后,请点击“浏览”按钮来选取刚刚所下载的CSR文件,然后点击“Upload”按钮,一旦成功上传之后将会开启如图2所示的确认页面。在此您可以先点击“Manage Certificates”按钮,来查看目前这个凭证的相关信息。

图2 成功创建凭证

在“Certificate for Third-Party Servers”页面当中,其实就是让用户可以管理所有在这个网站上所申请过的凭证,因为有许多类似于MDM方面的解决方案,都是需要到这个网站上来下载APNs的凭证,因此在这里就可以看到这个刚刚申请的凭证的第三厂商(Vendor)就是Microsoft。未来如果凭证过期之后想要继续使用,就可以在此点击“Renew”按 钮来更新即可。点击“Download”按钮下载,它的档名应该会是MDM_ Microsoft Corporation_Certificate.pem。

完成了APNs的凭证下载后,便可回到“移动设备管理”、“iOS”节点页面中来进行上传。在“上传APNs凭证”的页面中,除了需要点击“浏览”按钮来上传APNs凭证外,还需要输入已注册的Apple ID,然后点击“上传”并完成相对密码的输入即可。

一旦成功上传APNs凭证于Windows Intune网站之中,便可以检视到该凭证的状态、主体ID、上次更新日期以及到期日信息。未来如果凭证即将到期时,请务必将更新后的凭证再一次上传。

Windows智能移动设备的安装

接下来马上来看看有关移动客户端的Windows Intune App安装设置方法。

所有用户都可以在Windows 8、Windows 10 的平板或智能型手机当中来安装它。无论移动客户端的智能设备是哪一种操作系统,在完成Windows Intune App安装之后,第一次都需要进行Windows Intune帐户密码的登录。建议请将“让我保持登录”设置勾选。

针对一个已安装在iPad Air平板中的Windows Intune App,请在开启与登录之后,请点击左下角的“我的设备”图示,以完成最后添加设备于Windows Intune网站的操作。

在“设备详细数据”页面中,首先可以检视到目前此设备的基本信息,包括了原始名称、制造商、型号以及操作系统,至于完整的详细信息则会在添加设备成功之后,自动回传到Windows Intune网站数据库之中。然后点击“添加设备”选项继续。

紧接着将会出现新增设备的提示信息,其内容主要是告知用户,一旦设备添加到Windows Intune系统的管理中,其设备的软硬件信息将可能会被企业IT所收集,并且可能也会因故被抹除设备中的数据或回到出厂设置值。确认后点击右上角的“添加”继续。

接着将会开启“安装描述档”页面,在点击“安装”之后将会再出现确认信息,请点击“立即安装”。接着会再出现有关“移动设备管理”页面中的说明,点击位在右上角的“安装”即可。

等到完成安装之后将可以看到所有安装描述档的完整信息,这包括了签署凭证以及管理权限的信息。当完成添加设备至Windows Intune之后,在“设备详细数据”页面中,可以随时进行重设设备、移除设备以及重新命名设备等功能。

接下来我们以系统管理员身份登录到Windows Intune网站,然后在“All Mobile Devices”节点页面中,看看是否有出现刚刚所添加的iPad设备,在此应该会先在一般信息的区域之中,看到有关这部iPad目前用户的Email登录信息、操作系统版本、管理状态、管理通道、可用存储空间以及存储空间总计、上次更新日期等信息。

此外,未来如果有用户的设备不慎遗失了,也可以在此选择该设备,然后点击“淘汰/抹除”功能,来远程立即完成活页夹的清除作业,以及让设备恢复到原厂出厂设置,以防范可能的商务数据或个人数据之外泄。

最后您可以点击“检视属性”。在“移动设备属性”页面中,我们可以从“硬件”信息之中,更进一步查看到硬件与系统面的详细信息,这包含了唯一设备ID、序号、型号、IMEI等等。

管制iOS智能设备的安全配置

记得早期Microsoft的System Center解决方案,仅能够用来管理Windows计算机以及Windows移动设备的安全,如今为了适应三分天下的管理需求(Windows、iOS、Android),对于企业移动设备的管理策略之落实,已经到了无法对于其他两类系统视而不见了。相反的,现阶段还得以这两类的移动设备为主要管理的对象。

以下就让我们先来了解一下,Windows Intune如何有效管制企业人员对于iPad与iPhone的安全配置。

首先在“策略概观”的页面中,可以看到系统管理人员,将可以藉由不同策略的设置与应用,来决定哪一些个体或群体的设备功能,需要特别强制设置其组态,或是开放哪一些功能让用户可以自行改变其设置值。请点击位于“工作”区域中的“添加策略”连接继续。

在“创建新策略”页面中,默认会有四种模板可以选择,其中“Windows防火墙设置”当然仅适用在Windows系列的客户端计算机上,因此在这里我们选取“移动设备安全性策略”,然后再点击“使用建议的设置创建及部署策略”。点击“创建策略”继续。

请注意!在您创建策略之前,如果想要先查看这默认模板的应用属性有哪一些,可以先点击“检视此策略模板的建议设置”。

您可以从现有的组之中,来挑选准备要应用此安全策略的组。在默认的状态下仅会有一个“Ungrouped Users”,您可以事先自定义好所有的组,并且可以使用中文命名。完成添加之后点击“确定”。

图3 iPad照相功能消失

完成了新策略的创建与部署之后,仍可以随时对于策略设置属性来进行调整,以及重新设置所要应用的组。在“所有策略”页面中,可以看到我们刚刚所创建的策略。在选取后点击“编辑”选项。

接下来让我们看看几个常见的iOS安全设置项目。在“应用程序”区域中,可以看到IT部门可以分别决定是否要允许应用程序存放区、需要密码来访问应用程序存放区、允许应用程序内购买。

例如如果我们将其中的“允许应用程序内购买”设置为“否”,那么用户的iPad与iPhone将无法在某一些App的使用当中,来进行加购某一些升级或功能的行为,而这类的操作需求通常出现在某一些商务App与游戏App,对于功能的增强或游戏角色能力的提升,所提供的临时选购的机制,可以考虑关闭。

在“设备功能”区域中,可以管理许多硬件功能面的使用管制,这包括了相机、卸除式设备、Wi-Fi网络以及蓝芽功能等等。在这里我想最多企业信息安全策略会封锁的第一名肯定是“允许相机”,因此可以将它设置为“否”,以强制关闭其功能。至于卸除设备功能的管理,虽然也是许多企业信息安全管理的重点,但在iOS系列设备中是不适用的,因为它本身就已经不提供此功能,除非用户采用越狱破解。但是越狱破解在Windows Intune的策略管制之中是可以加以防范的,所以用户可别想动手脚。

在“功能”区域中,则可以设置是否允许使用语音助理(Siri),以及是否允许在锁定设备时使用语音助理,在此我们先将它们皆设置为“否”,待回再来看看应用后的结果。此外也可以设置是否允许语音拨号,以及是否允许复制及粘贴等功能。

在完成了移动设备安全策略的属性设置与存储之后,可以切换到“策略”页面之中,便可以看到目前已设置的各项策略项目之设置值。当所设置的项目很多时,则可以通过“筛选器”来快速找到所要检视的项目。

还记得在前面步骤的策略范例当中,我们曾经将设备的相机以及语音助理功能予以关闭,接着就来看看此移动设备策略应用后的结果。

如图3所示,首先是相机功能的部分,发现它已神奇地消失在iPad的快捷区域之中,当回到桌面时同样也会发现此App也同样消失的无影无踪了。

至于iPad的语音助理呢?让我们调出快显示窗来看看Siri功能项吧,哇!果真也不见了,此时您可能想要通过按键来呼叫出Siri,也将发现此功能也同样完全失效了。

预防Windows中毒问题

至今最容易遭受病毒侵害以及恶意网络攻击的操作系统仍是Windows。没办法,这也是由于它仍是计算机操作系统的最大宗,而非它真的比较脆弱。想想看,如今以Android为主的当红智能设备,不也全球中毒的一蹋胡涂吗?无论如何,目前Windows计算机与平板,仍是我们工作上最重要的信息工具与最佳伙伴,因此强制管理企业Windows计算机与设备的防毒系统,肯定是必要的安全手段。

在这里所提到的Windows防毒软件,不一定非得使用Windows内置的Windows Defender,只要是通过Microsoft安全认证的防毒软件,无论是免费还是付费的通通可以达到一定程度的防护效果。如果想要通过Windows Intune来强制安装与管制Windows客户端的Windows Defender防毒软件,请在现有策略或新策略的编辑中,在“Endpoint Protection”节点页面中的相关设置,在此您除了可以决定是否要帮客户端,来自动安装与启用微软的防毒软件之外,还可以决定几个重要的安全防护设置,这包括了停用客户端UI(界面)、启用实时保护、扫描所有下载、监视计算机上的文件和活动以及所要监视的文件类型设置等等。

在完成了有关于Endpoint Protection安全策略的部署之后,接着便可以来看看Windows Intune的策略,在Windows客户端的应用状况。

请开启“Windows Intune Center”界面。在此将可以看到位于“Endpoint Protection”区域中的“启动Windows Intune Endpoint Protection”连接可以点击。

紧接着开启“Windows Intune Endpoint Protection”管理界面,其实也就是Windows Defender防毒软件,只要我们在策略中没有设置停用客户端UI,用户便可以随时开启此界面。在“首页”中可以知道目前的防毒系统是否有开启实时保护,以及是否已经完成最新病毒特征与间谍过程定义的更新,在此用户也可以随时点击“立即扫描”按钮,来进行快速、完整或是自定的安全扫描。在“历史记录”页面中,则可以检视到隔离的项目、允许的项目、所有侦测到的项目。范例中便是一个已遭受隔离的病毒程序,用户可以在此立即将它移除。

除了客户端用户可以自行检视到关于扫毒的历程记录之外,系统管理员也可以在Windows Intune界面中,针对不同的计算机来检视“恶意程序码”的历程记录。从此页面中可已得知每一只病毒程序的目前状态、恶意程序码执行状态、严重性、至今的侦测数。进一步还可以点击“了解此恶意程序码”,来查询有关于此恶意程序码的完整说明。

图4 检查设备端点保护状态

当我们回到“Endpoint Protection”专属管理页面时,便可以直接在“概观”的节点中得知目前恶意程序码的处理状态,以及Endpoint Protection与其他第三方防毒软件在受管理的计算机中之部署状态。此外在这里也可以得知目前所有已侦测到的恶意程序码之排行榜。

关于Endpoint Protection的部署情形,我们也可以从如图4所示的组类别中,来一一检视目前每部Windows计算机的防毒执行状态,这包含了采用Endpoint Protection以及采用第三防毒软件的侦测。

当受管理保护的计算机数量相当多时,系统管理员可以通过“筛选器”下拉选单中的“恶意程序码”类别,来选取仅显示特定的计算机列表。在这个类别之中可选择的项目包括了恶意程序码需要后续追踪、未受保护、具有防护警告、最近已解决恶意程序码、正在执行其他Endpoint Protection应用程序。

结语:

IT市场上如今较为知名的MDM解决方案除了有Microsoft Windows Intune之外,还有像是VMware的AirWatch、Citrix的XenMobile,甚至于连防毒软件公司Kaspersky的Security for Mobile解决方案都来插一脚,该如何评估与选择呢?其实就笔者的经验而言,尽管智能移动设备的用户数目前仍是以Android与iOS为最大宗,但大多数的商务工作者仍是以Windows的计算机,来作为协同合作的主要工具,因此笔者仍强烈建议采用Microsoft自家的Windows Intune来做为MDM的解决方案,肯定是企业IT最佳的选择。

猜你喜欢

凭证页面客户端
刷新生活的页面
答案
2021年《理财》《财经审计法规选编》征订单
《中国农业会计》(月刊)收款凭证
《中国农业会计》(月刊)收款凭证
如何看待传统媒体新闻客户端的“断舍离”?
县级台在突发事件报道中如何应用手机客户端
孵化垂直频道:新闻客户端新策略
大枢纽 云平台 客户端——中央人民广播电台的探索之路
畅捷通T3凭证处理常见问题解析