Mobilně a (ne)bezpečně Zdeněk Jiříček Microsoft
Scénáře správy zařízení Správa v doménovém prostředí Správa nativním protokolem mobilních zařízení Řešení postavená na konzumerizaci IT Co je nového ve Windows Intune (v aktualizaci služby z prosince 2012)? Služba Windows Intune je nyní vhodná ke správě počítačů a mobilních zařízení v organizaci o jakékoli velikosti. Mezi podporované klienty nyní patří Windows 8, Windows RT a Windows Phone 8 (spolu se všemi dříve podporovanými platformami). Služba nyní nabízí přímou správu mobilních zařízení pro platformy Windows RT, Windows Phone 8 a iOS a také nabízí možnost publikovat software prostřednictvím vylepšeného samoobslužného portálu pro firemní aplikace. Zákazníci se nyní mohou rozhodnout, zda budou svá zařízení spravovat přímo z cloudu nebo mohou připojit svou službu Windows Intune k on-premise instalaci System Center 2012 Configuration Manageru SP1 a spravovat svá zařízení přes konzolu pro správu v Configuration Manageru. Výrazné změny nastaly i v licencování. Windows Intune je nyní licencován na uživatele a v rámci 1 licence lze spravovat až pět zařízení uživatele. Také je nově k dispozici levnější verze Windows Intune, která nezahrnuje Software Assurance (viz dále). Windows Intune je pravidelně aktualizován, jsou pravidelně přidávány nové funkce. Maximálně zabezpečené zařízení Možnost vynucení bezpečnostních politik Šifrování a vícefaktorová autentizace Výhody vycházející z vlastností Windows 7/8 (Bitlocker, Secure Boot, Dynamic Access…) Omezené možnosti zabezpečení Nesourodá řešení třetích stran pro zabezpečení Vynutitelnost granularity politik je nízká Zařízení spravované samotným uživatelem Komunikace pomocí veřejných „free“ emailových služeb (Gmail, Hotmail) Správce sítě nemá žádný dohled nad zařízením
Správa v doménovém prostředí Maximální správa pomocí Group Policy v Active Directory Bezpečnostní funkce a vlastnosti Windows 8 (Bitlocker, Bitlocker To Go, Trusted / Measured Boot, UEFI, Virtual Smart Card, Trusted Platform Module-TPM) Centrální server pro správu (System Center - ConfigMgr, OpsMgr, Endpoint Protection atd.) Reverzní proxy server (Unified Access Gateway) Externí přístup do korporátní sítě bez VPN (Direct Access)
Správa nativním protokolem mobilních zařízení Správa pomocí Exchange ActiveSync (EAS) Původně určen pro synchronizaci emailů mezi Exchange serverem a mobilním telefonem Bezpečnostní funkce: Remote Wipe (vzdálené vymazání zařízení) Device Password Policies (min. délka PIN, alfanumerické znaky, historie hesel atd.) Device Encryption Policies (šifrování mobilního zařízení) Správa pomocí centrálního nástroje System Center ConfigMgr + Intune Správa mobilních zařízení přes všechny platformy (Windows RT, Windows Phone, iOS, Android)
Řešení postavená na konzumerizaci IT Uživatel si přinese své vlastní zařízení do organizace (BYOD) Zabezpečení zařízení je na samotném uživateli Velká pravděpodobnost úniku dat Obtížné připojení do organizační sítě Řešení problému Lze začlenit zařízení do domény? (Windows tablety...) Pokud toto není možné Virtual Desktop Infrastructure (VDI z Windows, OS X, Linux atd.) Vynutit bezpečnostní politiky (EAS, ConfigMgr, Intune – lze na Windows RT, Windows Phone, iOS, Android) Windows To Go (Windows 8 na jakémkoliv PC z USB)
Správa klientů s využitím cloudové služby Windows Intune Windows Phone 8 Windows RT Přímá správa a publikace aplikací iOS x86 / x64 Windows 8 Windows 7 Windows Vista Windows XP Windows 8 Windows To Go EAS DirSync Publikace Android aplikací Android Dvě možnosti přístupu: 1) Spravovat počítače a mobilní zařízení jen s využitím cloudu Co dalšího Windows Intune nabízí Administrátoři Windows Intune spravují pomocí Windows Intune konzole dostupné na adrese https://manage.microsoft.com (případně https://account.manage-beta.microsoft.com/default.aspx pro Beta verze) V rámci konzole mají správci přístup k údajům o všech spravovaných počítačích a zařízeních a mohou provádět následující akce (jednotlivé funkce se liší podle typu platformy): Správa aktualizací - umožňuje podle definovaných pravidel distribuovat a instalovat potřebné aktualizace na vybrané počítače. Kromě kompletních aktualizací Microsoft lze v aktualizovat i programy třetích stran. Antivirus a antimalware - integrovaná součást Windows Intune, postavená na technologii Microsoft Malware Protection Engine, využité i v produktech Forefront či Security Essentials. Kompletně spravovatelné pomocí Intune konzole. Vzdálená pomoc - umožňuje správcům připojit se vzdáleně pomocí technologie Easy Assist na klientský počítač a pomoci uživateli s případnými problémy přímo na počítači. Připojení je dvousměrné a využívá pouze port 443, pokud má tedy klient ze svého počítače přístup na internet, správce je schopen se k jeho počítači připojit a pomoci. Bezpečnostní politiky - umožňují vzdálené nastavení nejrůznějších bezpečnostních parametrů na klientských počítačích Inventury, reporting, licencování - díky sběru dat umožňuje Windows Intune provádět hardwarové a softwarové inventury, na jejich základě reporting a rovněž umožňuje porovnání aktuálního stavu software se zakoupenými licencemi Monitoring počítačů - sledování téměř čtyř set událostí na klientských počítačích, následné generování výstrah a varování správců, což umožňuje reakci na problémy dříve, než vypuknou. Microsoft Desktop Optimization Pack - za příplatek k licenci s Windows SA lze v rámci Windows Intune využít i sadu programů dále rozšiřujících možnosti správy klientských počítačů, Microsoft Desktop Optimization Pack. Více informací o MDOP naleznete zde. Distribuce software - pomocí Windows Intune lze hromadně distribuovat a instalovat software. Podporovány jsou bezdotazové instalace pomocí .exe či .msi instalačních balíčků Podpora češtiny - Windows Intune přináší jak administrátorskou konzoli, tak klientského agenta lokalizované do českého jazyka Podpora software třetích stran - je možné jednak distribuovat a instalovat aktualizace třetích stran, jednak sledovat stav licencí u software třetích stran Vylepšení stávající technologie - změn k lepšímu se dočkala administrátorská konzole, reporting hardwarových konfigurací, lze vynutit akce typu restart na klientských počítačích a mnoho dalšího. Lze například propojit vlastní Active Directory a pracovat nad účty uživatelů v AD, případně lze tvořit uživatelské účty přímo v cloud službě. Instalace aplikací a další konfigurační kroky pak lze cílit na skupiny uživatelů. Distribuce aplikací na iPhone-iOS: Vygenerujeme žádost o Apple Push Notificatin certifikát Publikujeme certifikát na Apple Push Certificates Portal Přidáme SCCM roli Windows Intune Connector To je složitější pro Android, vzhledem k mnoha odlišným verzím na trhu CorpNet Internet
Kombinace ConfigMgr SP1 a služby Windows Intune 2012 Kombinace ConfigMgr SP1 a služby Windows Intune x86 / x64 Windows 8 Windows 7 Windows Vista Windows XP Service Pack 1 x86 / x64 Windows 8 Windows To Go Windows 7 Windows Embedded Windows Vista Windows XP Mac Windows Phone 8 Windows RT Přímá správa a distribuce aplikací iOS EAS DirSync Dvě možnosti přístupu: 2) Pro správu využít kombinaci on-premise System Center Configuration Manageru a cloudové služby Windows Intune. Mobilní zařízení lze spravovat z SCCM pomocí Intune konektoru nebo Exchange konektoru (EAS). Intune: vyšší granularita – lze cílit politiky na „kolekce“. Na Exchange jen globální policies. Intune: a dost širší možnosti nastavení, a podrobný reporting po jednotl. položkách Note: Android pouze přes EAS. V SCCM zavedeme Intune jako novou Subsckripci. SCCM komunikuje s Intune cloudem, který se v kozoli vytvoří jako distribuční bod (jako manage.microsoft.com), přes který se šíří balíčky mobilních aplikací. !! Je ale nutné synchronizovat uživatelské účty z A/D – SCCM do Intune. Lze využít: ADFS, DirSync, nebo i řešení třetích stran. Jakmile je v Intune vytvořen účet, SCCM jen synchronizuje právo přihlásit dané zařízení. Android Distribuce Android aplikací CorpNet Internet
Možný IPsec end-to-end 4/3/2017 6:01 AM DirectAccess Schéma zabezpečení Korporátní síť DirectAccess klient Internet AD & DNS (Win 2003+) This slide talks about SECURITY Security is all IPsec Can use a combination of certificates, domain credentials for the computer and/or the user, and NAP health certificates Certs could also be on a smartcard logon, or in Win8 on the TPM chip as a “virtual smartard” Normal mode is for the IPsec connection to go just from the laptop to the DA Server, but you can later add on end-to-end IPsec to secure traffic all the way through to the end resource servers. That requires IPsec to be deployed pervasively through the environment, while the end-to-edge model only requires IPsec to be deployed at the laptops and the DA server, reducing possible interoperability issues with intranet servers. Servery pro správu Člen domény s certifikátem Aplikace & Data Direct Access Server IPsec Možný IPsec end-to-end IPsec – za pomocí certifikátu na počítači, členství v doméně, smart karet a NAP © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Šifrování disku, části disku a USB flash disků BitLocker Zabraňuje neautorizovanému přístupu k datům na ztraceném anebo ukradeném zařízení Podporuje šifrování systémového i/nebo datového oddílu Nabízí celou řadu předbootovacích autentizačních možností: TPM-only, PIN/Password, Network Unlock, USB storage Podporuje PC, servery i tablety BitLocker to Go Ochrana dat na externích přenosných discích (např. USB flash disk) Možnost přidělit nebo zamítnout přístup pro zápis Přístup pro čtení na Windows Vista & Windows XP (Bitlocker to Go Reader) BitLocker Drive Encryption is a data protection feature available in Windows 8 Pro, Windows 8 Enterprise, and in all editions of Windows Server 2012. Encrypts the Fixed OS and Data Volumes
Intune MDM - verze „D“ - 12/2012 update Možnost integrace s Active Directory Možnost integrace s SCCM do jedné konzole Proaktivní monitoring počítačů Nastavení bezpečnostních politik Zlepšená samoobslužná instalace a aktualizace softwaru Inventář hardware a software vč. reportů, pro všechny typy klientů Nastavení zasílání výstrah Antivirus / Antimalware Vylepšená správa skupin Zlepšené nastavení bezpečnostních politik Přímá správa mobilních zařízení (Windows RT, Windows Phone 8, iOS) nebo bezpečnostní zásady přes EAS (Exchange ActiveSync) pro Android a Windows Phone 7.5 Publikace software uživatelům přes „Portál společnosti“ Nasazení firemních aplikací Inventář hardware PC Tablet / Smartphone Jaké operační systémy lze spravovat pomocí Windows Intune Klient Windows Intune podporuje 32bitové a 64bitové verze: Windows 8 Enterprise, a Professional Windows 7 Enterprise, Ultimate, a Professional Windows Vista Enterprise, Ultimate a Business Windows XP Professional s SP 3 Zákazníci s edicí Windows Home mohou klienta Windows Intune technicky nainstalovat, ale není to řešení podporované Microsoftem. Jaká mobilní zařízení podporuje Windows Intune Windows Intune v současnosti podporuje mobily a tablety s tímto softwarem: Windows RT a Windows Phone 8 Windows Phone 7 a 7.5 (pouze přes Exchange ActiveSync) iOS 4.0– a iOS 5.0 nebo novější Android 2.1 nebo novější (pouze přes Exchange ActiveSync) Windows Intune umožňuje přímou správu zařízení s Windows RT, Windows Phone 8 a iOS. Mobilní zařízení lze spravovat jen pomocí cloudu nebo integrovat službu Windows Intune do on-premise instalace System Center 2012 Configuration Manager Service Pack (SP1) a sjednotit tak správu počítačů a serverů se správou mobilních zařízení. ? Symbian a Windows Mobile 6.1 a vyšší
Přehled aplikovaných zásad na konkrétní zařízení
Ukázka konfigurace zásad
Jaké operační systémy lze spravovat pomocí Windows Intune Klient Windows Intune podporuje 32bitové a 64bitové verze: Windows 8 Enterprise, a Professional Windows 7 Enterprise, Ultimate, a Professional Windows Vista Enterprise, Ultimate a Business Windows XP Professional s SP 3 Zákazníci s edicí Windows Home mohou klienta Windows Intune technicky nainstalovat, ale není to řešení podporované Microsoftem. Jaká mobilní zařízení podporuje Windows Intune Windows Intune v současnosti podporuje mobily a tablety s tímto softwarem: Windows RT a Windows Phone 8 Windows Phone 7 a 7.5 (pouze přes Exchange ActiveSync) iOS 4.0– a iOS 5.0 nebo novější Android 2.1 nebo novější (pouze přes Exchange ActiveSync) Windows Intune umožňuje přímou správu zařízení s Windows RT, Windows Phone 8 a iOS. Mobilní zařízení lze spravovat jen pomocí cloudu nebo integrovat službu Windows Intune do on-premise instalace System Center 2012 Configuration Manager Service Pack (SP1) a sjednotit tak správu počítačů a serverů se správou mobilních zařízení.
Přehled spravovaných mobilních zařízení
Přehled o hardware zařízení
Instalace „Company Apps“ Windows RT From the Start menu type “Company” and the Company Apps setting is listed in the Settings search results Company Portal: https://portal.manage.microsoft.com Uživatelé mohou přihlásit zařízení, vzdáleně smazat Instalace aplikací Kontakty a zprávy z IT oddělení
Shrnutí Updatujte strategii pro Risk Management u mobilních organizací Od všeobecné ochrany interní infrastrukutry k ochraně klíčových aktiv Klasifikujte aktiva a zmapujte jejich pohyb po síti organizace Zvolte vhodný typ klientských zařízení a architektury zabezpečení Vyzkoušejte si Windows Intune (testovací účet), Příručka Getting Started
Děkuji za pozornost