Distribuer og sikre iPhones i bedriften

Bloggeren Paul Mah forklarer hvordan du bruker Apples iPhone Configuration Utility til å distribuere og sikre iPhones i bedriften.

-------------------------------------------------- ----------------------------------------------

For flere måneder siden skrev jeg om hvorfor RIM BlackBerry er bedre egnet for bedriften enn Apple iPhone. Men til tross for iPhone's svakere administrasjonskontroll, er enheten knapt død i vannet når det gjelder bedriftens distribusjoner.

Apples gratis iPhone-konfigurasjonsverktøy gjør det enkelt for administratorer å lage profiler for å konfigurere grunnleggende oppførsel og distribuere profilene på sluttbrukernes iPhoner. Denne veiledningen leder deg gjennom hvordan du oppretter og distribuerer tilpassede konfigurasjonsprofiler på en iPhone eller en iPod Touch.

For mer om dette emnet, les Vincent Danens tips Få økt passordbeskyttelse på iPhone, og bestill iPhone i Enterprise: Management-løsninger fra TechRepublic Store.

Distribuere iPhones i bedriften

Opprett og konfigurer profiler

Først må du laste ned iPhone Configuration Utility fra Apple-siden; applikasjonen (for øyeblikket versjon 2.2) er tilgjengelig for Mac OS X og Windows-plattformene.

Etter å ha lastet ned verktøyet, er det første du vil gjøre å opprette en ny konfigurasjonsprofil under den aktuelle fanen. Innstillingene du ser i figur A gjelder datasikkerhetspolicyer, forskjellige nettverks- og trådløse konfigurasjoner, Exchange-kontodetaljer, postinnstillinger, installasjon av sikkerhetssertifikater på iPhone og mer. Figur A

Klikk på bildet for å forstørre det.

På skjermbildet ser du kategoriene Programmer og forsyningsprofiler. Provisioning Profiles er for selskaper som utvikler applikasjoner for intern distribusjon. Etter digital signering med et sertifikat utstedt av Apple, må en passende distribusjonsleveringsprofil installeres på bedriftens iPhones for at enhetene skal kunne kjøre disse applikasjonene. Applikasjonsfanen brukes for å lette utrullingen av slike applikasjoner.

Merk: Konfigurasjonsverktøyet for iPhone håndterer ikke opprettelsen av selve klargjøringsprofilen; som sådan fokuserer jeg på eksport og installasjon av en konfigurasjonsprofil. Ledere og administratorer som er interessert i dette kan lese mer i avsnitt 5 i Apples iPhone OS Enterprise Deployment Guide (PDF). Eksporter konfigurasjonsprofilen Når du har konfigurert profilen, er det nødvendig å eksportere profilen til en .mobileconfig-fil hvis ønsket distribusjonsmetode er via e-post eller Internett. Tilgjengelige sikkerhetsalternativer her er i hovedsak Ingen, Signer og Sign Og Encrypt ( Figur B ). Figur B

Klikk på bildet for å forstørre det.

Signerte konfigurasjonsprofiler kan ikke bli endret. Når de er installert, kan profilene bare endres av en profil med samme ID og korrekt signert av samme forekomst av iPhone Configuration Utility. Dette gir en viss beskyttelse mot endring av konfigurasjonen. Selv om viktig informasjon blir tilsløret her, er ikke selve filen kryptert på noen måte.

Signerte og krypterte konfigurasjonsprofiler kan ikke endres eller undersøkes. Jeg vil redusere bruken av noe mindre enn en kryptert konfigurasjonsprofil, siden dette utsetter innstillingene for tilfeldig snooping.

Distribuere konfigurasjonsprofilen Den enkleste måten å distribuere konfigurasjonsprofiler er å koble til enheten via USB. IPhone-en vises fra iPhone-konfigurasjonsverktøyet, og det gjelder å merke riktig profil og klikke på Installer ( figur C ). Profiler distribuert på denne måten blir automatisk signert og kryptert. Figur C

Klikk på bildet for å forstørre det.

I tillegg er det mulig å distribuere konfigurasjonsprofiler via e-post eller over nettet. For å distribuere via e-post, bare send profilen som et ukomprimert e-postvedlegg. Brukere må trykke på filen fra meldingsorganet, eller navigere til det aktuelle nettstedet via Safari og trykke på filen for å starte installasjonen.

Du kan også distribuere konfigurasjonsprofiler over luften via sikker påmeldings- og konfigurasjonsprosess som er aktivert via Simple Certificate Enrollment Protocol (SCEP), som også automatisk blir signert og kryptert.

Sikre iPhones i bedriften

Det er en rekke konfigurerbare alternativer som blir eksponert via iPhone Configuration Utility for å sikre iPhone bedre.

Konfigurer sikkerhet Etter å ha opprettet konfigurasjonsprofilen, er det viktig å definere betingelsene som den kan fjernes under. I figur D ser du at standardinnstillingen lar brukere fjerne profilen når som helst, noe som absolutt ikke bidrar til et sikrere smarttelefonmiljø. Figur D

Klikk på bildet for å forstørre det.

Hvis du velger Med godkjenning, blir du bedt om et autorisasjonspassord som er nødvendig før du sletter profilen. Brukere vil kunne tilbakestille enheten til fabrikkinnstillinger for å omgå alle kontroller; alle installerte applikasjoner blir utslettet samtidig.

Håndheve passkodekrav Passkodealternativet ( figur E ) gjør det mulig å gå utover standard firesifrede numeriske passord som brukes av iPhone. Etter å ha opprettet en passkodelast, velger du Krev passord på enhet. Sørg også for å endre minimum passkodelengde til ønsket lengde; Dette vil tvinge brukerne til å opprette en passordkode som samsvarer med de nye kompleksitetskravene ved installasjon av konfigurasjonsprofilen. Jeg anbefaler 6-8 tegn som et minimum. Det er mulig å øke passivkodens kompleksitetskrav på forskjellige måter, for eksempel å tvinge bruk av en alfanumerisk verdi og ikke tillate bruk av enkle eller gjentatte verdier. Du kan også definere innstillingen for tillatte mislykkede forsøk, hvoretter enheten automatisk vil slette alle dataene på enheten. Figur E

Klikk på bildet for å forstørre det.
Håndheve bruk av VPN Evnen til å håndheve bruken av en kryptert VPN gir god beskyttelse mot snooping; dette oppnås enkelt ved tvangsruting av all nettverkstrafikk via en VPN-forbindelse ( figur F ). Bruken av VPN hjelper også til å beskytte data overført over åpne Wi-Fi-nettverk. For større sikkerhet, anbefales det å bruke IPSec med digitale sertifikater, som skal tilby beskyttelse mot mann-i-midten-angrep (MITM) -angrep. Figur F

Klikk på bildet for å forstørre det.
Tilpasset APN Noen mobilleverandører tilbyr muligheten til å opprette et tilpasset tilgangspunktnavn (APN); iPhone-konfigurasjonsverktøyet lar iPhone konfigureres til en bestemt APN.

Selv om dette ikke vil beskytte mot avlytting av mobiloperatøren din (tenk føderale wiretaps), gjør bruk av en tilpasset APN det mulig å skille selskapets datapakker fra den generelle nettverkstrafikken.

Andre alternativer Det er flere måter å sikre iPhone på, inkludert deaktivering av installasjon av apper fra App Store og bruk av iTunes; du kan gjøre dette ved å konfigurere alternativene i kategorien Begrensninger ( figur G ). Evnen til å ta skjermbilder av iPhone er også deaktivert. Figur G

Klikk på bildet for å forstørre det.

Til syvende og sist er sikkerheten til iPhone veldig avhengig av at applikasjoner som kjører på enheten må signeres digitalt. Mangelen på multitasking for applikasjoner på brukernivå tvinger fram en sandkasse på mengden prosess eller minnesnusing som kan gjøres; dessverre, tilgjengeligheten (og bruken) av jailbreak-verktøy for å kjøre tredjepartsapplikasjoner svekker dette sikkerhetsparadigmet.

Konklusjon

Apple har kunngjort en rekke forbedringer i iPhone OS 4.0, inkludert forbedret brukervennlighet. (Finn ut hva enterprise IT trenger å vite om iPhone 4.) Foreløpig er iPhone Configuration Utility det beste verktøyet for å distribuere og sikre iPhone i organisasjonen.

Få tips og nyheter om smarttelefoner i innboksen din TechRepublic Smartphones nyhetsbrev, levert hver torsdag, inneholder tips om hvordan du distribuerer og administrerer smarttelefoner i bedriften, produktanmeldelser, nyhetsoppdateringer, fotogallerier og mer.

© Copyright 2021 | pepebotifarra.com