Мобільні пристрої Apple у корпоративному секторі

мобільні

Зараз я спробую розвіяти подібні стереотипи та розповісти, на що здатні мобільні пристрої знаменитої компанії з Купертіно. Почну з мобільних пристроїв на базі Apple iOS. Йтиметься про версії 3.0 і вище, на яких зараз працюють такі пристрої:

  • iPhone 3G, 3Gs, 4, 4s, 5
  • iPad 2, 3, 4
  • iPod touch, покоління від 2 до 5
  • iPad mini
Всі ці пристрої підтримують завантаження профілів конфігурації, за допомогою яких можна гнучко настроювати пристрій для корпоративного використання.

Немає сенсу передруковувати офіційний посібник з роботи з профілями. Я лише зупинюся на найцікавіших можливостях. Насамперед конфігураційний профіль – це звичайний XML. Його можна підписати цифровим сертифікатом та/або зашифрувати. Під час отримання підписаного профілю пристрій перевіряє цифровий сертифікат підпису та відображає статус.

apple
При отриманні зашифрованого профілю ключ для розшифровки повинен перебувати на пристрої.

Розглянемо деякі параметри докладніше.Отже, що ж можна обмежити на пристрої за допомогою профілю?

  • Заборонити доступ до пристрою без пароля, параметр forcePIN
  • Заборонити використання одного і того ж пароля весь час, параметр maxPINAgeInDays
  • Встановити довжину пароля, параметр minLength
  • Заборонити використовувати той самий пароль при зміні пароля, параметр pinHistory
  • Заборонити пароль, що складається з одних цифр (хоча це вже знущання над користувачем), параметр requireAlphanumeric
  • Заборонити встановлення програм з AppStore, параметр allowAppInstallation
  • Заборонити Siri, параметр allowAssistant
  • Заборонити використання камери у пристрої, параметр allowCamera
  • Заборонити контент для дорослих, параметр allowExplicitContent
  • Закрити доступ до Game Center, параметр allowGameCenter
  • Заборонити створення знімків екрана, параметр allowScreenShot
  • Закрити доступ до YouTube (!), параметр allowYouTube
  • Закрити доступ до iTunes, параметр allowiTunes
  • Заборонити використання Safari браузера, параметр allowSafari
  • Заборонити використання невідомих сертифікатів, параметр allowUntrusted-TLSPrompt
  • Заборонити встановлення профілів без втручання користувача, параметр allowUIConfiguration-ProfileInstallation
Як видно, можливостей привести мобільний пристрій у відповідність до вимог служби безпеки підприємства досить багато. Не вистачає лише тимчасових діапазонів дії тих чи інших обмежень, наприклад, заборона YouTube лише у робочі години. :-)

Профіль можна захистити PIN-кодом від видалення, параметр HasRemovalPasscode ; можна взагалі заборонити видалення, параметр PayloadRemoval-Disallowed. В останньому випадку профіль можна буде видалити, лише повністю скинувши всі налаштування пристрою, при цьому весь вміст видаляється. Подібні налаштування добре підходять для компаній із суворими вимогами в галузі інформаційної безпеки. Є можливість задати період або дату, після якої профіль буде автоматично видалено, параметри DurationUntilRemoval та RemovalDate . Це добре підходить для тимчасових співробітників чи консультантів компанії.

Профіль можна завантажити на пристрій кількома способами:

Спробую описати завантаження профілю третім способом,Over-the-Air.

Виглядає він приблизно так:

ПараметрChallengeслужить ідентифікатором транзакції для сервера профілів.

Файли з розширенням .mobileconfig розпізнаються лише у Safari, тому посилання необхідно відкривати саме в ньому.

Отримавши профіль, пристрій запитує користувача на встановлення. Якщо у налаштуваннях безпеки увімкнуто розблокування екрана за PIN-кодом, буде запитаний PIN-код. Потім на сервер профілів буде передано інформацію про пристрій.

секторі

Ось зразкова відповідь від iPad:

Відповідь підписано вбудованим сертифікатом пристрою Apple. Сервер профілів має обов'язково перевіряти підпис на дійсність.

Наступна фаза – генерація проміжного сертифікату для подальшого шифрування основного профілю. Приватний ключ передавати на пристрій не можна, тому використовується протокол SCEP, за яким пара ключів формується на пристрої і потім надсилається запит на сертифікат безпосередньо до центру сертифікації. Сервер профілів не бере участі у цьому процесі.

секторі

Центр сертифікації підписує запит, генерує сертифікат із потрібними параметрами та відсилає назад на пристрій. Отриманий сертифікат встановлюється у локальне сховище.

Мобільний пристрій повідомляє сервер профілів про закінчення другої фази у вигляді повідомлення, підписаного новим сертифікатом. Настав час для третьої фази. На мобільному пристрої є сертифікат та закритий ключ, на сервері профілів є сертифікат. Отже, можна зашифрувати основний профіль і надіслати його на мобільний пристрій.

Вміст основного профілю залежить від вимог служби безпеки та рівня розвитку мережної інфраструктури підприємства та філій. Це найбільш відповідальна частина проекту щодо впровадженняпрофілів і включає участь декількох відділів і служб підприємства. Дані профілю можуть братися з Active Directory, корпоративної бази даних або інших систем.

пристрої

Технологія завантаження профілів конфігурації з деякими припущеннями стосується і мобільних пристроїв на базі OS X 10.8+, тобто для нових MacBook, MacBook Air/Pro.