设备安全

Posted on Posted in 安全

组织通过建立强大的安全策略来保护其公司信息。可通过无线方式在 iOS 设备上配置和执行这些策略。此外,管理员可以根据其组织的特定环境配置设置、策略和限制。利用这些灵活的选项,他们可以为授权用户设立标准级别的防护。

让我们从了解 iOS 设备的安全层开始。此安全层包括综合的特性、方法和功能,可防止未经授权使用 iOS 设备,包括:

  • 设备密码,用于限制对 iOS 设备的访问
  • 密码策略,用于确定密码在 iOS 设备上的使用方法;以及用于确保密码策略得到履行的执行方法
  • 设备限制,用于控制设备用户可以使用哪些 iOS 功能
  • 配置描述文件,可用于自动、安全地配置设备的密码、策略、限制和其他设置
设备密码

用于保护 iOS 设备的第一道防线是在其上建立密码。由于在默认情况下,iOS 设备不要求密码,因此这个简单的过程有助于建立最低限度的保护,在设备遗失或被盗的情况下阻止其他人访问设备中的信息。iOS 设备利用每位用户设定的唯一密码生成强大的加密密钥,以进一步保护设备上的电子邮件和敏感的应用程序数据。

你的顾客可以在他们的 iPhone 或 iPad 上设置设备密码。当他们开机或唤醒设备时,将在访问应用程序或信息之前出现密码提示。他们可以从大量的密码要求中进行选择,这些要求包括超时时间、密码强度和复杂性,以及必须更换密码的频率。

一旦顾客启用了此功能,当出现下列情况时,iOS 设备就会提示他们输入密码:

  • 打开或重新启动设备
  • 唤醒设备或锁定屏幕
  • 显示密码锁定设置

顾客还可以为他们的设备配置宽限期,以便选择在需要输入密码以解锁设备之前可以将其闲置多长时间。

有关密码锁定和设置的全部详情,请参阅资源页面上的“iPhone 和 iPad 用户指南”。

有关使用密码的提示
  • iOS 设备支持两种密码:简单和复杂。当顾客在设备上启用密码时,系统默认的是简单的四位数密码。某些组织可能需要更长、更复杂的密码,并且包含混合的字母数字字符和特殊字符。
  • 如果用户多次输入错误的密码,将暂时禁止其访问设备。有关详细信息,请参阅此文章
  • iCloud 用户可通过“查找我的 iPhone”远程启用密码。有关详细信息,请参阅此 iCloud 文章
  • 组织还可以使用描述文件管理器、第三方 MDM 服务器和 Microsoft Exchange ActiveSync 远程清除密码并要求用户设置符合策略的新密码。
  • 顾客还可以将设备配置为:在若干次输入密码失败后自动抹掉全部内容(安全抹掉)。此操作过程在“应用程序安全性”中介绍。
了解 SIM PIN 和 PUK 码

使用 SIM 卡的设备可以通过 SIM PIN 阻止未经授权的电话和蜂窝数据访问。

SIM PIN 是独立于密码的另外一层安全保护。顾客可以通过以下方式启用 SIM PIN:

  • iPhone:“设置”>“电话”>“SIM PIN”
  • iPad WLAN + 3G:“设置”>“蜂窝数据”>“SIM PIN”

每张 SIM 卡都有一个默认的 SIM PIN。如果最终用户不能确定其 SIM PIN,则应该与无线运营商联系。

用户只有三次输入 SIM PIN 的机会。三次均失败后,将激活额外的安全措施:PIN 解锁密钥 (PUK)。

如果用户多次输入错误的 PUK 代码,可能会永久锁定 SIM 卡。解锁或更换 SIM 卡的程序可能因运营商而异。

如果他们不知道其 PUK 代码,则应该与无线运营商联系。

注意:SIM PIN 和 PUK 码不能通过配置描述文件来实施。

活动 – 配置简单的设备密码

在本活动中,你将了解如何启用 iPhone 上的密码功能。

  1. 选择“设置”>“通用”>“密码锁定”。
  2. 打开简单密码。
  3. 输入一个 4 位数密码,然后再次输入该密码进行确认。现在,设备会要求你输入该密码才能将它解锁,否则会显示密码锁定设置。
  4. 设置密码后,让设备进入睡眠。
  5. 唤醒设备。系统将提示你输入设备密码。
  6. 输入设备密码。

关闭密码锁定:

  1. 选择“设置”>“通用”>“密码锁定”。
  2. 输入你的密码。
  3. 轻按“关闭密码锁定”,然后再次输入你的密码。

更改密码:

  1. 选择“设置”>“通用”>“密码锁定”。
  2. 输入你的密码。
  3. 轻按“更改密码”。再次输入你的密码。
  4. 输入两次你的新密码。

如果忘记了密码,则必须恢复 iPhone 软件。请参见资源页面上的《iPhone 使用手册》中的“更新和恢复 iPhone 软件”。
设定要求输入密码的时间长度:

  1. 选择“设置”>“通用”>“密码锁定”。
  2. 输入你的密码。
  3. 轻按“需要密码”,然后选择需要输入密码解锁 iPhone 之前,iPhone 可以闲置多久。

密码提示

你可以通过使用以下密码设置来最大限度地提高密码安全性,从而进一步提升设备安全性:

  • 将“需要密码”设置为“立即”。
  • 禁用“简单密码”以使用较长的字母数字密码

活动 – 配置复杂的设备密码

活动安排

在此活动中,你将学习如何将 iOS 设备上的 4 位密码改为由字母数字字符混合组成的更长的密码。

关闭“简单密码”:

  1. 轻按“设置”>“通用”>“密码锁定”。
  2. 关闭“简单密码”。
  3. 按照提示创建密码。
远程锁定

如果顾客的 iOS 设备丢失,他们可以通过使用密码远程锁定设备,以防止其他人使用。将设备远程锁定后,只有输入密码才能使用设备。

可通过以下几种不同的方式远程锁定 iOS 设备:

  • 通过从 iCloud 网站发起的 iCloud 远程锁定
  • 通过移动设备管理 (MDM) 服务器,例如 OS X Lion Server 中随附的描述文件管理器服务
  • 通过 Microsoft Exchange ActiveSync
  • 通过从“查找我的 iPhone”和“查找我的 iPad”应用程序发起的远程锁定

通过移动设备管理服务器进行的远程擦除是通过 MDM 服务器上的管理控制台发起的。

重要事项:要使用 iCloud 远程锁定设备,你必须在设备丢失前在设备上设置“查找我的 iPhone”

活动 – 通过 iCloud 远程锁定 iOS 设备

在本活动中,你将了解如何通过 iCloud 远程锁定 iOS 设备。

远程锁定你的设备:

  1. 前往 icloud.com/find 并使用你的 Apple ID(与登录 iCloud 的 Apple ID 相同)登录。如果已登录 icloud.com 上的其他应用程序,请点按 iCloud 按钮  切换应用程序。
  2. 在左侧的“我的设备”列表中点按你要锁定的设备。
  3. 在地图上,点按设备名称右侧的蓝色“信息”按钮 
  4. 点按“远程锁定”按钮。
  5. 请执行以下操作之一:
    • 如果 iOS 设备还没有密码,请输入你希望用来锁定设备和解除锁定的数字,然后确认该密码。如果希望安全性更强,请使用与个人信息无关的随机数字(例如,不要使用你的出生年份和街道地址信息)。
    • 如果 iOS 设备已经存在密码,请点按“锁定 iPhone”(或“锁定 iPad”、“锁定 iPod touch”)立即通过其密码锁定设备。

如果你的 iOS 设备在线,则会立即将其锁定,并会向与你的 Apple ID 相关联的电子邮件地址发送一封确认电子邮件。如果你的设备不在线,密码锁定则会在设备下次上线时生效。

 活动 – 通过描述文件管理器远程锁定 iOS 设备

在此活动中,你将了解如何使用描述文件管理器远程锁定 iOS 设备。
重要事项:在使用描述文件管理器远程锁定设备之前,请确保已在服务器上启用和配置了描述文件管理器服务,并且设备已注册使用描述文件管理器服务进行管理。
有关如何设置描述文件管理器服务和注册设备的详细信息,请参阅描述文件管理器帮助

远程锁定设备:

  1. 在描述文件管理器的资料库中,点按“设备”或“设备群组”。
  2. 从列表中选择一部设备或一个群组。
  3. 在信息面板中,点按“操作”按钮(看起来像齿轮),并选择“锁定”。此操作会阻止使用设备,除非输入你指定的解锁代码。

密码策略

iOS 设备提供密码策略,以阻止对设备中存储的重要信息的未经授权的访问。iOS 具有大量密码策略集来满足组织的安全需求,包括以下设置:

  • 需要密码
  • 强密码
  • 密码过期
  • 密码重用历史记录
  • 最大失败尝试次数
  • 通过 Exchange ActiveSync 或 MDM 进行无线密码实施
  • 渐进密码超时

管理员可以使用描述文件管理器、iPCU、第三方 MDM 服务器或 Microsoft Exchange ActiveSync 来管理和执行更强的密码策略。

可以使用配置描述文件设置以下密码策略:

  • 要求设备密码
  • 允许简单值
  • 要求字母数字值
  • 最短的密码长度
  • 必须包含的复杂字符的最小数目
  • 密码的最长有效期
  • 自动锁定前的时间
  • 密码历史记录
  • 设备锁定宽限期
  • 允许的最多失败次数

iOS 设备支持以下 Microsoft Exchange ActiveSync 密码策略:

  • 在设备上强制实施密码
  • 设定最小密码长度
  • 设置最大密码失败尝试次数
  • 要求同时包含数字和字母
  • 设置不活跃时间(以分钟计)

Microsoft Exchange Server 2007 和 2010 还支持下列密码策略:

  • 允许或禁止简单密码
  • 密码过期时间
  • 密码历史记录
  • 策略更新间隔
  • 密码中包含的复杂字符的最少数目
策略实施

设备管理员可以使用配置描述文件将策略分发给 iOS 设备。配置描述文件是一个包含 iOS 设备配置信息的 XML 文件。它包含设备特定的设置,例如安全策略和限制、VPN 配置信息、WLAN 设置、电子邮件和日历的帐户以及允许 iOS 设备与组织系统配合使用的鉴定凭据。

配置描述文件的分发方式有:无线推送至设备和安装。

无线

IT 部门可以使用移动设备管理服务器(例如 OS X Lion Server 随附的描述文件管理器服务或 Microsoft Exchange ActiveSync)将策略无线分发到设备,并将它们进行实施和更新,无需用户进行任何操作。

安装

IT 部门还可以通过由用户安装的配置描述文件分发策略。管理员可以对描述文件进行定义,要求在删除该文件时提供管理密码,或者锁定到设备中,使最终用户必须彻底删除所有设备内容才能将其删除。要安装描述文件,顾客可以采用以下方式:

  • 使用 USB 缆线将设备连接到电脑,并使用 iPCU 安装描述文件。
  • 通过电子邮件将配置描述文件分发给用户,或将其发布到 Web 服务器。当用户在其设备上打开电子邮件信息或从 Web 服务器下载配置描述文件时,会提示他们启动安装过程。
活动 – 查看 iPCU 密码策略
在这个活动中,你将查看 iPhone 配置实用工具中的密码策略设置。

  1. 请确保你已在电脑上安装了 iPCU。iPCU 在 Mac 和 Windows 电脑上都可以使用。你可以从 Apple 网站上的 iPhone 企业支持页面进行下载。
  2. 打开 iPCU。当你打开 iPCU 时,会出现与下图相似的窗口。

  1. 从“资料库”列表中选择“配置描述文件”。
  2. 从列表中选择配置描述文件,或者点按“新建”以创建新的描述文件。
  3. 从列表中选择“密码”。由于此描述文件不含任何密码设置,因此你需要对其进行配置。

  1. 点按“配置”按钮以创建一套新的密码设置。
  2. 查看存储于该描述文件中的密码设置。
设备限制

设备限制可决定用户能够在设备上访问哪些功能。通常,这些功能涉及支持网络的应用程序,例如 Safari、iCloud 或 iTunes Store,但限制还可以控制诸如应用程序安装或摄像头使用之类的设备功能。限制可让顾客配置设备以满足其要求,同时允许最终用户以符合其商业惯例的方式使用设备。

IT 部门可以手动在每台设备上配置限制,使用配置描述文件来强制执行这些限制,或通过 MDM 解决方案远程制定这些限制。另外,如密码策略一样,IT 部门可以通过使用 Microsoft Exchange Server 2007 和 2010 无线实施摄像头或 Web 浏览器限制。

除了在设备上设置限制和策略,IT 部门还可以配置和控制 iTunes 桌面应用程序。这包括禁止访问不良内容、定义用户在 iTunes 中可访问哪些网络服务,并决定是否为用户提供新的软件更新以供安装。有关详情,请参阅为 iOS 设备部署 iTunes

iOS 所支持的可配置策略和限制可分为五个基本类别:

设备功能

  • 允许安装应用程序
  • 允许使用摄像头
  • 允许 FaceTime
  • 允许屏幕捕捉
  • 允许漫游时自动同步
  • 允许语音拨号
  • 允许应用程序内购买
  • 所有购买均需要提供零售店密码
  • 允许多人游戏
  • 允许添加 Game Center 好友

应用程序

  • 允许使用 iTunes Store
  • 允许使用 Safari
  • 设置 Safari 安全偏好设置

iCloud

  • 允许备份
  • 允许文稿同步和键-值同步
  • 允许照片流

安全性和隐私

  • 允许将诊断数据发送给 Apple
  • 允许用户接受不受信任的证书
  • 执行加密备份

内容分级

  • 允许显式音乐和 Podcast
  • 设置分级地区
  • 设置允许的内容分级

有关更详细的说明,请参阅 iPhone 配置实用工具帮助描述文件管理器帮助中的限制设置部分。

对于创建和安装配置描述文件,在本系列的“部署”课程中有更为详细的介绍。

活动 – 使用“设置”应用程序在设备上手动设置限制

在此活动中,你将了解如何使用“设置”应用程序在本地设置对设备的限制。
打开限制:

  1. 选择“设置”>“通用”>“限制”。
  2. 轻按“启用限制”。
  3. 输入 4 位数字密码。注意:此密码与设备密码无关,可以与设备密码不同。
  4. 重新输入密码。

关闭限制:

  1. 选择“设置”>“通用”>“限制”。
  2. 输入密码。
  3. 轻按“停用限制”。
  4. 重新输入密码。

设置应用程序限制

通过轻按各个控制项来打开或关闭限制。最初,所有控制项都是打开的(无限制)。轻按某一项以关闭它并限制其使用。

注意:“删除应用程序”限制是通过“设置”应用程序手动设置的。

活动 – 使用配置描述文件自动设置限制

在此活动中,你将使用 iPCU 查看配置描述文件中的“限制设置”有效负载,以指示用户可访问的设备功能。

  1. 确保你的电脑上已安装 iPCU。iPCU 在 Mac 和 Windows 电脑上都可以使用。请从 Apple 网站的 iPhone 企业支持网页下载 iPCU。
  2. 打开 iPCU。当你打开 iPCU 时,会出现与下图相似的窗口。

  3. 从“资料库”列表中选择“配置描述文件”。
  4. 从列表中选择配置描述文件。
  5. 从有效负载列表中选择限制。
  6. 查看存储在此描述文件中的限制选项。

 

安全的设备配置

正如你在“策略实施”部分中所了解到的,可以通过配置描述文件安全并自动地配置 iOS 设备。

配置描述文件通常用于将设置和授权信息快速、安全地加载到 iPhone 或 iPad 上。例如,如果顾客需要配置大量的设备,并且包含大量的自定义电子邮件设置、网络设置或证书,则配置描述文件是一种简单的实现方法。通过将这些设置分发到组织中的所有设备,管理员可以确保这些设备的配置符合组织的安全标准。

可以对配置描述文件进行锁定、签名和加密,以保护其内容。对配置描述文件进行签名,可以保证其内容自创建以来未被更改。对配置描述文件进行加密,可以防止任何人更改描述文件的设置,还可以让顾客将其限制为只允许在特定设备上使用。

你可以在本系列的“部署”课程中找到有关如何在配置描述文件中创建、分发和安装设置的详细信息。

锁定描述文件

可以标记描述文件,使其能够锁定到特定的设备。安装完毕后,只能通过擦除设备中的所有数据或输入密码将其删除。

iOS 设备上可以安装多个描述文件,每个描述文件可以包含不同类型和数量的有效负载设置。描述文件中的“常规设置”有效负载包含一个安全设置,该设置指定了在设备上安装特定描述文件后用户是否可以将其删除。此设置有三个选项:

  • 总是

    允许用户从其设备中删除配置描述文件。用户可以轻按“移除”按钮来删除描述文件。

  • 使用授权

    管理员可以指定允许用户从设备中删除描述文件的授权密码。用户在其设备上轻按“移除”按钮后需要输入该密码。

  • 永不

    配置描述文件可以更新为新的版本,但用户不能将其删除。设备上的描述文件不会显示“移除”按钮。

重要事项:删除某个配置描述文件,也会删除与之相关的帐户设置和数据,例如:任何策略、Microsoft Exchange 帐户数据、VPN 设置、证书和其他信息,包括邮件。

签名和加密描述文件

iOS 支持加密和非加密的描述文件。加密的描述文件可以保证数据的完整性,并保护敏感策略信息免受窥探。它们使用与设备的身份证书相关联的公钥进行签名。获得此公钥的方法有两种:使用 USB 连接到运行 iPCU 的电脑,或者通过 MDM 服务器(如 OS X Lion Server 的描述文件管理器服务)进行无线注册。

当顾客通过电子邮件或 Web 分发配置描述文件时,他们可以对安全选项做出选择,以确定保护配置描述文件的内容的方式:

  • 此选项将导出一个纯文本的 .mobileconfig 文件。该描述文件可以安装到任何设备上。IT 部门应该确保当文件上传到网站上时,只有获得授权的用户才能访问它。

  • 签名配置描述文件

    在这种情况下,将对 .mobileconfig 文件进行签名。只要它被更改,设备就不会安装它。安装完毕后,该描述文件只能被具有相同标识符并且由相同证书签名的描述文件更新。当顾客将此文件放到网站上时,应该确保只有获得授权的用户才能访问它。

  • 签名和加密描述文件

    此选项将对描述文件进行签名,因此该文件不能更改;将对所有内容进行加密,以免它们被窥探,并且只能安装在特定设备上。它将为“设备”列表中选定的每个设备输出单独的 .mobileconfig 文件。配置描述文件采用支持 3DES 和 AES-128 的加密消息语法 (CMS)、RFC 3852 进行加密。

描述文件管理器

描述文件管理器可以对配置描述文件进行签名,从而使设备可以验证这些描述文件未被修改过。这需要一个代码签名证书,而描述文件管理器可以生成此证书。或者,顾客也可以使用已经建立信任链的签名证书。可以在 Server 应用程序的“描述文件管理器”面板上启用描述文件签名。在这里,管理员可从 system 钥匙串中选择已安装的代码签名证书。用户通过从用户门户下载信任描述文件来安装中级证书,以验证签名的描述文件。

设备必须能够与描述文件管理器服务器建立可信、安全的连接。如果顾客的服务器 SSL 证书不是由 OS X Lion 或 iOS 已知的信任 CA 颁发的,用户必须在自己的设备上安装必要的根证书才能验证该证书。顾客可以从用户门户下载信任描述文件来完成这一操作。

重要事项:请勿压缩 .mobileconfig 文件或更改其扩展名,否则设备将不能识别或安装该文件。

分发配置描述文件

首次分发加密的配置描述文件时,最终用户可以通过 USB 与 iPCU 同步进行安装,或者使用 MDM 服务器(如 OS X Lion Server 的描述文件管理器服务)通过无线注册进行无线安装。除了这些方法以外,加密的配置描述文件的后续分发可以通过电子邮件附件、放到用户可访问的网站上或利用移动设备管理解决方案推送到设备来实现。要了解有关加密配置描述文件的传送方法,请参阅资源页面上的文章:“iPhone 配置实用工具”、“描述文件管理器帮助”或“无线描述文件传送和配置”。VPN 配置信息、WLAN 设置、电子邮件和日历帐户以及鉴定证书还能提供更多保护。

更新配置描述文件

如果密码不正确,用户就不能更改配置描述文件中的设置。此外,由描述文件配置的帐户(如 Exchange 帐户)只能通过删除相应的描述文件来删除。

要更新手动安装的配置描述文件,顾客需要向其用户分发新的配置描述文件并要求他们安装。在下列情况下,新描述文件将代替设备上的旧配置描述文件:

  • 新的描述文件与现有描述文件的标识符相匹配
  • 由同一证书签名(如果需要签名)

有关标识符的详细信息,请参阅资源页面上的 iPCU 文章的“常规设置”部分。

活动 – 创建一个锁定到特定设备的、已签名且加密的描述文件

在此活动中,你将学习如何使用 iPCU 创建锁定到特定设备的签名和加密文件。

  1. 确保你的电脑上已安装 iPCU。

    iPCU 在 Mac 和 Windows 电脑上都可以使用。请从 Apple 网站的 iPhone 企业支持网页下载 iPCU。

  2. 打开 iPCU。

    打开 iPCU 时会显示一个窗口,类似于此处显示的窗口。

  3. 从“文件”菜单中选择“新建配置描述文件”。

    你也可以点按工具栏上的“新建”按钮。

  4. 选择不同的有效负载类别设置(例如“通用”或“密码”)。
  5. 点按 iPCU 工具栏上的“新建”按钮,以便将有效负载加到包含有效负载列表的描述文件中。
  6. 从有效负载列表中选择一项,然后输入并选择该项的编辑窗格中所显示的选项(如“通用”)。

    必需的栏位标有红色箭头。对于某些设置(如 WLAN),你可以点按添加按钮 (+) 来添加配置。要删除配置,请点按编辑窗格中的删除按钮 (–)。

  7. 从有效负载列表中选择要编辑的项,点按“配置”按钮,然后按照说明填写“设置”窗格中的信息。
  8. 在“通用”设置中,将“安全”选项设置为“永不”,以便禁止用户删除设备上的描述文件。
  9. 导出签名和加密的文件。

 

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注