Mobilně a (ne)bezpečně

Zdeněk JiříčekMicrosoft

Řešení postavená na konzumerizaci IT

Zařízení spravované samotným uživatelem

Komunikace pomocí veřejných „free“ emailových služeb (Gmail, Hotmail)

Správce sítě nemá žádný dohled nad zařízením

Scénáře správy zařízení

Správa v doménovém prostředí

Maximálně zabezpečené zařízení

Možnost vynucení bezpečnostních politik

Šifrování a vícefaktorová autentizace

Výhody vycházející z vlastností Windows 7/8 (Bitlocker, Secure Boot, Dynamic Access…)

Správa nativním protokolem mobilních zařízení

Omezené možnosti zabezpečení

Nesourodá řešení třetích stran pro zabezpečení

Vynutitelnost granularity politik je nízká

Správa v doménovém prostředí•Maximální správa pomocí Group Policy v Active Directory

• Bezpečnostní funkce a vlastnosti Windows 8 (Bitlocker, Bitlocker To Go, Trusted / Measured Boot, UEFI, Virtual Smart Card, Trusted Platform Module-TPM)

• Centrální server pro správu(System Center - ConfigMgr, OpsMgr, Endpoint Protection atd.)

• Reverzní proxy server (Unified Access Gateway)

• Externí přístup do korporátní sítě bez VPN (Direct Access)

Správa nativním protokolem mobilních zařízení• Správa pomocí Exchange ActiveSync (EAS)• Původně určen pro synchronizaci emailů mezi Exchange

serverema mobilním telefonem • Bezpečnostní funkce:• Remote Wipe (vzdálené vymazání zařízení)• Device Password Policies (min. délka PIN, alfanumerické znaky,

historie hesel atd.)• Device Encryption Policies (šifrování mobilního zařízení)

• Správa pomocí centrálního nástroje System Center ConfigMgr + Intune• Správa mobilních zařízení přes všechny platformy

(Windows RT, Windows Phone, iOS, Android)

Řešení postavená na konzumerizaci IT•Uživatel si přinese své vlastní zařízení do organizace (BYOD)• Zabezpečení zařízení je na samotném uživateli• Velká pravděpodobnost úniku dat

•Obtížné připojení do organizační sítě• Řešení problému• Lze začlenit zařízení do domény? (Windows

tablety...)• Pokud toto není možné• Virtual Desktop Infrastructure (VDI z Windows, OS X,

Linux atd.)• Vynutit bezpečnostní politiky (EAS, ConfigMgr, Intune

– lze na Windows RT, Windows Phone, iOS, Android)• Windows To Go (Windows 8 na jakémkoliv PC z USB)

Správa klientů s využitím cloudové služby Windows Intune

Windows Phone 8

Windows RT

Přímá správa a publikace aplikací

iOS

CorpNet Internet

x86 / x64

x86 / x64

Windows 8Windows 7

Windows VistaWindows XP

Windows 8Windows To Go

Windows 7Windows VistaWindows XP

EAS

DirSyncPublikace

Android aplikací

Android

Kombinace ConfigMgr SP1 a služby Windows Intune

EAS

DirSync

Android

Distribuce Android aplikací

Service Pack 1

Windows Phone 8

Windows RT

Přímá správa a distribuce aplikací

iOS

x86 / x64

Windows 8Windows To Go

Windows 7Windows Embedded

Windows VistaWindows XP

Mac

CorpNet Internetx86 / x64

Windows 8Windows 7

Windows VistaWindows XP

2012

DirectAccess

DirectAccess klient

Člen doménys certifikátem

Korporátní síť

Internet

Direct Access Server

IPsec

IPsec – za pomocí certifikátu na počítači, členství v doméně, smart karet a NAP

Schéma zabezpečení

Možný IPsec end-to-end

Aplikace & Data

AD & DNS(Win 2003+)

Servery pro správu

Šifrování disku, části disku a USB flash diskůBitLocker

• Zabraňuje neautorizovanému přístupu k datům na ztraceném anebo ukradeném zařízení• Podporuje šifrování systémového i/nebo

datového oddílu• Nabízí celou řadu předbootovacích

autentizačních možností:• TPM-only, PIN/Password, Network Unlock, USB

storage• Podporuje PC, servery i tablety

BitLocker to Go• Ochrana dat na externích přenosných discích

(např. USB flash disk)• Možnost přidělit nebo zamítnout přístup pro

zápis• Přístup pro čtení na Windows Vista & Windows

XP (Bitlocker to Go Reader)

Zlepšené nastavení bezpečnostních politik

Přímá správa mobilních zařízení (Windows RT, Windows Phone 8, iOS) nebo bezpečnostní zásady přes EAS (Exchange ActiveSync) pro Android a Windows Phone 7.5

Publikace software uživatelům přes „Portál společnosti“

Nasazení firemních aplikací Inventář hardware

Intune MDM - verze „D“ - 12/2012 update

Možnost integrace s Active Directory Možnost integrace s SCCM do jedné

konzole Proaktivní monitoring počítačů Nastavení bezpečnostních politik Zlepšená samoobslužná instalace a

aktualizace softwaru Inventář hardware a software vč.

reportů, pro všechny typy klientů Nastavení zasílání výstrah Antivirus / Antimalware Vylepšená správa skupin

PC Tablet / Smartphone

Instalace „Company Apps“

Company Portal:• https://portal.manage.microsoft.com • Uživatelé mohou přihlásit zařízení, vzdáleně smazat• Instalace aplikací• Kontakty a zprávy z IT oddělení

Windows RT

Shrnutí

• Updatujte strategii pro Risk Management u mobilních

organizací

• Od všeobecné ochrany interní infrastrukutry k ochraně

klíčových aktiv

• Klasifikujte aktiva a zmapujte jejich pohyb po síti

organizace

• Zvolte vhodný typ klientských zařízení a architektury

zabezpečení

• Vyzkoušejte si Windows Intune (testovací účet),

Příručka Getting Started

Děkuji za pozornost