Date post: | 01-Jan-2016 |
Category: |
Documents |
Upload: | susan-holland |
View: | 35 times |
Download: | 0 times |
Řešení postavená na konzumerizaci IT
Zařízení spravované samotným uživatelem
Komunikace pomocí veřejných „free“ emailových služeb (Gmail, Hotmail)
Správce sítě nemá žádný dohled nad zařízením
Scénáře správy zařízení
Správa v doménovém prostředí
Maximálně zabezpečené zařízení
Možnost vynucení bezpečnostních politik
Šifrování a vícefaktorová autentizace
Výhody vycházející z vlastností Windows 7/8 (Bitlocker, Secure Boot, Dynamic Access…)
Správa nativním protokolem mobilních zařízení
Omezené možnosti zabezpečení
Nesourodá řešení třetích stran pro zabezpečení
Vynutitelnost granularity politik je nízká
Správa v doménovém prostředí•Maximální správa pomocí Group Policy v Active Directory
• Bezpečnostní funkce a vlastnosti Windows 8 (Bitlocker, Bitlocker To Go, Trusted / Measured Boot, UEFI, Virtual Smart Card, Trusted Platform Module-TPM)
• Centrální server pro správu(System Center - ConfigMgr, OpsMgr, Endpoint Protection atd.)
• Reverzní proxy server (Unified Access Gateway)
• Externí přístup do korporátní sítě bez VPN (Direct Access)
Správa nativním protokolem mobilních zařízení• Správa pomocí Exchange ActiveSync (EAS)• Původně určen pro synchronizaci emailů mezi Exchange
serverema mobilním telefonem • Bezpečnostní funkce:• Remote Wipe (vzdálené vymazání zařízení)• Device Password Policies (min. délka PIN, alfanumerické znaky,
historie hesel atd.)• Device Encryption Policies (šifrování mobilního zařízení)
• Správa pomocí centrálního nástroje System Center ConfigMgr + Intune• Správa mobilních zařízení přes všechny platformy
(Windows RT, Windows Phone, iOS, Android)
Řešení postavená na konzumerizaci IT•Uživatel si přinese své vlastní zařízení do organizace (BYOD)• Zabezpečení zařízení je na samotném uživateli• Velká pravděpodobnost úniku dat
•Obtížné připojení do organizační sítě• Řešení problému• Lze začlenit zařízení do domény? (Windows
tablety...)• Pokud toto není možné• Virtual Desktop Infrastructure (VDI z Windows, OS X,
Linux atd.)• Vynutit bezpečnostní politiky (EAS, ConfigMgr, Intune
– lze na Windows RT, Windows Phone, iOS, Android)• Windows To Go (Windows 8 na jakémkoliv PC z USB)
Správa klientů s využitím cloudové služby Windows Intune
Windows Phone 8
Windows RT
Přímá správa a publikace aplikací
iOS
CorpNet Internet
x86 / x64
x86 / x64
Windows 8Windows 7
Windows VistaWindows XP
Windows 8Windows To Go
Windows 7Windows VistaWindows XP
EAS
DirSyncPublikace
Android aplikací
Android
Kombinace ConfigMgr SP1 a služby Windows Intune
EAS
DirSync
Android
Distribuce Android aplikací
Service Pack 1
Windows Phone 8
Windows RT
Přímá správa a distribuce aplikací
iOS
x86 / x64
Windows 8Windows To Go
Windows 7Windows Embedded
Windows VistaWindows XP
Mac
CorpNet Internetx86 / x64
Windows 8Windows 7
Windows VistaWindows XP
2012
DirectAccess
DirectAccess klient
Člen doménys certifikátem
Korporátní síť
Internet
Direct Access Server
IPsec
IPsec – za pomocí certifikátu na počítači, členství v doméně, smart karet a NAP
Schéma zabezpečení
Možný IPsec end-to-end
Aplikace & Data
AD & DNS(Win 2003+)
Servery pro správu
Šifrování disku, části disku a USB flash diskůBitLocker
• Zabraňuje neautorizovanému přístupu k datům na ztraceném anebo ukradeném zařízení• Podporuje šifrování systémového i/nebo
datového oddílu• Nabízí celou řadu předbootovacích
autentizačních možností:• TPM-only, PIN/Password, Network Unlock, USB
storage• Podporuje PC, servery i tablety
BitLocker to Go• Ochrana dat na externích přenosných discích
(např. USB flash disk)• Možnost přidělit nebo zamítnout přístup pro
zápis• Přístup pro čtení na Windows Vista & Windows
XP (Bitlocker to Go Reader)
Zlepšené nastavení bezpečnostních politik
Přímá správa mobilních zařízení (Windows RT, Windows Phone 8, iOS) nebo bezpečnostní zásady přes EAS (Exchange ActiveSync) pro Android a Windows Phone 7.5
Publikace software uživatelům přes „Portál společnosti“
Nasazení firemních aplikací Inventář hardware
Intune MDM - verze „D“ - 12/2012 update
Možnost integrace s Active Directory Možnost integrace s SCCM do jedné
konzole Proaktivní monitoring počítačů Nastavení bezpečnostních politik Zlepšená samoobslužná instalace a
aktualizace softwaru Inventář hardware a software vč.
reportů, pro všechny typy klientů Nastavení zasílání výstrah Antivirus / Antimalware Vylepšená správa skupin
PC Tablet / Smartphone
Instalace „Company Apps“
Company Portal:• https://portal.manage.microsoft.com • Uživatelé mohou přihlásit zařízení, vzdáleně smazat• Instalace aplikací• Kontakty a zprávy z IT oddělení
Windows RT
Shrnutí
• Updatujte strategii pro Risk Management u mobilních
organizací
• Od všeobecné ochrany interní infrastrukutry k ochraně
klíčových aktiv
• Klasifikujte aktiva a zmapujte jejich pohyb po síti
organizace
• Zvolte vhodný typ klientských zařízení a architektury
zabezpečení
• Vyzkoušejte si Windows Intune (testovací účet),
Příručka Getting Started