28.01.2013

Практикум: защита iOS, как отpwniть ваших детей с помощью Конфигуратора Apple версии 1.2

image

История о том, как я использовал новую версию конфигуратора мобильных устройств от Apple для развлечения и мести.

Автор: Sean Gallagher

Совсем недавно Apple выпустила последнюю версию Конфигуратора – управляющего ПО для устройств с iOS, Конфигуратор можно скачать из Mac App Store. Конфигуратор версии 1.2 дает компаниям возможность массово настраивать приложения, параметры и политики безопасности на iPad’ах, iPhone’ах и даже iPod’ах. Но, как оказалось, Конфигуратор еще и прекрасное средство для того, чтобы проучить своего сына и показать ему, что не стоит оставлять свой iPad без присмотра и прерывать телеконференцию громким барабанными соло.

Экран iPad’а моего сына. iPad был настроен Конфигуратором в “контролируемом режиме”

Конфигуратор версии 1.2 в полной мере позволяет использовать все преимущества функций корпоративного управления в iOS 6. В бесплатном приложении для Mac OS X заключен мощный инструмент для конфигурации политик. Приложение дает возможность установить заставку на экран блокировки, перевести устройство в режим “app lock”; в этом режиме устройство сразу же будет загружать необходимое приложение, ограничивая доступ пользователя к другим функциям iOS. Благодаря Конфигуратору вы сможете превратить ваше устройство в защищенный беспроводной терминал, торговый терминал или (как в случае с iPad моего сына) в платформу для единственного приложения My Little Pony Ruckus Reader с соответствующей заставкой на экране блокировки.

Но перед всеми своими действиями, я, конечно, сделал резервную копию. Я же не злодей.

От iPad до iPwnie за три простых шага

В iOS 6 существует два различных режима управления устройствами – контролируемый (supervised) и неконтролируемый (unsupervised) режимы. Неконтролируемый режим управления прекрасно подходит для случаев, когда сотрудники компании для решения рабочих задач используют собственные устройства: в подобных случаях устройство можно настроить, не внося в них чрезмерных изменений. При неконтролируемом режиме управления новый профиль перекрывает существующий пользовательский профиль, но только на определенный промежуток времени, по истечении которого новый профиль автоматически сбрасывается. Админы, например, могут дать подрядчикам доступ к корпоративным ресурсам на время выполнения проекта, и не забирать устройства подрядчиков после того, как проект будет закончен; или же дать студентам доступ к определенным материалам только на период определенного урока.

Контролируемый режим, напротив, требует полной переустановки iOS, благодаря чему появляются новые рычаги управления, и администраторы получают больше контроля над настройками устройства. До iOS 6 контролируемый режим был доступен только для iPad. Сейчас же, как мы отметили в нашей статье о корпоративных функциях управления в iOS6, контролируемый режим доступен для всех устройств.

Контролируемый режим позволяет предотвратить изменение пользователем некоторых или всех настроек устройства, выборочно отключать функции, предотвращать удаление приложений пользователем и ограничивать контент, который устройство может скачивать или использовать. Благодаря контролируемому режиму, администраторы способны перевести устройство в режим “app lock”, так что после загрузки операционной системы сразу же будет загружаться определенное приложение, и пользователь никак не сможет выйти из этого приложения.

Тем не менее, контролируемый режим дается ценой дополнительных административных усилий. Когда неконтролируемый режим позволяет пользователям вводить свои логины и пароли в приложениях, требующих аутентификации, в контролируемом режиме логины и пароли уже должны быть “зашиты” в устройство. Конечно же, уровень управления устройствами в контролируемом режиме именно тот, который хотели бы видеть многие компании. Многие устройства, управление которыми организации переведут в контролируемый режим, скорее всего, будут использоваться многими людьми и персонализировать почту или другие настройки будет просто не нужно.

Интерфейс Конфигуратора разбит на три окна. Окно “Prepare” предназначено для начальной настройки устройств: установки начальных политик как в контролируемом, так и в неконтролируемом режимах, установки приложений. Вы также можете создать резервную копию одного устройства после его полной настройки, и затем использовать резервную копию в качестве образа для настройки других устройств.

Окно Конфигуратора “Prepare”, применение профиля политик к моему iPhone 4S в неконтролируемом режиме

Окно “Supervise” предназначено для управления устройствами после настройки. Админы могут объединить устройства в группы, так что дополнительные политики будут применяться к группе в целом. И именно в этом окне устройства переводятся в режим “app lock”.

Окно Конфигуратора “Supervise”. Подключен iPad моего сына и выбран профиль “My Little Pwnie”

И, наконец, окно “Assign” предназначено для выдачи устройств пользователям и управления пользовательскими данными приложений. Когда пользователь сдает устройство, в библиотеке конфигуратора создается резервная копия всех пользовательских данных, поэтому в следующий раз, когда пользователь получит устройство, все его данные будут восстановлены.

Окно Конфигуратора “Assign” позволяет вам выдавать и получать обратно устройства, управлять контентом в зависимости от пользователя и делать резервную копию пользовательских данных, в период, когда устройство пользователем не используется

Некоторые из более общих настроек для устройств (такие как заставка и надпись на экране блокировки) устанавливаются в меню параметров Конфигуратора.

Настройки экрана блокировки в меню параметров конфигуратора позволяют вам установить одинаковый экран блокировки для всех устройств

Благодаря окнам “Prepare” и “Supervise” можно создавать новые или редактировать существующие политики, настраивать приложения. Используя интерфейс обоих окон, вы также способны импортировать или экспортировать профиль (в формате XML в файле с расширением .mobileconfig). Поэтому администратор может создать один набор профилей, которые затем будут использоваться для настройки других устройств. Профили также можно рассылать “по воздуху” с помощью MDM через Apple Push Notification Service, как описывается в документации Apple по интеграции MDM (PDF). Но, к сожалению, рассылка профилей “по воздуху” через сам Конфигуратор пока невозможна.

Когда устройство сконфигурировано в неконтролируемом режиме, то пользователь при передаче профиля увидит на своем экране такое сообщение

После того, как пользователь нажмет на кнопку “Install”, выскочит сообщение, кратко описывающее профиль. Поскольку профили, созданные конфигуратором неподписаны, iOS предупреждает нас, что профиль “непроверен”

Профиль конфигурации, созданный в неконтролируемом режиме, пользователь может в любое время деинсталлировать сам. А вот деинсталляцию контролируемого профиля можно запретить

Каждый профиль состоит из нескольких групп параметров (или политик). Первая группа параметров профиля – это общая информация для заголовка профиля, включающая в себя имя профиля, описание и текст уведомления, которое появляется на экране устройства пользователя перед установкой. После создания профиля, вы можете применить его к группе до 30 устройств одновременно, подключенных через USB-хаб. Профили также можно экспортировать и разослать через MDM для установки на удаленных устройствах.

Каждый профиль должен иметь имя. Вы также можете добавить описание, уведомление, чтобы при экспорте в MDM администраторы и пользователи знали, что именно скрывается под тем или иным профилем

Раздел парольных политик в редакторе профиля позволяет вам установить требуемую длину и сложность паролей, через какой период времени устройство будет автоматически блокироваться и сколько неправильных паролей пользователь сможет ввести, прежде чем все данные с устройства будут стерты

Политики ограничений (“Restrictions”) для iOS представлены в Конфигураторе в виде множества чекбоксов. Здесь можно настроить ограничения на функционал iOS, ограничения для встроенных приложений iOS (YouTube, iTunesStore, Game Center и Safari ) и ограничения на содержимое медиа-контента (система рейтинга)

Конфигуратор 1.2 в полной мере использует функционал контролируемого режима. Конфигуратор теперь позволяет администраторам включить фильтр бранной речи (profanity filter) в Siri, чтобы пользователь не обучал свое устройство ругаться грязными словечками. Siri, конечно же, можно совсем отключить. Блокируется также и iOS Game Center. Политики Конфигуратора в контролируемом режиме способны полностью заблокировать доступ к книжному магазину iBooks или же заблокировать в магазине только те книги, которые помечены тэгом “erotica”. Среди политик есть и те, которые не требуют контролируемого режима. Например, в неконтролируемом режиме можно установить политики управления таких функции FaceTime и iCloud, как синхронизация документов (document sync) и Photo Stream. Вы можете либо полностью отключить функцию PhotoStream, либо просто запретить пользователям добавлять фотографии в общие PhotoStream-потоки.

Еще одна новая возможность контролируемого режима, доступная в Конфигураторе версии 1.2 – это принудительное использование глобального прокси для iOS приложений. Глобальные прокси гарантируют, что весь исходящий и входящий IP-трафик фильтруется, независимо от того, к какой сети подключен пользователь. Конечно же, здесь можно сконфигурировать и анонимизирующий прокси, но я считаю, что многие организации между анонимизацией и исполнением политик выберут последнее

Наивысший уровень контроля достигается в контролируемом режиме за счет включения так называемого режима “app lock”. Режим “app lock” активируется не политикой, а специальной настройкой в окне “Supervise” при подсоединенном устройстве. Вы можете создать резервную копию устройства, введенного в режим “app lock” и затем использовать резервную копию в качестве шаблона. Удаленно включить/выключить режим “app lock” не получиться, но такое ограничение нам на руку, по крайней мере, в случае с моим сыном.

Настройка “Lock to App” в окне “Supervise” позволяет вам выбрать приложение, которое будет запускаться сразу же после загрузки iOS. Отключить режим “app lock” можно только в Конфигураторе. Из рисунка видно, что отныне и на века мой сын будет видеть на своем iPad только пони

Pwning complete?

Конфигуратор приносил бы еще больше пользы, если бы Apple дала админам возможность интегрировать конфигуратор с Apple Push Notification Service, чтобы осуществлять настройку “по воздуху”. Но тогда такой конфигуратор не распространялся бы бесплатно через App Store и потребовал бы наличия серверной базы данных устройств и другие функции, что, в конце концов, превратило бы конфигуратор в MDM-платформу. Но вендоры MDM могут вздохнуть спокойно: по-видиму, Apple не собирается интегрировать Конфигуратор с Apple Push Notification Service.

На данный момент Конфигуратор не способен полностью заменить MDM-системы в больших организациях, он лишь предоставляет администраторам способ быстрого создания политик, которые затем распространятся по устройствам с помощью MDM. Даже без возможности удаленной настройки Конфигуратор гарантирует маленьким и средним компаниям, что базовые функции безопасности надлежащим образом настроены на устройствах, владельцами которых являются работники. Конфигуратор также позволяет управлять пулом корпоративных устройств, и при необходимости выдавать их работникам или студентам.

Функционала Конфигуратора будет более чем достаточно для тех людей, кто ищет простой способ настроить собственные устройства и защитить свои мобильные данные. Что же касается семейной ценности Конфигуратора, то тут он просто бесценен: стоило только взглянуть на лицо моего сына, когда он включил свой iPad.
или введите имя

CAPTCHA
Anonimus
29-01-2013 09:31:04
Кроме слова КОНФИГУРАТОР, я ничего не увидел
0 |
adasiko
31-01-2013 12:28:45
"или (как в случае с iPad моего сына) в платформу для единственного приложения My Little Pony Ruckus Reader", "Я же не злодей." Не уверен
0 |
другой я
04-02-2013 14:43:02
автор специально над скриншотами измывался?
0 |