MDM для ноутбуков. MacOS

MDM для ноутбуков. MacOS
Говоря о системах MDM и о мобильных устройствах, мы привыкли подразумевать под ними, как правило, смартфоны, коммуникаторы и планшеты, забывая еще об одном классе устройств. Нет, речь пойдет не о смарт-устройствах и даже не об автомобильных бортовых компьютерах. Сегодня мы поговорим про ноутбуки.

В 2020 году в период пандемии, п о опросам hh.ru, 83% организаций перешли на удаленку. И это стало действительно огромной головной болью для ИБ-структур. Периметр безопасности "размылся", и в список устройств, которые стали использоваться в рабочих процессах, попали не только корпоративные ноутбуки, выданные сотрудникам для работы из дома, но и личные устройства.


Основные задачи, которые встали перед ИБ совместно с ИТ:
  • обеспечение защищенного канала между устройством и сервисами Компании;
  • Application Management для корпоративного софта на устройствах;
  • управление политиками безопасности;
  • контроль от утечек конфиденциальной информации;
  • гарантированное уничтожение корпоративных данных в случае увольнения сотрудника.
"Всё это умеет MDM !" - пришла в голову светлая мысль…

Однако на практике мы столкнулись с двумя особенностями:
1. Устройства на Windows имеют разные версии ОС, от XP до Vista , хотя практически все MDM стабильно и полнофункционально работают только с Windows 10.
Решение было прямым: по соображениям безопасности обновить все ноутбуки на актуальную версию Windows.
2. Отсутствие поддержки у большинства MDM макбуков.
Данную особенность нам предстояло закрыть решением MobileIron , которое, помимо распространённых мобильных ОС ( Android , iOS , Windows 10), имеет поддержку семейства macOS.

Данная статья содержит краткий обзор решения в разрезе задач, озвученных ранее.

Управление приложениями
MobileIron позволяет создать собственный магазин приложений, которые пользователь сможет развернуть на подконтрольное устройство в silent -режиме.

29c5210cb70c0e3f383d6eb1574cab69.png

Для автоматизации процесса можно задать настройки интеграции с популярными сервисами, например, Microsoft Outlook . Это позволит использовать сервис, не выдавая пасс пользователю.

725331fca1616998282126204724eaf0.png

Можно ограничить список приложений, с которых доступны ресурсы. Например, запретить доступ к сервису с браузера, отличного от Safari .

f89972786dc61905863ac3f33c4d1316.png

Также можно ограничить приложения, которые пользователь может установить самостоятельно, например, запретить Tor браузер.

0f10fa8b7b4d1b94733aefa5ed162d90.png

Политики и конфигурации
MobileIron поддерживает настройку следующих политик для macOS :
  • FileVault 2 - полнодисковое шифрование;
  • System Policy Control - управление сторонними приложениями не из AppStore ;
  • System Policy Managed - набор правил для работы с файлами;
  • System Policy Rule - политика для отключения пункта меню «Открыть с помощью»;
  • Mobile @ Work macOS Script - возможность запуска собственных скриптов;
  • Software Updater - правила и расписание установки обновлений.
8f2e3d67a43675cadbab4960dd785885.png

Среди конфигураций macOS MobileIron поддерживает следующие: безопасность, приватность, управление приложениями, внешние устройства и др.

ddd0cc846a2e6ac093dd56e7f19e6a78.png

VPN &  Wipe
MobileIron позволяет строить VPN -туннель для конкретного приложения, что обеспечивает возможность формирования дополнительного уровня защиты.

264cf66a5d8c3011c08d6e6a8aaaf474.PNG

В части стирания данных, в случае увольнения сотрудника или кражи устройства MobileIron может как удалить только UEM-конфигурацию, так и сделать полный wipe устройства.

В целом, в решении присутствует полный функционал для обеспечения задач безопасности, хоть и для его использования необходимо дополнительно "покурить мануал" касательно политик самой macOS . Вкупе с DLP -системой, которая дополнит комплекс мер по предотвращению утечки информации, можно обеспечить приемлемый уровень информационной безопасности для сотрудника, работающего из любой точки мира.

А о выборе DLP для macOS мы поговорим в нашей следующей статье.

Автор: Евгений Титов, руководитель направления прикладных решений в области ИБ ГК Axxtel

Наш блог на Яндекс.Дзен
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

ООО «Акстел-Безопасность»

Axxtel - команда экспертов в области информационной безопасности занимающая ведущие позиции в СФО. Мы следим за последними новинками и тенденциями в области информационной безопасности и создаем их. Всегда рады узнать новое и поделиться своим опытом.