MDM для ноутбуков. MacOS

MDM для ноутбуков. MacOS
Говоря о системах MDM и о мобильных устройствах, мы привыкли подразумевать под ними, как правило, смартфоны, коммуникаторы и планшеты, забывая еще об одном классе устройств. Нет, речь пойдет не о смарт-устройствах и даже не об автомобильных бортовых компьютерах. Сегодня мы поговорим про ноутбуки.

В 2020 году в период пандемии, п о опросам hh.ru, 83% организаций перешли на удаленку. И это стало действительно огромной головной болью для ИБ-структур. Периметр безопасности "размылся", и в список устройств, которые стали использоваться в рабочих процессах, попали не только корпоративные ноутбуки, выданные сотрудникам для работы из дома, но и личные устройства.


Основные задачи, которые встали перед ИБ совместно с ИТ:
  • обеспечение защищенного канала между устройством и сервисами Компании;
  • Application Management для корпоративного софта на устройствах;
  • управление политиками безопасности;
  • контроль от утечек конфиденциальной информации;
  • гарантированное уничтожение корпоративных данных в случае увольнения сотрудника.
"Всё это умеет MDM !" - пришла в голову светлая мысль…

Однако на практике мы столкнулись с двумя особенностями:
1. Устройства на Windows имеют разные версии ОС, от XP до Vista , хотя практически все MDM стабильно и полнофункционально работают только с Windows 10.
Решение было прямым: по соображениям безопасности обновить все ноутбуки на актуальную версию Windows.
2. Отсутствие поддержки у большинства MDM макбуков.
Данную особенность нам предстояло закрыть решением MobileIron , которое, помимо распространённых мобильных ОС ( Android , iOS , Windows 10), имеет поддержку семейства macOS.

Данная статья содержит краткий обзор решения в разрезе задач, озвученных ранее.

Управление приложениями
MobileIron позволяет создать собственный магазин приложений, которые пользователь сможет развернуть на подконтрольное устройство в silent -режиме.

29c5210cb70c0e3f383d6eb1574cab69.png

Для автоматизации процесса можно задать настройки интеграции с популярными сервисами, например, Microsoft Outlook . Это позволит использовать сервис, не выдавая пасс пользователю.

725331fca1616998282126204724eaf0.png

Можно ограничить список приложений, с которых доступны ресурсы. Например, запретить доступ к сервису с браузера, отличного от Safari .

f89972786dc61905863ac3f33c4d1316.png

Также можно ограничить приложения, которые пользователь может установить самостоятельно, например, запретить Tor браузер.

0f10fa8b7b4d1b94733aefa5ed162d90.png

Политики и конфигурации
MobileIron поддерживает настройку следующих политик для macOS :
  • FileVault 2 - полнодисковое шифрование;
  • System Policy Control - управление сторонними приложениями не из AppStore ;
  • System Policy Managed - набор правил для работы с файлами;
  • System Policy Rule - политика для отключения пункта меню «Открыть с помощью»;
  • Mobile @ Work macOS Script - возможность запуска собственных скриптов;
  • Software Updater - правила и расписание установки обновлений.
8f2e3d67a43675cadbab4960dd785885.png

Среди конфигураций macOS MobileIron поддерживает следующие: безопасность, приватность, управление приложениями, внешние устройства и др.

ddd0cc846a2e6ac093dd56e7f19e6a78.png

VPN &  Wipe
MobileIron позволяет строить VPN -туннель для конкретного приложения, что обеспечивает возможность формирования дополнительного уровня защиты.

264cf66a5d8c3011c08d6e6a8aaaf474.PNG

В части стирания данных, в случае увольнения сотрудника или кражи устройства MobileIron может как удалить только UEM-конфигурацию, так и сделать полный wipe устройства.

В целом, в решении присутствует полный функционал для обеспечения задач безопасности, хоть и для его использования необходимо дополнительно "покурить мануал" касательно политик самой macOS . Вкупе с DLP -системой, которая дополнит комплекс мер по предотвращению утечки информации, можно обеспечить приемлемый уровень информационной безопасности для сотрудника, работающего из любой точки мира.

А о выборе DLP для macOS мы поговорим в нашей следующей статье.

Автор: Евгений Титов, руководитель направления прикладных решений в области ИБ ГК Axxtel

Наш блог на Яндекс.Дзен
Alt text

Биометрическую идентификацию легко обойти с помощью deepfake, доступ к данным пользователей хакерских форумов могли получить спецслужбы, а также розыгрыш уникальной хакерской настольной игры и билета на PhDays в 11 выпуске на нашем Youtube канале.

ООО «Акстел-Безопасность»

Axxtel - команда экспертов в области информационной безопасности занимающая ведущие позиции в СФО. Мы следим за последними новинками и тенденциями в области информационной безопасности и создаем их. Всегда рады узнать новое и поделиться своим опытом.