it-swarm-es.com

Bloquear iPhones inseguros para que no accedan a ActiveSync

Teniendo en cuenta que el iPhone 3GS y el iPhone 4 (y el último iPad) son compatibles con cifrado de dispositivo local , ¿cómo se puede hacer cumplir eso solo seguro los dispositivos se pueden conectar a su punto final ActiveSync?

En otras palabras, ¿cómo puede evitar que los iPhones y iPads más antiguos (que no admiten el cifrado local) accedan al servidor y descarguen mensajes con archivos adjuntos en un almacenamiento desprotegido?

6

Exchange 2010/Windows R2

Exchange 2010 incluye gran parte de esta funcionalidad incorporada, y IIS en 2008R2 permite la capacidad de filtrar URL similares a la solución 2003 a continuación.

  1. Navegue a OWA a través de esta URL especial https://mail.yourcompany.com/ ecp /
  2. Haga clic en "Teléfono y voz"
  3. Cree una nueva "regla de acceso al dispositivo" y configúrela en Cuarentena o Permitir iPhones.
  4. Tenga en cuenta que no existe una diferencia práctica entre DeviceModel y DeviceFamily.
  5. (Aún no probado personalmente) En IISManager, abra Filtro de solicitud
  6. Desplácese hacia la derecha para editar las cadenas de consulta.
  7. Agregue el bloque apropiado, de acuerdo con la tabla de URL a continuación.

Los adictos a la línea de comandos también pueden administrar dispositivos y políticas predeterminadas. Por lo que puedo decir, existe una paridad de características completa entre el ECP y la línea de comandos:

Get-ActiveSyncOrganizationSettings | fl UserMailInsert, AdminMailRecipients, DafaultAccessLevel
Set-ActiveSyncOrganizationSettings -UserMailInsert "Your phone has not been approved, contact IT at x443 to enable email access for this phone" -AdminMailRecipients [email protected]

Exchange 2003/Windows 2003

Instalamos Mod_Rewrite (un puerto Apache para IIS) en cada uno de nuestros servidores Exchange 2003/Front End para controlar el acceso.

Aquí está el conjunto de reglas que estamos planeando poner en producción y bloquearemos el acceso a estos servidores según el User_Agent campo. Nota: este conjunto de reglas aún se está probando y puede ser revisado. Si tiene comentarios, agréguelos.

############## RULE 1 ############### 
# 
# Exclude Disallowed Devices 
# 

#Do match and prevent version 4.3.2  (Part 1)
# RewriteCond %{HTTP_USER_AGENT} Apple-iPhone2C1/801.8* [NC,OR] 
# RewriteCond %{HTTP_USER_AGENT} Apple-iPhone3C1/808.8* [NC,OR] 
# RewriteCond %{HTTP_USER_AGENT} Apple-iPad2C3/808.8* [NC,OR] 

#Do match and prevent version 4.3.2  (Part 2)
# RewriteCond %{HTTP_USER_AGENT} Apple-iPhone2C1/801.7* [NC,OR] 
# RewriteCond %{HTTP_USER_AGENT} Apple-iPhone3C1/808.7* [NC,OR] 
# RewriteCond %{HTTP_USER_AGENT} Apple-iPad2C1/808.7* [NC,OR] 
# RewriteCond %{HTTP_USER_AGENT} Apple-iPad1C1/808.7* [NC,OR] 

#Do match and prevent version 4.0  
RewriteCond %{HTTP_USER_AGENT} Apple-iPhone2C1/801.293.* [NC,OR] 
RewriteCond %{HTTP_USER_AGENT} Apple-iPhone3C1/801.293.* [NC,OR] 

#Do match and prevent version 3.13 ,  3.21 , 3.2 
RewriteCond %{HTTP_USER_AGENT} Apple-iPhone2C1/70.* [NC,OR] 
RewriteCond %{HTTP_USER_AGENT} Apple-iPhone3C1/70.* [NC,OR] 

#Do match and prevent iPad version 3.2 (7b367)
RewriteCond %{HTTP_USER_AGENT} Apple-iPad/702.* [NC,OR] 

#Do match and prevent iPad version 3.3X? 
RewriteCond %{HTTP_USER_AGENT} Apple-iPad1C1/702.500.* [NC] 
RewriteRule ^(.*)$ http://www.nfp.com?rule1 [R=301,L] 

############## RULE 2 ############### 
# 
#  Only Permit iPhones and iPads to connect.   
#  If they got this far, then they are not a banned / blacklisted device. 
# 

RewriteCond %{HTTP_USER_AGENT} .*iPhone.* [NC] 
# Do not alter the URL, and let it come through unmodified. 
RewriteRule ^.*$ - [NC,L] 

RewriteCond %{HTTP_USER_AGENT} .*iPad.* [NC] 
# Do not alter the URL, and let it come through unmodified. 
RewriteRule ^.*$ - [NC,L] 

############## RULE 3 ############### 
# 
# Block all other devices,  deny rule 
# 
RewriteRule ^(.*)$ http://www.nfp.com/?rule=3 [L,R=301] 

#Device Reference
#iPhone Simulator == i386
#iPhone == iPhone
#3G iPhone == iPhone1C2
#3GS iPhone == iPhone2C1
#4 iPhone == iPhone3C1
#1st Gen iPod == iPod1C1
#2nd Gen iPod == iPod2C1
#3rd Gen iPod == iPod3C1
#Apple-iPad1C1


# The 1st part of that string is always just "Apple-".
# The 2nd part of the string is DeviceType and is defined just
# like the URL above and is either "iPhone" or "iPad".
# The 3rd part of that string is just a delimiter "/".
# The 4th and final part of that string is the software version formatted in a way that Exchange Servers can digest it.

# Here's an example of creating that 4th part of the string using software build version for iPhone which is 7E18 aka iPhone OS 3.1.3.

# The first number from 7E18 (the 7) will become a "7" in the translated string.
# The first letter from 7E18 (the E) will become a "05" since it is the 5th letter of the English alphabet.
# Then you insert a "." (dot).
# The second number from 7E18 (the 18) will become "18".  It will be padded with zeros to be 3 digits
5

Recuerde que incluso un dispositivo con cifrado local puede no tener un código de bloqueo y puede tener una copia de seguridad a través de iTunes en un volumen sin cifrar. Si ese volumen está en una computadora portátil, entonces es igualmente portátil y se puede perder.

6
user185

Puede utilizar la autenticación basada en certificados. Si no proporciona un certificado, no pueden autenticarse. Aquí hay un enlace, pero puede ser diferente según su versión de Exchange.

Esto agrega algunos gastos generales operativos si desea admitir dispositivos móviles, debe proporcionar e instalar los certificados. Pero le permitirá elegir qué dispositivos pueden y qué dispositivos no pueden conectarse.

http://technet.Microsoft.com/en-us/library/bb430770.aspx

Editar: agregar enlaces sobre la configuración de ActiveSync con certificados.

http://www.expta.com/2010/02/how-to-securely-deploy-iphones-with.html

http://images.Apple.com/iphone/business/docs/iPhone_Certificates.pdf

3
Wayne

¿Podría considerar evaluar Good Technology's producto? Parece que podría abordar sus inquietudes e incluso permitirle admitir de forma segura una gama más amplia de dispositivos. Desafortunadamente, agregaría una capa adicional de software y aumentaría su costo.

3
sdanelson

En la guía de implementación empresarial de iPhone , hay una sección sobre Exchange ActiveSync, que menciona la política "Requerir cifrado de dispositivo" que debería evitar que los dispositivos iOS no cifrados se conecten al servicio.

3
Rory McCune

Codeproof MDM se integra con Exchange Server y proporciona varias reglas para bloquear/permitir dispositivos con varias propiedades de dispositivo. Es posible que desee comprobarlo.


Divulgación: trabajo para Codeproof.

--------- Se agregaron más detalles según la solicitud del miembro ---------------

Codeproof es fácil de usar, de bajo costo, SaaS. Recientemente agregamos una nueva función de seguridad de Exchange ActiveSync llamada "Codeproof SecureSync". Hemos desarrollado complementos de intercambio que se comunican con su cuenta de Codeproof y donde puede establecer varias reglas para permitir/bloquear dispositivos, como bloquear dispositivos con jailbreak, dispositivos desbloqueados, etc. Algunas reglas requieren que la aplicación Codeproof Agent esté instalada en sus dispositivos móviles.

Interfaz de usuario de la consola de administración:

Codeproof SecureSync

1
Satish Shetty