امنيت موبايل باMDM 2008 SP1 ( ا )
امنيت موبايل باMDM 2008 SP1 ( ا )
امنيت موبايل باMDM 2008 SP1 ( ا )
استفاده از وسايلي مانند موبايل يا تلفن هاي هوشمند براي امور تجاري موضوع جديدي نيست. اگر چه نگرش استفاده از اينگونه وسايل و سرويس هاي مربوط به آن، به صورت اساسي و بنيادي در سال هاي اخير دستخوش تغييرات گسترده اي گشته است. امروزه از اين وسيله جهت تماس با افراد ديگر، مرور صفحات وب، ارسال و دريافت ايميل، اجراي بي شمار برنامه کاربردي از برنامه هاي مديريت ارتباط با مشتري در زمينه تجاري، تا مرحله مديريت نرم افزارهاي شبکه استفاده مي گردد. افزايش پردازش توان، حافظه، قدرت ذخيره سازي، اين وسيله را به ابزار قدرتمندي در زمينه تجاري تبديل نموده است. از طرف ديگر مشترکين شما احتمالاً داراي اسناد شرکتي هستند که در آن کار مي کنند. همچنين امکان دارد ليست مشتري ها و اطلاعات با ارزشي بر روي دستگاه موبايلشان موجود باشد. حال تصور کنيد شخص مورد نظر، دستگاه خود را که اطلاعات را روي آن ذخيره نموده است از دست بدهد و يا ممکن است در زماني که به اسناد و اطلاعات ذخيره شده نياز باشد شخص با عدم پاسخگويي روبرو شود در اين صورت اين فرد دچار نقض صريح تعهداتش نسبت به مشترياني که با وي در ارتباط هستند، شده است.
اگر چه از دست دادن اين وسيله، تنها ريسک شرکت ها در ارتباط با موبايل نيست. کارمنداني که با نوعي نارضايتي از شرکت کناره گيري مي کنند، با سرمايه فکري و اطلاعات و داده هايي که گاهي به صورت اتفاقي در اختيارشان قرار گرفته، مي توانند منبعي جدي در زمينه افشا اطلاعات تلقي شوند و از طريق سايت ها و صفحات وب يا صفحات شخصي در اينترنت اين اطلاعات را در اختيار عموم قرار دهند. پيشتر، پيامدهاي اين چنين حوادثي، ممکن بود منجر به ممنوع نمودن استفاده از آن وسايل گردد؛ اما محبوبيت همگاني و سودمند بودن اين وسيله شرکت ها و سازمان ها را بيشتر و بيشتر به جستجوي راههايي مي کشاند تا در ارتباط با اين وسيله به سمت مسائل امنيتي و تدابير قانوني بروند.
امروزه راه حل هايي موجود است تا بتوان با استفاده ازد ستگاه موبايل مجتمع و شبکه هاي موجود در اين شرکت ها و بکارگيري سرويس ها و تدابير امنيتي بر روي آن ها، استفاده مطمئن را ممکن ساخت. در اين مقاله به بررسي ابزاري مديريتي مي پردازيم که توسط شرکت مايکروسافت ارائه شده است. ما مي خواهيم Microsoft System Center Mobile Device Manager (MDM) 2008 sp1 را تشريح کنيم و بيشتر تمرکز ما بر روي ساختار و نصب آن مي باشد.
Exchange 2010 در اصل بر اساس ايجاد امنيت بر روي mailox است نه دستگاه ها و براي استفاده در دسترسي از راه دور و همچنين در مسيرهاي انتها به انتها پيشنهاد نمي شود. در دسترسي از راه دور امکان از دست دادن اطلاعات بر روي شبکه وجود دارد. MDM پيشنهاد سرويس هايي را مي دهد که بسيار امن تر هستند، همچنين MDM فقط ويندوزهاي مخصوص موبايل را حمايت مي کند يعني ورژن 6,1يا بالاتر و از آنجاييکه exchange 2010 مي تواند پشتيباني هر وسيله اي که داراي Eas باشد را به عهده بگيرد، پس MDM و Exchange مي توانند همزمان با هم براي مديريت بهتر دستگاه موبايل مورد استفاده قرار گيرند.
و همچنين Enrollment Server، Device Management Server سرور درگاه بر روي DMZ بوده و نيازمند به داشتن رابط يا همان اينترفيس شبکه مي باشد، که اين رابط شبکه هم براي ارتباطات داخلي و هم براي ارتباطات خارجي بکار برده مي شود. اينترفيس خارجي سرور درگاه بايد يک آدرس آي پي عمومي باشد که عموماً داراي يک مقدار پيش فرض اوليه است و نه در پشت سرور ISA نصب مي شود نه در جلو درگاه TMG.
سرور مديريت و سرور ثبت نام، نقش گسترده اي بر روي اينترنت دارند. سه سرور مي توانند نقش يک MDM را بازي کنند که هر نمونه از آن مي تواند تا 30،000 دستگاه موبايل را پشتيباني نمايد، و شما در صورت نياز مي توانيد آن را توسعه دهيد. با استفاده از چندين نمونه از آن که در اين صورت خيلي بيشتر از 30،000 را پشتيباني خواهد نمود که علاوه بر افزايش ظرفيت مشترکين، کاربران اين تجهيزات را در نقاط جغرافياي مختلف مورد پشتيباني قرار مي دهند تا با سرعت مناسب بتوانند متصل شوند. و شما نيز مي توانيد مديريت گروه را به همراه بکارگيري حفاظت هاي امنيتي همزمان با هم بکار بريد. در اينجا نيازي به Exchange نيست اما مي توان سرويس هاي آنرا براي دستگاه هاي موبايل سفارش داد.
MDM يک محصول 64 بيتي است و بنابراين نيازمند سخت افزارهايي با قابليت 64 بيت وهمچنين سيستم عامل 64بيتي مي باشد: Windows Server 2003 R2 64bit
اما نصب روي ويندوز 2008 پشتيباني نمي شود. زيرا تعدادي از ابزارها و امکانات ساده دچار مشکل مي گردند، اگر چه براي اين مشکل راه حل هايي هم وجود دارد. براي نصب و باز کردن MDM نياز به AD(Certification Authority ) CA,(Aactive Diretory )خواهيم داشت. Ca مي تواند بر روي سرورهاي 2008 و 2003 اجراء شود. سرورهايي که شما MDM را بر روي آن نصب مي کنيد مي توانند عضوي از سرويس هايي باشند که بر پايه 2008 و يا سطح بالاتري از آن قرار بگيرند.
قبل از اينکه شما MDM را نصب کنيد نياز به پيکربندي AD داريم و اين زياد طول نمي کشد. فقط کافي است چيزي باشد تا MDM را پشتيباني کند. از طريق شبکه وارد سروري که قصد نصب بر روي آن را داريم، مي شويم جايي که ساير سرورهاي مورد نيازمان، از جمله Device Manager Enrollment Server را نصب نموده ايم و دستور زير را وارد مي کنيم. Setup.exe سپس گزينه Configure Active Directory For MDM را از منوي موجود انتخاب مي کنيم. شما نياز داريد تا با عنوان يکي از اعضا مديريت شرکت وارد سيستم شويد. وقتي که شما گزينه مورد نظر را انتخاب نموديد يک خط مخصوص دستورات ويندوز براي شما باز مي شود قبل از دادن هر دستور ديگري دستور زير را وارد کنيد ADConfig.exe/help اگر شما به دستورات داخل help بر گرديد دستور ADConfig را پيدا خواهيد کرد، به نظر مي آيد دستور ADConfig ظاهر گيج کننده اي داشته باشد اما در حقيقت استفاده از آن نسبتاً ساده است. دستور زير را وارد کنيد.
exe / creatinstance:< instance> / domain:<domain> ADConfigبراي روشن شدن دقت کنيد که (instance) که شما به (MDM instance) ميدهيد نام درخواست و يا نمونه مورد نظر شما مي باشد و البته domain هم FQDN براي هر دامنه است. نام instance نبايد بيش از 30 کاراکتر باشد و البته مي تواند شامل الفبا و اعداد و همچنين ترکيبي از اينها باشد و در مورد خط زير (_) و خط فاصله(-) دقت کنيد که دامنه (domain) بايد مشخص کننده و نشان دهنده نام دامنه باشد (FQDN) مانند نمونه زير corp.infosecresearch.com وقتي که شما دستوري را وارد مي کنيد قبل از اجراي آن جهت تاييد از شما سوال پرسيده مي شود که در صورت تاييد آن دستور اجراء مي شود، مخصوصاً به اين نکته دقت داشته باشيد زيرا پس از انجام و اجراي دستور نمي توانيد نام (instance) را عوض کنيد، همچنانکه دستور در حال اجراء است سيستم وضعيت چگونگي اطلاعات را به شما نشان مي دهد و اينکه موفقيت آميز بودن و يا با خطا همراه بودن آنرا به شما نشان مي دهد. در آخرين گام در ارتباط با هر پيکربندي از شما جهت تاييد پرسيده خواهد شد که آيا مي خواهيد instance شما فعال شود.
اگر شما چندين نوع دامنه داشته باشيد و بخواهيد در تمامي دامنه ها از دستگاه موبايلتان استفاده کنيد تا توسط instance از مديريت MDM بهره بريد جهت اين کار دستور زير را وارد کنيد
<ADConfig.exe /enableinstance:<instance>/domain:<domain
که (instance) نام مورد نظر شما و (domain) نيز همان FQDN براي هر دامنه است حال دستور زير را اجراء کنيد ADConfig.exe/ enableinstance البته فقط وقتي اينرا انجام دهيد که پيکربندي اوليه انجام شده باشد.
سپس يک نمونه از certification policy ايجاد مي کنيم که اين توسط MDM انجام مي شود. اين امر به منزله گواهي نامهاي خواهد بود که در آن چه گزينه اي مي توانند مورد استفاده قرار گيرند به آن اشاره خواهد شد موارد جزئي در زمينه موارد امنيتي در مقوله گواهي نامه را مي توان با دستور زير ملاحظه نمود
ADConfig.exe/createtemplates:<instance نامي که شما به (instance) مي دهد را در اين گزينه وارد کنيد به ياد داشته باشيد که جهت اجرا مجدد از شما پرسيده خواهد شد و در حين انجام نيز روند اجراء به نمايش در خواهد آمد و پس از ايجاد نمونه براي گواهي نامه شما نياز به فعال کردن آنها داريد به طوري که CA شما بتواند دردسترس باشد.حال دستور زير را وارد کنيد
<ADConfig.exe/ enabletemplates:<instance
/a:<CA server FQDN>\<ca instancec>
که (instance) نامي است که به MDMinstance مورد نظرمي دهيد و منظور از FQDN Server همان FQDN اي از ميان caهاست که موضوع گواهي نامه است و ca instance نيز نام instance اي است که شما در نظر داريد. شما مي توانيد ca instance را از طريق دستور زير پيدا کنيد certutil.exe و مطابق همه دستورات از شما تاييد انجام اجراء گرفته خواهد شد. قدم بعدي براي مهيا نمودن نصب MDM اضافه نمودن دامنه اي به گروه هاي( SCMDAseturity Amins (instance) و SCMDMserverAdmins(instance) مي باشد در عبارت فوق instance نامي است که از MDM در مرحله قبلي از اين استفاده نموده ايم. حال يک حساب کاربري در اولين گروه مي توان اضافه نمود در همين جا توصيه مي کنيم تا از يک حساب کاربري استفاده نماييد اما اگر خواستيد بيش از يک حساب استفاده کنيد مي توانيد با اضافه نمودن يک حساب کاربري جديد در گروه هاي ديگر اين کار را انجام داد اداره اين حسابها توسط سرورهاي MDM صورت مي گيرد. اگر شما با يک حساب وارد شده ايد و حال مي خواهيد يک عضويت ديگري ايجاد کنيد نياز به خروج داريد تا عمليات شما نتيجه بخش باشد.
دستگاه هاي موبايل بايد در سرور enrollment ثبت شوند به طوري که MDM توان مديريت بر آنها را داشته باشد براي انجام اين کار نياز داريم تا هر دو شبکه داخلي و شبکه خارجي دسترسي به دستگاه هاي موبايل را داشته باشند.
قبل از نصب سرور enrollment شما نياز به آگاهي از FQDN هاي داخلي و خارجي که توسط سرور شناسايي مي شوند، داريد. حال براي نصب سرور گزينه زير را از منوي setup انتخاب کنيد Enrollment Server اما سرور ثبت نام نيازمند به سيستم Microsoft lls و ابزارهاي مديريتي 6,0llsمي باشد، بدون در اختيار داشتن موارد فوق امکان نصب وجود ندارد.
مراحل نصب بر اساس wizard پيش مي رود پس از پذيرش توافقات، wizard از شما در خصوص MDM instance سوال مي کند تا سرور ثبت نام بر روي آن نصب شود يا خير، سپس از شما جهت تاييد فايلهاي سيستم و همچنين تعيين سرورهاي Enrollment server و SQL serverاي که مي خواهيد از آنها استفاده کنيد، سوال مي شود. اگر شما دوست داشته باشيد مي توانيد از instance موجود در SQL استفاده کنيد. شما نيازمند به يک سيستم مديريتي هستيد تا بر روي SQL Server instance پايگاه داده ها MDM را پيکربندي نموده. در اين موقعيت شما FQDN هاي سرور ثبت نام داخلي و خارجي را تعيين مي کنيد. FQDN سرور ثبت داخلي براي ثبت دستگاه هاي موبايل کاربرد دارد. FQDN سرور خارجي را براي اطمينان از ايجاد ارتباط از طريق اينترنت نياز داريد. Wizard در اين مرحله از شما در خصوص اختصاص پورت به مديريت سرور سوال مي کند تا با تعيين پورت امکان دسترسي به وب سايت ممکن شود. به ياد داشته باشيد شما از پورت 442 نمي توانيد استفاده کنيد زيرا سرور ثبت از اين پورت خودش استفاده مي کند. راه انداز به طور اتوماتيک و اتفاقي پورتي را به آن اختصاص مي دهد که مي توانيد از آن بهره گيريد مگر اينکه تداخلي پيش آيد يا اينکه توسط ساير دستگاه ها به کار گرفته شده باشد يا اينکه پورت براي استفاده امنيتي بکار رفته باشند.
اطمينان پيدا کنيد پورتي را که ثبت کرده ايد در صورتي که قصد نصب multiple Enrollment Server داريد مي تواند مجدداً مورد استفاده قرار گيرد. حال نياز به تعيين سرور CA داريم و همچنين instance name با تعيين اين موارد AD براي MDM فراهم است. موضوع CA بر مي گردد به گواهي نامه SSL براي MDM در جريان راه اندازي. اين CA مي تواند هر CAاي باشد که از قبل بکار رفته يا در سرور ثبت بکار گرفته شده است و در نهايت wizard پس از تعيين اطلاعات ضروري براي شما نمايش گذاشته خواهد شد انتخاب هايتان در نهايت با کليک مراحل نصب و تکميل مي شود.
قبل از نصب سرور مديريت ابزار، شما نياز به نصب Windows Server Update Service (wsus) 3.0sp1 روي هر سرور داريد تا سرور شما تبديل به سرور مديريت ابزار گردد.
توجه داشته باشيد که Wsus 3.0 sp1 توسط MDM تشخيص داده نمي شود MDM از wsus براي گسترش بسته نرم افزاري دستگاه موبايل استفاده مي کند. اما wsus براي به روز آوري و نو کردن نرم افزار مديريتي در جريان کار مي تواند مورد استفاده قرار گيرد. براي تنظيم wsus جهت updateنرم افزار نياز به تنظيم آن وجود دارد و اين کار با Microsoft Report Viwer صورت مي گيرد. و در اين باره دقت کنيد هر بار فقط يک محصول بايد update شود. اگر چه خود wsus به report viewer 2005 يا ورژن بالاتري از آن نياز دارد. شما مي توانيد هر دوري wsus, report viwer را از مرکز دانلود مايکروسافت تهيه کنيد، براي اينکار بهتر است به اين آدرس رجوع کنيد:
www.microsoft.com/download/default.aspx
براي نصب مديريت ابزار گزينه mobile device managerment را از منوي setup انتخاب مي کنيم از شما در خصوص پذيرش توافقات و مجوزها پرسيده مي شود حال MDM instance اي را انتخاب کنيد که مي خواهيم device management server به آن و در نهايت محل نصب و همچنين قرار گيري پايگاه داده ها اضافه شود. توجه داشته باشيد اگر dms را روي سرور مشابه نصب کنيد همچون سرور ثبت، منوي راه انداز به طور اتوماتيک از محل قبلي براي نصب استفاده مي نمايد. و گزينه ها را به صورت خاکستري نمايش مي دهد. در اين مرحله wizard از FQDN مي پرسد و البته اين يک FQDNداخلي خواهد بود که براي DMS بکار مي رود. اگر قصد نصب MDMS را داريد FQDN را وارد کنيد براي از گزينه Load balancer استفاده کنيد و بدانيد که اعتبار موجود بودن FQDN در DNSتوسط set up تضمين مي شود.
در اين مرحله wizard پورتهاي اختصاص يافته به DM & AW را از شما مي پرسد. اگر اين اولين سرور شما باشد در پورتهاي انتخابي دقت کنيد تا اطمينان پيدا کنيد به ترتيب از پورت ها استفاده شده باشد. قدم بعدي سوال درباره CA است که مي تواند موضوع SSL باشد در مدت راه اندازي اگرتصميم به نصب DMS داشتيد بر روي سروري همانند Enrollment Server به ترتيب caها اشغال مي شوند و مطابق معمول در نهايت راه انداز گزينه هاي انتخابي را به ما نمايش مي دهد تا مورد تاييد نهايي قرار گيرد. در اينجا با کليک بر روي install مراحل نصب شروع مي شود.
منبع: بزرگراه رايانه، شماره ي 137 .
اگر چه از دست دادن اين وسيله، تنها ريسک شرکت ها در ارتباط با موبايل نيست. کارمنداني که با نوعي نارضايتي از شرکت کناره گيري مي کنند، با سرمايه فکري و اطلاعات و داده هايي که گاهي به صورت اتفاقي در اختيارشان قرار گرفته، مي توانند منبعي جدي در زمينه افشا اطلاعات تلقي شوند و از طريق سايت ها و صفحات وب يا صفحات شخصي در اينترنت اين اطلاعات را در اختيار عموم قرار دهند. پيشتر، پيامدهاي اين چنين حوادثي، ممکن بود منجر به ممنوع نمودن استفاده از آن وسايل گردد؛ اما محبوبيت همگاني و سودمند بودن اين وسيله شرکت ها و سازمان ها را بيشتر و بيشتر به جستجوي راههايي مي کشاند تا در ارتباط با اين وسيله به سمت مسائل امنيتي و تدابير قانوني بروند.
امروزه راه حل هايي موجود است تا بتوان با استفاده ازد ستگاه موبايل مجتمع و شبکه هاي موجود در اين شرکت ها و بکارگيري سرويس ها و تدابير امنيتي بر روي آن ها، استفاده مطمئن را ممکن ساخت. در اين مقاله به بررسي ابزاري مديريتي مي پردازيم که توسط شرکت مايکروسافت ارائه شده است. ما مي خواهيم Microsoft System Center Mobile Device Manager (MDM) 2008 sp1 را تشريح کنيم و بيشتر تمرکز ما بر روي ساختار و نصب آن مي باشد.
MDM در مقايسه با Exchange 2010
Exchange 2010 در اصل بر اساس ايجاد امنيت بر روي mailox است نه دستگاه ها و براي استفاده در دسترسي از راه دور و همچنين در مسيرهاي انتها به انتها پيشنهاد نمي شود. در دسترسي از راه دور امکان از دست دادن اطلاعات بر روي شبکه وجود دارد. MDM پيشنهاد سرويس هايي را مي دهد که بسيار امن تر هستند، همچنين MDM فقط ويندوزهاي مخصوص موبايل را حمايت مي کند يعني ورژن 6,1يا بالاتر و از آنجاييکه exchange 2010 مي تواند پشتيباني هر وسيله اي که داراي Eas باشد را به عهده بگيرد، پس MDM و Exchange مي توانند همزمان با هم براي مديريت بهتر دستگاه موبايل مورد استفاده قرار گيرند.
آماده شدن براي نصب MDM
و همچنين Enrollment Server، Device Management Server سرور درگاه بر روي DMZ بوده و نيازمند به داشتن رابط يا همان اينترفيس شبکه مي باشد، که اين رابط شبکه هم براي ارتباطات داخلي و هم براي ارتباطات خارجي بکار برده مي شود. اينترفيس خارجي سرور درگاه بايد يک آدرس آي پي عمومي باشد که عموماً داراي يک مقدار پيش فرض اوليه است و نه در پشت سرور ISA نصب مي شود نه در جلو درگاه TMG.
سرور مديريت و سرور ثبت نام، نقش گسترده اي بر روي اينترنت دارند. سه سرور مي توانند نقش يک MDM را بازي کنند که هر نمونه از آن مي تواند تا 30،000 دستگاه موبايل را پشتيباني نمايد، و شما در صورت نياز مي توانيد آن را توسعه دهيد. با استفاده از چندين نمونه از آن که در اين صورت خيلي بيشتر از 30،000 را پشتيباني خواهد نمود که علاوه بر افزايش ظرفيت مشترکين، کاربران اين تجهيزات را در نقاط جغرافياي مختلف مورد پشتيباني قرار مي دهند تا با سرعت مناسب بتوانند متصل شوند. و شما نيز مي توانيد مديريت گروه را به همراه بکارگيري حفاظت هاي امنيتي همزمان با هم بکار بريد. در اينجا نيازي به Exchange نيست اما مي توان سرويس هاي آنرا براي دستگاه هاي موبايل سفارش داد.
MDM يک محصول 64 بيتي است و بنابراين نيازمند سخت افزارهايي با قابليت 64 بيت وهمچنين سيستم عامل 64بيتي مي باشد: Windows Server 2003 R2 64bit
اما نصب روي ويندوز 2008 پشتيباني نمي شود. زيرا تعدادي از ابزارها و امکانات ساده دچار مشکل مي گردند، اگر چه براي اين مشکل راه حل هايي هم وجود دارد. براي نصب و باز کردن MDM نياز به AD(Certification Authority ) CA,(Aactive Diretory )خواهيم داشت. Ca مي تواند بر روي سرورهاي 2008 و 2003 اجراء شود. سرورهايي که شما MDM را بر روي آن نصب مي کنيد مي توانند عضوي از سرويس هايي باشند که بر پايه 2008 و يا سطح بالاتري از آن قرار بگيرند.
قبل از اينکه شما MDM را نصب کنيد نياز به پيکربندي AD داريم و اين زياد طول نمي کشد. فقط کافي است چيزي باشد تا MDM را پشتيباني کند. از طريق شبکه وارد سروري که قصد نصب بر روي آن را داريم، مي شويم جايي که ساير سرورهاي مورد نيازمان، از جمله Device Manager Enrollment Server را نصب نموده ايم و دستور زير را وارد مي کنيم. Setup.exe سپس گزينه Configure Active Directory For MDM را از منوي موجود انتخاب مي کنيم. شما نياز داريد تا با عنوان يکي از اعضا مديريت شرکت وارد سيستم شويد. وقتي که شما گزينه مورد نظر را انتخاب نموديد يک خط مخصوص دستورات ويندوز براي شما باز مي شود قبل از دادن هر دستور ديگري دستور زير را وارد کنيد ADConfig.exe/help اگر شما به دستورات داخل help بر گرديد دستور ADConfig را پيدا خواهيد کرد، به نظر مي آيد دستور ADConfig ظاهر گيج کننده اي داشته باشد اما در حقيقت استفاده از آن نسبتاً ساده است. دستور زير را وارد کنيد.
exe / creatinstance:< instance> / domain:<domain> ADConfigبراي روشن شدن دقت کنيد که (instance) که شما به (MDM instance) ميدهيد نام درخواست و يا نمونه مورد نظر شما مي باشد و البته domain هم FQDN براي هر دامنه است. نام instance نبايد بيش از 30 کاراکتر باشد و البته مي تواند شامل الفبا و اعداد و همچنين ترکيبي از اينها باشد و در مورد خط زير (_) و خط فاصله(-) دقت کنيد که دامنه (domain) بايد مشخص کننده و نشان دهنده نام دامنه باشد (FQDN) مانند نمونه زير corp.infosecresearch.com وقتي که شما دستوري را وارد مي کنيد قبل از اجراي آن جهت تاييد از شما سوال پرسيده مي شود که در صورت تاييد آن دستور اجراء مي شود، مخصوصاً به اين نکته دقت داشته باشيد زيرا پس از انجام و اجراي دستور نمي توانيد نام (instance) را عوض کنيد، همچنانکه دستور در حال اجراء است سيستم وضعيت چگونگي اطلاعات را به شما نشان مي دهد و اينکه موفقيت آميز بودن و يا با خطا همراه بودن آنرا به شما نشان مي دهد. در آخرين گام در ارتباط با هر پيکربندي از شما جهت تاييد پرسيده خواهد شد که آيا مي خواهيد instance شما فعال شود.
اگر شما چندين نوع دامنه داشته باشيد و بخواهيد در تمامي دامنه ها از دستگاه موبايلتان استفاده کنيد تا توسط instance از مديريت MDM بهره بريد جهت اين کار دستور زير را وارد کنيد
<ADConfig.exe /enableinstance:<instance>/domain:<domain
که (instance) نام مورد نظر شما و (domain) نيز همان FQDN براي هر دامنه است حال دستور زير را اجراء کنيد ADConfig.exe/ enableinstance البته فقط وقتي اينرا انجام دهيد که پيکربندي اوليه انجام شده باشد.
سپس يک نمونه از certification policy ايجاد مي کنيم که اين توسط MDM انجام مي شود. اين امر به منزله گواهي نامهاي خواهد بود که در آن چه گزينه اي مي توانند مورد استفاده قرار گيرند به آن اشاره خواهد شد موارد جزئي در زمينه موارد امنيتي در مقوله گواهي نامه را مي توان با دستور زير ملاحظه نمود
ADConfig.exe/createtemplates:<instance نامي که شما به (instance) مي دهد را در اين گزينه وارد کنيد به ياد داشته باشيد که جهت اجرا مجدد از شما پرسيده خواهد شد و در حين انجام نيز روند اجراء به نمايش در خواهد آمد و پس از ايجاد نمونه براي گواهي نامه شما نياز به فعال کردن آنها داريد به طوري که CA شما بتواند دردسترس باشد.حال دستور زير را وارد کنيد
<ADConfig.exe/ enabletemplates:<instance
/a:<CA server FQDN>\<ca instancec>
که (instance) نامي است که به MDMinstance مورد نظرمي دهيد و منظور از FQDN Server همان FQDN اي از ميان caهاست که موضوع گواهي نامه است و ca instance نيز نام instance اي است که شما در نظر داريد. شما مي توانيد ca instance را از طريق دستور زير پيدا کنيد certutil.exe و مطابق همه دستورات از شما تاييد انجام اجراء گرفته خواهد شد. قدم بعدي براي مهيا نمودن نصب MDM اضافه نمودن دامنه اي به گروه هاي( SCMDAseturity Amins (instance) و SCMDMserverAdmins(instance) مي باشد در عبارت فوق instance نامي است که از MDM در مرحله قبلي از اين استفاده نموده ايم. حال يک حساب کاربري در اولين گروه مي توان اضافه نمود در همين جا توصيه مي کنيم تا از يک حساب کاربري استفاده نماييد اما اگر خواستيد بيش از يک حساب استفاده کنيد مي توانيد با اضافه نمودن يک حساب کاربري جديد در گروه هاي ديگر اين کار را انجام داد اداره اين حسابها توسط سرورهاي MDM صورت مي گيرد. اگر شما با يک حساب وارد شده ايد و حال مي خواهيد يک عضويت ديگري ايجاد کنيد نياز به خروج داريد تا عمليات شما نتيجه بخش باشد.
نصب سرور ثبت نام
دستگاه هاي موبايل بايد در سرور enrollment ثبت شوند به طوري که MDM توان مديريت بر آنها را داشته باشد براي انجام اين کار نياز داريم تا هر دو شبکه داخلي و شبکه خارجي دسترسي به دستگاه هاي موبايل را داشته باشند.
قبل از نصب سرور enrollment شما نياز به آگاهي از FQDN هاي داخلي و خارجي که توسط سرور شناسايي مي شوند، داريد. حال براي نصب سرور گزينه زير را از منوي setup انتخاب کنيد Enrollment Server اما سرور ثبت نام نيازمند به سيستم Microsoft lls و ابزارهاي مديريتي 6,0llsمي باشد، بدون در اختيار داشتن موارد فوق امکان نصب وجود ندارد.
مراحل نصب بر اساس wizard پيش مي رود پس از پذيرش توافقات، wizard از شما در خصوص MDM instance سوال مي کند تا سرور ثبت نام بر روي آن نصب شود يا خير، سپس از شما جهت تاييد فايلهاي سيستم و همچنين تعيين سرورهاي Enrollment server و SQL serverاي که مي خواهيد از آنها استفاده کنيد، سوال مي شود. اگر شما دوست داشته باشيد مي توانيد از instance موجود در SQL استفاده کنيد. شما نيازمند به يک سيستم مديريتي هستيد تا بر روي SQL Server instance پايگاه داده ها MDM را پيکربندي نموده. در اين موقعيت شما FQDN هاي سرور ثبت نام داخلي و خارجي را تعيين مي کنيد. FQDN سرور ثبت داخلي براي ثبت دستگاه هاي موبايل کاربرد دارد. FQDN سرور خارجي را براي اطمينان از ايجاد ارتباط از طريق اينترنت نياز داريد. Wizard در اين مرحله از شما در خصوص اختصاص پورت به مديريت سرور سوال مي کند تا با تعيين پورت امکان دسترسي به وب سايت ممکن شود. به ياد داشته باشيد شما از پورت 442 نمي توانيد استفاده کنيد زيرا سرور ثبت از اين پورت خودش استفاده مي کند. راه انداز به طور اتوماتيک و اتفاقي پورتي را به آن اختصاص مي دهد که مي توانيد از آن بهره گيريد مگر اينکه تداخلي پيش آيد يا اينکه توسط ساير دستگاه ها به کار گرفته شده باشد يا اينکه پورت براي استفاده امنيتي بکار رفته باشند.
اطمينان پيدا کنيد پورتي را که ثبت کرده ايد در صورتي که قصد نصب multiple Enrollment Server داريد مي تواند مجدداً مورد استفاده قرار گيرد. حال نياز به تعيين سرور CA داريم و همچنين instance name با تعيين اين موارد AD براي MDM فراهم است. موضوع CA بر مي گردد به گواهي نامه SSL براي MDM در جريان راه اندازي. اين CA مي تواند هر CAاي باشد که از قبل بکار رفته يا در سرور ثبت بکار گرفته شده است و در نهايت wizard پس از تعيين اطلاعات ضروري براي شما نمايش گذاشته خواهد شد انتخاب هايتان در نهايت با کليک مراحل نصب و تکميل مي شود.
نصب سرور مديريت تجهيزات
قبل از نصب سرور مديريت ابزار، شما نياز به نصب Windows Server Update Service (wsus) 3.0sp1 روي هر سرور داريد تا سرور شما تبديل به سرور مديريت ابزار گردد.
توجه داشته باشيد که Wsus 3.0 sp1 توسط MDM تشخيص داده نمي شود MDM از wsus براي گسترش بسته نرم افزاري دستگاه موبايل استفاده مي کند. اما wsus براي به روز آوري و نو کردن نرم افزار مديريتي در جريان کار مي تواند مورد استفاده قرار گيرد. براي تنظيم wsus جهت updateنرم افزار نياز به تنظيم آن وجود دارد و اين کار با Microsoft Report Viwer صورت مي گيرد. و در اين باره دقت کنيد هر بار فقط يک محصول بايد update شود. اگر چه خود wsus به report viewer 2005 يا ورژن بالاتري از آن نياز دارد. شما مي توانيد هر دوري wsus, report viwer را از مرکز دانلود مايکروسافت تهيه کنيد، براي اينکار بهتر است به اين آدرس رجوع کنيد:
www.microsoft.com/download/default.aspx
براي نصب مديريت ابزار گزينه mobile device managerment را از منوي setup انتخاب مي کنيم از شما در خصوص پذيرش توافقات و مجوزها پرسيده مي شود حال MDM instance اي را انتخاب کنيد که مي خواهيم device management server به آن و در نهايت محل نصب و همچنين قرار گيري پايگاه داده ها اضافه شود. توجه داشته باشيد اگر dms را روي سرور مشابه نصب کنيد همچون سرور ثبت، منوي راه انداز به طور اتوماتيک از محل قبلي براي نصب استفاده مي نمايد. و گزينه ها را به صورت خاکستري نمايش مي دهد. در اين مرحله wizard از FQDN مي پرسد و البته اين يک FQDNداخلي خواهد بود که براي DMS بکار مي رود. اگر قصد نصب MDMS را داريد FQDN را وارد کنيد براي از گزينه Load balancer استفاده کنيد و بدانيد که اعتبار موجود بودن FQDN در DNSتوسط set up تضمين مي شود.
در اين مرحله wizard پورتهاي اختصاص يافته به DM & AW را از شما مي پرسد. اگر اين اولين سرور شما باشد در پورتهاي انتخابي دقت کنيد تا اطمينان پيدا کنيد به ترتيب از پورت ها استفاده شده باشد. قدم بعدي سوال درباره CA است که مي تواند موضوع SSL باشد در مدت راه اندازي اگرتصميم به نصب DMS داشتيد بر روي سروري همانند Enrollment Server به ترتيب caها اشغال مي شوند و مطابق معمول در نهايت راه انداز گزينه هاي انتخابي را به ما نمايش مي دهد تا مورد تاييد نهايي قرار گيرد. در اينجا با کليک بر روي install مراحل نصب شروع مي شود.
منبع: بزرگراه رايانه، شماره ي 137 .
تازه های مقالات
ارسال نظر
در ارسال نظر شما خطایی رخ داده است
کاربر گرامی، ضمن تشکر از شما نظر شما با موفقیت ثبت گردید. و پس از تائید در فهرست نظرات نمایش داده می شود
نام :
ایمیل :
نظرات کاربران
{{Fullname}} {{Creationdate}}
{{Body}}