امنيت موبايل با MDM 2008 SP1

نصب ابزار مديريت
 

قدم بعدي در بالا آمدن سيستم و نصب ابزار در mdm داشتن سيستم 64 يا 32 بيتي است که بر روي آن tools بتواند نصب شود و پيش نياز آن داشتن Group Policy Management Console (Power Shell 1.0 و GPMC) و ويندوز ورژن 1.0 است که ويندوز 7 با Power Shell ورژن 2 تر و تميزتر بنظر ميرسد. شما نميتوانيد همراه Power Shell2 نرم افزار Power Shell1 را هم داشته باشيد و اين به اين مفهوم است که نمي توانيد mdm administrator tools را بر روي سيستم 7 داشته باشيد. اگر شما Power Shell1يا GPMC را نداشتيد به مرکز دانلود مايکروسافت سر بزنيد.
شما MDMAT را بوسيله انتخاب آيتم MDM در منوي set up نصب کنيد. در اين خصوص سوالاتي از شما در مورد چگونگي نصب پرسيده مي شود از جمله گواهي نامه و سفارشي بودن نصب يا به صورت معمول بودن آن و پس از انتخاب خلاصه خواسته ها به نمايش در ميايد و با کليک بر روي کليد نصب عمليات آن انجام ميشود ابزارهاي نصب را مي توان در زير گروه نصب واقع در منوي برنامه ها جستجو نمود.

فراهم نمودن و نصب درگاه
 

در قدمهاي نزديک به آخر منتظر اجرا و بالا آمدن سرور درگاه هستيم. سرور درگاه اين اجازه را به شما ميدهد تا به منابع در دسترس دستگاه موبايلتان همچون سايتهاي به اشتراک گذار يا سرورهاي فايل دسترسي داشته باشيد، بدون نياز به اينکه هر کدام از آنها يا همگي در dmz منتشر شوند. سرور درگاه به
Microsoft Framework 2.0 sp 1
s 6 II و نياز دارد.
قبل از اينکه شما سرور درگاه را نصب کنيد نياز به تنظيم سرور qs داريد همراه با يک گواهي mdm قصد استفاده از ssI را دارد. کار را با ايجاد يک فايل notepad که Gateway Cert req.inf ناميده ميشود، شروع کنيد و سپس دستور زير را وارد کنيد.
(newrequest)
MMDMGatewayServerFQDN>="cn=Subject>"
Machinekeyest= true
Keyspec=1
MDMGateway ServerFQDN را با FQDN سرور داخلي جايگزين کنيد به خاطر داشته باشيد FQDN سرور داخلي باشد نه يک FQDN خارجي (اين چنين چيزي امکان پذير است به دليل تشابه آنها) حال دستور زير را
وارد کنيد.
Certrq-new gatewaycertreq.lnf
Gatewaycetreq.txt
فايل خروجي را (gatewaycertreq)به عضو سرور در دامنه کپي ميکنيم و دستور زير را وارد مي کنيم
Certreq-submit-attrib
"(cerificatemplate: scmdwebserver(instance")
Gatewaycetreq.txtgatewaycert.cer
نام مورد نظرتان را در بخش instance جايگزين کنيد، اگر بيش از يک ca داشته باشيد از شما جهت تعيين نوع ca سوال خواهد شد، آن بايد شبيه به ca اي باشد که فايل خروجي را کپي کرده بوديد.
به mdmserver gate وارد شده و دستور زير را وارد مي کنيم
certreq-accept gatewaycert.cer
سپس شما به نصب گواهي ca از شاخه نياز داريد. اگر شما از گواهي نامه سرويسها استفاده ميکنيد با مروري ساده به فهرست مجازي ca ها از دامنه و با کليک بر روي دانلود ca و گواهي نامه سپس لينک ctl اين فايل را ذخيره کنيد، که توسط پيش فرض فايل با نام certnew.cer ايجاد ميشود. G.S.certificate را درباره موضوع ca مرور کنيد يک فهرست مجازي ايجاد و certificate chain را داخل آن ذخيره مي کنيم. سپس اينرو روي سرور درگاهتان کپي کنيد اين فايل با پيش فرض certnew.p7b ذخيره ميشود.
گواهي نامه را توسط سرور بوسيله راه اندازي کنسول مديريت مايکروسافت mmc نصب کنيد و مطمئن شويد که گزينه computer account را انتخاب کرده ايد.
با بکارگيري snap-in گره Trusted Root Certification Authorities را بسط دهيد، روي گواهينامه ها کليک راست نماييد و همه وظايف را انتخاب نماييد سپس آنرا وارد نماييد.
در داخل wizard certificate import گزينه certnew.cer را انتخاب کنيد. اين مراحل را براي caهاي که از فايل ورودي certnew آماده شده، انجام دهيد. سپس به ايجاد يک فايل پيکربندي سرور درگاه نياز داريم که در آن از يک مقدار کمي از xml در هنگام نصب سرور درگاه استفاده ميشود. حال به يک ايستگاه کاري برويد که سرور مديريت ابزار بر روي آن نصب شده باشد. حال لايه مديريتي دستگاه موبايل را راه اندازي نماييد و آنرا به يک فهرست کاري موقت تبديل کنيد و دستور زير را وارد کنيد:
export-MDMgatewayconfig
يک فايل به نام Gateway Config.xml ايجاد شده آنرا به فهرست فعال سرور درگاه کپي کنيد، اکنون شما سرور درگاه را آماده نموده ايد، حال مي توانيد نصب سرور درگاه را آغاز نماييد براي اينکه گزينه مربوطه را از بخش نصب در پنجره مربوط به نصب انتخاب کنيد. بعد از پنجره مربوط به گواهينامه، شما آماده فعالسازي آدرس آي پي داخلي هستيد که سرور و همچنين درگاه TCP براي ايجاد ارتباط از سرور مديريت تجهيزات انتظارش را مي کشد. پيش فرض سيستم 443 است . حال شما مجبور به مرور و انتخاب فايل کپي شده Gateway Config.xml هستيد. سپس گواهينامه هاي CA و اعتبارنامه سرور درگاه را که پيش از اين وارد کرده ايد را انتخاب نماييد . در نهايت شما بايد انتخاب هاي خود را پيش از نصب نرم افزار تاييد نماييد.

پس از نصب وادار به اجراي add mdm gateway wizard خواهيد شد قبل از انجام آن نياز به برگشت به سيستمي خواهيد بود که MDM administrator بر روي آن نصب است، Mobile Device Manager Shell را اجرا نماييد و سپس دستور زير را صادر کنيد:
set-Enrollment config- gatewayuri<external fqdn
توضيح اينکه در دستور فوق external FDQN سرور درگاه است همانطور که دستگاه موبايل خارج از شبکه شما آنرا مي بينيد . وقتي که دستور تکميل شد اطلاعات تشکيل شده به شما نشان داده مي شود که توسط آن ميتوانيد راه اندازي MDM gateway را انجام دهيد و اين از طريق کنسول mdm انجام ميشود حال instance را توسعه خواهيم داد و انتخاب مديريت درگاه را انجام مي دهيم . در پنجره فعال ؛ گزينه زير را انتخاب مي کنيم add mdm gateway wizard.
اولين قدم در wizard، وارد کردن نام براي سرور درگاه است. توصيه من اينست تا از FDQN براي سرور درگاه استفاده کنيد تا از تداخل اجتناب شود. قدم بعدي تشکيل نقاط دسترسي است. اولين نقطه دسترسي ip آدرس است که دستگاههاي موبايل از آن براي برقراري يک ارتباط vpn از طريق سرويس درگاه استفاده مي کنند. اين آدرس يک آدرس معمولي است. مورد ديگر نقطه اي است از FQDN داخلي براي سرور درگاه ، که سرور درگاه از آن براي وصل شدن به پورت SSL با پيش فرض 443 استفاده ميکند.
سپس شما آدرسي را از ميان آدرسها تعيين کنيد که IP آدرسشان از طريق VPN به دستگاه هاي موبايلي اختصاص يافته باشد شما مي توانيد يک يا بيشتر از يک آدرس را اضافه کنيد همچنانکه شکل1 نشان مي دهد مي توانند تا 65535 آدرس داشته باشند. توجه داشته باشيد که اين IP آدرس ها بايد شامل IP آدرسهاي داخلي سرور درگاه باشند. به اين معني که چه در شبکه يا زير شبکه بايد کامل باشند و نه اشتراک و همپوشاني داشته باشند و نه تداخل داشته باشند اگر نياز است مي توانيد يک درگاه پيش فرض براي client داشته باشيد که به منابع داخلي دسترسي داشته باشد و اگر ضروري به نظر ميرسد مشابه آدرس زير شبکه موجود نباشد. پس از تشکيل مرجع آدرس از شما درباره آي پي آدرسهايdns,wins پرسيده مي شود شما بايد حداقل يک سرور dns تعيين کنيد ip آدرسهاي شما بايد براي سرورهاي dns باشد و يا قابل دسترس توسط dmz باشد. شما همچنين اطلاعات مسيرهايي را که دستگاههاي موبايل از طريق vpn به شبکه داخلي شما نياز خواهند داشت را وارد کنيد، شامل سرور مديريت ابزار. وقتي که شما در wizard همه اطلاعات ضروري را وارد کرديد بر روي کليد اضافه نمودن کليک کنيد، اگر ضروري باشد ميتوان بيش از يک درگاه اضافه نمودن در غير اين صورت گزينه پايان را بزنيد تا wizard پايان پذيرد. براي بررسي اينکه سرور درگاه به درستي آرايش و پيکربندي شده است، MDM Console را اجرا نماييد و از قسمت پايين MDM instance خود Gateway Server را انتخاب نماييد. همچنانکه شکل 2 نشان ميدهد بايد configuration service estate اجرا و sync state در وضعيت up date باشد اگر سرويس اجراء نشده يا در وضعيت خطا بود گزينه MDM log در منوي windows event viewer چک شود ممکن است بر حسب اتفاق نتوانيد به سرور درگاه در DMZ دسترسي داشته باشيد، دليل آن هم بعلت firewall ميباشد زيرا ممکن است به علت تداخلي باشد که بين آدرسها و پيکربندي بوجود آمده باشد.

پيکربندي سرور آياساي، تيامجي، و فايروال
 

بيشترين ارتباط بين سرورهاي MDM و دستگاههاي موبايل بر اساس استفاده از ارتباط بر پايه SSL ميباشد، اگرچه چندين نوع پروتکل نيز استفاده ميشود. بسته به چگونگي گستردگي MDM شما نياز به سرور isa يا TMG خواهيد داشت.
براي شروع شما نياز داريد تا از ارتباط بين سرور مديريت تجهيزات و سرور درگاه اطمينان حاصل نماييد. پورت پيش فرض سيستم TCP/443 است مگر اينکه شما پورت ديگري را در زمان نصب سرور درگاه تعيين کنيد.
دستگاههاي موبايل نياز دارند تا از طريق پورت TCP/443
با سرور ثبت نام در ارتباط باشند و شما نياز داريد به گسترش سرور ثبت نام به طوريکه از طريق اينترنت ديده شويد. دستگاه هاي موبايل همچنين نياز دارند تا بتوانند با DMS در ارتباط باشند و اين از طريق iPsec VPN صورت مي گيرد و از پورت TCP/8443 استفاده مي شود مگر اينکه شما پورت ديگري در نظر داشته باشيد. با سرور درگاه شما مي توانيد IPsec tunnel که در پروتکل هاي UDP/50.500 و UDP/4500استفاده دارند را تهيه نمود. شما همچنين نياز داريد تا دسترسي به DNS داشته باشيد و سرورها را تعريف کنيد همانند سرورهاي ايميل. آنها معمولا از پورتها جهت دسترسي به VPN اسنفاده مي نمايند. براي مشتريهاي انتهايي در DMZ از آدرسهاي اختصاص يافته در منبع آدرسها استفاده شده و بر روي سرور درگاه پيکربندي ميشود.

ثبت نام کردن تجهيزات
 

با MDMاي که به طور موفقيت آميز نصب شده مي توانيد ثبت دستگاه هاي موبايل را شروع کنيد، اين کار با ايجاد درخواست ثبت شروع مي شود. در يک مقياس محدود و در يک سازمان کوچک بررسي اين درخواست ها به صورت دستي نيز قابل انجام است اما در مقياس بزرگتر و در سازمان هاي وسيع تر اين توسط Self ServicePortal انجام ميشود که در آن کاربرها ميتوانند به ثبت دستگاه هاي خود بپردازند. براي اطلاع از چگونگي نصب SSP ميتوانيد به مقاله مايکروسافت در اين خصوص مراجعه کنيد با عنوان Install MDM Self Servics Portal که آدرس اينترنتي زير به آن اختصاص دارد technet.microsoft.com/library/dd261730.aspxبراي ثبت يک دستگاه موبايل از طريق دستي با راه اندازي کنسول MDM و بسط MDMinstance قصد داريم مديريتمان را توسعه دهيم پس گزينه زير را انتخاب ميکنيم All ManageDevice حال در پنجره فعال بر روي گزينه Create pre-enrollment کليک کنيد. سپس pre-enrollment wizard را اجرا نماييد. پس از آن بايد يک نام تعيين نمود که اين نام نبايد بيش از 15 کاراکتر باشد، بنابراين نامي براي دستگاه موبايل انتخاب ميکنيم که بايد غير مشابه باشد. براي محيطهاي بزرگتر نياز به تنظيم OU ميباشد. موارد امنيتي گوناگوني در اين رابطه وجود دارد که ممکن است شما OU جديدي ساخته و چيزهاي متفاوتي در آن قرار دهيد. اگر شما قصد داريد که از ساير OU ها استفاده کنيد بايد دستور زير را اجرا و به تفکيک کاربردش را تعيين کنيد power shell cmdlet set enrollment.
حال وارد تعيين ابزارها ميشويم و در اينجا سه گزينه داريم:
ADU(active directory user)
UI(other user identifier)
AU(Anonymous user)
اگر انتخاب شما فهرست فعال باشد شما ميتوانيد ازGP(grop policy)براي مديريت دستگاههاي موبايل استفاده کنيد و همچنين ميتوانيد به کاربرهاي ثبت نامي ايميل مي فرستيد و آنهايي را که آماده دريافت ايميل هستند و در setup تنظيم شده اند. من توصيه ميکنم از ساير گزينه ها که اصلا مفيد نيستند اجتناب کنيد، اگر بخواهيم مثالي درباره زماني که شما ممکن است از اين گزينه ها استفاده کنيد، ارائه دهيم آن است که چند نفر تجهيزات موبايلشان را به اشتراک بگذارند. هنگامي که شما AD USERS را اضافه مينماييد، در واقع آنها را از يک ليست و بوسيله کليد browse در Wizard انتخاب نموده ايد، و يا شما ميتوانيد نامهايي را که تشخيص (DN: Distinguished Name)داده ايد بطور دستي وارد نماييد.
سپس شما به تاييد انتخاب هايتان نياز داريد. شما يک پيش ثبت نام ايجاد کرده ايد و وقتي کامل شد wizard با اطلاعاتي که متعلق به صاحبان دستگاهها است ثبت نام را تکميل ميکند، همانطور که در شکل 3 نشان داده شده است. صاحب دستگاه فقط نياز به نام کاربر/آدرس ايميل /رمز عبور دارد. يک پيش ثبت نام فقط براي 8 ساعت معتبر است.
براي استفاده از پيش ثبت نام مالکيت دستگاه وارد منوي تنظيم دستگاه شويد، ارتباطات (Connections) را انتخاب نماييد، سپس domain enroll را انتخاب کنيد تا Domain Enrollment اجرا گردد. پس از راه اندازي مالک دستگاه گزينه هاي ثبت نام را انتخاب ميکند و اگر دستگاه موبايل به طور اتوماتيک نتواند سرور ثبت را پيدا کند ميتوان آنرا به صورت دستي وارد نمود. FQDN و تماسهاي تلفني سرور ثبت نام و همچنين ساير اطلاعات ضروري کاربر را وادار به اتصال به Devic Manager Server مينمايند تا تمام نمودن ثبت نام تحقق پذيرد. پس از ثبت نام نياز است تا دستگاه مجدد بارگذاري شود، وقتي که عمليات ثبت نام و پيکربندي انجام پذيرفت دستور ثبت نام بر روي دستگاه ناپديد ميشود و اطلاعات ثبت نام ظاهر ميگردد، همانطور که در تصوير 4 نمايش داده شده است. ثبت دستگاه موبايل از طريق کنسول هم ميتواند صورت گيرد، مطابق آنچه در تصوير 5 نمايش داده شده است.
تجهيزات پيکربندي و ثبت نام شده ارتباطات VPN را به سرور درگاه، و سپس روي سرور مديريت تجهيزات پايه ريزي مينمايند، اين کار به همان صورتي که روي شبکه يکپارچه شما شکل ميگيرد، انجام خواهد پذيرفت. حفظ يک ارتباط ثابت VPN ميتواند منجر به تخليه باتريهاي تجهيزات موبايلتان گردد. بنابراين ممکن است بخواهيد به کاربران خود توصيه کنيد تا ارتباط VPN شان را هنگامي که از آن استفاده نميکنند، قطع نمايند.
اما شما نياز داريد تا آرايش و پيکربندي گزينه اي از Group Policy را تغيير دهيد تا به کاربران اجازه قطع ارتباط با VPN داده شود.
براي اين کار از دستور Update DeviceDetail در کنسول MDM جهت به روز کردن اطلاعات دستگاه در هر لحظه استفاده ميشود. از طريق کنسول MDM شما ميتوانيد دستگاهي را که گم کرده ايد يا دزديده شده را پاک کنيد و يا اينکه آنرا از ارتباط با شبکه مشترکين از طريق درگاه سرور مسدود نماييد.

مديريت نمودن GPO تجهيزات موبايل
 

دستگاه هاي موبايل را ميتوان از طريق GPO توسط برنامه اي که بر روي لپ تاپ قرار گرفته مديريت نمود. اگرچه نياز هست تا برنامه مورد نظر بارگذاري شده تا بتوان ازآن استفاده کرد، مثلا برنامه مديريت تنظيم موبايل GPMC از طريق AT را بر روي دستگاه نصب ميکنيم در محلي که ADMAT وجود دارد. سپس راست کليک نموده و گزينه جديد را انتخاب مينمائيم. حال به GPO نام اختصاص ميدهيم، سپس GPO موارد امنيتي را روي Computer Computer بکار مي برد. با کليک راست در AT و انتخاب گزينه add/remove temlpated صفحه گفتگو ظاهر شده و ما گزينه اضافه کردن را انتخاب ميکنيم، حال ليست پوشه ها را پايين کشيده و نمونه ها ظاهر ميشوند تا اينکه بتوانيم يکي را که mobile.adm باشد را انتخاب و روي آن دوبار کليک ميکنيم.
پس از بارگذاري MDP شما ميبينيد در GPME موارد امنيتي جديدي اضافه شده است. شما در زير هر دو مورد CC(ComputerConfiguration)و UC(User Confguration) منوي تنظيم موبايل را خواهيد داشت. زير گزينه ad سيستم ويستا فعال است. Device Protocol به شما اجازه کنترل مواردي از قبيل رمز عبور، اجراي برنامه هاي کاربردي، استفاده از دوربين و بلوتوث، ارتباطات vpn، تنظيم EAS و استفاده از mimi را مي دهد. به منظور بکارگيري يک خط مشي (Policy) براي تجهيزات موبايل، کافي است اين GPO را به يک OU لينک نمود که اين OU شامل مواردي است که تجهيزات موبايل را نشان مي دهند.
توجه داشته باشيد که ابزارهاي مدل سازي Group Policy به خوبي با تنظيم دستگاه موبايل کار نميکنند، اما شما ميتوانيد از WMGPRW (WMGPRW: Windows Mobile Group Policy Results Wizard)بجاي آن استفاده نماييد تا گزارشي از انواع تنظيماتي که براي تجهيزات موبايل يک کاربر انجام گرفته است، ارائه دهد. اين wizard از منوي GPMC بر روي سيستم در دسترس است.

توزيع نرم افزار براي تجهيزات موبايل
 

شما ميتوانيد بسته هاي نرم افزاري دستگاه هاي موبايل را با راه اندازي کنسول MDM SoftwareDistribution Consol که دسترسي به آن از منوي MDM Adminstrator مقدور است، ايجاد و همچنين توزيع کنيد. قبل از اجرا يا ايجاد هر بسته نرم افزاري شما نياز به اجراي WSUS بر روي DMS داريد. سپس شما CPW را توسط کنسول اجرا نماييد. در wizard محل دقيق فايل. cab را که شامل نرم افزاري براي توسعه است، را تعيين کنيد. شما ميتوانيد نرم افزار را به دستگاه هاي موبايل محدود کنيد تا فقط توزيع آنها از طريق MDM صورت گيرد. ساير اطلاعاتي که در خصوص ايجاد و توزيع نرم افزار مورد نياز هست عبارتند از ابزارها، ورژن سيستمهاي عامل موبايل و زباني که بسته براي آن طراحي شده است. پس از تهيه و توزيع بسته ميتوان اثر آنرا بوسيله اجراي گزارشگيري مشاهده نمود.

پيچيده، در عين حال ساده و روان
 

با اين توضيحات شما بايد تمايل خوبي براي بکارگيري MDM2008 SP1 در خود سراغ داشته باشيد. دليل اين امر توانايي هاي خوب آن در مديريت دستگاه هاي موبايل مي باشد. بنابراين دليل قابل قبولي در بدست آوردن اين محصول پيچيده و اجراي آن داريم. MDM پيشنهاد برنامه عالي براي مديريت موارد امنيتي دستگاه هاي موبايل ارايه ميدهد. اگرچه ميتوان آنرا در سازمان هايي بکار برد که تعداد پرسنل اندکي داشته باشند اما دستگاه هاي موبايلشان حاوي اطلاعات مهمي باشد.
منبع: بزرگراه رايانه - شماره 138.