امنيت موبايل با MDM 2008 SP1
نصب ابزار مديريت
شما MDMAT را بوسيله انتخاب آيتم MDM در منوي set up نصب کنيد. در اين خصوص سوالاتي از شما در مورد چگونگي نصب پرسيده مي شود از جمله گواهي نامه و سفارشي بودن نصب يا به صورت معمول بودن آن و پس از انتخاب خلاصه خواسته ها به نمايش در ميايد و با کليک بر روي کليد نصب عمليات آن انجام ميشود ابزارهاي نصب را مي توان در زير گروه نصب واقع در منوي برنامه ها جستجو نمود.
فراهم نمودن و نصب درگاه
Microsoft Framework 2.0 sp 1
s 6 II و نياز دارد.
قبل از اينکه شما سرور درگاه را نصب کنيد نياز به تنظيم سرور qs داريد همراه با يک گواهي mdm قصد استفاده از ssI را دارد. کار را با ايجاد يک فايل notepad که Gateway Cert req.inf ناميده ميشود، شروع کنيد و سپس دستور زير را وارد کنيد.
(newrequest)
MMDMGatewayServerFQDN>="cn=Subject>"
Machinekeyest= true
Keyspec=1
MDMGateway ServerFQDN را با FQDN سرور داخلي جايگزين کنيد به خاطر داشته باشيد FQDN سرور داخلي باشد نه يک FQDN خارجي (اين چنين چيزي امکان پذير است به دليل تشابه آنها) حال دستور زير را
وارد کنيد.
Certrq-new gatewaycertreq.lnf
Gatewaycetreq.txt
فايل خروجي را (gatewaycertreq)به عضو سرور در دامنه کپي ميکنيم و دستور زير را وارد مي کنيم
Certreq-submit-attrib
"(cerificatemplate: scmdwebserver(instance")
Gatewaycetreq.txtgatewaycert.cer
نام مورد نظرتان را در بخش instance جايگزين کنيد، اگر بيش از يک ca داشته باشيد از شما جهت تعيين نوع ca سوال خواهد شد، آن بايد شبيه به ca اي باشد که فايل خروجي را کپي کرده بوديد.
به mdmserver gate وارد شده و دستور زير را وارد مي کنيم
certreq-accept gatewaycert.cer
سپس شما به نصب گواهي ca از شاخه نياز داريد. اگر شما از گواهي نامه سرويسها استفاده ميکنيد با مروري ساده به فهرست مجازي ca ها از دامنه و با کليک بر روي دانلود ca و گواهي نامه سپس لينک ctl اين فايل را ذخيره کنيد، که توسط پيش فرض فايل با نام certnew.cer ايجاد ميشود. G.S.certificate را درباره موضوع ca مرور کنيد يک فهرست مجازي ايجاد و certificate chain را داخل آن ذخيره مي کنيم. سپس اينرو روي سرور درگاهتان کپي کنيد اين فايل با پيش فرض certnew.p7b ذخيره ميشود.
گواهي نامه را توسط سرور بوسيله راه اندازي کنسول مديريت مايکروسافت mmc نصب کنيد و مطمئن شويد که گزينه computer account را انتخاب کرده ايد.
با بکارگيري snap-in گره Trusted Root Certification Authorities را بسط دهيد، روي گواهينامه ها کليک راست نماييد و همه وظايف را انتخاب نماييد سپس آنرا وارد نماييد.
در داخل wizard certificate import گزينه certnew.cer را انتخاب کنيد. اين مراحل را براي caهاي که از فايل ورودي certnew آماده شده، انجام دهيد. سپس به ايجاد يک فايل پيکربندي سرور درگاه نياز داريم که در آن از يک مقدار کمي از xml در هنگام نصب سرور درگاه استفاده ميشود. حال به يک ايستگاه کاري برويد که سرور مديريت ابزار بر روي آن نصب شده باشد. حال لايه مديريتي دستگاه موبايل را راه اندازي نماييد و آنرا به يک فهرست کاري موقت تبديل کنيد و دستور زير را وارد کنيد:
export-MDMgatewayconfig
يک فايل به نام Gateway Config.xml ايجاد شده آنرا به فهرست فعال سرور درگاه کپي کنيد، اکنون شما سرور درگاه را آماده نموده ايد، حال مي توانيد نصب سرور درگاه را آغاز نماييد براي اينکه گزينه مربوطه را از بخش نصب در پنجره مربوط به نصب انتخاب کنيد. بعد از پنجره مربوط به گواهينامه، شما آماده فعالسازي آدرس آي پي داخلي هستيد که سرور و همچنين درگاه TCP براي ايجاد ارتباط از سرور مديريت تجهيزات انتظارش را مي کشد. پيش فرض سيستم 443 است . حال شما مجبور به مرور و انتخاب فايل کپي شده Gateway Config.xml هستيد. سپس گواهينامه هاي CA و اعتبارنامه سرور درگاه را که پيش از اين وارد کرده ايد را انتخاب نماييد . در نهايت شما بايد انتخاب هاي خود را پيش از نصب نرم افزار تاييد نماييد.
پس از نصب وادار به اجراي add mdm gateway wizard خواهيد شد قبل از انجام آن نياز به برگشت به سيستمي خواهيد بود که MDM administrator بر روي آن نصب است، Mobile Device Manager Shell را اجرا نماييد و سپس دستور زير را صادر کنيد:
set-Enrollment config- gatewayuri<external fqdn
توضيح اينکه در دستور فوق external FDQN سرور درگاه است همانطور که دستگاه موبايل خارج از شبکه شما آنرا مي بينيد . وقتي که دستور تکميل شد اطلاعات تشکيل شده به شما نشان داده مي شود که توسط آن ميتوانيد راه اندازي MDM gateway را انجام دهيد و اين از طريق کنسول mdm انجام ميشود حال instance را توسعه خواهيم داد و انتخاب مديريت درگاه را انجام مي دهيم . در پنجره فعال ؛ گزينه زير را انتخاب مي کنيم add mdm gateway wizard.
اولين قدم در wizard، وارد کردن نام براي سرور درگاه است. توصيه من اينست تا از FDQN براي سرور درگاه استفاده کنيد تا از تداخل اجتناب شود. قدم بعدي تشکيل نقاط دسترسي است. اولين نقطه دسترسي ip آدرس است که دستگاههاي موبايل از آن براي برقراري يک ارتباط vpn از طريق سرويس درگاه استفاده مي کنند. اين آدرس يک آدرس معمولي است. مورد ديگر نقطه اي است از FQDN داخلي براي سرور درگاه ، که سرور درگاه از آن براي وصل شدن به پورت SSL با پيش فرض 443 استفاده ميکند.
سپس شما آدرسي را از ميان آدرسها تعيين کنيد که IP آدرسشان از طريق VPN به دستگاه هاي موبايلي اختصاص يافته باشد شما مي توانيد يک يا بيشتر از يک آدرس را اضافه کنيد همچنانکه شکل1 نشان مي دهد مي توانند تا 65535 آدرس داشته باشند. توجه داشته باشيد که اين IP آدرس ها بايد شامل IP آدرسهاي داخلي سرور درگاه باشند. به اين معني که چه در شبکه يا زير شبکه بايد کامل باشند و نه اشتراک و همپوشاني داشته باشند و نه تداخل داشته باشند اگر نياز است مي توانيد يک درگاه پيش فرض براي client داشته باشيد که به منابع داخلي دسترسي داشته باشد و اگر ضروري به نظر ميرسد مشابه آدرس زير شبکه موجود نباشد. پس از تشکيل مرجع آدرس از شما درباره آي پي آدرسهايdns,wins پرسيده مي شود شما بايد حداقل يک سرور dns تعيين کنيد ip آدرسهاي شما بايد براي سرورهاي dns باشد و يا قابل دسترس توسط dmz باشد. شما همچنين اطلاعات مسيرهايي را که دستگاههاي موبايل از طريق vpn به شبکه داخلي شما نياز خواهند داشت را وارد کنيد، شامل سرور مديريت ابزار. وقتي که شما در wizard همه اطلاعات ضروري را وارد کرديد بر روي کليد اضافه نمودن کليک کنيد، اگر ضروري باشد ميتوان بيش از يک درگاه اضافه نمودن در غير اين صورت گزينه پايان را بزنيد تا wizard پايان پذيرد. براي بررسي اينکه سرور درگاه به درستي آرايش و پيکربندي شده است، MDM Console را اجرا نماييد و از قسمت پايين MDM instance خود Gateway Server را انتخاب نماييد. همچنانکه شکل 2 نشان ميدهد بايد configuration service estate اجرا و sync state در وضعيت up date باشد اگر سرويس اجراء نشده يا در وضعيت خطا بود گزينه MDM log در منوي windows event viewer چک شود ممکن است بر حسب اتفاق نتوانيد به سرور درگاه در DMZ دسترسي داشته باشيد، دليل آن هم بعلت firewall ميباشد زيرا ممکن است به علت تداخلي باشد که بين آدرسها و پيکربندي بوجود آمده باشد.
پيکربندي سرور آياساي، تيامجي، و فايروال
براي شروع شما نياز داريد تا از ارتباط بين سرور مديريت تجهيزات و سرور درگاه اطمينان حاصل نماييد. پورت پيش فرض سيستم TCP/443 است مگر اينکه شما پورت ديگري را در زمان نصب سرور درگاه تعيين کنيد.
دستگاههاي موبايل نياز دارند تا از طريق پورت TCP/443
با سرور ثبت نام در ارتباط باشند و شما نياز داريد به گسترش سرور ثبت نام به طوريکه از طريق اينترنت ديده شويد. دستگاه هاي موبايل همچنين نياز دارند تا بتوانند با DMS در ارتباط باشند و اين از طريق iPsec VPN صورت مي گيرد و از پورت TCP/8443 استفاده مي شود مگر اينکه شما پورت ديگري در نظر داشته باشيد. با سرور درگاه شما مي توانيد IPsec tunnel که در پروتکل هاي UDP/50.500 و UDP/4500استفاده دارند را تهيه نمود. شما همچنين نياز داريد تا دسترسي به DNS داشته باشيد و سرورها را تعريف کنيد همانند سرورهاي ايميل. آنها معمولا از پورتها جهت دسترسي به VPN اسنفاده مي نمايند. براي مشتريهاي انتهايي در DMZ از آدرسهاي اختصاص يافته در منبع آدرسها استفاده شده و بر روي سرور درگاه پيکربندي ميشود.
ثبت نام کردن تجهيزات
حال وارد تعيين ابزارها ميشويم و در اينجا سه گزينه داريم:
ADU(active directory user)
UI(other user identifier)
AU(Anonymous user)
اگر انتخاب شما فهرست فعال باشد شما ميتوانيد ازGP(grop policy)براي مديريت دستگاههاي موبايل استفاده کنيد و همچنين ميتوانيد به کاربرهاي ثبت نامي ايميل مي فرستيد و آنهايي را که آماده دريافت ايميل هستند و در setup تنظيم شده اند. من توصيه ميکنم از ساير گزينه ها که اصلا مفيد نيستند اجتناب کنيد، اگر بخواهيم مثالي درباره زماني که شما ممکن است از اين گزينه ها استفاده کنيد، ارائه دهيم آن است که چند نفر تجهيزات موبايلشان را به اشتراک بگذارند. هنگامي که شما AD USERS را اضافه مينماييد، در واقع آنها را از يک ليست و بوسيله کليد browse در Wizard انتخاب نموده ايد، و يا شما ميتوانيد نامهايي را که تشخيص (DN: Distinguished Name)داده ايد بطور دستي وارد نماييد.
سپس شما به تاييد انتخاب هايتان نياز داريد. شما يک پيش ثبت نام ايجاد کرده ايد و وقتي کامل شد wizard با اطلاعاتي که متعلق به صاحبان دستگاهها است ثبت نام را تکميل ميکند، همانطور که در شکل 3 نشان داده شده است. صاحب دستگاه فقط نياز به نام کاربر/آدرس ايميل /رمز عبور دارد. يک پيش ثبت نام فقط براي 8 ساعت معتبر است.
براي استفاده از پيش ثبت نام مالکيت دستگاه وارد منوي تنظيم دستگاه شويد، ارتباطات (Connections) را انتخاب نماييد، سپس domain enroll را انتخاب کنيد تا Domain Enrollment اجرا گردد. پس از راه اندازي مالک دستگاه گزينه هاي ثبت نام را انتخاب ميکند و اگر دستگاه موبايل به طور اتوماتيک نتواند سرور ثبت را پيدا کند ميتوان آنرا به صورت دستي وارد نمود. FQDN و تماسهاي تلفني سرور ثبت نام و همچنين ساير اطلاعات ضروري کاربر را وادار به اتصال به Devic Manager Server مينمايند تا تمام نمودن ثبت نام تحقق پذيرد. پس از ثبت نام نياز است تا دستگاه مجدد بارگذاري شود، وقتي که عمليات ثبت نام و پيکربندي انجام پذيرفت دستور ثبت نام بر روي دستگاه ناپديد ميشود و اطلاعات ثبت نام ظاهر ميگردد، همانطور که در تصوير 4 نمايش داده شده است. ثبت دستگاه موبايل از طريق کنسول هم ميتواند صورت گيرد، مطابق آنچه در تصوير 5 نمايش داده شده است.
تجهيزات پيکربندي و ثبت نام شده ارتباطات VPN را به سرور درگاه، و سپس روي سرور مديريت تجهيزات پايه ريزي مينمايند، اين کار به همان صورتي که روي شبکه يکپارچه شما شکل ميگيرد، انجام خواهد پذيرفت. حفظ يک ارتباط ثابت VPN ميتواند منجر به تخليه باتريهاي تجهيزات موبايلتان گردد. بنابراين ممکن است بخواهيد به کاربران خود توصيه کنيد تا ارتباط VPN شان را هنگامي که از آن استفاده نميکنند، قطع نمايند.
اما شما نياز داريد تا آرايش و پيکربندي گزينه اي از Group Policy را تغيير دهيد تا به کاربران اجازه قطع ارتباط با VPN داده شود.
براي اين کار از دستور Update DeviceDetail در کنسول MDM جهت به روز کردن اطلاعات دستگاه در هر لحظه استفاده ميشود. از طريق کنسول MDM شما ميتوانيد دستگاهي را که گم کرده ايد يا دزديده شده را پاک کنيد و يا اينکه آنرا از ارتباط با شبکه مشترکين از طريق درگاه سرور مسدود نماييد.
مديريت نمودن GPO تجهيزات موبايل
پس از بارگذاري MDP شما ميبينيد در GPME موارد امنيتي جديدي اضافه شده است. شما در زير هر دو مورد CC(ComputerConfiguration)و UC(User Confguration) منوي تنظيم موبايل را خواهيد داشت. زير گزينه ad سيستم ويستا فعال است. Device Protocol به شما اجازه کنترل مواردي از قبيل رمز عبور، اجراي برنامه هاي کاربردي، استفاده از دوربين و بلوتوث، ارتباطات vpn، تنظيم EAS و استفاده از mimi را مي دهد. به منظور بکارگيري يک خط مشي (Policy) براي تجهيزات موبايل، کافي است اين GPO را به يک OU لينک نمود که اين OU شامل مواردي است که تجهيزات موبايل را نشان مي دهند.
توجه داشته باشيد که ابزارهاي مدل سازي Group Policy به خوبي با تنظيم دستگاه موبايل کار نميکنند، اما شما ميتوانيد از WMGPRW (WMGPRW: Windows Mobile Group Policy Results Wizard)بجاي آن استفاده نماييد تا گزارشي از انواع تنظيماتي که براي تجهيزات موبايل يک کاربر انجام گرفته است، ارائه دهد. اين wizard از منوي GPMC بر روي سيستم در دسترس است.
توزيع نرم افزار براي تجهيزات موبايل
پيچيده، در عين حال ساده و روان
منبع: بزرگراه رايانه - شماره 138.