Blocco degli iPhone non sicuri dall'accesso ad ActiveSync

Naviga le tue risposte
6

Considerando che l'iPhone 3GS e l'iPhone 4 (e l'ultimo iPad) supportano tutti crittografia del dispositivo locale , come si fa a garantire che solo i dispositivi sicuri possano connettersi al proprio endpoint ActiveSync?

In altre parole, come si impedisce agli iPhone e agli iPad precedenti (che non supportano la crittografia locale) di accedere al server e di scaricare messaggi con allegati nella memoria non protetta?

    
posta random65537 01.12.2010 - 23:47
fonte

6 risposte

5

Exchange 2010 / Windows R2

Exchange 2010 include gran parte di questa funzionalità integrata e IIS in 2008R2 consente di filtrare su URL simili alla soluzione del 2003 di seguito.

  1. Accedi a OWA tramite questo URL speciale link ecp /
  2. Fai clic su "Telefono e voce"
  3. Crea una nuova "regola di accesso al dispositivo" e configurala in Quarantena o Consenti iPhone.
  4. Nota, non vi è alcuna differenza pratica tra DeviceModel e DeviceFamily.
  5. (Non ancora testato personalmente) In IISManager, apri Filtro richieste
  6. Scorri a destra per modificare le stringhe di query.
  7. Aggiungi il blocco appropriato, in base alla tabella degli URL in basso.

I drogati della linea di comando possono anche gestire i dispositivi e le politiche di default. Per quanto ne so, c'è una completa parcellita delle funzionalità tra l'ECP e la riga di comando: 

Get-ActiveSyncOrganizationSettings | fl UserMailInsert, AdminMailRecipients, DafaultAccessLevel
Set-ActiveSyncOrganizationSettings -UserMailInsert "Your phone has not been approved, contact IT at x443 to enable email access for this phone" -AdminMailRecipients [email protected]

Exchange 2003 / Windows 2003

Abbiamo installato Mod_Rewrite (una porta Apache in IIS) su ciascuno dei nostri server Exchange 2003 / Front End per controllare l'accesso.

Questo è il set di regole che stiamo pianificando di mettere in produzione e bloccherà l'accesso a questi server in base al campo User_Agent . Nota: questo set di regole è ancora in fase di test e potrebbe essere rivisto. Se hai commenti, per favore aggiungili. 

############## RULE 1 ############### 
# 
# Exclude Disallowed Devices 
# 

#Do match and prevent version 4.3.2  (Part 1)
# RewriteCond %{HTTP_USER_AGENT} Apple-iPhone2C1/801.8* [NC,OR] 
# RewriteCond %{HTTP_USER_AGENT} Apple-iPhone3C1/808.8* [NC,OR] 
# RewriteCond %{HTTP_USER_AGENT} Apple-iPad2C3/808.8* [NC,OR] 

#Do match and prevent version 4.3.2  (Part 2)
# RewriteCond %{HTTP_USER_AGENT} Apple-iPhone2C1/801.7* [NC,OR] 
# RewriteCond %{HTTP_USER_AGENT} Apple-iPhone3C1/808.7* [NC,OR] 
# RewriteCond %{HTTP_USER_AGENT} Apple-iPad2C1/808.7* [NC,OR] 
# RewriteCond %{HTTP_USER_AGENT} Apple-iPad1C1/808.7* [NC,OR] 

#Do match and prevent version 4.0  
RewriteCond %{HTTP_USER_AGENT} Apple-iPhone2C1/801.293.* [NC,OR] 
RewriteCond %{HTTP_USER_AGENT} Apple-iPhone3C1/801.293.* [NC,OR] 

#Do match and prevent version 3.13 ,  3.21 , 3.2 
RewriteCond %{HTTP_USER_AGENT} Apple-iPhone2C1/70.* [NC,OR] 
RewriteCond %{HTTP_USER_AGENT} Apple-iPhone3C1/70.* [NC,OR] 

#Do match and prevent iPad version 3.2 (7b367)
RewriteCond %{HTTP_USER_AGENT} Apple-iPad/702.* [NC,OR] 

#Do match and prevent iPad version 3.3X? 
RewriteCond %{HTTP_USER_AGENT} Apple-iPad1C1/702.500.* [NC] 
RewriteRule ^(.*)$ http://www.nfp.com?rule1 [R=301,L] 

############## RULE 2 ############### 
# 
#  Only Permit iPhones and iPads to connect.   
#  If they got this far, then they are not a banned / blacklisted device. 
# 

RewriteCond %{HTTP_USER_AGENT} .*iPhone.* [NC] 
# Do not alter the URL, and let it come through unmodified. 
RewriteRule ^.*$ - [NC,L] 

RewriteCond %{HTTP_USER_AGENT} .*iPad.* [NC] 
# Do not alter the URL, and let it come through unmodified. 
RewriteRule ^.*$ - [NC,L] 

############## RULE 3 ############### 
# 
# Block all other devices,  deny rule 
# 
RewriteRule ^(.*)$ http://www.nfp.com/?rule=3 [L,R=301] 

#Device Reference
#iPhone Simulator == i386
#iPhone == iPhone
#3G iPhone == iPhone1C2
#3GS iPhone == iPhone2C1
#4 iPhone == iPhone3C1
#1st Gen iPod == iPod1C1
#2nd Gen iPod == iPod2C1
#3rd Gen iPod == iPod3C1
#Apple-iPad1C1


# The 1st part of that string is always just "Apple-".
# The 2nd part of the string is DeviceType and is defined just
# like the URL above and is either "iPhone" or "iPad".
# The 3rd part of that string is just a delimiter "/".
# The 4th and final part of that string is the software version formatted in a way that Exchange Servers can digest it.

# Here's an example of creating that 4th part of the string using software build version for iPhone which is 7E18 aka iPhone OS 3.1.3.

# The first number from 7E18 (the 7) will become a "7" in the translated string.
# The first letter from 7E18 (the E) will become a "05" since it is the 5th letter of the English alphabet.
# Then you insert a "." (dot).
# The second number from 7E18 (the 18) will become "18".  It will be padded with zeros to be 3 digits
    
risposta data 01.12.2010 - 23:51
fonte
6

Ricorda che anche un dispositivo con crittografia locale potrebbe non avere il blocco del passcode e potrebbe essere eseguito il backup tramite iTunes su un volume non crittografato. Se quel volume è su un laptop, allora è altrettanto portatile e perdibile.

    
risposta data 02.12.2010 - 10:09
fonte
3

È possibile utilizzare l'autenticazione basata su certificato. Se non si fornisce un certificato, non è possibile autenticarsi. Ecco un link su di esso, ma potrebbe essere diverso a seconda della versione di Exchange.

Questo aggiunge un sovraccarico operativo se si desidera supportare i dispositivi mobili, è necessario fornire e installare i certificati. Ma ti permetterà di scegliere quali dispositivi possono e non possono connettersi.

link

Modifica: aggiunta di link all'impostazione di ActiveSync con certificati.

link

link

    
risposta data 02.12.2010 - 04:38
fonte
3

Potresti prendere in considerazione la valutazione del prodotto Good Technology ? Sembra che potrebbe risolvere i tuoi dubbi e persino consentire di supportare in modo sicuro una gamma più ampia di dispositivi. Sfortunatamente aggiungerebbe un ulteriore livello di software e aumenterebbe i costi.

    
risposta data 03.12.2010 - 05:59
fonte
3

Nella guida all'implementazione aziendale di iPhone , c'è una sezione su Exchange ActiveSync, che cita il messaggio "Richiedi Crittografia dispositivo "che dovrebbe impedire ai dispositivi iOS non crittografati di connettersi al servizio.

    
risposta data 06.12.2010 - 14:55
fonte
1

Codeproof MDM si integra con Exchange Server e fornisce varie regole per bloccare / consentire dispositivi con varie proprietà del dispositivo. Potresti voler controllare.

Divulgazione: lavoro per Codeproof.

--------- Altri dettagli aggiunti secondo la richiesta del membro ---------------

Codeproof è un servizio MDM basato su SaaS a basso costo, facile da usare. Recentemente abbiamo aggiunto una nuova funzionalità di sicurezza attiva di scambio chiamata "Codeproof SecureSync". Abbiamo sviluppato plugin di scambio che comunicano con il tuo account Codeproof e dove puoi impostare varie regole per consentire / bloccare dispositivi come blocchi di dispositivi jailbroken, dispositivi sbloccati .. etc. Alcune regole richiedono l'installazione dell'app Codeproof Agent sui tuoi dispositivi mobili.

Interfaccia utente della console di gestione:

    
risposta data 10.02.2013 - 05:31
fonte

Leggi altre domande sui tag

Quanta maggiore sicurezza ho davvero con una dimensione della chiave più lunga? È possibile decodificare una sessione SSL / TLS senza eseguire un attacco MITM?