Обеспечение безопасности мобильных устройств с помощью MDM 2008 SP1

В том, что мобильные устройства используются в сфере бизнеса, нет ничего нового, однако характер их применения и возможности, реализованные в этих устройствах, за последние годы претерпели существенные изменения. Сегодня пользователь такого аппарата может просматривать ресурсы Интернета, отправлять и получать сообщения электронной почты, а также запускать бесчисленное количество приложений, от системы управления отношениями с клиентами CRM и текстовых редакторов до клиентов социальных сетей, и все это не прерывая разговора по телефону. Благодаря возросшей вычислительной мощности, оперативной и массовой памяти эти устройства становятся прекрасными помощниками в бизнесе, и вполне вероятно, что ваши пользователи хранят на них корпоративные документы, списки заказчиков, а также конфиденциальные данные о ценах. В случае утери мобильного устройства вашей компании, возможно, придется рассылать заказчикам и партнерам извещения о нарушении правил безопасности, а может быть, подвергнуться штрафам и другим санкциям.

Впрочем, утрата мобильного устройства — не единственная опасность, подстерегающая компанию. Уволенные сотрудники могут «захватить с собой» интеллектуальную собственность организации, и вполне возможно, что произойдет попадание данных на сайты социальных сетей или утечка в процессе просмотра ресурсов Web либо обмена сообщениями по электронной почте. В прошлом руководство компании могло отреагировать на это запретом на использование мобильных устройств, но вследствие их популярности организации изыскивают возможности интеграции этих устройств в работу предприятия и применения к ним корпоративных политик.

Сегодня уже имеются решения, с помощью которых можно интегрировать мобильные устройства в корпоративные сети и применять к ним политики. В предлагаемой статье я расскажу о диспетчере Microsoft System Center Mobile Device Manager (MDM) 2008 SP1, уделяя основное внимание его установке и настройке.

MDM или Exchange 2010

MDM — не единственное решение Microsoft, обеспечивающее поддержку мобильных устройств. Организации, эксплуатирующие систему Microsoft Exchange Server 2010, могут использовать Exchange для управления мобильными устройствами; при этом последние могут отправлять и получать сообщения электронной почты через инфраструктуру Exchange с помощью технологии Exchange ActiveSync (EAS). Кроме того, EAS можно задействовать для применения базовых политик к мобильным устройствам.

Базовые политики для мобильных устройств можно применять для принудительной реализации политик паролей — например, политики, предусматривающей обязательное использование сложных паролей. Кроме того, их можно применять для исключения нежелательных действий владельцев устройств, включая запрет на применение съемных носителей, таких как карты памяти; запрет на использование фотоаппаратов и средств Wi-Fi; ограничение доступных возможностей Bluetooth и контроль выполнения на мобильных устройствах определенных приложений, включая браузеры и системы обработки электронной почты, не относящиеся к семейству Exchange. Общая настройка EAS дает возможность активировать и деактивировать неверно настроенные устройства, то есть устройства, на которых невозможно принудительно реализовывать политики, поступающие от Exchange.

В Exchange 2010 базовые политики привязываются не к устройствам, а к почтовым ящикам; эта система не обеспечивает подлинного сквозного управления средствами безопасности и устройствами. Кроме того, в ней не реализованы средства удаленного доступа, которые дают мобильным устройствам возможность обращаться к ресурсам корпоративной сети. Диспетчер MDM наделен этими функциями и предоставляет к тому же гораздо более широкие возможности использования политик и ограничений. Однако MDM совместим только с устройствами для системы Windows Mobile, функционирующими под управлением Windows Mobile 6.1 или более новых версий, тогда как Exchange 2010 поддерживает любые устройства, совместимые со стандартом EAS. MDM и Exchange 2010 могут сосуществовать и одновременно использоваться для управления устройствами.

Подготовка к установке MDM

Развертывание MDM — процесс довольно сложный, этот продукт состоит из нескольких компонентов. Прежде всего, для работы MDM требуется система Microsoft SQL Server 2005 или более новая версия, которая используется для хранения информации о политиках и настройки. Собственно MDM требует предварительной установки сервера шлюза Gateway Server, Device Management Server и Enrollment Server. Роли Device Management Server и Enrollment Server можно развертывать на одном и том же сервере; собственно, так и поступают почти во всех небольших организациях. Gateway Server развертывается в демилитаризованной зоне (demilitarized zone, DMZ); для работы этого сервера требуется два сетевых интерфейса — один для внутренней сети, другой — для внешней. Внешний интерфейс Gateway Server должен иметь общедоступный IP-адрес, у него должен быть задан маршрут, применяемый по умолчанию; его нельзя публиковать позади Microsoft ISA Server или Forefront Threat Management Gateway (TMG). Роли Device Management Server и Enrollment Server разворачиваются в распределенной сети.

Три указанные серверные роли составляют экземпляр MDM. Один экземпляр может поддерживать до 30 тыс. мобильных устройств. Вы можете развертывать несколько экземпляров MDM для взаимодействия с 30 тыс. пользователей или для работы с пользователями, находящимися в различных регионах (чтобы пользователи могли подключаться к локальному экземпляру MDM для обеспечения максимальных скоростей соединения); наконец, вы можете управлять группами, к которым применяются политики с различными требованиями. Отметим, что для функционирования диспетчера MDM не требуется система Exchange (или реализованные в ней средства работы с мобильными устройствами), но этот диспетчер может применяться для предоставления услуг Exchange пользователям мобильных устройств.

MDM выпускается только в 64-разрядной версии, поэтому для работы данного продукта требуются соответствующие аппаратные компоненты и 64-разрядная операционная система: Windows Server 2003 R2. Установка в среде Windows Server 2008 не поддерживается — некоторые инструментальные средства и утилиты просто не устанавливаются, хотя эту проблему можно решить с помощью различных ухищрений. Чтобы установить MDM, необходимо иметь удостоверяющий центр Certification Authority (CA), который должен быть центром уровня предприятия, интегрированным в Active Directory (AD). CA уровня предприятия может функционировать в среде Server 2008, а серверы Windows Server 2003 R2, на которых устанавливается MDM, могут быть рядовыми серверами в лесу на основе систем Server 2008 с функциональным уровнем, повышенным до режима Server 2008 Forest Functional mode.

До установки MDM необходимо настроить AD. Эта настройка не предполагает расширение схемы AD; речь идет просто о создании объектов, поддерживающих MDM. Зарегистрируйтесь в сети на сервере, где вы намереваетесь устанавливать одну из ролей — Device Management Server или Enrollment Server, запустите файл MDM Setup.exe и выберите режим Configure Active Directory for MDM в разделе Prepare экрана установки. При этом необходимо зарегистрироваться в качестве члена группы Enterprise Administrators. Когда вы выберете этот режим, на экране откроется окно командной строки и будет запущена программа ADConfig.exe/help, после чего вы увидите приглашение ввести команду. Если вы прокрутите текст справки назад, то увидите, что команда ADConfig имеет множество вариантов в командной строке.

Команда ADConfig вполне может повергнуть в замешательство, но пользоваться ею сравнительно просто. Выполните команду

ADConfig.exe/createinstance: 
   /domain: 

где instance — это имя, которое вы хотите дать своему экземпляру MDM, а domain — это домен в лесу, где экземпляр будет выполняться. Имя экземпляра не должно состоять из более чем 30 символов и может содержать только буквенно-цифровые знаки, а также символы дефиса (-) и подчеркивания (_). Имя домена должно быть указано как полное доменное имя, например corp.infosecresearch.com. После ввода команды система предложит подтвердить это действие перед тем, как приступить к процессу настройки AD. Правильность вводимых параметров необходимо проверять с особым вниманием, так как после выполнения команды изменение имени экземпляра станет невозможным. В процессе выполнения команда извещает вас о том, какие действия она производит в каждый момент, и сообщает о результате каждого изменения в конфигурации. Система предложит подтвердить намерение активировать экземпляр на последнем этапе выполнения команды.

Если в лесу имеется несколько доменов и вы хотите, чтобы мобильные устройства, связанные с каждым доменом, управлялись с помощью данного экземпляра MDM, нужно выполнить команду

ADConfig.exe/enableinstance: 
   /domain: 

где instance — это имя вашего экземпляра, а domain — полное доменное имя каждого домена. Команду ADConfig с ключом/enableinstance нужно выполнять лишь после того, как вы убедитесь, что первоначальная конфигурация реплицирована по всему лесу.

Далее требуется подготовить шаблоны сертификатов, используемых диспетчером MDM. Шаблоны сертификатов применяются для того, чтобы управлять тем, как используются ключи в выданных сертификатах, определять, в чем состоит политика сертификата и сколь долго он сохраняет свою силу. Выполните команду

ADConfig.exe
   /createtemplates: 

где instance — это имя вашего экземпляра. Программа ADConfig вновь предлагает подтвердить выполнение операции перед тем, как продолжать работу. В процессе выполнения она отображает информацию о состоянии. После того как вы подготовите шаблоны, их необходимо активировать, чтобы удостоверяющий центр мог их выдавать. Выполните команду

ADConfig.exe 
   /enableTemplates: 
   /ca:\ 

где instance — это имя вашего экземпляра MDM, CA server FQDN — это полное доменное имя центра сертификации, который будет выдавать сертификаты, а CA instance — это имя экземпляра CA. Имя экземпляра CA вы можете получить, выполнив в командной строке программу certutil.exe; нужный вам экземпляр — это значение Name. Как и при работе с другими командами ADConfig, система предложит вам подтвердить операцию перед выполнением команды.

Следующий этап подготовки к установке MDM — добавление учетной записи домена к группам SCMDMSecurityAdmins (instance) и SCMDMServerAdmins (instance), где instance — это имя экземпляра MDM, который вы использовали на предыдущих этапах. Учетная запись в первой группе может добавлять пользователей к другим группам MDM для данного экземпляра, а учетная запись во второй группе может устанавливать серверы MDM для данного экземпляра и управлять ими. Вы можете пользоваться двумя учетными записями, но я рекомендую вводить только одну — она станет административной учетной записью MDM. Если же вы зарегистрировались с учетной записью, которая была добавлена к группам MDM, вам придется выйти из системы и затем вернуться в нее; только после этого ваше членство в дополнительных группах вступит в силу.

Установка сервера регистрации

Следующий этап — установка сервера регистрации MDM Enrollment Server. Каждый экземпляр MDM требует установки сервера регистрации, и вы можете установить эту роль более одного раза для повышения отказоустойчивости и выполнения балансировки нагрузки. Мобильные устройства необходимо регистрировать с помощью сервера регистрации; только в этом случае MDM сможет ими управлять. Эту роль следует публиковать, чтобы мобильные устройства могли обращаться к ней как из корпоративной сети (изнутри), так и из Интернета (снаружи). Перед установкой сервера регистрации требуется выяснить внутреннее и внешнее доменные имена, которые будут идентифицировать данный сервер.

Чтобы установить сервер, на экране установки выберите элемент Enrollment Server. Для Enrollment Server требуется Microsoft IIS 6.0 и полный набор инструментальных средств управления IIS 6.0. Без этих программных компонентов сервер устанавливаться не будет.

Установка сервера осуществляется на основе мастера. После принятия пользователем условий лицензионного соглашения мастер предложит выбрать экземпляр MDM, для которого будет устанавливаться Enrollment Server. Далее он предложит вам подтвердить место установки в файловой системе, а затем указать экземпляр SQL Server, который будет использовать Enrollment Server. При желании вы можете задействовать существующий экземпляр SQL Server. Чтобы выполнить настройку базы данных MDM, вам потребуется доступ к экземпляру SQL Server на уровне системного администратора.

В этот момент нужно указать внешнее и внутреннее полные доменные имена Enrollment Server. Внешнее полное доменное имя Enrollment Server используется мобильными устройствами для регистрации. Вам потребуется добавить внешнее полное доменное имя к общему серверу DNS и убедиться в том, что к этому серверу можно обращаться из Интернета. Затем мастер предложит вам указать порт, на котором сайт Enrollment Server Administration будет ожидать передачи данных. Использование порта 443 исключается, так как Enrollment Server сам использует этот порт. Программа установки предлагает случайно выбранный номер порта, который почти всегда можно задействовать — кроме тех случаев, когда он конфликтует с другой службой или когда у вас применяется политика, указывающая, какой порт следует использовать. Обязательно запишите номер порта; тогда вы сможете вновь воспользоваться им, если нужно будет установить несколько экземпляров Enrollment Server.

Далее следует указать сервер CA, а также имя экземпляра, которое вы использовали при подготовке AD к установке MDM. Удостоверяющий центр выдает сертификаты мобильным устройствам. Кроме того, вам нужно указать CA для выдачи сертификатов SSL для MDM на протяжении оставшейся части процедуры установки. Этим центром может быть любой выдающий сертификаты удостоверяющий центр на вашем предприятии, включая CA, использованный в процессе регистрации устройств. По завершении ввода требуемых данных мастер отобразит ваши варианты. Подтвердите их, нажав кнопку Install.

Установка Device Management Server

Для вашего экземпляра MDM необходимо установить по меньшей мере один Device Management Server. Если вы установите несколько таких продуктов для обеспечения масштабируемости и отказоустойчивости, вам придется воспользоваться балансировщиком нагрузки для развертывания мобильных устройств по этим серверам. Device Management Server, как и Enrollment Server, предназначен для работы в среде Web, поэтому вам придется установить дополнительно систему IIS 6.0 и весь набор прилагающихся к ней инструментов управления.

Перед установкой Device Management Server нужно будет установить службу Windows Server Update Services (WSUS) 3.0 SP1 на каждом сервере, который будет использоваться как Device Management Server. Учтите, что MDM не распознает WSUS 3.0 SP2, так что вам придется задействовать версию SP1. MDM использует службу WSUS для развертывания программных пакетов на мобильных устройствах, но эту службу можно также применять для управления программными обновлениями на предприятии. Если вы используете WSUS только для развертывания программных пакетов на мобильных устройствах, можете указать в настройках, что эта служба должна загружать обновления только для Microsoft Report Viewer; дело в том, что вам не избежать выбора хотя бы одного продукта для обновления. Кстати, для функционирования службы WSUS необходимо установить в системе средство Report Viewer 2005 Redistributable или более поздней версии. И WSUS, и Report Viewer можно загрузить на сайте Microsoft Download Center (www.microsoft.com/downloads/default.aspx).

Чтобы установить Device Management Server, на экране установки выберите элемент Mobile Device Management Server. Вам будет предложено принять условия лицензионного соглашения, выбрать экземпляр MDM, к которому будет добавлен Device Management Server, место, где нужно будет установить программное обеспечение, и указать сервер базы данных, который будет использоваться. Имейте в виду, что если вы установите Device Management Server на том же сервере, что и Enrollment Server, программа установки будет использовать тот же каталог установки и тот же самый сервер базы данных, поэтому соответствующие варианты будут окрашены в серый цвет и станут недоступными для выбора.

Затем мастер установки предложит ввести полное доменное имя Device Management Server, которое представляет собой полное доменное имя корпоративной сети. Если вы устанавливаете несколько систем Device Management Server, введите полное доменное имя балансировщика нагрузки, который будет регулировать их работу. Программа установки удостоверится в том, что полное доменное имя существует в DNS. Далее мастер предложит указать порты веб-узлов Device Management и Administration. Если это ваш первый сервер, запишите номера выбранных портов; именно эти номера вам предстоит использовать при настройке систем Device Management Server в дальнейшем. На следующем этапе вам будет предложено указать удостоверяющий центр, который будет выдавать сертификаты SSL в ходе установки Device Management Server. Если вы устанавливаете Device Management Server на том же сервере, что и Enrollment Server, соответствующий удостоверяющий центр автоматически заполняется данными. В конце процедуры установки вам будут представлены указанные ранее параметры. Инициируйте процесс установки нажатием кнопки Install.

Установка MDM Administrator Tools

Следующий этап приведения MDM в рабочее состояние — это установка инструментальных средств администрирования MDM Administrator Tools. Эти инструменты можно устанавливать как на 32-разрядных, так и на 64-разрядных системах. Для их успешной работы требуется предварительно установить оболочку Windows PowerShell 1.0, консоль Group Policy Management Console (GPMC), а также консоль управления WSUS. Следует заметить, что система Windows 7 поставляется с оболочкой PowerShell 2.0, которую не распознает программа — установщик инструментов. Одновременная установка PowerShell 1.0 и PowerShell 2.0 не допускается, из чего следует, что установить MDM Administrator Tools на системах Windows 7 невозможно. Если вы не располагаете оболочкой PowerShell 1.0 или консолью GPMC, можете загрузить их на сайте Microsoft Download Center. GPMC для Windows Vista SP1 и более новых версий входит в комплект Remote Server Administration Tools (RSAT), который также можно загрузить на сайте Microsoft.

Для установки MDM Administrator Tools необходимо указать соответствующий элемент на экране установки MDM. Программа предложит вам принять условия лицензионного соглашения и указать, хотите ли вы установить все инструменты (вариант по умолчанию) или осуществить выборочную установку. После того как вы укажете интересующий вас вариант, программа отобразит сводку устанавливаемых компонентов. Начните установку нажатием кнопки Install. Установленные инструменты будут размещаться в меню Start в группе программ Microsoft System Center Mobile Device Manager.

Подготовка к установке сервера шлюза

Предпоследний этап — подготовка к работе сервера шлюза. Сервер шлюза позволяет мобильным устройствам обращаться к таким ресурсам, как узлы SharePoint или файловые серверы внутри корпоративной сети, без необходимости публиковать каждый из них или дублировать их в демилитаризованной зоне. Для функционирования сервера шлюза требуется установка IIS 6.0 и Microsoft.NET Framework 2.0 SP1.

Перед установкой сервера шлюза необходимо настроить серверную операционную систему с помощью сертификата, который MDM будет использовать для подтверждения прав ее доступа в ходе сеансов SSL. Процедура установки сертификата довольно сложна. Начните с формирования документа Notepad с именем GatewayCert Req.inf и введите в него следующий текст:

[NewRequest] 
Subject="CN=" 
MachineKeySet=True 
KeySpec=1 

Вместо MDMGatewayServerFQDN введите внутреннее полное доменное имя сервера, подчеркиваю — не внешнее имя (хотя внутреннее и внешнее имена могут совпадать). Далее выполните команду

certreq -new GatewayCertReq.inf 
   GatewayCertReq.txt 

Скопируйте выходной файл GatewayCertReq.txt на рядовой сервер вашего домена и выполните команду

certreq -submit -attrib 
   "CertficateTemplate: SCMDMWebServer 
      ()" 
   GatewayCertReq.txt GatewayCert.cer 

заменив instance именем экземпляра MDM. Если в вашем лесу имеется более одного выдающего центра сертификации, вам будет предложено указать удостоверяющий центр, который вы планируете использовать. Это должен быть тот самый удостоверяющий центр, на котором вы ранее устанавливали шаблоны. Скопируйте выходной файл GatewayCert.cer обратно на сервер шлюза MDM и введите команду

certreq -accept GatewayCert.cer

Далее нужно будет установить сертификат корневого CA, всех промежуточных CA и выдающего CA. Если вы пользуетесь службой Certificate Services, просто перей­дите с присоединенной к домену системы в виртуальный каталог корневого CA (\certsrv), щелкните на ссылке Download a CA certificate, certificate chain или CRL, а затем выберите элемент Download CA certificate и сохраните файл. По умолчанию имя этого файла certnew.cer. Если ваш корневой CA не является тем CA, который выдал сертификат сервера шлюза, найдите виртуальный каталог выдающего CA и загрузите цепочку сертификатов; сохраните этот файл и затем скопируйте его на сервер шлюза. По умолчанию имя этого файла — certnew.p7b.

Для установки сертификатов на серверы шлюза нужно запустить Microsoft Management Console (MMC) с оснасткой Certificates; при этом важно указать, что вам требуется параметр Computer Account. После загрузки оснастки откройте узел Trusted Root Certification Authorities, правой кнопкой мыши щелкните на элементе Certificates. В раскрывшемся меню выберите элементы All Tasks и Import. В мастере импорта сертификатов выберите файл certnew.cer. Повторите данный процесс для промежуточных CA; для этого нужно импортировать файл certnew.p7b в узел Intermediate Certification Authorities.

Далее следует создать файл конфигурации сервера шлюза, который представляет собой короткий фрагмент XML-кода, используемый в процессе установки сервера шлюза. Перейдите на рабочую станцию или сервер, на котором вы установили комплект Administrator Tools, запустите оболочку Mobile Device Manager Shell, перейдите во временный рабочий каталог и введите следующий код:

Export-MDMGatewayConfig

Система сформирует файл GatewayConfig.xml и запишет его в рабочий каталог. Скопируйте этот файл в сервер шлюза.

Теперь, когда сервер шлюза подготовлен, можно запустить программу установки сервера шлюза, выбрав элемент Gateway Server в разделе Install экрана установки. Пройдя экран лицензионного соглашения в мастере установки сервера шлюза, вы получите приглашение ввести внутренний IP-адрес, по которому сервер будет ожидать передачи данных о соединениях, поступающих от Device Management Server, и номер порта TCP, на котором сервер будет ожидать передачи данных. По умолчанию номер порта 443. Далее программа предложит вам найти и выделить скопированный файл GatewayConfig.xml. После этого нужно будет выбрать аутентификацию сервера шлюза и импортированные вами корневые сертификаты CA. Далее вам будет предложено подтвердить указанные параметры до начала установки программного обеспечения.

После установки программа предложит запустить мастер добавления шлюза MDM. Но перед тем как это сделать, вам нужно будет вернуться в систему, на которой установлены инструментальные средства MDM Administrator Tools, запустить оболочку Mobile Device Manager Shell и ввести команду

Set-EnrollmentConfig 
   -GatewayURI  

где ExternalFQDN — полное доменное имя сервера шлюза, каким оно представляется мобильным устройствам, расположенным вне вашей сети. По завершении выполнения команды на экране будут отображены некоторые данные конфигурации. Теперь вы можете запустить мастер добавления шлюза MDM; эта операция выполняется с консоли MDM. В окне консоли раскройте ваш экземпляр, а затем выберите элемент Gateway Management. На панели Actions выберите элемент Add MDM Gateway Wizard.

Первый этап работы с мастером — ввод имени для сервера шлюза. Чтобы избежать конфликта имен, я рекомендую использовать его полное доменное имя. Следующий этап — настройка точек доступа. Первая точка доступа представляет собой внешний IP-адрес, которым будут пользоваться мобильные устройства для установления VPN-соединений через сервер шлюза. Это должен быть общедоступный IP-адрес, поддерживающий маршрутизацию. Вторая точка доступа — это внутреннее полное доменное имя сервера шлюза, к которому подключается Device Management Server, и порт SSL, номер которого по умолчанию 443.

Далее нужно указать пул адресов, из которого IP-адреса назначаются мобильным устройствам, подключаемым через VPN. Как показано на экране 1, вы можете добавить один или большее число пулов адресов; в каждом пуле может содержаться не более 65 535 адресов (маска подсети 255.255.0.0). Помните, что пулы адресов должны быть согласованы с внутренними IP-адресами сервера шлюза; иначе говоря, подсети и маски подсетей должны быть комплементарными, то есть случаи конфликтов и дублирования должны быть исключены. При необходимости вы можете указать шлюз по умолчанию, через который клиенты будут обращаться к ресурсам корпоративной внутренней сети; такая необходимость может возникнуть в случае, когда пулы адресов не располагаются в той же подсети, что и сервер шлюза.

По завершении процедуры настройки пула адресов программа предложит вам ввести адреса серверов DNS и WINS. Вы должны будете указать по меньшей мере один сервер DNS. По указанным вами IP-адресам должны находиться серверы DNS, которые либо размещаются в демилитаризованной зоне, либо доступны из нее. Кроме того, потребуется ввести данные по маршрутизации, которые понадобятся мобильным устройствам, подключающимся через VPN, для обращения к ресурсам вашей интрасети, включая Device Management Server. Завершив ввод в интерфейсе мастера всей необходимой информации, нажмите кнопку Add. Если нужно, вы сможете добавить дополнительные шлюзы. Для выхода из мастера нажмите кнопку Finish.

Чтобы удостовериться в том, что сервер шлюза настроен, запустите MDM Console и выберите элемент Gateway Management, относящийся к вашему экземпляру MDM. Как показано на экране 2, состояние службы должно иметь значение «Running», а состояние синхронизации — значение «Up to date». Если служба не функционирует или ее состояние имеет значение «Error», проверьте журналы регистрации MDM в окне «Просмотр событий Windows» сервера шлюза. MDM расширяет журналы Windows и добавляет в них собственные. Не исключено, что вы не сможете обратиться к серверу шлюза в демилитаризованной зоне из-за конфликта с брандмауэром. Возможно также, что введенные вами пулы адресов будут конфликтовать с сетевыми настройками самого сервера шлюза.

Настройка ISA Server, TMG и брандмауэров

Взаимодействие между серверами MDM и мобильными устройствами почти полностью осуществляется через соединения на основе SSL. Впрочем, используются и другие протоколы. Возможно, вам придется изменить те или иные настройки ISA Server или серверов TMG, а также встроенных брандмауэров Windows в зависимости от того, каким образом вы развертывали диспетчер MDM.

Первым делом следует убедиться в том, что Device Management Server может взаимодействовать с сервером шлюза. Для этого по умолчанию применяется порт 443/TCP (HTTPS), если в ходе установки сервера шлюза не был указан другой порт. Мобильные устройства должны иметь возможность обмениваться данными с сервером регистрации через порт 443/TCP, и вам нужно будет опубликовать сервер регистрации так, чтобы он был виден из Интернета. Кроме того, мобильные устройства должны иметь возможность взаимодействовать с Device Management Server через IPsec VPN в демилитаризованной зоне через порт 8443/TCP (если только вы не указали другой порт в ходе установки), а также с сервером шлюза для образования туннелей IPsec, для чего требуется, чтобы были открыты IP-порты 50, 500/UDP и 4500/UDP.

Кроме того, вам нужно будет открыть доступ к DNS и к определенным серверам, таким как почтовые серверы, с помощью портов, которые обычно используются ими для обеспечения доступа через VPN. Для клиентов, ограниченных демилитаризованной зоной, используйте адреса, выделяемые из пулов адресов, настроенных на сервере шлюза.

Регистрация устройств

После успешного завершения процедуры установки MDM вы можете приступать к регистрации мобильных устройств с помощью заявок на регистрацию. В сетях ограниченных размеров и в небольших организациях заявками на регистрацию можно управлять вручную, но в более крупных сетях и организациях целесообразно установить и настроить Self Service Portal, чтобы пользователи могли управлять своей регистрацией и настройкой устройств. Сведения об установке Self Service Portal можно найти в статье Microsoft «Install MDM Self Service Portal» (technet.microsoft.com/library/dd261730.aspx).

Для регистрации мобильного устройства в ручном режиме запустите MDM Console, откройте экземпляр MDM, которым вы собираетесь управлять, откройте узел Device Management и выберите элемент All Managed Devices. На панели Actions щелкните на элементе Create Pre-Enrollment. Откроется окно мастера Pre-Enrollment Wizard. По завершении вводного этапа мастер предложит вам указать имя регистрируемого мобильного устройства; это имя должно быть уникальным и состоять не более чем из 15 символов. Вы можете изменить организационную единицу (OU), в которой объект «мобильное устройство» размещается в AD. В крупных сетях или в таких средах, где организационные единицы используются для применения различных политик к мобильным устройствам, возможно, будет целесообразно создать новые OU и разместить объекты «мобильное устройство» в этих OU. Если вы используете альтернативные OU, нужно будет выполнить команду PowerShell Set-EnrollmentPermissions и указать каждую OU для осуществления ее подготовки.

Далее система предлагает указать пользователя устройства; здесь вам предоставляется выбор из трех вариантов: Active Directory User, Other user identifier и Anonymous User. Если вы выберете вариант Active Directory User, то сможете управлять мобильным устройством с помощью групповой политики, а также передать выбранному пользователю сведения о регистрации по электронной почте. В результате облегчается процедура установки для пользователей, которые уже получают электронную почту на свои мобильные устройства. Рекомендую вам не применять другие варианты указания пользователей, это не целесообразно. Эти варианты можно применять, к примеру, в случае, когда одним и тем же мобильным устройством пользуются несколько служащих. При добавлении пользователей AD их можно выбирать из списка, для чего можно воспользоваться кнопкой Browse в окне мастера, или вводить их отличительные имена вручную.

Далее требуется подтвердить указанные параметры и создать предварительную регистрацию. По завершении операции предварительной регистрации мастер предоставит вам данные, которые нужно передать владельцу устройства, чтобы завершить регистрацию, как показано на экране 3. Владельцу устройства требуется только адрес электронной почты/имя пользователя и пароль регистрации. По умолчанию этап предварительной регистрации продолжается не более восьми часов.

Чтобы воспользоваться предварительной регистрацией, владелец устройства должен открыть меню Settings своего телефона, выбрать пункт Connections, а затем пункт Domain Enroll, чтобы запустить процедуру регистрации устройства в домене. После запуска этой процедуры владелец выбирает вариант Enroll и вводит полученные параметры E-mail address/User name и Enrollment password. Если мобильное устройство не в состоянии найти сервер регистрации в автоматическом режиме, владелец устройства извещается об этом и может вручную ввести общедоступное полное доменное имя сервера. Телефон связывается с сервером регистрации, загружает необходимые для регистрации сведения и предлагает пользователю подключиться к Device Management Server для завершения конфигурации. В процессе регистрации и настройки необходимо выполнить перезагрузку мобильного устройства. По завершении процедуры регистрации и настройки функция устройства Domain Enroll отключается, и отображаются сведения о регистрации, как показано на экране 4. Зарегистрированное мобильное устройство является видимым также и с консоли MDM, как показано на экране 5.

Зарегистрированные и настроенные устройства устанавливают соединения с сервером шлюза через VPN, а затем — соединения с Device Management Server, а также с другими ресурсами корпоративной сети. Если мобильное устройство постоянно подключено к VPN, это может привести к истощению ресурса батарей, поэтому есть смысл посоветовать пользователям отключать мобильную VPN на устройстве, когда она не используется. Однако вам, возможно, придется предусмотреть в групповой политике параметр, позволяющий пользователям отключать VPN.

Параметр Update Device Details консоли MDM можно задействовать для обновления сведений об устройстве в любое время. Кстати, именно с консоли MDM вы можете стереть информацию на утерянном или украденном устройстве либо заблокировать установление соединения этого устройства с корпоративной сетью через сервер шлюза.

Управление мобильными устройствами с помощью объектов групповой политики

Мобильными устройствами можно управлять с помощью объектов групповых политик (GPO) — примерно так же, как управляют настольными системами и ноутбуками. Но прежде всего необходимо загрузить административный шаблон, содержащий мобильные настройки. Для этого запустите консоль управления групповыми политиками из меню Administrative Tools на системе, где вы установили комплект MDM Administrator Tools. Далее правой кнопкой мыши щелкните на элементе Group Policy Objects, в открывшемся меню выберите пункт New и укажите имя создаваемого объекта. Теперь отредактируйте GPO и откройте узел Policies в разделе Computer Configuration. Правой кнопкой мыши щелкните на элементе Administrative Templates и в открывшемся меню выберите пункт Add/Remove Templates. В появившемся диалоговом окне нажмите кнопку Add, затем прокручивайте отображаемый в указателе Policy Templates список папок и шаблонов вниз, пока не найдете объект mobile.adm. Дважды щелкните на нем.

После загрузки шаблона политики мобильного устройства вы обнаружите, что к редактору Group Policy Management Editor были добавлены дополнительные политики в разделах Computer Configuration и User Configuration. В каждом из этих разделов вы обнаружите настройки Windows Mobile Settings в разделе Administrative Templates узла Policies. В системах Vista они размещаются в разделе Classic Administrative Templates (ADM). Политики устройств дают возможность управлять такими элементами, как пароли, средства устройств (например, камера, Bluetooth), приложения, шифрование, соединения по VPN и развертывание программного обеспечения. Пользовательские политики ограничиваются настройками EAS и использованием протокола MIME (S/MIME) для безопасной передачи электронной почты.

Для применения политики к мобильным устройствам достаточно связать GPO с организационной единицей, содержащей объекты, которые представляют мобильные устройства. Следует отметить, что инструментальные средства моделирования групповых политик не обеспечивают хорошего взаимодействия с настройками мобильных устройств, но вы можете с помощью мастера Windows Mobile Group Policy Results Wizard создать отчет по настройкам, применимым к тому или иному устройству либо пользователю. К этому мастеру можно обратиться из консоли GPMC на той системе, где вы установили комплект MDM Administrator Tools.

Развертывание программного обеспечения на мобильных устройствах

Создавать пакеты программ и разворачивать их на мобильных устройствах можно с помощью консоли MDM Software Distribution Console, которая входит в набор MDM Administrator Tools. Перед тем как приступать к созданию пакета, следует подсоединиться с консоли к службе WSUS, запущенной на Device Management Server. Затем нужно запустить на консоли мастер Create Package Wizard. Для этого потребуется открыть узел Software Distribution, узел, представляющий сервер WSUS и узел Packages. В узле Packages нужно выполнить двойной щелчок на элементе Software Packages, после чего и будет запущен мастер.

В окне мастера укажите место расположения файла. cab, который содержит подлежащее развертыванию программное обеспечение, а также информацию, с помощью которой вы сможете при желании подписать файл. cab. Вы можете ограничить список программ на мобильных устройствах теми программами, которые распространяются с помощью MDM или групповых политик. Кроме того, при подготовке пакетов для развертывания по мобильным устройствам необходимы сведения о том, для каких устройств, версий мобильных операционных систем и языков предназначен данный пакет, а также информация о зависимостях и вариантах удаления. По завершении подготовки пакета для распространения вы можете отслеживать процесс его установки, выполняя отчеты в консоли Software Distribution Console.

Решение сложное, но универсальное

Теперь вы имеете некоторое представление о том, как разворачивать диспетчер MDM 2008 SP1, а также о его возможностях в области управления мобильными устройствами. Подготовить этот продукт к работе отнюдь не просто, но надо сказать, что MDM представляет собой замечательную платформу для управления средствами безопасности мобильных устройств; это в первую очередь касается предприятий с повышенными требованиями к управлению мобильными устройствами. Однако MDM можно применять и для управления небольшой группой мобильных устройств — например, таких, на которых ведущие сотрудники могут хранить важные корпоративные данные.

Джон Хоуи (jhowie@microsoft.com) — менеджер центра Microsoft Security Center of Excellence. Имеет сертификаты CISSP, CISM и CISA