Top Ten Security Concerns of going mobile (and how to overcome them)
Jason Langridge - Enterprise Mobility Solution Specialist
Prithvi Raj - Product Manager
Einführung in den System Center Mobile Device Center
deployed und managed mobile Devices
Security managent
AD Domain Join
Policiy enforcment using AD/Group Policies (> 130 GPOs)
Communication and camera disablement
File encryption
Application allow and deny
Remote Wipe
OMA-Dm Compliant
Device management
Single Point of management for mobile Devices
Full OTA (over the air) provisioning and bootstrapping
OTA software distribution based on WSUS 3.0
Inventory
SQl Server 2005 based reporting capabilities
Role based administration
MMC snap-in and Powershell cmndlets
WMU On/Off control
OMA-DM compliant
Mobile VPN
Machine authentication and double envelope security
Session Persistence
Fast Reconnect
Internetwork roaming
Standard based (IKEv2, MObIKE, IPSEC tunnel mode)
How can we remotly provision Win Mobile Devices ?
Firmengerät oder privates Gerät ?
kommt das Device vom Provider oder von einem Händler ?
Es gibt ein System Center mobile Device Mansger Self Service Web Portal - User loggt sich dort mit seinen AD Login ein
Ich gebe dort dem Device einen Namen
Am Client habe ich eine Option : Domain Enroll - dort gebe ich meine Mailadresse ein und das passwort, das sich auf der Webseite bekommen habe und bin fertig....
ab dem Moment ist das Device Domain Joined und jede Connection geht über VPN über mein Unternehmen
Is there a way of stopping certain apps being run ?
Mit dem SCMDM (system Center Mobile Device Manager) kann ich sogar die in-ROm apps sperren - andere sowieso...
We want to selective disable certain functions on the device
connectivity (WIfi, Bluetooth, Infrared)
desktop Sync
Camera
Prevent use of POP3/IMAP, SMS/MMS
Data stored on the device
Daten sind einerseits durch den PIN Code geschützt, den ich zentral bestimmen kann
Und die Daten auf der Storage Card und im Device sind verschlüsselt
Aber Achtung: Wenn das Gerät hard-resetet wird, geht der KEy für die Storagecard verloren, d.h. die Daten auf der Storage Card sind verloren.....
Is there a way of distributing software and updates to the device
2 Arten von Update:
Operation System - WIndows Mobile Update
Applications - System Center Mobile Device Manager
Windows Mobile Update rlaubt es nun, dass die Updates von uns (Microsoft) direkt zum Kunden gehen und nicht wie heute über den Provider
Es wird über das keine kompletten ROM Updates geben, sondern nur kritische Security Hotfixes
How can we stop our users browsing th einternet or connecting to sites we don´t wnat to
mit Domain Joined Geräten geht jede Internetverbbindung (egal ob UMTS, GPRS; WIFI) über einen VPN Tunnel zum UNternehmen und zum Mobile Gateway, der dann die Internetverbingun macht - damit habe ich die volle Kontrolle, wohin meine Leute surfen (dürfen)
How can we stop unapproved Devices from connecting
Do you wnat to stop them or do you want to control them ?
In Exchange 2007 kann ich unprovisioned Devices sperren
Mit dem SCMDM kann ich "consumer/unmanaged" Geräte in Managed verwandeln...
How can we kill devices remotly ? Whats killed ?
Device Memory macht ein Hardreset, auf der Karte passiert ein Format - im Gegensatz zur Harddisk reicht bei FlushMemory ein einziges Format
What about Malware, Spyware and Viruses
User Education is critical (stimmt meiner Meinung nach nicht - Userschulung ist kein guter Virenschutz - funktioniert nicht)
SCMDM ermöglicht mir, die Installation von unsigned software zu verhindern
Es gibt Build-In APIs for Antivirus solutions
Can we stop our users accessing services/applications ?
Through GPOs kann man POP3/IMAP, SMS/MMS, Camera, WIndows Live, Media Player, Explorer, ... sperren
Der System Center Mobile Device Manager kommt Q2/2008
Christian Decker
Christian.Decker@microsoft.com
