Control de dispositivos móviles (III de III)

Artículos anteriores:

Ahora que ya está disponible System Center Configuration Manager 2012, tenemos una potente herramienta que junto con Exchange Server 2010 nos permite gestionar y controlar los dispositivos móviles corporativos.

System Center Configuration Manager 2012 incorpora dos niveles de gestión:

  • Light Management
  • Depth Management

Light Management

La principal ventaja de la administración “Light” es que tiene soporte para todos los dispositivos Android, iOS, Windows Mobile, Windows Phone y Symbian que a su vez se pueden gestionar en mayor o menor grado a través de ActiveSync. (ver el cuadro de características de seguridad del anterior Post)

Básicamente para poder disponer de esta gestión lo que se debe realizar es una integración a través de Powershell de la organización Exchange y SCCM, con lo cual se traslada la administración y se centraliza todo en SCCM.

Para configurar dicha Integración de Configuration Manager 2012 y Exchange Server 2010, se debe crear un conector desde la consola de administración de Configuration Manager.

image

A continuación el asistente solicita algunos parámetros, comenzando con la URL de conexión al servidor CAS de Exchange.

Se pueden configurar múltiples organizaciones de Exchange y combinar escenarios on-premises con escenarios on-Line como Office 365.

image

A continuación se especifican las credenciales de conexión a Exchange. Se puede utilizar la cuenta de máquina de Configuration Manager, sin embargo será necesario otorgarle privilegios administrativos sobre la organización Exchange. Si no se hace esto la sincronización fallará.

image

Para organizaciones con un control de seguridad más estricto, se puede crear un nuevo rol administrativo en Exchange Server 2010, asociar dicho rol a un grupo global de seguridad y a su vez incluir en dicho grupo la cuenta de máquina del servidor Configuration Manager u otra cuenta creada para este propósito.

A dicho rol administrativo se le deben de otorgar los siguientes privilegios.

  • Set-ADServerSettings
  • Get-ActiveSyncOrganizationSettings
  • Get-ActiveSyncDeviceStatistics
  • Get-ActiveSyncDevice
  • Get-ExchangeServer
  • Get-Recipient
  • Get-ActiveSyncMailboxPolicy
  • Get-CASMailbox
  • Set-ActiveSyncOrganizationSettings
  • Set-CASMailbox
  • Get-ActiveSyncDeviceAccessRule
  • Set-ActiveSyncDeviceAccessRule
  • New-ActiveSyncDeviceAccessRule
  • Set-ActiveSyncMailboxPolicy
  • New-ActiveSyncMailboxPolicy
  • Remove-ActiveSyncDevice
  • Clear-ActiveSyncDevice.

De esta forma se cumple con el principio de menor nivel de privilegios.

A continuación se configuran los parámetros de frecuencia de sincronización y descubrimiento de dispositivos móviles.

image

Por último, se especifican los parámetros de seguridad y gestión que van a sobrescribir los ya existentes en la organización Exchange.

image

Como se puede observar, cada uno de estos conjuntos de parámetros se corresponden con sus homólogos en las directivas de ActiveSync.

Configuración General. Configuración de contraseñas
image image
Configuración de correo Configuración de seguridad
image image
Configuración de aplicaciones
image

Adicionalmente, una vez finalizado el asistente, es posible configurar las reglas de control de acceso de dispositivos. En estas reglas se definen familias y modelos de dispositivos que están admitidos o bloqueados por la organización. También es posible implementar políticas de cuarentena para que sea el administrador responsable de la seguridad el que determine si se aceptan o no nuevos dispositivos que se detecten.

image

Como he comentado anteriormente, la conexión de sincronización de políticas se realiza mediante Powershell y se puede forzar en cualquier momento.

image

 

Depth Management

El otro modo de administración de dispositivos se denomina “Depth Management” y es la combinación de lo que ya existía con SMS 2003 y SCCM 2007, junto con las funcionalidades que aportaba MDM 2008.

La configuración de este modo implica el aceptar conexiones de dispositivos en el Management Point e instalar al menos los roles “Enrollment Point” y “Enrollment Point Proxy”, aunque también es necesario configurar el rol “Distribution Point” si se quiere hacer despliegue de software a dispositivos.

Además se requiere disponer de una infraestructura PKI para la emisión de certificados a los dispositivos que se vayan uniendo a la organización.

image

image

El dispositivo debe unirse a la infraestructura de Configuration Manager para poder ser gestionado.

La ventaja de este tipo de administración es que no solo se pueden aplicar directivas como las que se encuentran en ActiveSync sino que además se pueden aplicar acciones avanzadas como inventario de hardware y software, despliegue de aplicaciones, gestión de certificados, configuración de redes inalámbricas, entre otros aspectos.

image

Sin embargo, actualmente este tipo de administración solo está soportada para dispositivos Windows Mobile 6.1, Windows Mobile 6.5 y Symbian, aunque se espera que con las próximas actualizaciones de Configuration Manager 2012, se amplíe el abanico de dispositivos soportados.

Conclusiones

Lo importante para las organizaciones es tener conciencia de la in-seguridad que supone tener dispositivos móviles no gestionados pero cargados con megas y megas de información privilegiada. Descuidos como los del Ministro del Interior, pueden llevar a consecuencias muy graves si no se dispone de una infraestructura para borrar la memoria del dispositivo en remoto o para obligar a que su contenido esté cifrado.

Tanto si se dispone de Exchange Server 2010 como System Center Configuration Manager 2012 o ambos, Microsoft está dando pasos importantes en facilitar la administración y el control de la seguridad de estos dispositivos, incluso si no son Windows.

Cada día nos sorprendemos con los numerosos problemas de seguridad que tienen los smartphones y tabletas, y si a eso le añadimos una mala o nula administración, entonces podemos tener un serio problema de seguridad.

Hasta pronto.

Josh Sáenz G.

Comentarios no permitidos