המדריך המלא לאבטחת מכשירי אייפון בארגון

אין ספק שיש מכשירים טובים ממנו עבור המשתמש הארגוני, אך הפופולאריות הגואה של של המכשירים הניידים של אפל (אם זה האייפון שכבר מזמן הפך לטלפון החכם הנפוץ בעולם ואם זה האייפאד, אשר צובר גם הוא פופולאריות לא קטנה בקרב המשתמשים הארגוניים) הופכת את הצורך בניהול ואבטחה של המכשיר ברמה הארגונית להכרחי עבור כל ארגון שמכבד את עצמו.

נכון להיום, יכולות הניהול הארגוניות של האייפון מסתכמות בכלי אחד הנקרא iPhone Configuration Utility, המיועד לאפשר למנהלי הרשת ליצור פרופילי הגדרות שונים ולפרוס אותם על מכשירי האייפון של המשתמשים.

המדריך הזה יכסה את ההגדרות הבסיסיות והחשובות שניתן לבצע באמצעות ה-iPhone Configuration Utility ויספק מספר Best Practices להגדרה ופריסה של פרופילי ההגדרות השונים. חשוב לציין שעל-מנת לנהל את המכשירים הניידים אצלכם בארגון, יש לוודא כי מכשירי האייפון והאייפוד טאץ’ שברשותכם מעודכנים לגרסה 3.1.2 ומעלה וכי מכשיר האייפאד שברשותכם מעודכן לגרסה 3.2 (גרסת ברירת המחדל המגיעה עם המכשיר).

כלי הניהול – iPhone Configuration Utility

כדי שנוכל להתחיל, תצטרכו להוריד ולהתקין את תוכנת ה-iPhone Configuration Utility (או IPCU בקיצור) מהאתר של אפל. נכון לזמן כתיבת שורות אלה, הגרסה העדכנית ביותר היא גרסה 2.2, הזמינה בגרסת חלונות (XP ומעלה) ובגרסת Mac OS X.

מסך הבית של ה-iPhone Configuration Utility. לחצו על התמונה להגדלה

לאחר ההורדה וההתקנה, עם הפעלת האפליקציה יוצג בפניכם מסך הבית ובו ארבעה טאבים שונים (מצד שמאל):

  • Devices – חלון זה מציג את מכשירי האייפון, אייפוד טאץ’, או אייפאד המחוברים פיזית למחשב עליו רצה תוכנת ה-IPCU. באמצעות חלון זה תוכלו בשלב יותר מאוחר לפרוס פרופילי הגדרות על-גבי מספר מכשירים באמצעות אחת מהשיטות בהן נדון בהמשך המדריך.
  • Applications & Provisioning Profiles – שני החלונות הללו מיועדים לניהול ופריסת אפליקציות המפותחות באופן עצמאי בארגון. אחד הדברים שאפל הבינה מהר מאוד הוא שאם היא מעוניינת לשחק במגרש הארגוני, עליה לאפשר לארגונים גמישות יתרה בכל הקשור לפיתוח אפליקציות עצמאיות וניהול שלהן. המדריך הנוכחי לא יעסוק בנושא פיתוח אפליקציות פנים-ארגונית למכשיר, אך אם אתם מעוניינים במידע נוסף בנושא, אתם מוזמנים להוריד את המדריך המלא של אפל בנושא.
  • Configuration Profiles – זהו החלון החשוב ביותר עבור מנהל הרשת שכן זהו החלון שבו אנו יוצרים ומגדירים את כל המאפיינים לפרופילי ההגדרות אותם אנו נפרוס בהמשך על המכשירים השונים בארגון.

יצירת פרופיל הגדרות

על-מנת ליצור פרופיל הגדרות חדש, יש ללכת ללשונית ה-Configuration Profile וללחוץ על כפתור ה-New בסרגל הכלים העליון של החלון. כעת יפתח לכם פרופיל חדש בו תוכלו להגדיר מספר אפשרויות לניהול ואבטחת המכשירים הניידים של אפל הקשורים לארגון שלכם.

יצירת פרופיל הגדרות חדש. לחצו על התמונה להגדלה

בלשונות ה-General Options תתבקשו לקבוע מספר מאפיינים בסיסיים עבור הפרופיל כגון שם, מזהה ייחודי, שם הארגון ותיאור קצר. כמו כן, בחלון זה תדרשו לבחור בין שלוש אפשרויות לרמת האבטחה של הפרופיל לאחר הפריסה על המכשיר עצמו. הגדרה זו מאפשרת למנהלים לבחור האם וכיצד יוכלו משתמשי הקצה להסיר את הפרופיל מהמכשיר הנייד שלהם לאחר שהוא הותקן עליו.

בברירת המחדל, הערך המסומן הוא Always, והוא מאפשר לכל משתמש למחוק את פרופיל ההגדרות מהמכשיר ללא הגנה או הגדרות נוספות. מאחר והפרופיל הוא זה שמשמש אותנו על-מנת לאכוף על המשתמשים את הגדרות האבטחה השונות, זוהי האפשרות הכי פחות מאובטחת ואלא אם אנחנו עדיין בשלב הניסוי והלמידה של הכלי, לא נבחר באפשרות הזו.

האפשרות השנייה, With Authentication, דורשת מכם לקבוע סיסמא אותה יצטרך המשתמש להזין במידה וירצה להסיר את הפרופיל מהמכשיר. ברוב המקרים, זוהי האפשרות העדיפה.

האפשרות השלישית, Never, גורמת לכך שברגע שנפרס פרופיל על גבי מכשיר מסוים, הדרך היחידה להסיר אותו היא על-ידי פריסה של פרופיל חדש (גם כאן קיימות מספר מגבלות ואפשרויות בהן נדון בהמשך) או על-ידי ביצוע איתחול של המכשיר למצב הגדרות יצרן.

אכיפת הגדרות סיסמא

אחת ההגדרות החשובות, אם לא החשובה ביותר, היא הגדרת אכיפת הסיסמא על-גבי המכשיר. הגדרות הסיסמא ואכיפת הסיסמא מתבצעות דרך לשונים ה-Passcode. בעת לחיצה ראשונה על לשונית ה-Passcode בפרופיל החדש שנוצר, תקבלו הודעה המעדכנת אתכם על כך שמשתמשים לא יוכלו לשנות את הגדרות הסיסמא שלהם במכשיר לאחר שפרופיל הכולל הגדרות סיסמא הותקן על-גבי המכשיר. לאחר לחיצה על כפתור ה-Configure, יופיע חלון הכולל את הגדרות הסיסמא השונות אותן ניתן להחיל על המכשיר.

הגדרות סיסמא. לחצו על התמונה להגדלה

השלב הראשון בקביעת הגדרות הסיסמא יהיה לסמן את האפשרות של Require passcode on device. לאחר אישור האפשרות הראשונה, יפתחו כל השדות הנוספים המופיעים בחלון. חשוב לשים לב שגם כאן, ברירת המחדל היא האופציה הכי פחות מאובטחת גם לאחר אכיפת הצורך בסיסמא.

  • Allow simple value – האפשרות זו, כאשר מסומנת, מאפשרת את השימוש ברצפים חוזרים ורצפים יורדים או עולים של מספרים. כלומר, במידה ואפשרות זו מסומנת, משתמש יוכל לבחור בסיסמא כגון 1234 או abcd. חשוב לציין כי המערכת אינה יודעת לזהות רצפים של אותיות בעברית ו\או אותיות הנמצאות אחת ליד השנייה במקלדת. אפשרות זו מסומנת כברירת מחדל ומומלץ לבטל אותה בכל פרופיל שאינו משמש לצרכי ניסוי.
  • Require alphanumeric value – אפשרות זו, כאשר מסומנת, מחייבת את המשתמש לבחור בסיסמא הכוללת לפחות תו אחד שאינו מספר. אפשרות זו אינה מסומנת ברירת מחדל ומומלץ לסמן אותה, על-מנת למנוע ממשתמשים להכניס סיסמאות המבוססות על ספרות בלבד (גורם בדרך כלל להכנס של תאריכי לידה, ימי הולדת, מספרי ת.ז ועוד – מספרים קלים יחסית לניחוש).
  • Minimum Password Length – הגדרה זו מאפשרת לכם לבחור את אורך הסיסמא המינימלי אותו יוכל המשתמש לבחור כסיסמא אישית. אפשרות זו אינה מוגדרת כברירת מחדל ואנו ממליצים לבחור בסיסמה מינימלית של בין 6 ל-8 תווים.
  • Minimum Number of Complex characters – ערך זה מאפשר לכם לבחור את מספר התווים המיוחדים (תווים שאינם אותיות או מספרים דוגמת &, !, @, #) המינימלי שהסיסמא אמורה לכלול. מבחינת אבטחת מידע, אנחנו היינו ממליצים שיהיה לפחות תו מיוחד אחד בסיסמא, אך מאחר וזה “מסבך” את המשתמשים במעבר בין מסכים שונים במקלדת, בחרנו לתייג את את הסעיף הזה תחת “מומלץ אך לא הכרחי”.
  • Maximum passcode age – הגדרה זו מאפשרת לכם לקבוע את כמות הזמן המירבית בה יוכל משתמש להשתמש באותה הסיסמא. בתום תקופת הזמן המוקצבת, יתבקש המשתמש לשנות את הסיסמא באמצעות ממשק על-גבי המכשיר עצמו. גם כאן מבחינה הגיונית היינו ממליצים להפיעל את האופצייה ולכוון אותה על החלפת סיסמא פעם ב-30 יום לפחות, אך ברוב המקרים, במידה והמכשיר יגנב על-ידי אדם אחר שגם ראה את הסיסמא, סביר להניח שהוא ראה אותה בסמיכות לגניבת המכשיר ולכן החלפת הסיסמא לא תהיה אפקטיבית במקרה המדובר. אף על פי כן, זוהי תמיד אפשרות מומלצת.
  • Auto-lock – הגדרה זו מאפשרת לכם לקבוע את משך הזמן בדקות אשר לאחריו ינעל המכשיר באופן אוטומטי וידרוש סיסמא לצורך פתיחתו. הערך המומלץ הוא דקה אחת.
  • Passcode History – אהגדרה זו מאפשרת לכם לקבוע את כמות הסיסמאות האחרונות שהמכשיר יזכור בהיסטוריה לצורך מניעה של חזרה על סיסמא בעת קביעת סיסמה חדשה. ההגדרה המומלצת היא 5 סיסמאות אחרונות לפחות.
  • Grace Period for device locked – הגדרה זו מאפשרת לכם לקבוע משך זמן (בדקות) בו המכשיר יכול להיפתח מנעילה ללא צורך בהכנסת הסיסמא מחדש. חשוב לציין כי ההגדרה הזאת “קודמת” להגדרת ה-Autolock ומכיוון שכן, אנו ממליצים שלא להשתמש בה. במקרה של הגדרת Grace Period של 5 דקות לדוגמה, גם אם תהיה מוגדרת נעילה אוטומטית אחרי דקה, ניתן יהיה לבצע Unlock למכשיר במשך 5 דקות ללא צורך בהקשת סיסמא.
  • Maximum Number of Failed Attempts – הגדרה זו מאפשרת לכם לקבוע כמה נסיונות כושלים להקלדת הסיסמא אתם מאפשרים לפני שהמכשיר ימחק את התוכן שעליו. גם במידה ולא תבחרו לאפשר את היכולת הזו, לאחר 6 נסיונות כושלים בהקשת סיסמא, המכשיר “יינעל” לפרק זמן אשר יגדל עם כל הקשת סיסמא שגויה נוספת עד להקשה ה-11, אשר תמחק באופן ייזום את כל המידע על המכשיר. אנו ממליצים לקבוע 7 ניסיונות כושלים לפני מחיקה.

הגבלות נוספות

בנוסף להגבלות הסיסמא, מאפשר ה-IPCU מספר הגבלות אפליקטיביות נוספות.

הגבלות נוספות. לחצו על התמונה להגדלה

  • Allow explicit content – אפשרות זו, כאשר אינה מסומנת, מונעת ממשתמשים גישה לתוכן בוטה (או המיועד למבוגרים) שהורד מחנות ה-iTunes (אפליקציות, וידאו ומוזיקה). תכנים מסומנים כבוטים על-ידי יצרני האפליקציות ואין אפשרות מובנית להגדיר אפליקציות מותרות או אסורות באמצעות ה-IPCU.
  • Allow Use of Safari – אפשרות זו, כאשר אינה מסומנת, מונעת ממשתמשים את הגישה לדפדפן הסאפארי המותקן במכשיר.
  • Allow Use of You Tube – אפשרות זו, כאשר אינה מסומנת, מונעת ממשתמשים את הגישה לאפליקציית ה-YouTube המותקנת במכשיר.
  • Allow use of iTunes Music Store – אפשרות זו, כאשר אינה מסומנת, מונעת ממשתמשים את הגישה לחנות ה-iTunes באמצעות המכשיר (אפשרות זו אינה רלוונטית לישראל כרגע, מאחר וחנות ה-iTunes אינה זמינה לשימוש בישראל גם ככה).
  • Allow Installing Apps – אפשרות זו, כאשר אינה מסומנת, מונעת ממשתמשים את האפשרות להתקין אפליקציות חדשות על גבי המכשיר באמצעות ה-Appstore. חשוב לציין כי במידה והמכשיר פרוץ, אפשרות זו אינה מונעת מהמשתמש להתקין אפליקציות צד שלישי באמצעות Cydia, Icy או Installus.
  • Allow Use of camera – אפשרות זו, כאשר אינה מסומנת, מונעת ממשתמשים את הגישה לאפליקציית המצלמה במכשיר. אפשרות זו מומלצת במיוחד עבור ארגונים בטחוניים אשר מעוניינים לאפשר למשתמשים להשתמש במכשירי טלפון פרטיים אך למנוע מהם לצלם בתוך שטח הארגון.
  • Allow Screen Capture – אפשרות זו, כאשר אינה מסומנת, מונעת ממשתמשים את האפשרות לבצע צילום מסך של המכשיר על-ידי לחיצה על כפתור הבית וכפתור ההדלקה של המכשיר בו זמנית.

הגדרות רשת אלחוטית

חלון ה-Wi-Fi מאפשר לכם להכניס למכשיר הגדרות של חיבור לרשת אלחוטית אחת או יותר בצורה מובנית ובכך לפטור את המשתמש מהצורך להגדיר את הגישה לרשתות האלחוטיות של הארגון באופן ידני.

הגדרות רשת אלחוטית. לחצו על התמונה להגדלה

הגדרות VPN

מכשיר האייפון תומך בהתחברות לרשת הארגונית באמצעות חיבור VPN, מה שיכול לספק אמצעי לא רע בכלל להצפנת התעבורה של המכשיר גם כאשר הוא מחובר באמצעות רשתות אלחוטיות שאינן מוצפנות. ה-IPCU תומך בהגדרה אוטומטית של חיבור לרשת VPN. האייפון עצמו תומך בחיבור PPTP, L2TP ו-IPSec ואף תומך בפתרון ה-One-Time-Password של RSA SecureID לצורך ההזדהות.

הגדרות ה-VPN. לחצו על התמונה להגדלה

רמת האבטחה המקסימלית הניתנת לשימוש באמצעות הפתרון הנ”ל היא חיבור בהתקשרות מסוג IPSec ושימוש ב-Certificate ייעודי המונפק למכשיר.

התקנת תעודות על המכשיר תוכלו לבצע באמצעות לשונית ה-Credentials והפצה מרכזית Over-The-Air של תעודות ניתן להגדיר באמצעות לשונית ה-SCEP ולבצע באמצעות כל שירות מבוסס Simple Certificate Enrollment Protocol. למידע נוסף על תהליך היצירה וההפצה של תעודות ייעודיות לחיבור VPN במכשיר האייפון יש לפנות למדריך של אפל.

אפשרויות ניהול נוספות

חשוב לציין כי בנוסף ליכולות ניהול האבטחה של המכשיר, מציע כלי הניהול הארגוני של האייפון גם יכולת להגדיר מראש את חשבונות הדואר במכשיר, סנכרון מול שרתי Exchange (או Google Apps במקרה הצורך), הגדרת ממשק מול שרת ה-LDAP הארגוני (לצורך חיפוש כתובות מייל), רישום ללוחות שנה נוספים והוספת קיצורי דרך לאתרי אינטרנט אל עמוד הבית במכשיר (יעיל לצורך הפצה של אפליקציות מבוססות WEB וקישורי לעמוד הבית של הארגון).

יצוא פרופיל הגדרות

לאחר שסיימנו את כל ההגדרות בפרופיל, נרצה להפיץ אותו למכשירים הניידים הפרוסים בארגון שלנו. על-מנת לעשות זאת, עלינו לייצא את הפרופיל שיצרנו לקובץ mobileconfig, על-ידי בחירה באפשרות Export מסרגל הכלים העליון.

ייצוא פרופיל ההגדרות. לחצו על התמונה להגדלה

בחלון החדש שיפתח תדרשו לבחור בין את סוג האבטחה של קובץ הפרופיל. אפשרות ברירת המחדל, Sign Configuration Profile, יוצרת קובץ שלא ניתן לשינוי. לאחר שהתקנתם פרופיל הגדרות חתום על מכשיר אייפון, לא תוכלו לשנות אותו ולא תוכלו להתקין פרופיל אחר אלא אם הוא יהיה חתום על-ידי אותו מחשב המריץ את ה-IPCU. אפשרות זו מציעה הגנה בסיסית בעיקר כנגד שינוי אוסף ההגדרות.

האפשרות המאובטחת יותר, היא Create and sign encrypted configuration profile for each selected device. פרופילים הנוצרים חתומים ומוצפנים אינם פתוחים לשינוי או לקריאה חיצונית. אנו ממליצים על השימוש באופצייה האחרונה מאחר וזאת אינה מאפשרת צפיה בהגדרות השונות ובכך מונעת גם את האפשרות של חשיפת מדיניות האבטחה הנאכפת בארגון.

הפצת פרופיל הגדרות

הדרך הפשוטה ביותר להפצת פרופיל הגדרות היא באמצעות חיבור המכשירים אל המחשב המריץ את IPCU באמצעות חיבור USB. לאחר חיבור המכשיר, הוא יופיע תחת לשונית חדשה בשם Devices ב-IPCU וכל שתצטרכו לעשות הוא לבחור את המכשיר המיועד וללחוץ על כפתור ה-Install בעמודה הימנית.

בנוסף לאפשרות זו, ניתן להפיץ את קבצי הפרופילים באמצעות הודעת דואר אלקטרוני או העלאת הקובץ לשרת Web. משתמשים אשר יקבלו את ההודעה עם הקובץ מצורף או לחילופין יגלשו לאתר המכיל קישור לקובץ יוכלו ללחוץ על הקובץ והמכשיר כבר ידע לזהות את פרופיל ההגדרות באופן אוטומטי, להוריד אותו ולהחיל אותו על המכשיר.

האפשרות השלישית היא להפיץ את פרופילי ההגדרות באופן מרוכז Over-The-Air באמצעות הרישום וההגדרות המאובטחים הניתנים להפעלה באמצעות פרוטוקול SCEP (המאפשר גם הפצה של תעודות ייעודיות לכל מכשיר).

ומה בהמשך…

חשוב לציין כי כל האפשרויות שהזכרנו במדריך זה קיימות ועובדות בגרסאות 3 ומעלה של מערכת ההפעלה iPhone OS. בגרסה הרביעית (iOS 4.0) הכריזה אפל על מספר שיפורים נוספים בגזרה הארגונית כגון הפצת אפליקציות Over-The-Air, תמיכה ב-SSL VPN ותמיכה ב-Exchange 2010. לכשזו תופץ באופן רשמי, אנו נבדוק את השיפורים בצורה מעמיקה יותר ונדווח לכם בהקדם.

יניב פלדמן

צ’יף-גיק ועורך ראשי. יזם, סטטיסטיקאי חובב, טכנולוג בדם, בעל תואר ראשון במנהל עסקים ו-Microsoft MVP בתחום אבטחת מידע. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

הגב

8 Comments on "המדריך המלא לאבטחת מכשירי אייפון בארגון"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
שי
Guest

אחד הפוסטים הטובים שקראתי לאחרונה. חידשת.

יניב פלדמן
Guest

תודה רבה. תמיד כיף לקבל גם מחמאות :-)
אם יש לך הצעות או רעיונות למדריכים נוספים אתה מוזמנים להגיב כאן או לשלוח מייל אלי ישירות.

יניב.

שי שרון
Guest

תודה, בדיוק בזמן. השבוע רכשתי 3 אייפונים לחברה וכאחד שמעולם לא היה לו אייפון המדריך הזה בהחלט עוזר!

trackback

[…] אין ספק שיש מכשירים טובים ממנו עבור המשתמש הארגוני, אך הפופולאריות הגואה של של המכשירים הניידים של אפל (אם זה האייפון שכבר מזמן הפך לטלפון החכם הנפוץ בעולם ואם זה האייפאד, אשר צובר גם הוא פופולאריות לא קטנה בקרב המשתמשים הארגוניים) הופכת את הצורך בניהול ואבטחה של המכשיר ברמה הארגונית להכרחי עבור כל ארגון שמכבד את עצמו. לכתבה המלאה […]

Jonathan
Guest

After upgrading my ipad to 4.2 it was unable to sync with exchange
all credentials kept the same but it sims to in fail establishing a secure connection

any thought ?

דני לוי
Guest

האם מישהו יודע, אם אני מפתח אפליקציה עבור הארגון אני חייב להעלות את הקוד שלה לאפל?

גיא
Guest

אלהן אחי,אני חייב עזרה דחוף
איך אני מגדיר הגדרות apn ברשת אורנג’

גיא
Guest

תודה מראש על העזרה !

wpDiscuz

תגיות לכתבה: