Rooting von Android-Geräten verhindern
Zurücksetzen auf Werkseinstellungen, über die Geräte-Einstellungen verhindern
Neukonfiguration nach einem harten Reset verhindern
Installation einer benutzerdefinierten OS-Version verhindern
Sicherheits-Patches installieren
Installation von Apps verhindern, die nicht aus dem Play Store stammen
Installation von nicht vertrauenswürdigen Zertifikaten verhindern
Versehentliches browsen auf Phishing-Webseiten verhindern
Rooting von Android-Geräten verhindern
Als Rooting wird bei Android der Prozess bezeichnet, bei dem ein Root-Konto (Superuser) Zugriff auf das komplette System inklusive aller Ressourcen erlangt. Deshalb ist der Root-Zugriff bei allen Android-Geräten standardmäßig deaktiviert. Gerootete Geräte sind in einer Unternehmensumgebung unerwünscht, da Unternehmensdaten auf solchen Geräten offengelegt werden können. Deshalb muss sichergestellt werden, dass keine bereits gerooteten Geräte Zugriff auf die Unternehmensanwendungen und -dienste erlangen. Außerdem muss das nachträgliche Rooting bereits angemeldeter Geräte verhindert werden.
Hierfür sind zwei Maßnahmen erforderlich:
- Konfigurieren Sie die SafetyNet-Überprüfung von Google. Aktivieren Sie unter Aktion bei Fehlschlag der grundlegenden Integritätsprüfung die Option Zurücksetzen. Sobald der SafetyNet-Check ein gerootetes Gerät erkennt, wird es auf Werkseinstellungen zurückgesetzt. Somit wird bereits die Registrierung gerooteter Geräte unterbunden.
- Die zweite Sicherheitsmaßnahme ist bereits standardmäßig aktiviert. Die Nutzer/-innen haben keinen Zugriff auf die Entwickleroptionen von komplett verwalteten Android-Geräten. (Bei Bedarf können Sie diese Standardeinstellung mit Hilfe der Richtlinie Verwendung von Entwickleroptionen erlauben ändern. Dies ist aber aus genannten Gründen nicht zu empfehlen.)
Android-Geräte können nur gerootet werden, wenn der Bootloader entsperrt ist, was die Aktivierung des Entwickleroptionen erfordert. Durch die standartmäßige Beschränkung der "Entwickleroptionen" wird ein Rooting des Gerätes verhindert. In sehr seltenen Fällen kann jedoch eine Sicherheitslücke in der Betriebssystemversion dazu führen, dass einige Anwendungen den Root-Zugriff auf das Gerät auch ohne aktivierte Entwickleroptionen erhalten. In so einem Fall greift der Google SafetyNet-Check, vorausgesetzt bei Benutzer beim Import automatisch für Android Enterprise aktivieren wurde die Option Zurücksetzen aktiviert.
Zurücksetzen auf Werkseinstellungen, über die Geräte-Einstellungen verhindern
Wenn Sie verhindern möchten, dass Nutzer/-innen Geräte über die Geräte-Einstellungen auf Werkseinstellungen zurücksetzt, richten Sie eine entsprechende Richtlinie ein.
Nach der Zuweisung der Richtlinie an die Nutzer/-innen wird die neue Einstellung in der Cortado-App angezeigt (linkes Bild) und die Option ist in den Einstellungen nicht möglich (rechtes Bild).
Ein Zurücksetzen auf Werkseinstellungen über die Geräte-Einstellungen ist jetzt nicht mehr möglich.
Neukonfiguration nach einem harten Reset verhindern
Es ist möglich Android-Geräte mit Hilfe der Ein-/Aus-Taste und der Lautstärketasten auf Werkseinstellungen zurückzusetzen. Dieser harte Reset kann nicht durch eine Richtlinie unterbunden werden. Hingegen kann aber die Neukonfiguration, eines auf diese Art zurückgesetzen Gerätes, verhindert werden. Google hat hierfür mit Android 5.1 die sogenannte Factory Reset Protection (FRP) eingeführt. Aktivieren Sie FRP im Verwaltungsportal mit Hilfe der Richtlinie Factory Reset Protection (FRP). Auf Geräten mit FRP wird bei einer Neukonfiguration, nach einem harten Reset, die Eingabe vom zuletzt verwendeten Google-Konto mit Passwort verlangt. Deshalb können Sie in der FRP-Richtlinie bis zu drei Google-Konten (von Administratoren) hinterlegen, die stattdessen verwendet werden können.
Installation einer benutzerdefinierten OS-Version verhindern
Es gibt verschiedene Gründe, die dazu führen können, dass Nutzer/-innen eine angepasste Version des Android-Betriebssystems verwenden möchten. So können solche Versionen beispielsweise über eine zusätzliche Funktion verfügen, die in einer offiziellen Version nicht vorhanden ist. Oder Nutzer/-innen möchten, aus einer betreiberspezifischen Version des Betriebssystems (T-Mobile, Verizon) herauszukommen. Es könnte auch sein, dass ein Recovery-Image installiert werden soll, welches das Rooting vom Gerät ermöglicht. Um Unternehmensdaten zu schützen, muss sichergestellt werden, dass keine Geräte mit benutzerdefinierten OS-Versionen Zugriff bekommen. Außerdem muss die nachträgliche Änderung der OS-Version auf bereits registrierten Geräten verhindert werden.
Hierfür sind zwei Maßnahmen erforderlich:
- Konfigurieren Sie die SafetyNet-Überprüfung von Google. Aktivieren Sie unter Aktion bei Fehler der CTS-Profilübereinstimmungsprüfung die Option Auf Werkseinstellungen zurücksetzen (oder Sperren). Sobald der SafetyNet-Check ein Gerät mit einem nicht offiziellen Betriebssystem erkennt, wird es auf Werkseinstellungen zurückgesetzt (oder gesperrt). Somit wird bereits die Registrierung dieser Geräte unterbunden.
- Die zweite Sicherheitsmaßnahme ist für Android-Geräte bereits standardmäßig aktiviert. Die Nutzer/-innen haben keinen Zugriff auf die Entwickleroptionen von komplett verwalteten Android-Geräten. Es können deshalb keine Änderungen am Betriebssystem vorgenommen werden. (Bei Bedarf können Sie diese Standardeinstellung mit Hilfe der Richtlinie Verwendung von Entwickleroptionen erlauben ändern. Dies ist aber aus genannten Gründen nicht zu empfehlen.)
Ein benutzerdefiniertes Betriebssystem kann nur installiert werden, wenn der Bootloader entsperrt ist, was die Aktivierung der Entwickleroptionen erfordert. Durch die standartmäßige Beschränkung der Entwickleroptionen sind die Geräte in der Regel sicher. In sehr seltenen Fällen kann jedoch eine Sicherheitslücke in der Betriebssystemversion unerwünschte Auswirkungen haben. In so einem Fall greift der Google SafetyNet-Check, vorausgesetzt bei Aktion bei Fehler der CTS-Profil übereinstimmungsprüfung wurde die Option Auf Werkseinstellungen zurücksetzen (oder Sperren) aktiviert.
Sicherheits-Patches installieren
In der Vergangenheit sind immer mal wieder Sicherheitslücken in Android-Versionen bekannt geworden. Deshalb veröffentlichen Gerätehersteller und Google monatlich Sicherheitspatches. Es wird immer empfohlen, die Sicherheitspatches auf dem neuesten Stand zu halten. Nutzen Sie die OS-Update-Richtlinie, um die Installation von OS-Updates zu forcieren. Planen Sie die Updates während der arbeitsfreien Zeit.
Installation von Apps verhindern, die nicht aus dem Play Store stammen
Alle Play-Store-Anwendungen werden von Google dahingehend geprüft, dass sie keine Sicherheitslücken aufweisen und keine Malware-Programme enthalten. .apk-Dateien, die direkt auf einem Gerät installiert werden, können allerdings Sicherheitslücken oder Malware-Programme enthalten. Die Installation von anderen Anwendungen, als aus dem Play Store wird von Cortado deshalb schon per Default verhindert. Sie müssen also keine weiteren Einstellungen vornehmen.
Wenn Sie Ihren Nutzer/-innen dennoch erlauben möchten, Anwendungen zu installieren, die nicht aus dem Play Store stammen, aber sicherstellen möchten, dass diese keine Bedrohungen darstellen, verteilen Sie die Richtlinie Installation von Apps aus unbekannten Quellen erlauben. Achten Sie in diesem Fall darauf, dass die Richtlinie Überprüfen von Apps auf Schadsoftware erzwingen ebenfalls aktiviert ist. Alle Apps werden dann auf Schwachstellen gescannt.
Vermisste Geräte wiederfinden
Missgeschicke können jederzeit passieren. Wird ein Gerät von dem/der Nutzer/-in vermisst, wurde es vielleicht verlegt, verloren oder gestohlen. Mit dem Cortado Verwaltungsportal können Sie versuchen es wiederzufinden. Sperren Sie das Gerät, in dem Sie den Verlustmodus aktivieren, hinterlassen Sie eine Nachricht auf dem Sperrbildschirm und versuchen Sie es zu lokalisieren.
Installation von nicht vertrauenswürdigen Zertifikaten verhindern
Die Installation eines nicht vertrauenswürdigen CA-Zertifikats würde Raum für einen Man-in-the-Middle-Angriff schaffen. Verhindern können Sie dies mit der Richtlinie Änderungen an Sicherheitszertifikaten erlauben. Entfernen Sie das Häkchen aus der Checkbox und verteilen Sie die Richtlinie an Ihre Nutzer/-innen.
Wenn Sie in Ihrem Unternehmen selbstsignierte Zertifikate für Apps verwenden möchten, erstellen Sie für das Verteilen der Zertifikate ein Zertifikat-Profil.
Versehentliches browsen auf Phishing-Webseiten verhindern
Phishing-Websites versuchen, an Anmeldedaten von Nutzer/-innen zu gelangen. Besuchen Nutzer/-innen versehentlich so eine Webseite (z. B. über einen Link in einer Phishing-Mail), können Unternehmensdaten in falsche Hände geraten. Sie können das mit Hilfe der verwalteten Konfigurationen für die Browser Google Chrome und Microsoft Edge verhindern. Aktivieren Sie hierfür die Checkbox Disable proceeding from the Safe Browsing warning page in den Verwalteten Konfigurationen der jeweiligen App.
Stellen Sie sicher, dass alle anderen Systembrowser auf dem Gerät auf die Sperrliste gesetzt werden.