Im Verwaltungsportal von Cortado finden Sie eine Vielzahl von Richtlinien, die Ihnen helfen können, die Sicherheit Ihrer Geräte zu verbessern. Vor allem für vollständig verwaltete Geräte stehen Ihnen dabei eine Reihe von Optionen zur Verfügung, die wir Ihnen in diesem Artikel vorstellen möchten.
Ziel
In diesem How-To zeigen wir Ihnen, wie Sie Richtlinien für Android-Geräte konfigurieren können, um die Gerätesicherheit zu erhöhen.
Umsetzung
- Wählen Sie im Verwaltungsportal von Cortado Verwaltung→ Richtlinien.
- Fügen Sie eine neue Richtlinie mit Klick auf das Plus-Icon hinzu.
- Wählen Sie anschließend Android und als Einrichtungsmethode Vollständig verwaltetes Gerät, Arbeitsprofil bzw. Arbeitsprofil auf firmeneigenem Gerät (Beispiel im Bild).
- Unter Gerätesicherheit finden Sie die Optionen, die im Folgenden näher erläutert werden sollen. Im Bild sehen Sie die Standardeinstellungen der Richtlinien für vollständig verwaltete Geräte. Einige Richtlinien sind bereits per default deaktiviert, um die Sicherheit zu gewährleisten, ohne dass zuerst eine Richtlinie zugewiesen werden muss.
Hinweis! Auf Geräten mit Arbeitsprofil bzw. Arbeitsprofil auf firmeneigenen Geräten stehen nur einige der im folgenden beschriebenen Richtlinien zur Verfügung.
Verwendung von Entwickleroptionen erlauben
Installation von Apps aus unbekannten Quellen erlauben
Überprüfen von Apps auf Schadsoftware erzwingen
Android Debug Bridge (ADB) erlauben
Neustart des Geräts im abgesicherten Modus erlauben
Änderungen an Sicherheitszertifikaten erlauben
Common-Criteria-Modus verwenden
Minimale Integritätsstufe/Aktion für nicht-konforme Geräte
Verwendung von Entwickleroptionen erlauben
Entwickleroptionen sind in erster Linie für Systementwickler interessant und werden im Unternehmenskontext in der Regel nur auf Testgeräten verwendet. Deshalb ist deren Nutzung auf vollständig verwalteten Geräten standardmäßig nicht erlaubt. Auf Android-Geräten finden Sie die Entwickleroptionen in den Einstellungen, indem Sie unter Über das Telefon siebenmal auf Build-Nummer tippen (Pfeil im linken Bild). Wenn die Entwickleroptionen blockiert sind, erhalten Sie eine entsprechende Meldung (rechtes Bild). Sie können diese Voreinstellung ändern, indem Sie ein Häkchen in die Checkbox setzen und die Richtlinie anschließend an Nutzer/-innen/Gruppen bzw. Geräte zuweisen. Zu empfehlen ist dies jedoch, aus Gründen der Gerätesicherheit, nicht.
Installation von Apps aus unbekannten Quellen erlauben
Da die Installation von Apps aus unbekannten Quellen, ebenfalls ein erhebliches Sicherheitsrisiko für die Gerätesicherheit in Unternehmen darstellt, ist auch diese Option auf vollständig verwalteten Android-Geräten standardmäßig nicht erlaubt.
Sollten Sie die Option dennoch aktivieren wollen, setzen Sie ein Häkchen in die entsprechende Checkbox und weisen die Richtlinie anschließend den Nutzer/-innen/Gruppen bzw. Geräten zu. In der Cortado-App können Sie daraufhin sehen, das die Option erlaubt ist (Pfeil im linken Bild). In den Einstellungen unter Apps→ Spezieller App-Zugriff→ Installieren unbekannter Apps ist der Schieberegler wieder aktiv und kann verstellt werden (rechtes Bild).
Überprüfen von Apps auf Schadsoftware erzwingen
Diese standardmäßig aktivierte Richtlinie sorgt dafür, dass Google Play Protect nicht mehr deaktiviert werden kann. Play Protect führt regelmäßig Sicherheitschecks durch, scannt alle Apps und prüft sie auf schädliches Verhalten. In den Einstellungen unter Datenschutz & Sicherheit→ App-Sicherheit (Pfeile im linken Bild) finden Sie die Play-Protect-Einstellungen (Pfeil im mittleren Bild). Bleibt die Richtlinie aktiviert (Häkchen in der Checkbox), kann der Schieberegler für die Option Apps mit Play Protect scannen nicht mehr deaktiviert werden (Pfeil im rechten Bild). Deaktivieren Sie diese Richtlinie nicht!
Android Debug Bridge (ADB) erlauben
Mit der Android Debug Bridge kann ein Android-Gerät vom PC aus gesteuert werden. Sie ist die Schnittstelle zwischen PC und Android-Gerät. Über die ADB lassen sich Befehle per USB-Kabel an das Android-Gerät senden. Dieses Tool ist in erster Linie für Systementwickler gedacht und wird im Unternehmenskontext in der Regel nur auf Testgeräten verwendet. Deshalb steht auch diese Option, auf vollständig verwalteten Geräten, standardmäßig nicht zur Verfügung. Wenn Sie die ADB erlauben möchten, müssen Sie gleichzeitig die Verwendung von Entwickleroptionen erlauben, indem Sie in beide Checkboxen ein Häkchen setzen und die Richtlinie zuweisen. Nach dem Zuweisen werden diese Optionen auf dem Gerät freigeschaltet, zu sehen in der Cortado-App (Pfeile im linken Bild) und in den Einstellungen unter Entwickleroptionen. Das USB-Debugging ist jetzt aktiviert (rechtes Bild), somit kann die ADB verwendet werden.
Neustart des Geräts im abgesicherten Modus erlauben
Im abgesicherten Modus können Sie überprüfen, ob eine heruntergeladene App Probleme verursacht. In diesem Modus wird das Gerät nur mit Apps gestartet, die beim Kauf bereits vorinstalliert waren. Wie genau ein Gerät im abgesicherten Modus gestartet wird, ist abhängig vom Hersteller. Bei den meisten Geräten müssen Sie dafür den Ein-/Aus-Knopf festhalten, während Sie auf Ausschalten (Pfeil im linken Bild) tippen. Anschließend können Sie den Neustart im abgesicherten Modus bestätigen (rechtes Bild).
Die Richtlinie Neustart des Geräts im abgesicherten Modus erlauben ist standardmäßig aktiviert. Wenn Sie sie deaktivieren möchten, entfernen Sie das Häkchen aus der Checkbox und weisen Sie die Richtlinie anschließend den Nutzer/-innen/Gruppen bzw. Geräten zu. Ein Neustart des Geräts im abgesicherten Modus ist dann nicht mehr möglich.
Änderungen an Sicherheitszertifikaten erlauben
Auf jedem Android-Gerät sind standardmäßig eine Vielzahl an vertrauenswürdigen CA-Zertifikaten vorinstalliert. Sie sorgen dafür, dass die Kommunikation zwischen Android-Geräten und Websites, Apps oder anderen Servern sicher ist. Sie finden die Zertifikate im Anmeldedatenspeicher in den Einstellungen unter Sicherheit & Datenschutz→ Weitere Sicherheitseinstellungen→ Verschlüsselung & Anmeldedaten→ Vertrauenswürdige Anmeldedaten→ System (linkes und rechtes Bild).
Wenn Sie nicht möchten, das Ihre Nutzer/-innen Änderungen im Anmeldedatenspeicher vornehmen können, entfernen Sie das standardmäßig gesetzt Häkchen aus der Checkbox Änderungen an Sicherheitszertifikaten erlauben und weisen Sie die Richtlinie anschließend den Nutzer/-innen/Gruppen bzw. Geräten zu. Zertifikate/Anmeldedaten können dann nicht mehr installiert, gelöscht bzw. deaktiviert werden (linkes und rechtes Bild).
Common-Criteria-Modus verwenden
Der Common-Criteria-Modus ist ein internationaler IT-Sicherheitsstandard für Software- und Hardware-Produkte. Die Common-Criteria-Norm stellt sicher, dass bestimmte Aspekte der Produktsicherheit gründlich implementiert, getestet, gewartet und unabhängig überprüft worden sind. Die Richtlinie ist standardmäßig aktiviert (Häkchen in der Checkbox). Wenn sich das Gerät im Common Criteria-Modus befindet, werden bestimmte Gerätefunktionen so eingestellt, dass sie die höhere Sicherheitsstufe erfüllen, die für die Common-Criteria-Zertifizierung erforderlich ist. Ein Beispiel: Bluetooth-Langzeitschlüsselmaterial ist zusätzlich mit AES-GCM integritätsgeschützt. Der Wi-Fi-Konfigurationsspeicher ist zusätzlich mit AES-GCM integritätsgeschützt. Deaktivieren Sie diese Richtlinie nicht!