Cortado Support

Meine Tickets Besuche www.cortado.com
Willkommen
Anmelden

So steuern Sie die Gerätesicherheit auf Android-Geräten mit Hilfe von Richtlinien

Im Verwaltungsportal von Cortado finden Sie eine Vielzahl von Richtlinien, die Ihnen helfen können, die Sicherheit Ihrer Geräte zu verbessern. Vor allem für vollständig verwaltete Geräte stehen Ihnen dabei eine Reihe von Optionen zur Verfügung, die wir Ihnen in diesem Artikel vorstellen möchten.

Ziel

In diesem How-To zeigen wir Ihnen, wie Sie Richtlinien für Android-Geräte konfigurieren können, um die Gerätesicherheit zu erhöhen.

Umsetzung

  • Wählen Sie im Verwaltungsportal von Cortado Verwaltung→ Richtlinien.
  • Fügen Sie eine neue Richtlinie mit Klick auf das Plus-Icon hinzu.
  • Wählen Sie anschließend Android und als Einrichtungsmethode Vollständig verwaltetes Gerät, Arbeitsprofil bzw. Arbeitsprofil auf firmeneigenem Gerät (Beispiel im Bild).
  • Unter Gerätesicherheit finden Sie die Optionen, die im Folgenden näher erläutert werden sollen. Im Bild sehen Sie die Standardeinstellungen der Richtlinien für vollständig verwaltete Geräte. Einige Richtlinien sind bereits per default deaktiviert, um die Sicherheit zu gewährleisten, ohne dass zuerst eine Richtlinie zugewiesen werden muss.
Hinweis! Auf Geräten mit Arbeitsprofil bzw. Arbeitsprofil auf firmeneigenen Geräten stehen nur einige der im folgenden beschriebenen Richtlinien zur Verfügung.

Richtlinien zur Gerätesicherheit für vollständig verwaltete Geräte

Verwendung von Entwickleroptionen erlauben

Installation von Apps aus unbekannten Quellen erlauben

Überprüfen von Apps auf Schadsoftware erzwingen

Android Debug Bridge (ADB) erlauben

Neustart des Geräts im abgesicherten Modus erlauben

Änderungen an Sicherheitszertifikaten erlauben

Common-Criteria-Modus verwenden

Minimale Integritätsstufe/Aktion für nicht-konforme Geräte

Verwendung von Entwickleroptionen erlauben

Entwickleroptionen sind in erster Linie für Systementwickler interessant und werden im Unternehmenskontext in der Regel nur auf Testgeräten verwendet. Deshalb ist deren Nutzung auf vollständig verwalteten Geräten standardmäßig nicht erlaubt. Auf Android-Geräten finden Sie die Entwickleroptionen in den Einstellungen, indem Sie unter Über das Telefon siebenmal auf Build-Nummer tippen (Pfeil im linken Bild). Wenn die Entwickleroptionen blockiert sind, erhalten Sie eine entsprechende Meldung (rechtes Bild). Sie können diese Voreinstellung ändern, indem Sie ein Häkchen in die Checkbox setzen und die Richtlinie anschließend an Nutzer/-innen/Gruppen bzw. Geräte zuweisen. Zu empfehlen ist dies jedoch, aus Gründen der Gerätesicherheit, nicht.

Build-Nummer antippen um Entwickleroptionen zu öffnen

Installation von Apps aus unbekannten Quellen erlauben

Da die Installation von Apps aus unbekannten Quellen, ebenfalls ein erhebliches Sicherheitsrisiko für die Gerätesicherheit in Unternehmen darstellt, ist auch diese Option auf vollständig verwalteten Android-Geräten standardmäßig nicht erlaubt.

Installieren unbekannter Apps nicht erlaubt

Sollten Sie die Option dennoch aktivieren wollen, setzen Sie ein Häkchen in die entsprechende Checkbox und weisen die Richtlinie anschließend den Nutzer/-innen/Gruppen bzw. Geräten zu. In der Cortado-App können Sie daraufhin sehen, das die Option erlaubt ist (Pfeil im linken Bild). In den Einstellungen unter Apps→ Spezieller App-Zugriff→ Installieren unbekannter Apps ist der Schieberegler wieder aktiv und kann verstellt werden (rechtes Bild).

installieren unbekannter Apps erlaubt

Überprüfen von Apps auf Schadsoftware erzwingen

Diese standardmäßig aktivierte Richtlinie sorgt dafür, dass Google Play Protect nicht mehr deaktiviert werden kann. Play Protect führt regelmäßig Sicherheitschecks durch, scannt alle Apps und prüft sie auf schädliches Verhalten. In den Einstellungen unter Datenschutz & Sicherheit→ App-Sicherheit (Pfeile im linken Bild) finden Sie die Play-Protect-Einstellungen (Pfeil im mittleren Bild)Bleibt die Richtlinie aktiviert (Häkchen in der Checkbox), kann der Schieberegler für die Option Apps mit Play Protect scannen nicht mehr deaktiviert werden (Pfeil im rechten Bild). Deaktivieren Sie diese Richtlinie nicht!

Google Play Protection aktiviert

Android Debug Bridge (ADB) erlauben

Mit der Android Debug Bridge kann ein Android-Gerät vom PC aus gesteuert werden. Sie ist die Schnittstelle zwischen PC und Android-Gerät. Über die ADB lassen sich Befehle per USB-Kabel an das Android-Gerät senden. Dieses Tool ist in erster Linie für Systementwickler gedacht und wird im Unternehmenskontext in der Regel nur auf Testgeräten verwendet. Deshalb steht auch diese Option, auf vollständig verwalteten Geräten, standardmäßig nicht zur Verfügung. Wenn Sie die ADB erlauben möchten, müssen Sie gleichzeitig die Verwendung von Entwickleroptionen erlauben, indem Sie in beide Checkboxen ein Häkchen setzen und die Richtlinie zuweisen. Nach dem Zuweisen werden diese Optionen auf dem Gerät freigeschaltet, zu sehen in der Cortado-App (Pfeile im linken Bild) und in den Einstellungen unter Entwickleroptionen. Das USB-Debugging ist jetzt aktiviert (rechtes Bild), somit  kann die ADB verwendet werden.

ADB und Entwickleroptionen aktiviert

Neustart des Geräts im abgesicherten Modus erlauben

Im abgesicherten Modus können Sie überprüfen, ob eine heruntergeladene App Probleme verursacht. In diesem Modus wird das Gerät nur mit Apps gestartet, die beim Kauf bereits vorinstalliert waren. Wie genau ein Gerät im abgesicherten Modus gestartet wird, ist abhängig vom Hersteller. Bei den meisten Geräten müssen Sie dafür den Ein-/Aus-Knopf festhalten, während Sie auf Ausschalten (Pfeil im linken Bild) tippen. Anschließend können Sie den Neustart im abgesicherten Modus bestätigen (rechtes Bild).

abgesicherten Modus starten

Die Richtlinie Neustart des Geräts im abgesicherten Modus erlauben ist standardmäßig aktiviert. Wenn Sie sie deaktivieren möchten, entfernen Sie das Häkchen aus der Checkbox und weisen Sie die Richtlinie anschließend den Nutzer/-innen/Gruppen bzw. Geräten zu. Ein Neustart des Geräts im abgesicherten Modus ist dann nicht mehr möglich.

Änderungen an Sicherheitszertifikaten erlauben

Auf jedem Android-Gerät sind standardmäßig eine Vielzahl an vertrauenswürdigen CA-Zertifikaten vorinstalliert. Sie sorgen dafür, dass die Kommunikation zwischen Android-Geräten und Websites, Apps oder anderen Servern sicher ist. Sie finden die Zertifikate im Anmeldedatenspeicher in den Einstellungen unter Sicherheit & Datenschutz→ Weitere Sicherheitseinstellungen→  Verschlüsselung & Anmeldedaten→ Vertrauenswürdige Anmeldedaten→ System (linkes und rechtes Bild).

Vertrauenswürdige Anmeldedaten anzeigen

Wenn Sie nicht möchten, das Ihre Nutzer/-innen Änderungen im Anmeldedatenspeicher vornehmen können, entfernen Sie das standardmäßig gesetzt Häkchen aus der Checkbox Änderungen an Sicherheitszertifikaten erlauben und weisen Sie die Richtlinie anschließend den Nutzer/-innen/Gruppen bzw. Geräten zu. Zertifikate/Anmeldedaten können dann nicht mehr installiert, gelöscht bzw. deaktiviert werden (linkes und rechtes Bild).

Änderungen an vertrauenswürdigen Anmeldedaten nicht erlaubt

Common-Criteria-Modus verwenden

Der Common-Criteria-Modus ist ein internationaler IT-Sicherheitsstandard für Software- und Hardware-Produkte. Die Common-Criteria-Norm stellt sicher, dass bestimmte Aspekte der Produktsicherheit gründlich implementiert, getestet, gewartet und unabhängig überprüft worden sind. Die Richtlinie ist standardmäßig aktiviert (Häkchen in der Checkbox). Wenn sich das Gerät im Common Criteria-Modus befindet, werden bestimmte Gerätefunktionen so eingestellt, dass sie die höhere Sicherheitsstufe erfüllen, die für die Common-Criteria-Zertifizierung erforderlich ist. Ein Beispiel: Bluetooth-Langzeitschlüsselmaterial ist zusätzlich mit AES-GCM integritätsgeschützt. Der Wi-Fi-Konfigurationsspeicher ist zusätzlich mit AES-GCM integritätsgeschützt. Deaktivieren Sie diese Richtlinie nicht!



War diese Antwort hilfreich? Ja Nein

Feedback senden
Leider konnten wir nicht helfen. Helfen Sie uns mit Ihrem Feedback, diesen Artikel zu verbessern.