Мы управляем нашими устройствами Blackberry из BlackBerry Manager (с «BlackBerry Professional Software» лицензия), но я уверен, что он чем-то похож на корпоративную версию / решение.
Какие шаги нужно предпринять для обеспечения (через серверные политики) наши устройства из мошеннические обновления программного обеспечения, злые сторонние приложения, шпионское ПО, вирусы и прочее? (или последние типы атак на устройства Blackberry на данный момент являются лишь «доказательством концепции»?)
Какие политики безопасности рекомендуются для обеспечения безопасности устройств Blackberry?
Убедитесь, что ваш BES-бокс не может получить доступ к другим серверам, которые ему не нужны.
У меня есть множество Unix-компьютеров в локальной сети, которые теперь используют tcpwrappers для запрета любого доступа с машины BES. Это мешает пользователю Blackberry устанавливать эмулятор терминала и подключаться к случайным ящикам в локальной сети по telnet.
Первое, что нужно сделать, это убедиться, что телефоны автоматически блокируются. Эти телефоны фактически находятся в вашей сети, поэтому их следует блокировать, когда они не используются.
Существуют политики, которые могут быть введены для предотвращения установки пользователем программного обеспечения на телефон.
Я не думаю, что вы можете многое сделать, чтобы помешать поставщику обновления телефона хотя. В данный момент мне нужно бежать, а когда я вернусь, я надеюсь на свой сервер BES и выясню хорошую базу.
Для предотвращения неавторизованных сторонних приложений и т. Д. Вы можете сделать это двумя способами. Первый - это использование ИТ-политики, которая называется запретить сторонние приложения (я думаю, это может быть похоже на название), что предотвратит установку ВСЕХ сторонних приложений. Другой способ - вы можете добавить в белый список приложения, которые хотите разрешить для установки. Это делается путем создания разрешенных списков с помощью настройки развертывания программного обеспечения. Вот это ссылка на это. Блокировка стороннего приложения переопределит белый список.
Служба MDS-CS предоставит устройствам доступ к локальной сети, в которой находится сервер. Если это та же подсеть, что и ваши рабочие станции, вероятно, поскольку вы используете профессиональную версию, это не имеет значения. Но более крупные организации будут иметь сервер BES в другом сегменте сети, чем рабочие станции, так что эта услуга может быть защищена. Вы можете настроить прокси-соединение на MDS-CS для отправки запросов BB на другой шлюз.
Что касается политик устройства, вы можете использовать включенные политики с сервером в качестве отправной точки для различных уровней. Затем просмотрите другие политики, чтобы узнать, что еще вы можете заблокировать на телефонах.