Unternehmensfunktionen im neuen Betriebssystem (Teil 4)

iOS 10 - Neue Features bei Geräteverwaltung und -Management

Mark Zimmermann weist mehrere Jahre Erfahrung in den Bereichen Mobile Sicherheit, Mobile Lösungserstellung, Digitalisierung und Wearables auf. Er versteht es diese Themen aus unterschiedlichsten Blickwinkeln für unternehmensspezifische Herausforderungen darzustellen. Hierzu ist er auf nationale Vorträgen und als freier Autor für Fachpublikationen tätig.
Wer die letzte Keynote auf der WWDC16 gesehen hat, ist der Meinung, dass Apple für Unternehmen wenig zu bieten hat und den Schwerpunkt auf bunte Icons in iMessage liegt. Dabei bietet iOS 10 auch für die Geräteverwaltung einige Neuigkeiten.
Der Eindruck täuscht: Apple hat in iOS10 auch zahlreiche Business-Funktionen eingebaut.
Der Eindruck täuscht: Apple hat in iOS10 auch zahlreiche Business-Funktionen eingebaut.
Foto: Apple

Für Unternehmen hat Apple in iOS 10 einige neue Funktionen für die Verwaltung durch ein MDM-System vorgesehen.

VoIP wird integraler Bestandteil

Unternehmen sind jetzt in der Lage eine eigene VoIP-Anwendung als Standard für ausgehende Sprachanrufe hinterlegen. Durch die neue CallKit API können VoIP-Apps sich der iOS-typischen Darstellung von Sprachanrufen bedienen. Dies betrifft die komplette Integration inkl. der Darstellung auf dem Sperrbildschirm bei eingehenden Anrufen. Für den Anwender integriert sich damit jeder VoIP-Dienst nahtlos und damit optimal das bestehende Benutzererlebnis im iOS-System.

Für Unternehmen dürfte auch die vollständige Integrierbarkeit in Cisco-Telefonanlagen eine willkommene Funktion darstellen.

VPN-Systeme werden sicherer

Firmen nutzen Virtual Private Networks (VPN) primär, um externen Mitarbeitern übers Internet sicheren Zugriff auf das Firmennetz zu gewähren. Oft sollen VPNs auch die Netzwerkverbindung von mobilen Geräten und Smartphones etwa an öffentlichen Hotspots absichern und dabei neugierige Schnüffler aussperren.

Software Defined Infrastructure in Deutschland 2016

Software Defined Infrastructure in Deutschland 2016

Software Defined Infrastructure (SDI) hilft Ihnen IT-Ressourcen kosteneffizienter und flexibler zu nutzen.
Weitere Vorteile und eine Roadmap zur SDI laut IDC erfahren Sie in dieser Studie.

Mit iOS 10 treibt Apple (siehe Teil 1, Unternehmensfunktionen im neuen Betriebssystem (Teil 1): iOS 10 - Sicherheit bei der Kommunikation) die Sicherheit der Plattform und der Kommunikation weiter nach oben. Mit iOS 10 sind PPTP-VPN-Konfigurationen (Microsofts Point to Point Tunneling Protocol) nicht mehr lauffähig. Der Grund liegt darin, dass das in PPTP eingesetzte Authentifizierungsverfahren MSCHAPv2 auf dem angestaubten DES basiert und sich mit Spezial-Hardware einfach knacken lässt. So lässt sich aus aufgezeichneten Netzwerk-Paketen der so genannte NT-Hash ermitteln, der die Basis für Authentifizierung und Verschlüsselung von PPTP ist (im übrigen auch bei WLANs mit WPA2).

Die Webseite Cloudcracker nutzt dies und verspricht jeden PPTP-Zugang für 200 US-Dollar innerhalb eines Tages zu knacken.

Als Alternative können und müssen Unternehmen auf andere Verfahren setzen, wie etwa L2TP/IPSec, IKEv2/IPSec, Cisco IPSec oder SSL VPN Clients aus dem App Store (z.B von AirWatch, Check Point, Cisco, MobileIron, Open VPN und andere).

Zertifikatsrollout wird sicherer

Setzen Ihre SCEP-Server noch MD5 (Message-Digest Algorithm 5) als Fingerprint (Hexadecimal String) ein, muss dies auf 3DES (auch als Triple-DES, TDES, oder DESede bezeichnet) oder AES (Advanced Encryption Standard) "aufgerüstet werden. SCEP (Simple Certificate Enrollment Protocol) vereinfacht das Anfordern und Ausstellen von Zertifikaten in internen vertrauenswürdigen Netzwerken deutlich, indem das iOS-Gerät sich selbst das Zertifikat abholt. Damit dies nicht missbraucht wird, muss aber zuerst eine berechtigte Person ein "Einmalkennwort" erstellen, welches dann dem Gerät zur Verfügung gestellt wird. Das Endgerät kann dann mit diesem zeitlich begrenzt gültigen Kennwort ( Windows: 60 Minuten) ein Zertifikat vom SCEP-Service anfordern.

MD5 ist hier eine weit verbreitete kryptographische Hashfunktion, die aus einer beliebigen Nachricht einen 128-Bit-Hashwert erzeugt. Sie gilt inzwischen jedoch nicht mehr als sicher, da es mit überschaubarem Aufwand möglich ist, unterschiedliche Nachrichten zu erzeugen, die den gleichen MD5-Hashwert aufweisen. Daher hat sich Apple zu diesem Schritt entschlossen.

Alles wird Supervised

Der Betreuungsmodus gewinnt immer mehr an Bedeutung. Entweder durch DEP (Device Enrollment Program) oder durch den Apple Configurator aktiviert, sind tiefgreifendere Befehle durch ein MDM auf einem iOS-Gerät möglich. Device Enrollment Program ist dabei ein Service von Apple, der für Geräte die von ausgewählten Partnern bezogen werden zur Verfügung steht. Der Apple Configurator kann bei jedem via Kabel angeschlossenen iOS-Gerät den Modus aktivieren.

Auch wenn die folgenden Funktionen nicht erst mit iOS 10, sondern bereits mit iOS 9.3.3 erschienen sind möchte ich diese der vollständigkeitshalber hier erwähnen:

  1. • Das Layout des HomeScreens lässt sich vorgeben

  2. • Apps lassen sich in Black-/White-Listen legen (inkl. Build-In Apps)

  3. • verlorene oder gestohlene Geräte können für eine (fremde) Aktivierung gesperrt werden.

  4. • wird per MDM der Verlust (Lost mode) eines Gerätes initiiert, kann das MDM das Gerät per GPS orten

  5. • Restriktionen auf Apple Musick, iTunes Radio sind möglich

Mit iOS 10 kommt die Möglichkeit dazu, Bluetooth zwangsweise zu aktivieren und ein Deaktivieren unmöglich zu machen.

Wie erwähnt, erfährt der Betreuungsmodus immer mehr an Bedeutung. Nicht nur dass dieser mehr Konfigurationen ermöglicht, nein es werden auch bestehende Konfigurationen, die ihn bisher nicht benötigt haben,von Apple mit iOS 10 migriert.

Auch sind einige MDM-Kommandos nur noch mit entsprechendem Betreuungsmodus möglich (z.B. Einschränkungen für Multiplayer-Spiele, Gamecenter-Freunde, AppStore-Installationen). Hier empfiehlt es sich, in die Dokumentation bei Apple einen Blick zu werfen.

Empfehlung

Verstehen Sie diese Verschärfung der Sicherheit als Chance. Während andere Plattformen wie Windows oder Android noch die alten und angreifbaren Zugänge akzeptieren, schneidet Apple hier rigoros ab. Auch wenn dies nicht immer Zuspruch einbringen wird, da viele Unternehmen hier einen zusätzlichen Aufwand in der Anpassung vermuten, ist dieser Schritt konsequent und bewundernswert.

Wie jedes Jahr überführt Apple immer mehr Funktionen aus dem Funktionsumfang des klassischen MDM in das MDM von betreuten Geräten. Beschäftigen Sie sich daher frühzeitig damit, inwieweit Sie ihre Geräte in diesem Modus versetzen wollen und können. (mb)

 

Mark Zimmermann

Es gibt Leute die mir schreiben, dass es unmöglich von Apple sei, dass man keine iOS Updates über MDM unterbinden kann. Das ist nicht korrekt, das geht. Man kann das entweder über ein IKEv2 VPN oder durch eine Global Proxy Proxy.PAC Auto-Konfiguration:

function FindProxyForURL(url, host)
{ if (host =="mesu.apple.com") return "PROXY 127.0.0.1:8080";
else return "DIRECT"; }

erreichen. Das geht schon seit Jahren :) man muß nur die Doku lesen :)

comments powered by Disqus