HƢỚNG DẪN TRIỂN KHAI

KASPERSKY - MOBILE DEVICE

MANAGEMENT

2015

THÔNG TIN KIỂM SOÁT

Đơn vị chịu trách nhiệm

CÔNG TY CỔ PHẦN TÍCH HỢP HỆ THỐNG NAM TRƢỜNG SƠN.

Số 20 Tăng Bạt Hổ, Phường 11, Quận Bình Thạnh.TPHCM

Tel: +84835268355

Fax: +84835268356

www.nts.com.vn

Email: ntssi@nts.com.vn

Mô tả Hướng dẫn triển khai Kaspersky - Mobile Device

Management

Tác giả Cao Minh Toàn NTSSI

Biên tập

Phiên bản 2015

Thời hạn hiệu lực

Phạm vi lƣu hành Dành riêng cho nội bộ NTSSI và khách hàng liên quan

Tài liệu thay thế cho

Các tài liệu đính kèm

Khách hàng

Địa chỉ

Điện thoại

Ngƣời lien hệ

MỤC LỤC

A. Lab1: KASPERSKY SECURITY FOR ANDROID MOBILE .................. 1

CÀI ĐẶT VÀ CẤU HÌNH TRÊN KSC 10 ................................................................ 1

1. Cài plugin Mobile devices management ........................................................................ 1

2. Mở port trên để thiết bị Android kết nối vào KSC ........................................................ 1

3. Tạo group và policy quản lí thiết bị android .................................................................. 2

4. Tạo rule cho phép di chuyển các thiết bị android vào group quản lí của KSC .............. 3

5. Tạo gói cài đặt cho điện thoại android ........................................................................... 5

CÀI ĐẶT TRÊN ĐIỆN THOẠI ANDROID ............................................................. 7

1. Gửi gói cài đặt cho người dùng thiết bị Android ........................................................... 7

2. Cài đặt Kaspersky Security 10 for mobile (KSM 10) .................................................... 8

3. Đồng bộ với KSC ......................................................................................................... 10

4. Cấu hình policy quản lí thiết bị android....................................................................... 11

B. Lab2: iOS MOBILE DEVICE MANAGEMENT ...................................... 16

CÀI ĐẶT IOS MDM MOBILE DEVICE SERVER .............................................. 16

1. Cấu hình địa chỉ để kết nối thiết bị di động vào iOS MDM Server ............................. 16

2. Cài đặt iOS MDM Mobile Device Server.................................................................... 17

3. Kết nối iOS MDM Mobile Device Server đến APNs .................................................. 21

KẾT NỐI THIẾT BỊ IOS ĐẾN IOS MDM MOBILE DEVICE SERVER .......... 28

1. Gửi profile đến email của người dùng ......................................................................... 28

2. Cài đặt MDM profile trên điện thoại của người dung ................................................. 30

3. Tại KSC, đảm bảo thiết bị được kết nối thành công tới KSC ...................................... 32

4. Tại KSC, khởi tạo tiến trình cài đặt Kaspersky Safe Browser trên thiết bị iOS .......... 33

5. Cài đặt Kaspersky Safe Browser lên thiết bị người dung và kết nối chúng đến KSC

server .................................................................................................................................... 33

6. Tại KSC, đảm bảo Kaspersky Safe Browser được kết nối thành công ....................... 33

1

A. Lab1: KASPERSKY SECURITY FOR ANDROID MOBILE

Mục tiêu: Cài đặt chương trình endpoint lên điện thoại Android và quản lí trên KSC thông qua

các policy.

Nội dung:

CÀI ĐẶT VÀ CẤU HÌNH TRÊN KSC 10

1. Cài plugin Mobile devices management

Đầu tiên, bạn cần cài plugin Moblie devices management bằng cách chạy file cài đặt

KSC 10 chọn vào Install management plugins Chọn vào Kaspersky Mobile Device

Management 10 Service Pack 1 Install

Sau khi cài đặt, bạn ngắt kết nối rồi sau đó kết nối lại với KSC để thấy plugin vừa cài đặt:

2. Mở port trên để thiết bị Android kết nối vào KSC

Click chuột phải vào Administrator Server Properties Settings Chọn vào ô

Open port for mobile devices (hình dưới):

2

3. Tạo group và policy quản lí thiết bị android

Vào Managed computers Create a subgroup Đặt tên group là KSM10

Vào group KSM10 vừa tạo Policies Create a policy

3

Click phải vào policy vừa tạo Properties Licensing Chọn key trong danh sách sổ

xuống để triển khai cho máy trạm (hình dưới):

Tại mục General bỏ chọn Inherit settings from parent policy để không thừa kế policy từ

group Managed computers

4. Tạo rule cho phép di chuyển các thiết bị android vào group quản lí của KSC

Chọn vào Unassigned devices Configure rules of computer allocation to

administration groups (hình dưới)

4

Bước tiếp theo chọn Add rule tùy chỉnh rule như hình dưới:

Tại mục Applications, chọn vào ô vuông Operating system version, bên dưới chọn

Android và bấm OK.

5

Đảm bảo rằng rule vừa tạo đã được chọn:

5. Tạo gói cài đặt cho điện thoại android

Vào Remote installation Installation packages … (hình dưới)

6

Đặt tên cho gói cài đặt Chọn gói cài đặt cho điện thoại trong đường dẫn

C:\Program Files\Kaspersky Lab\Kaspersky Security Center\Share\Packages\KES4Mobile

Click chuột phải vào gói cài đặt vừa tạo Properties Settings Điền các thông số

như hình dưới, lưu ý Server address là địa chỉ server cài KSC, Group Name là tên group

được tạo ở bước trên (KSM10).

Tiếp theo chọn gói cài đặt KSM10 và click chọn Create stand-alone installation

package (như hình):

7

Cuối cùng chọn vào View the list of stand-alone packages để xem các gói cài đặt vừa

được tạo ra, chép link tại Web Address để gửi cho người dung điện thoại qua emai/sms,…

hoặc cũng có thể chọn vào chức năng Send by email nếu máy tính có cài một chương trình

mail client như Microsoft Outlook:

CÀI ĐẶT TRÊN ĐIỆN THOẠI ANDROID

1. Gửi gói cài đặt cho ngƣời dùng thiết bị Android

8

Bạn có thể cài bằng link lấy ở bước trên, hoặc tìm và cài Kaspersky Endpoint Security

10 trên kho phần mềm Google Play.

Đầu tiên bạn copy link gói cài đặt Kaspersky Security for mobile (KSM) đã tạo ra ở

bước thứ 5 ở phần trên, gửi đường link đó qua email hoặc tin nhắn cho người dùng android:

2. Cài đặt Kaspersky Security 10 for mobile (KSM 10)

Chạy gói cài đặt tải về để bắt đầu quá trình cài đặt, các bước không chú thích bạn chọn

như mặc định:

9

Điền vào một địa chỉ Email của bạn:

10

Click Finish để hoàn thành quá trình cài đặt, giao diện của KSM 10 như hình dưới

3. Đồng bộ với KSC

Tại giao diện KSM 10, vào Settings chọn vào Synchronize để thực hiện đồng bộ

với KSC 10

Khi đó trên KSC 10, bạn ngắt kết nối và kết nối lại với KSC, sau đó vào group KSM10

sẽ hiển thị thiết bị android vừa kết nối

11

Tiếp theo bạn vào Mobile Device Management Mobile devices để kiểm tra thiết bị

android đã được liệt kê trong danh sách quản lí:

4. Cấu hình policy quản lí thiết bị android

Vào group KSM10 Policies Policies for kaspersky security 10… Properties

Cấu hình đồng bộ giữa KSC với điện thoại

Chọn vào Synchronizing Tại Synchronize chọn khoảng thời gian điện thoại sẽ tự

động đồng bộ với KSC (hình dưới):

12

Scan

Tại mục Scan chọn các tùy chọn cho việc scan virus, cũng như ấn định thời gian scan tại

Schedule:

Update

Chọn các tùy chọn cho việc cập nhật cơ sở dữ liệu cho Kaspersky trên điện thoại:

Kaspersky Lab servers: cập nhật từ server của Kaspersky

Administrator Server: cập nhật từ KSC

13

Anti-theft

Khi điện thoại bị mất hoặc không kiểm soát được, Kaspersky cho phép khóa điện

thoại, xóa dữ liệu từ xa, gửi thông báo đến một email/số điện thoại khác do người dùng cung

cấp, cho biết vị trí hiện tại của điện thoại dựa vào GPS.

Cách cấu hình: click phải vào policy Kaspersky Security 10 for mobiles Anti-

Theft, tại mục Send Command, chọn các tính năng như locate (xác định vị trí), lock (lock điện

thoại), hoặc wipe data (xóa dữ liệu):

Để Unlock, click phải vào thiết bị android đã được KSC quản lí, chọn properties

Application mở Kaspersky Endpoint Security 10 for mobile (hình dưới)

14

Tiếp theo vào Anti-Thef, kéo xuống dưới cùng sẽ thấy One-time code (hình dưới):

Web Protection

Chức năng này cho phép bạn block toàn bộ hoặc một số website được xếp loại bởi hãng

Kaspersky, bằng cách vào Web Protection Chọn các mode trong danh sách sổ xuống tại

Operation mode (hình dưới):

15

Lưu ý: mode Only listed websites are allowed, chỉ cho phép địa chỉ với đường dẫn chính

xác.

Ví dụ: chỉ cho phép 2 link http://ntssi.lab và http://ntssi.lab/Kaspersky/ được truy cập, nếu

link khác ví dụ http://ntssi.vn/lien-he/ thì bị block

Device management

Chức năng này cho phép bạn khóa một số thiết bị trên điện thoại như camera,

bluetooth, wifi bằng cách chọn vào Restriction:

16

Additon Settings

Để cấm không cho người dùng điện thoại xóa chương trình Kaspersky Security, bạn

vào Addition Settings bỏ chọn tại Allow removal of Kaspersky Endpoint Security for

Android. Lúc này chức năng Remove App trên điện thoại bị mờ đi:

B. Lab2: iOS MOBILE DEVICE MANAGEMENT

CÀI ĐẶT IOS MDM MOBILE DEVICE SERVER

Mục tiêu: Là thành phần quản lí thiết bị di động sử dụng hệ điều hành IOS

Nội dung:

1. Cấu hình địa chỉ để kết nối thiết bị di động vào iOS MDM Server

2. Cài đặt iOS MDM Mobile Device Server

1. Cấu hình địa chỉ để kết nối thiết bị di động vào iOS MDM Server

Click phải vào gói cài đặt iOS MDM Mobile Device Server Properties

17

2. Cài đặt iOS MDM Mobile Device Server

Vào Tasks for specific computers Create a task Đặt tên là Install iOS

MDM moblile device Server

18

Next Install Application Remotely

Chọn vào gói IOS MDM Mobile Device Server (10.2.434) (hình dưới)

19

Tick chọn vào Install Network Agent… và Kaspersky Security Center Network

Agent (hình dưới)

Các bước tiếp theo chọn theo mặc định vào bấm Next đến bước chọn group ta

chọn vào group MDM đã được tạo trước đó

Tiếp theo, chọn vào Select computers discovered by the Administratin Server in the

network

20

Chọn máy tính làm iOS MDM server Next

Chọn tài khoản có quyền admin trên máy làm server:

Các bước tiếp theo chọn như mặc định, lưu ý chọn vào Run task after Wizard

finishes để cài sau khi cấu hình:

21

Kiểm tra iOS MDM Mobile Device Server đã có ở mục Mobile device management

và ở Group MDM (hình dưới)

3. Kết nối iOS MDM Mobile Device Server đến APNs

Mục tiêu: Kết nối iOS MDM server đến Apple Push Notification Service, bao gồm

quá trình nhận Certificate từ Apple và cài đặt nó lên iOS MDM server.

Nội dung: Trong lab này, chúng ta sẽ tạo và cài đặt APNs certificate gồm các bước:

B1: Gửi một certificate request (CSR)

B2: Đăng ký CSR với Kaspersky trên companyaccount.kaspersky.com

B3: Gửi yêu cầu public key của APNs certificate tại apple.com

B4: Nhận và cài đặt Certificate trên MDM server

B1: Gửi một certificate request (CSR)

- Tại KSC admin console, bạn vào Mobile Device Management click phải vào

iOS MDM Mobile device server chọn Properties

22

- Certificate Request new:

- Click vào Create CSR điền các thông tin cần thiết vào form chọn Save

Sau đó đặt tên và chọn đường dẫn lưu lại trên máy tính, ta đặt tên cho dễ nhớ, ví dụ

mycer1.cer

23

B2: Đăng ký CSR với Kaspersky trên companyaccount.kaspersky.com

Vào đường dẫn sau và đăng nhập (nếu chưa có tài khoản bạn có thể bấm vào

Registration để đăng ký mới):

Click chọn vào Submit Request click vào CSR Signing:

Tiếp theo tại cửa sổ hiện ra, chọn vào Browse chọn tệp chỉ đường dẫn tới file

mycer1.csr tạo ra ở bước trên:

24

Chọn OK sau đó chọn Sign CSR OK

Quá trình request sẽ được tự động và chuyển tới trang chứa các request đã gửi:

Click vào View Files/Details

25

Cửa sổ mới hiện ra, ta click vào tên file mycer1.plist chọn vào Save to Disk

B3: Gửi yêu cầu public key của APNs certificate tại apple.com

- Vào https://identity.apple.com/pushcert và đăng nhập (nếu chưa có tài khoản bạn

có thể tạo miễn phí)

26

Click vào Create a Certificate

Tiếp theo check vào ô trống và chọn Accept

Click vào chọn tệp chỉ đường dẫn tới file mycer1.plist được tải về ở bước 2

Click vào Upload

27

Quá trình tạo public key hoàn tất, ta chọn vào Download để tải file key về máy:

File key vừa tải về có tên MDM_ Laboratoriya Kasperskogo ZAO_Certificate.pem

B4: Nhận và cài đặt Certificate trên MDM server

Tại cửa sổ request certificate của KSC admin console, ta chọn Complete CSR chỉ

đường dẫn tới file .pem vừa tải về ở bước 3 chọn OK

28

Nhấn vào Install để hoàn tất cài đặt certificate và nhấn OK để đóng cửa sổ cấu hình iOS

MDM Mobile Device Server

KẾT NỐI THIẾT BỊ IOS ĐẾN IOS MDM MOBILE DEVICE SERVER

Mục tiêu: Kết nối thiết bị iOS đến hệ thống quản lí iOS MDM mobile device server sử

dụng KSC console

Nội dung:

1. Gửi profile đến email của ngƣời dùng

Tại giao diện KSC admin console, bạn chọn vào User Accounts click phải vào

user cần gửi profile chọn Add new device

29

Chọn vào Specify certificate through Administration Server tools và bấm Next

Tiếp theo chọn vào Within iOS MDM profile và Next

30

Chọn vào iOS MDM mobile device Server -- > Next

Cửa sổ tiếp theo, tick chọn vào ô User emails, bên phải chọn Additional email trong

mũi tên sổ xuống:

Nhấn Finish để hoàn tất quá trình gửi profile, kiểm tra profile vừa gửi nằm trong

Certificate và đảm bảo status là Profile published (hình dưới)

2. Cài đặt MDM profile trên điện thoại của ngƣời dung

- Mở email client trên thiết bị iOS để nhận link tải profile được gửi bởi iOS MDM

server, sau khi tải về ta chọn vào Install để cài đặt profile (hình dưới)

31

Tiếp tục nhấn Install và đọc các cảnh báo về tiến trình cài đặt MDM profile và chọn

Trust

Click Done để hoàn tất cài đặt

Tìm profile đã được cài đặt trên điện thoại iOS trong phần Settings General

Profile and device management

32

3. Tại KSC, đảm bảo thiết bị đƣợc kết nối thành công tới KSC

Tại KSC admin console, vào mục Mobile Device Management Certificate, đảm

bảo rằng profile có status là Profile installed

Tại mục Mobile devices, đảm bảo rằng profile đã được liệt kê trong danh sách All

devices

33

4. Tại KSC, khởi tạo tiến trình cài đặt Kaspersky Safe Browser trên thiết bị iOS

5. Cài đặt Kaspersky Safe Browser lên thiết bị ngƣời dung và kết nối chúng đến

KSC server

6. Tại KSC, đảm bảo Kaspersky Safe Browser đƣợc kết nối thành công