Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
THÔNG TIN KIỂM SOÁT
Đơn vị chịu trách nhiệm
CÔNG TY CỔ PHẦN TÍCH HỢP HỆ THỐNG NAM TRƢỜNG SƠN.
Số 20 Tăng Bạt Hổ, Phường 11, Quận Bình Thạnh.TPHCM
Tel: +84835268355
Fax: +84835268356
www.nts.com.vn
Email: [email protected]
Mô tả Hướng dẫn triển khai Kaspersky - Mobile Device
Management
Tác giả Cao Minh Toàn NTSSI
Biên tập
Phiên bản 2015
Thời hạn hiệu lực
Phạm vi lƣu hành Dành riêng cho nội bộ NTSSI và khách hàng liên quan
Tài liệu thay thế cho
Các tài liệu đính kèm
Khách hàng
Địa chỉ
Điện thoại
Ngƣời lien hệ
MỤC LỤC
A. Lab1: KASPERSKY SECURITY FOR ANDROID MOBILE .................. 1
CÀI ĐẶT VÀ CẤU HÌNH TRÊN KSC 10 ................................................................ 1
1. Cài plugin Mobile devices management ........................................................................ 1
2. Mở port trên để thiết bị Android kết nối vào KSC ........................................................ 1
3. Tạo group và policy quản lí thiết bị android .................................................................. 2
4. Tạo rule cho phép di chuyển các thiết bị android vào group quản lí của KSC .............. 3
5. Tạo gói cài đặt cho điện thoại android ........................................................................... 5
CÀI ĐẶT TRÊN ĐIỆN THOẠI ANDROID ............................................................. 7
1. Gửi gói cài đặt cho người dùng thiết bị Android ........................................................... 7
2. Cài đặt Kaspersky Security 10 for mobile (KSM 10) .................................................... 8
3. Đồng bộ với KSC ......................................................................................................... 10
4. Cấu hình policy quản lí thiết bị android....................................................................... 11
B. Lab2: iOS MOBILE DEVICE MANAGEMENT ...................................... 16
CÀI ĐẶT IOS MDM MOBILE DEVICE SERVER .............................................. 16
1. Cấu hình địa chỉ để kết nối thiết bị di động vào iOS MDM Server ............................. 16
2. Cài đặt iOS MDM Mobile Device Server.................................................................... 17
3. Kết nối iOS MDM Mobile Device Server đến APNs .................................................. 21
KẾT NỐI THIẾT BỊ IOS ĐẾN IOS MDM MOBILE DEVICE SERVER .......... 28
1. Gửi profile đến email của người dùng ......................................................................... 28
2. Cài đặt MDM profile trên điện thoại của người dung ................................................. 30
3. Tại KSC, đảm bảo thiết bị được kết nối thành công tới KSC ...................................... 32
4. Tại KSC, khởi tạo tiến trình cài đặt Kaspersky Safe Browser trên thiết bị iOS .......... 33
5. Cài đặt Kaspersky Safe Browser lên thiết bị người dung và kết nối chúng đến KSC
server .................................................................................................................................... 33
6. Tại KSC, đảm bảo Kaspersky Safe Browser được kết nối thành công ....................... 33
1
A. Lab1: KASPERSKY SECURITY FOR ANDROID MOBILE
Mục tiêu: Cài đặt chương trình endpoint lên điện thoại Android và quản lí trên KSC thông qua
các policy.
Nội dung:
CÀI ĐẶT VÀ CẤU HÌNH TRÊN KSC 10
1. Cài plugin Mobile devices management
Đầu tiên, bạn cần cài plugin Moblie devices management bằng cách chạy file cài đặt
KSC 10 chọn vào Install management plugins Chọn vào Kaspersky Mobile Device
Management 10 Service Pack 1 Install
Sau khi cài đặt, bạn ngắt kết nối rồi sau đó kết nối lại với KSC để thấy plugin vừa cài đặt:
2. Mở port trên để thiết bị Android kết nối vào KSC
Click chuột phải vào Administrator Server Properties Settings Chọn vào ô
Open port for mobile devices (hình dưới):
2
3. Tạo group và policy quản lí thiết bị android
Vào Managed computers Create a subgroup Đặt tên group là KSM10
Vào group KSM10 vừa tạo Policies Create a policy
3
Click phải vào policy vừa tạo Properties Licensing Chọn key trong danh sách sổ
xuống để triển khai cho máy trạm (hình dưới):
Tại mục General bỏ chọn Inherit settings from parent policy để không thừa kế policy từ
group Managed computers
4. Tạo rule cho phép di chuyển các thiết bị android vào group quản lí của KSC
Chọn vào Unassigned devices Configure rules of computer allocation to
administration groups (hình dưới)
4
Bước tiếp theo chọn Add rule tùy chỉnh rule như hình dưới:
Tại mục Applications, chọn vào ô vuông Operating system version, bên dưới chọn
Android và bấm OK.
5
Đảm bảo rằng rule vừa tạo đã được chọn:
5. Tạo gói cài đặt cho điện thoại android
Vào Remote installation Installation packages … (hình dưới)
6
Đặt tên cho gói cài đặt Chọn gói cài đặt cho điện thoại trong đường dẫn
C:\Program Files\Kaspersky Lab\Kaspersky Security Center\Share\Packages\KES4Mobile
Click chuột phải vào gói cài đặt vừa tạo Properties Settings Điền các thông số
như hình dưới, lưu ý Server address là địa chỉ server cài KSC, Group Name là tên group
được tạo ở bước trên (KSM10).
Tiếp theo chọn gói cài đặt KSM10 và click chọn Create stand-alone installation
package (như hình):
7
Cuối cùng chọn vào View the list of stand-alone packages để xem các gói cài đặt vừa
được tạo ra, chép link tại Web Address để gửi cho người dung điện thoại qua emai/sms,…
hoặc cũng có thể chọn vào chức năng Send by email nếu máy tính có cài một chương trình
mail client như Microsoft Outlook:
CÀI ĐẶT TRÊN ĐIỆN THOẠI ANDROID
1. Gửi gói cài đặt cho ngƣời dùng thiết bị Android
8
Bạn có thể cài bằng link lấy ở bước trên, hoặc tìm và cài Kaspersky Endpoint Security
10 trên kho phần mềm Google Play.
Đầu tiên bạn copy link gói cài đặt Kaspersky Security for mobile (KSM) đã tạo ra ở
bước thứ 5 ở phần trên, gửi đường link đó qua email hoặc tin nhắn cho người dùng android:
2. Cài đặt Kaspersky Security 10 for mobile (KSM 10)
Chạy gói cài đặt tải về để bắt đầu quá trình cài đặt, các bước không chú thích bạn chọn
như mặc định:
10
Click Finish để hoàn thành quá trình cài đặt, giao diện của KSM 10 như hình dưới
3. Đồng bộ với KSC
Tại giao diện KSM 10, vào Settings chọn vào Synchronize để thực hiện đồng bộ
với KSC 10
Khi đó trên KSC 10, bạn ngắt kết nối và kết nối lại với KSC, sau đó vào group KSM10
sẽ hiển thị thiết bị android vừa kết nối
11
Tiếp theo bạn vào Mobile Device Management Mobile devices để kiểm tra thiết bị
android đã được liệt kê trong danh sách quản lí:
4. Cấu hình policy quản lí thiết bị android
Vào group KSM10 Policies Policies for kaspersky security 10… Properties
Cấu hình đồng bộ giữa KSC với điện thoại
Chọn vào Synchronizing Tại Synchronize chọn khoảng thời gian điện thoại sẽ tự
động đồng bộ với KSC (hình dưới):
12
Scan
Tại mục Scan chọn các tùy chọn cho việc scan virus, cũng như ấn định thời gian scan tại
Schedule:
Update
Chọn các tùy chọn cho việc cập nhật cơ sở dữ liệu cho Kaspersky trên điện thoại:
Kaspersky Lab servers: cập nhật từ server của Kaspersky
Administrator Server: cập nhật từ KSC
13
Anti-theft
Khi điện thoại bị mất hoặc không kiểm soát được, Kaspersky cho phép khóa điện
thoại, xóa dữ liệu từ xa, gửi thông báo đến một email/số điện thoại khác do người dùng cung
cấp, cho biết vị trí hiện tại của điện thoại dựa vào GPS.
Cách cấu hình: click phải vào policy Kaspersky Security 10 for mobiles Anti-
Theft, tại mục Send Command, chọn các tính năng như locate (xác định vị trí), lock (lock điện
thoại), hoặc wipe data (xóa dữ liệu):
Để Unlock, click phải vào thiết bị android đã được KSC quản lí, chọn properties
Application mở Kaspersky Endpoint Security 10 for mobile (hình dưới)
14
Tiếp theo vào Anti-Thef, kéo xuống dưới cùng sẽ thấy One-time code (hình dưới):
Web Protection
Chức năng này cho phép bạn block toàn bộ hoặc một số website được xếp loại bởi hãng
Kaspersky, bằng cách vào Web Protection Chọn các mode trong danh sách sổ xuống tại
Operation mode (hình dưới):
15
Lưu ý: mode Only listed websites are allowed, chỉ cho phép địa chỉ với đường dẫn chính
xác.
Ví dụ: chỉ cho phép 2 link http://ntssi.lab và http://ntssi.lab/Kaspersky/ được truy cập, nếu
link khác ví dụ http://ntssi.vn/lien-he/ thì bị block
Device management
Chức năng này cho phép bạn khóa một số thiết bị trên điện thoại như camera,
bluetooth, wifi bằng cách chọn vào Restriction:
16
Additon Settings
Để cấm không cho người dùng điện thoại xóa chương trình Kaspersky Security, bạn
vào Addition Settings bỏ chọn tại Allow removal of Kaspersky Endpoint Security for
Android. Lúc này chức năng Remove App trên điện thoại bị mờ đi:
B. Lab2: iOS MOBILE DEVICE MANAGEMENT
CÀI ĐẶT IOS MDM MOBILE DEVICE SERVER
Mục tiêu: Là thành phần quản lí thiết bị di động sử dụng hệ điều hành IOS
Nội dung:
1. Cấu hình địa chỉ để kết nối thiết bị di động vào iOS MDM Server
2. Cài đặt iOS MDM Mobile Device Server
1. Cấu hình địa chỉ để kết nối thiết bị di động vào iOS MDM Server
Click phải vào gói cài đặt iOS MDM Mobile Device Server Properties
17
2. Cài đặt iOS MDM Mobile Device Server
Vào Tasks for specific computers Create a task Đặt tên là Install iOS
MDM moblile device Server
18
Next Install Application Remotely
Chọn vào gói IOS MDM Mobile Device Server (10.2.434) (hình dưới)
19
Tick chọn vào Install Network Agent… và Kaspersky Security Center Network
Agent (hình dưới)
Các bước tiếp theo chọn theo mặc định vào bấm Next đến bước chọn group ta
chọn vào group MDM đã được tạo trước đó
Tiếp theo, chọn vào Select computers discovered by the Administratin Server in the
network
20
Chọn máy tính làm iOS MDM server Next
Chọn tài khoản có quyền admin trên máy làm server:
Các bước tiếp theo chọn như mặc định, lưu ý chọn vào Run task after Wizard
finishes để cài sau khi cấu hình:
21
Kiểm tra iOS MDM Mobile Device Server đã có ở mục Mobile device management
và ở Group MDM (hình dưới)
3. Kết nối iOS MDM Mobile Device Server đến APNs
Mục tiêu: Kết nối iOS MDM server đến Apple Push Notification Service, bao gồm
quá trình nhận Certificate từ Apple và cài đặt nó lên iOS MDM server.
Nội dung: Trong lab này, chúng ta sẽ tạo và cài đặt APNs certificate gồm các bước:
B1: Gửi một certificate request (CSR)
B2: Đăng ký CSR với Kaspersky trên companyaccount.kaspersky.com
B3: Gửi yêu cầu public key của APNs certificate tại apple.com
B4: Nhận và cài đặt Certificate trên MDM server
B1: Gửi một certificate request (CSR)
- Tại KSC admin console, bạn vào Mobile Device Management click phải vào
iOS MDM Mobile device server chọn Properties
22
- Certificate Request new:
- Click vào Create CSR điền các thông tin cần thiết vào form chọn Save
Sau đó đặt tên và chọn đường dẫn lưu lại trên máy tính, ta đặt tên cho dễ nhớ, ví dụ
mycer1.cer
23
B2: Đăng ký CSR với Kaspersky trên companyaccount.kaspersky.com
Vào đường dẫn sau và đăng nhập (nếu chưa có tài khoản bạn có thể bấm vào
Registration để đăng ký mới):
Click chọn vào Submit Request click vào CSR Signing:
Tiếp theo tại cửa sổ hiện ra, chọn vào Browse chọn tệp chỉ đường dẫn tới file
mycer1.csr tạo ra ở bước trên:
24
Chọn OK sau đó chọn Sign CSR OK
Quá trình request sẽ được tự động và chuyển tới trang chứa các request đã gửi:
Click vào View Files/Details
25
Cửa sổ mới hiện ra, ta click vào tên file mycer1.plist chọn vào Save to Disk
B3: Gửi yêu cầu public key của APNs certificate tại apple.com
- Vào https://identity.apple.com/pushcert và đăng nhập (nếu chưa có tài khoản bạn
có thể tạo miễn phí)
26
Click vào Create a Certificate
Tiếp theo check vào ô trống và chọn Accept
Click vào chọn tệp chỉ đường dẫn tới file mycer1.plist được tải về ở bước 2
Click vào Upload
27
Quá trình tạo public key hoàn tất, ta chọn vào Download để tải file key về máy:
File key vừa tải về có tên MDM_ Laboratoriya Kasperskogo ZAO_Certificate.pem
B4: Nhận và cài đặt Certificate trên MDM server
Tại cửa sổ request certificate của KSC admin console, ta chọn Complete CSR chỉ
đường dẫn tới file .pem vừa tải về ở bước 3 chọn OK
28
Nhấn vào Install để hoàn tất cài đặt certificate và nhấn OK để đóng cửa sổ cấu hình iOS
MDM Mobile Device Server
KẾT NỐI THIẾT BỊ IOS ĐẾN IOS MDM MOBILE DEVICE SERVER
Mục tiêu: Kết nối thiết bị iOS đến hệ thống quản lí iOS MDM mobile device server sử
dụng KSC console
Nội dung:
1. Gửi profile đến email của ngƣời dùng
Tại giao diện KSC admin console, bạn chọn vào User Accounts click phải vào
user cần gửi profile chọn Add new device
29
Chọn vào Specify certificate through Administration Server tools và bấm Next
Tiếp theo chọn vào Within iOS MDM profile và Next
30
Chọn vào iOS MDM mobile device Server -- > Next
Cửa sổ tiếp theo, tick chọn vào ô User emails, bên phải chọn Additional email trong
mũi tên sổ xuống:
Nhấn Finish để hoàn tất quá trình gửi profile, kiểm tra profile vừa gửi nằm trong
Certificate và đảm bảo status là Profile published (hình dưới)
2. Cài đặt MDM profile trên điện thoại của ngƣời dung
- Mở email client trên thiết bị iOS để nhận link tải profile được gửi bởi iOS MDM
server, sau khi tải về ta chọn vào Install để cài đặt profile (hình dưới)
31
Tiếp tục nhấn Install và đọc các cảnh báo về tiến trình cài đặt MDM profile và chọn
Trust
Click Done để hoàn tất cài đặt
Tìm profile đã được cài đặt trên điện thoại iOS trong phần Settings General
Profile and device management
32
3. Tại KSC, đảm bảo thiết bị đƣợc kết nối thành công tới KSC
Tại KSC admin console, vào mục Mobile Device Management Certificate, đảm
bảo rằng profile có status là Profile installed
Tại mục Mobile devices, đảm bảo rằng profile đã được liệt kê trong danh sách All
devices