Контроль соответствия Android-устройств требованиям корпоративной безопасности
Вы можете контролировать Android-устройства на соответствие требованиям корпоративной безопасности. Требования корпоративной безопасности регламентируют работу пользователя с устройством. Например, на устройстве должна быть включена постоянная защита, базы вредоносного ПО должны быть актуальны, пароль устройства должен быть достаточно сложным. Контроль соответствия работает на основе списка правил. Правило соответствия состоит из следующих компонентов:
- критерий проверки устройства (например, отсутствие на устройстве запрещенных приложений);
- время, выделенное пользователю устройства для устранения несоответствия (например, 24 часа);
- действия, которые будут выполнены с устройством, если пользователь не устранит несоответствие в течение указанного времени (например, блокирование устройства).
Если устройство находится в режиме энергосбережения, приложение может выполнить эту задачу позже, чем указано. Для своевременного реагирования KES-устройств под управлением Android на команды администратора, следует включить использование сервиса Google Firebase Cloud Messaging.
Чтобы сформировать правило проверки устройств на соответствие групповой политике, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Контроль соответствия.
- Чтобы получать уведомления об устройствах, не соответствующих политике, в разделе Уведомления о несоответствии установите флажок Уведомлять администратора.
Если устройство не соответствует политике, при синхронизации устройства с Сервером администрирования Kaspersky Endpoint Security для Android сформирует запись в журнале событий Обнаружено несоответствие: <название критерия для проверки>. Журнал событий можно просмотреть на закладке События в свойствах Сервера администрирования или в локальных свойствах программы.
- Чтобы уведомлять пользователя устройства о том, что его устройство не соответствует политике, в разделе Уведомления о несоответствии установите флажок Уведомлять пользователя.
Если устройство не соответствует политике, при синхронизации устройства с Сервером администрирования Kaspersky Endpoint Security для Android уведомляет пользователя об этом.
- В разделе Правила контроля соответствия сформируйте список правил проверки устройства на соответствие политике.
- Чтобы добавить новое правило, нажмите на кнопку Добавить.
Запустится мастер создания правила соответствия. Пройдите все шаги мастера, нажимая на кнопку Далее.
- Выберите критерий несоответствия правилу.
Доступны следующие критерии:
- Постоянная защита выключена.
Проверяет, было ли приложение установлено или запущено на устройстве.
- Базы вредоносного ПО устарели.
Проверяет, обновлялись ли базы вредоносного ПО 3 и более дней назад.
- Установлены запрещенные приложения.
Проверяет, содержит ли список приложений на устройстве приложения, запрещенные в Контроле приложений.
- Установлены приложения запрещенных категорий.
Проверяет, содержит ли список приложений на устройстве приложения из категорий, запрещенных в Контроле приложений.
- Не установлены все обязательные приложения.
Проверяет, содержит ли список приложений на устройстве приложение, установленное в качестве обязательного в Контроле приложений.
- Версия операционной системы устарела.
Проверяет соответствие версии Android на устройстве заданному диапазону разрешенных версий.
Для этого критерия укажите минимальную и максимальную разрешенные версии Android. Если в качестве максимальной разрешенной версии выбрано значение Любая, это означает, что будущие версии Android, поддерживаемые Kaspersky Endpoint Security для Android, будут также разрешены.
- Устройство давно не синхронизировалось.
Проверяет, как давно устройство синхронизировалось с Сервером администрирования последний раз.
Для этого критерия укажите максимальный период с момента последней синхронизации.
- На устройстве получены root-права.
Проверяет, взломано ли устройство (получены ли на устройстве права суперпользователя).
- Пароль разблокировки экрана не соответствует требованиям безопасности.
Проверяет, соответствует ли пароль разблокировки устройства параметрам, заданным в политике в разделе Управление устройством.
- Установлена неактуальная версия Kaspersky Endpoint Security для Android.
Проверяет актуальность версии приложения на устройстве.
Критерий применяется, только если приложение установлено с помощью инсталляционного пакета Kaspersky Endpoint Security для Android и если в блоке Обновление Kaspersky Endpoint Security для Android раздела Дополнительно свойств политики выбрана актуальная версия приложения.
Для этого критерия также укажите минимальную разрешенную версию Kaspersky Endpoint Security для Android.
- Использование SIM-карты не соответствует корпоративным требованиям.
Проверяет, была ли SIM-карта устройства заменена, вставлена или извлечена относительно предыдущего состояния проверки.
Вы также можете включить проверку установки дополнительной SIM-карты.
В некоторых случаях проверяется также замена, установка и извлечение eSIM-карты.
- Устройство находится в пределах или за пределами установленных геозон
Указание геозоны приведет к увеличению энергопотребления устройства.
Для этого критерия выберите требование, при нарушении которого нужно выполнить действие:
- Устройство находится в пределах любой геозоны из списка (геозоны объединяются с помощью логического оператора "ИЛИ").
- Устройство находится за пределами всех геозон из списка (геозоны объединяются с помощью логического оператора "И").
В блоке Список геозон вы можете добавлять, редактировать или удалять геозоны.
Чтобы добавить новую геозону:
- Нажмите на кнопку Добавить.
Открывает окно Добавить геозону.
- Укажите Название геозоны.
- В разделе Координаты периметра геозоны укажите широту и долготу для каждой точки.
Если вы хотите добавить более 3 точек, нажмите на кнопку Добавить точку. Чтобы удалить дополнительную точку, нажмите на кнопку X.
Для каждой геозоны можно вручную задать от 3 до 100 пар координат (широта, долгота) в формате десятичных чисел.
Периметр геозоны не должен содержать пересекающиеся прямые.
- Вы можете просмотреть указанную геозону в программе "Яндекс Карты", нажав на кнопку Посмотреть на карте.
- Нажмите на кнопку Добавить, чтобы добавить указанную геозону.
Новая геозона отобразится в списке.
Чтобы отредактировать геозону:
- Выберите геозону, которую вы хотите отредактировать, и нажмите на кнопку Изменить.
- Укажите новые параметры геозоны, как описано выше в этом разделе.
- Нажмите на кнопку Добавить.
Отредактированная геозона отобразится в списке.
Чтобы удалить геозону:
- Выберите геозону, которую вы хотите удалить, и нажмите на кнопку Удалить.
Геозона исчезнет из списка.
- У Kaspersky Endpoint Security для Android нет доступа к точному или фоновому местоположению
Проверяет наличие у приложения Kaspersky Endpoint Security для Android разрешения определять точное местоположение устройства или использовать данные о местоположении в фоновом режиме.
- Постоянная защита выключена.
- Выберите действия, которые будут выполняться при обнаружении указанного критерия несоответствия. Вы можете добавить несколько критериев. Их можно объединить с помощью логического оператора "И".
Некоторые действия Контроля соответствия являются длительными. Длительные действия применяются до выполнения одного из следующих условий:
- Критерий несоответствия правилу перестал действовать.
- Применена политика, в которой удалено соответствующее правило Контроля соответствия.
Доступны следующие действия:
- Блокировка всех приложений, кроме системных
Запуск всех приложений, кроме системных, на мобильном устройстве пользователя заблокирован.
Как только критерий несоответствия правилу перестанет обнаруживаться на устройстве, приложения автоматически разблокируются.
- Заблокировать устройство
Мобильное устройство заблокировано. Для получения доступа к данным необходимо разблокировать устройство. Если после разблокирования устройства причина блокировки не устранена, устройство будет заблокировано снова через указанный период.
- Удалить корпоративные данные
Корпоративные данные удалены с устройства. Перечень удаленных данных зависит от режима работы устройства.
- На личном устройстве удалены KNOX-контейнер и почтовый сертификат.
- Если устройство работает в режиме device owner, удалены KNOX-контейнер и сертификаты, установленные приложением Kaspersky Endpoint Security для Android (почтовые и VPN-сертификаты, сертификаты, полученные через профили SCEP, кроме мобильных сертификатов).
- Дополнительно, если установлен рабочий профиль Android, удален рабочий профиль (содержимое, настройки и ограничения) и сертификаты, установленные в рабочем профиле (почтовые и VPN-сертификаты, сертификаты, полученные через профили SCEP, кроме мобильных сертификатов).
- Сброс настроек до заводских
Удалены все данные с мобильного устройства, настройки мобильного устройства сброшены до заводских. После выполнения этого действия устройство перестает быть управляемым. Для подключения устройства к Kaspersky Security Center требуется повторно установить Kaspersky Endpoint Security для Android.
- Блокировка рабочего профиля
Рабочий профиль на устройстве заблокирован. Для получения доступа к рабочему профилю необходимо его разблокировать. Если после разблокирования рабочего профиля причина блокировки не устранена, рабочий профиль будет снова заблокирован через указанный период.
Это действие применяется только на устройствах под управлением Android 6 или выше.
После блокирования рабочего профиля история паролей рабочего профиля очищается. Это означает, что пользователь может повторно использовать один из недавних паролей, независимо от параметров пароля для рабочего профиля.
- Удалить данные всех приложений
Это действие применяется только на устройствах под управлением Android 9 или выше в режиме device owner или с созданным рабочим профилем Android.
Если устройство работает в режиме device owner, удаляются данные всех приложений. Если на устройстве создан рабочий профиль Android, удаляются данные всех приложений в рабочем профиле.
В результате настройки приложений сброшены до установленных по умолчанию.
- Удалить данные указанного приложения
Это действие применяется только на устройствах под управлением Android 9 или выше в режиме device owner или с созданным рабочим профилем Android.
Для этого действия необходимо указать название пакета приложения, данные которого будут удалены. Как получить имя пакета приложения
В результате настройки приложения сброшены до установленных по умолчанию.
- Запрет на запуск устройства в безопасном режиме
Пользователю запрещено запускать устройство в безопасном режиме.
Это действие применяется только на устройствах под управлением Android 6 или выше в режиме device owner.
Это длительное действие.
- Запретить использование камеры
Пользователю запрещено использовать все имеющиеся на устройстве камеры.
Это длительное действие.
- Запретить использование Bluetooth
Пользователю устройства запрещено включать Bluetooth и изменять его параметры в Настройках.
Это действие применяется только на устройствах под управлением Android 12 или ниже в режиме device owner или с созданным рабочим профилем Android.
Это длительное действие.
- Запретить использование Wi-Fi
Пользователю устройства запрещено использовать Wi-Fi и изменять его параметры в Настройках.
Это действие применяется только на устройствах, работающих в режиме device owner (все версии Android), личных устройствах под управлением Android 9 или ниже.
Это длительное действие.
- Запрет на использование функций отладки по USB
Пользователю запрещено использовать функции отладки по USB и режим разработчика на устройстве.
Это действие применяется только на устройствах, работающих в режиме device owner, или устройствах с созданным рабочим профилем Android.
Это длительное действие.
- Запрет режима полета
Пользователю запрещено включать режим полета на устройстве.
Это действие применяется только на устройствах под управлением Android 9 или выше в режиме device owner.
Это длительное действие.
Новое правило появится в разделе Правила контроля соответствия.
- Чтобы временно выключить сформированное правило, используйте переключатель напротив выбранного правила.
- В блоке Действия при удалении пользователей из Active Directory можно выбрать действия, которые будут выполняться на устройствах при удалении пользователей из Active Directory.
Для этих настроек необходима интеграция с Microsoft Active Directory.
Чтобы включить автоматическое удаление данных с устройств, связанных с неактивными учетными записями пользователей Active Directory, установите флажок Удалять данные неактивных пользователей Active Directory и выберите одно из следующих действий:
- Удалить корпоративные данные
- Сбросить настройки до заводских
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. Если устройство пользователя не соответствует правилам, к устройству применяются ограничения, которые вы указали в списке правил проверки.
