Защита

Этот раздел содержит информацию о том, как удаленно управлять защитой мобильных устройств в Консоли администрирования Kaspersky Security Center.

Настройка защиты от вредоносного ПО на Android-устройствах

Для своевременного обнаружения угроз, поиска вирусов, а также других вредоносных приложений следует настроить параметры постоянной защиты и автоматический запуск проверки на наличие вредоносного ПО.

Kaspersky Endpoint Security для Android обнаруживает следующие типы объектов:

• вирусы, черви, троянские приложения, вредоносные утилиты;
• рекламные приложения;
• приложения, которые могут быть использованы злоумышленниками для нанесения вреда устройству или данным пользователя.

Защита от вредоносного ПО имеет ряд ограничений:

• При работе Защиты от вредоносного ПО в рабочем профиле невозможно автоматически устранить угрозу, обнаруженную во внешней памяти устройства (например, на SD-карте). У Kaspersky Endpoint Security для Android в рабочем профиле нет доступа к внешней памяти. Информация об обнаруженных объектах отображается в уведомлениях приложения. Для устранения обнаруженных во внешней памяти объектов необходимо удалить файл вручную и запустить проверку устройства повторно.
• Из-за технических ограничений Kaspersky Endpoint Security для Android не может проверять файлы размером 2 ГБ и более. Во время проверки приложение пропускает такие файлы и не уведомляет вас, если такие файлы были пропущены.
• На устройствах с операционной системой Android 11 или выше приложение Kaspersky Endpoint Security для Android не может сканировать папки Android/data и Android/obb и обнаруживать в них вредоносные программы из-за технических ограничений.

Чтобы настроить параметры постоянной защиты мобильного устройства, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В окне Свойства: <Название политики> выберите раздел Защита.
5. В блоке Защита настройте параметры защиты файловой системы мобильного устройства:
   • Чтобы включить постоянную защиту мобильного устройства пользователя от угроз, установите флажок Включить защиту.

     Kaspersky Endpoint Security для Android будет проверять только новые приложения и файлы из папки Загрузки.

   • Чтобы включить расширенный режим защиты мобильного устройства пользователя от угроз, установите флажок Расширенный режим защиты.

     Kaspersky Endpoint Security для Android будет проверять все файлы, которые пользователь открывает, изменяет, перемещает, копирует, устанавливает и сохраняет на устройстве, а также мобильные приложения сразу после их установки.

     На устройствах под управлением операционной системы Android 8.0 и выше Kaspersky Endpoint Security для Android проверяет файлы, которые пользователь изменяет, перемещает, устанавливает, сохраняет, а также копии файлов. Kaspersky Endpoint Security для Android не проверяет файлы при их открытии, а также исходные файлы при копировании.

   • Чтобы включить дополнительную проверку новых приложений до их первого запуска на устройстве пользователя при помощи облачной службы Kaspersky Security Network, установите флажок Облачная защита (KSN).
   • Чтобы блокировать рекламные приложения и приложения, которые могут быть использованы злоумышленниками для нанесения вреда устройству или данным пользователя, установите флажок Обнаруживать рекламные приложения, приложения автодозвона и другие.
6. В списке Действие при обнаружении угрозы выберите один из следующих вариантов:
   • Удалить

     Обнаруженные объекты будут удалены автоматически. От пользователя не требуется никаких дополнительных действий. Перед удалением Kaspersky Endpoint Security для Android отобразит временное уведомление об обнаружении объекта.

   • Пропустить

     Если обнаруженные объекты были пропущены, Kaspersky Endpoint Security для Android предупреждает пользователя о проблемах в защите устройства. Для каждой пропущенной угрозы приведены действия, которые может выполнить пользователь для ее устранения. Список пропущенных объектов может измениться, например, если вредоносный файл был удален или перемещен. Чтобы получить актуальный список угроз, запустите полную проверку устройства. Для надежной защиты ваших данных устраните все обнаруженные объекты.

   • Карантин
7. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

Чтобы настроить автоматический запуск проверки на наличие вредоносного ПО на мобильном устройстве, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В окне Свойства: <Название политики> выберите раздел Проверка.
5. Чтобы блокировать рекламные приложения и приложения, которые могут быть использованы злоумышленниками для нанесения вреда устройству или данным пользователя, установите флажок Обнаруживать рекламные приложения, приложения автодозвона и другие.
6. В списке Действие при обнаружении угрозы выберите один из следующих вариантов:
   • Удалить

     Обнаруженные объекты будут удалены автоматически. От пользователя не требуется никаких дополнительных действий. Перед удалением Kaspersky Endpoint Security для Android отобразит временное уведомление об обнаружении объекта.

   • Пропустить

     Если обнаруженные объекты были пропущены, Kaspersky Endpoint Security для Android предупреждает пользователя о проблемах в защите устройства. Для каждой пропущенной угрозы приведены действия, которые может выполнить пользователь для ее устранения. Список пропущенных объектов может измениться, например, если вредоносный файл был удален или перемещен. Чтобы получить актуальный список угроз, запустите полную проверку устройства. Для надежной защиты ваших данных устраните все обнаруженные объекты.

   • Карантин
   • Запросить действие

     Приложение Kaspersky Endpoint Security для Android выводит уведомление, в котором пользователю предлагается выбрать действие над обнаруженным объектом: Пропустить или Удалить.

     Вариант Запросить действие позволяет пользователю устройства при обнаружении нескольких объектов применить выбранное действие к каждому файлу с помощью флажка Применить ко всем угрозам.

     Для отображения уведомления на мобильных устройствах под управлением операционной системы Android версии 10 и выше Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Kaspersky Endpoint Security для Android предлагает пользователю установить приложение в качестве службы Специальных возможностей во время работы мастера первоначальной настройки. Пользователь может пропустить этот шаг или выключить службу в параметрах устройства позднее. В этом случае Kaspersky Endpoint Security для Android выводит системное окно Android, в котором пользователю предлагается выбрать действие над обнаруженным объектом: Пропустить или Удалить. Чтобы применить действие к нескольким объектам нужно откройте Kaspersky Endpoint Security.

   Если во время проверки Kaspersky Endpoint Security для Android обнаруживает на устройствах пользователей вредоносные программы, действия различаются в зависимости от режима управления устройством.

   В режиме device owner установленные вредоносные программы, обнаруженные Kaspersky Endpoint Security для Android, автоматически удаляются с устройства, если выбран параметр Удалить. Если Kaspersky Endpoint Security для Android обнаруживает вредоносные системные программы, их показ и запуск на устройствах пользователей запрещены.

   В рабочем профиле Android установленные вредоносные программы, обнаруженные Kaspersky Endpoint Security для Android, не удаляются, их показ и запуск на устройствах пользователей запрещены без уведомления пользователей.

   Однако, если выбран вариант Запросить действие, Kaspersky Endpoint Security для Android предлагает пользователям выбрать действие для каждого обнаруженного приложения как на устройствах в режиме device owner, так и на устройствах с созданным рабочим профилем Android.

   Установленные вредоносные программы нельзя сохранить в карантине. Таким образом, если выбран параметр Карантин, обнаруженная вредоносная программа удаляется.

   На личных устройствах обнаруженные вредоносные программы не могут быть удалены автоматически. В этом случае Kaspersky Endpoint Security для Android предлагает пользователю удалить или пропустить обнаруженную программу.

7. В блоке Проверка по расписанию настройте параметры автоматического запуска полной проверки файловой системы устройства. Для этого нажмите на кнопку Расписание и в открывшемся окне Расписание задайте периодичность и время запуска полной проверки.

   Если устройство находится в режиме экономии заряда батареи, приложение может выполнить эту задачу позже, чем указано. Для своевременного реагирования KES-устройств под управлением Android на команды администратора, следует включить использование сервиса Firebase Cloud Messaging.

8. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center. Kaspersky Endpoint Security для Android проверяет все файлы, в том числе содержимое архивов.

Для поддержания защиты мобильного устройства в актуальном состоянии следует настроить параметры обновления баз вредоносного ПО.

По умолчанию обновление баз вредоносного ПО в зоне роуминга выключено. Обновление баз вредоносного ПО по расписанию не выполняется.

Чтобы настроить параметры обновления баз вредоносного ПО, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В окне Свойства: <Название политики> выберите раздел Обновление баз.
5. Чтобы Kaspersky Endpoint Security для Android загружал обновления баз по сформированному расписанию, когда устройство находится в зоне роуминга, в блоке Обновление баз в роуминге установите флажок Разрешать обновление баз в роуминге.

   Даже если флажок снят, пользователь может запустить обновление баз вредоносного ПО в роуминге вручную.

6. В блоке Источник обновлений баз укажите источник обновлений, из которого Kaspersky Endpoint Security для Android будет получать и устанавливать обновления баз вредоносного ПО:
   • Серверы "Лаборатории Касперского"

     Использование сервера обновлений "Лаборатории Касперского" в качестве источника обновлений для загрузки баз Kaspersky Endpoint Security для Android на мобильные устройства пользователей. Для обновления баз с серверов "Лаборатории Касперского" Kaspersky Endpoint Security для Android передает в "Лабораторию Касперского" данные (например, идентификатор запуска задачи обновления). Список передаваемых данных при обновлении баз вы можете просмотреть в Лицензионном соглашении.

   • Сервер администрирования

     Использование хранилища Сервера администрирования Kaspersky Security Center в качестве источника обновлений для загрузки баз приложения Kaspersky Endpoint Security для Android на мобильные устройства пользователей.

   • Другой источник

     Использование стороннего сервера в качестве источника обновлений для загрузки баз приложения Kaspersky Endpoint Security для Android на мобильные устройства пользователей. Для обновления требуется задать адрес HTTP-сервера в поле ниже (например, http://domain.com/).

7. В блоке Обновление баз по расписанию настройте параметры автоматического запуска обновлений баз вредоносного ПО на устройстве пользователя. Для этого нажмите на кнопку Расписание и в открывшемся окне Расписание задайте периодичность и время запуска обновления.

   Если устройство находится в режиме экономии заряда батареи, приложение может выполнить эту задачу позже, чем указано. Для своевременного реагирования KES-устройств под управлением Android на команды администратора, следует включить использование сервиса Firebase Cloud Messaging.

8. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

Защита Android-устройств в интернете

Для защиты персональных данных пользователя мобильного устройства в интернете включите Веб-Фильтр. Веб-Фильтр блокирует вредоносные веб-сайты, цель которых – распространить вредоносный код, а также фишинговые веб-сайты, цель которых – украсть ваши конфиденциальные данные и получить доступ к вашим финансовым счетам. Веб-Фильтр проверяет веб-сайты до открытия, используя облачную службу Kaspersky Security Network. Веб-Фильтр также позволяет настроить доступ пользователя к веб-сайтам на основе сформированных списков разрешенных и запрещенных веб-сайтов.

Приложение Kaspersky Endpoint Security для Android должно быть установлено в качестве службы Специальных возможностей. Kaspersky Endpoint Security для Android предлагает пользователю установить приложение в качестве службы Специальных возможностей во время работы мастера первоначальной настройки. Пользователь может пропустить этот шаг или выключить службу в параметрах устройства позднее.

Веб-Фильтр на Android-устройствах поддерживается только браузерами Google Chrome, HUAWEI Browser, Samsung Internet и Яндекс Браузер.

Если приложение Kaspersky Endpoint Security для Android в режиме device owner не установлено в качестве службы Специальных возможностей, Веб-Фильтр поддерживается только браузером Google Chrome и проверяет только домен сайта. Чтобы Веб-Фильтр поддерживался другими браузерами (Samsung Internet Browser, Яндекс Браузер и HUAWEI Browser), приложение Kaspersky Endpoint Security должно быть включено в качестве службы Специальных возможностей. Это также позволит использовать функцию Custom Tabs.

Функция Custom Tabs поддерживается браузерами Google Chrome, HUAWEI Browser и Samsung Internet Browser.

В браузерах HUAWEI Browser, Samsung Internet Browser и Яндекс Браузер Веб-Фильтр не блокирует сайты на мобильном устройстве, если используется рабочий профиль и установлен флажок Включить Веб-Фильтр только в рабочем профиле.

Чтобы включить Веб-Фильтр в Google Chrome, HUAWEI Browser и Samsung Internet Browser, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Веб-Фильтр.
5. Для использования Веб-Фильтра вам или пользователю устройства необходимо прочитать Положение об обработке данных в целях использования Веб-Фильтра (Положение о Веб-Фильтре) и принять его условия. Для этого:
   1. Нажмите на ссылку Положение о Веб-Фильтре в верхней части раздела.

      Откроется окно Положение об обработке данных в целях использования Веб-Фильтра.

   2. Прочитайте Политику конфиденциальности и примите ее условия, установив соответствующий флажок. Для того чтобы ознакомиться с Политикой конфиденциальности, необходимо перейти по ссылке Политика конфиденциальности.

      Если вы не принимаете Политику конфиденциальности, пользователь мобильного устройства может принять Политику конфиденциальности в мастере первоначальной настройки или в приложении ( → О приложении → Правовая информация → Политика конфиденциальности).

   3. Укажите, принимаете ли вы Положение о Веб-Фильтре:
      • Я прочитал и принимаю Положение о Веб-Фильтре
      • Запросить принятие Положения о Веб-Фильтре у пользователя устройства
      • Я не принимаю Положение о Веб-Фильтре

        Если вы выбрали вариант Я не принимаю Положение о Веб-Фильтре, Веб-Фильтр не будет блокировать сайты на мобильном устройстве. Пользователь мобильного устройства не сможет включить Веб-Фильтр в Kaspersky Endpoint Security.

   4. Нажмите на кнопку OK, чтобы закрыть окно.
6. Установите флажок Включить Веб-Фильтр.
7. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

Защита данных при потере или краже устройств

Этот раздел содержит информацию о настройке параметров защиты мобильного устройства от несанкционированного доступа в случае потери или кражи.

Отправка команд на утерянное или украденное мобильное устройство

Для защиты данных на мобильном устройстве в случае его потери или кражи вы можете отправить специальные команды.

Вы можете отправлять команды на следующие типы управляемых мобильных устройств:

• Android-устройства, управляемые через приложение Kaspersky Endpoint Security для Android;
• iOS MDM-устройства.

Каждый тип устройств поддерживает свой набор команд (см. таблицу ниже).

Команды для Android-устройств

Команды для защиты данных при потере или краже Android-устройства

Команды для iOS MDM-устройств

Команды для защиты данных при потере или краже iOS MDM-устройства

Для выполнения команд Kaspersky Endpoint Security для Android требуются специальные права и разрешения. Во время работы мастера первоначальной настройки Kaspersky Endpoint Security для Android предлагает пользователю предоставить приложению необходимые права и разрешения. Пользователь может пропустить эти шаги или выключить права в параметрах устройства позднее. В этом случае выполнение команд невозможно.

На устройствах с операционной системой Android 10 и выше необходимо предоставить разрешение "Всегда" для доступа к местоположению устройства. На устройствах с операционной системой Android 11 и выше необходимо также предоставить разрешение "При использовании приложения" для доступа к камере. В противном случае команды Анти-Вора работать не будут. Пользователю будет выведено уведомление об этом ограничении и будет предложено повторно предоставить требуемые разрешения. Если пользователь выбрал вариант "Только сейчас" для разрешения камеры, считается, что доступ предоставлен приложением. Рекомендуется связаться с пользователем напрямую при повторном запросе разрешения для камеры.

Полный список доступных команд приведен в разделе "Команды для мобильных устройств". Подробная информация об отправке команд из Консоли администрирования приведена в разделе "Отправка команд".

Разблокировка мобильного устройства

Вы можете разблокировать мобильное устройство следующими способами:

• Отправить команду разблокировки мобильного устройства.
• Ввести на мобильном устройстве одноразовый код разблокировки (только для Android-устройств).

На некоторых устройствах (например, HUAWEI, Meizu, Xiaomi) требуется вручную добавить Kaspersky Endpoint Security для Android в список приложений, запускаемых при загрузке операционной системы. Если приложение не добавлено в список, вы можете разблокировать устройство только с помощью одноразового кода разблокировки. Разблокировать устройство с помощью команд невозможно.

Подробная информация об отправке команд из списка мобильных устройств в Консоли администрирования приведена в разделе "Отправка команд".

Одноразовый код разблокировки – секретный код программы для разблокировки мобильного устройства. Одноразовый код создается программой и является уникальным для каждого мобильного устройства. Вы можете изменить длину одноразового кода (4, 8 или 16 цифр) в параметрах групповой политики в разделе Анти-Вор.

Чтобы разблокировать мобильное устройство с помощью одноразового кода, выполните следующие действия:

1. В дереве консоли выберите Управление мобильными устройствами → Мобильные устройства.
2. Выберите мобильное устройство, для которого вы хотите получить одноразовый код для разблокировки.
3. Откройте окно свойств мобильного устройства двойным щелчком мыши.
4. Выберите Приложения → Kaspersky Endpoint Security для Android.
5. Откройте окно свойств приложения Kaspersky Endpoint Security двойным щелчком мыши.
6. Выберите раздел Анти-Вор.
7. В блоке Одноразовый код разблокировки устройства в поле Одноразовый код будет указан уникальный для выбранного устройства код.
8. Сообщите пользователю заблокированного мобильного устройства одноразовый код любым доступным способом (например, в сообщении электронной почты).
9. Пользователь вводит одноразовый код на экране устройства, заблокированном Kaspersky Endpoint Security для Android.

Мобильное устройство разблокировано.

После разблокировки устройства под управлением операционной системы Android 5.0–6 пароль разблокировки экрана будет заменен на "1234". На устройствах под управлением операционной системы Android 7.0 и выше после разблокировки мобильного устройства пароль разблокировки экрана останется прежним.

Шифрование данных

Для защиты данных от несанкционированного доступа требуется включить шифрование всех данных на устройстве (например, учетных данных, внешних устройств и приложений, а также сообщений электронной почты, SMS-сообщений, контактов, фотографий и других файлов). Для доступа к зашифрованным данным требуется задать специальный ключ – пароль для разблокировки устройства. Таким образом, если данные зашифрованы, доступ к ним можно получить, только когда устройство разблокировано.

На iOS-устройствах шифрование данных включено по умолчанию, если установлен пароль для разблокировки устройства (Настройки > Touch ID и пароль / Face ID и пароль > Включить пароль). Также для аппаратного шифрования на устройстве должно быть установлено значение На уровне блоков и файлов (этот параметр можно проверить в свойствах устройства: в дереве консоли выберите Управление мобильными устройствами > Мобильные устройства и дважды щелкните мышью по нужному устройству).

Чтобы зашифровать все данные на Android-устройстве, выполните следующие действия:

1. Включите блокирование экрана на Android-устройстве (Настройки → Безопасность → Блокирование экрана).
2. Установите пароль разблокировки устройства, соответствующий требованиям корпоративной безопасности.

   Не рекомендуется использовать графический пароль для разблокировки устройства. На некоторых Android-устройствах под управлением Android 6 и выше после шифрования данных и перезагрузки устройства Android требует ввести цифровой пароль для разблокировки устройства вместо графического. Проблема связана с особенностями работы службы Специальных возможностей. Для разблокировки экрана устройства в этом случае переведите графический пароль в цифровой. Подробнее о переводе графического пароля в цифровой см. на сайте Службы технической поддержки компании-производителя мобильного устройства.

3. Включите шифрование всех данных устройства (Настройки → Безопасность → Зашифровать данные).

Удаление данных на Android-устройствах после неудачных попыток ввода пароля

Вы можете настроить удаление всех данных на Android-устройстве (то есть сброс настроек устройства до заводских) после того, как пользователь неправильно ввел пароль разблокировки экрана слишком много раз.

Эти настройки применимы для устройств, работающих в режиме device owner, и персональных устройств, на которых приложение Kaspersky Endpoint Security для Android включено в качестве администратора устройства.

Чтобы настроить удаление всех данных:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В окне Свойства: <Название политики> выберите раздел Анти-Вор.
5. В блоке Удаление данных на устройстве установите флажок Удалить все данные после неудачных попыток ввода пароля разблокировки.
6. В поле Максимальное количество попыток ввода пароля разблокировки укажите количество попыток разблокировать устройство, которые может совершить пользователь. По умолчанию указано значение 8. Максимальное доступное значение – 20.
7. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center. Если указанное количество попыток ввести правильный пароль разблокировки экрана будет превышено пользователем, приложение Kaspersky Endpoint Security для Android удалит все данные на устройстве.

Настройка надежности пароля разблокировки устройства

Для защиты доступа к мобильному устройству пользователя следует настроить пароль разблокировки устройства.

Этот раздел содержит информацию о настройке защиты паролем Android-устройств и iOS-устройств.

Настройка надежности пароля разблокировки Android-устройства

Развернуть всё | Свернуть всё

Для обеспечения безопасности Android-устройства нужно настроить использование пароля, который запрашивается при выходе устройства из спящего режима.

Вы можете установить ограничения при работе пользователя с устройством, если пароль разблокировки недостаточно сложный (например, заблокировать устройство). Вы можете установить ограничения с помощью компонента Контроль соответствия. Для этого в параметрах правила проверки требуется выбрать критерий Пароль разблокировки не соответствует требованиям безопасности.

На некоторых Samsung-устройствах под управлением операционной системы Android 7.0 и выше при попытке пользователя настроить неподдерживаемые способы разблокировки устройства (например, графический пароль) устройство может быть заблокировано, если выполнены следующие условия: включена защита Kaspersky Endpoint Security для Android от удаления и заданы требования к надежности пароля разблокировки экрана. Для разблокировки устройства требуется отправить на устройство специальную команду.

Чтобы настроить использование пароля разблокировки, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Управление устройством.
5. Если вы хотите, чтобы приложение проверяло наличие пароля разблокировки, в блоке Блокирование экрана установите флажок Требовать установить пароль для разблокировки экрана.

   Если приложение обнаружит, что пароль на устройстве не задан, пользователю потребуется указать его. Пароль указывается с учетом параметров, заданных администратором.

6. При необходимости укажите следующие параметры:
   • Минимальное количество символов

     Минимальное количество символов в пароле пользователя. Возможные значения: от 4 до 16 символов.

     По умолчанию пароль пользователя содержит 4 символа.

     Следующие правила применимы только к личным и рабочим профилям:

     • В личном профиле Kaspersky Endpoint Security сводит требования к надежности пароля к одному из системных значений: средний или высокий уровень для устройств под управлением Android 10 или выше.
     • В рабочем профиле Kaspersky Endpoint Security сводит требования к надежности пароля к одному из системных значений: средний или высокий уровень для устройств под управлением Android 12 или выше.

     Значения уровня надежности определяются по следующим правилам:

     • Если требуемая длина пароля составляет от 1 до 4 символов, приложение предлагает пользователю установить пароль средней надежности. Он должен быть либо цифровым (PIN-код) без повторяющихся или упорядоченных последовательностей (например, 1234), либо буквенным / буквенно-цифровым. PIN-код или пароль должны состоять не менее чем из 4 символов.
     • Если требуемая длина пароля составляет не менее 5 символов, приложение предлагает пользователю установить пароль высокой надежности. Он должен быть либо цифровым (PIN-код) без повторяющихся или упорядоченных последовательностей, либо буквенным / буквенно-цифровым (пароль). PIN-код должен состоять не менее чем из 8 цифр; пароль должен состоять не менее чем из 6 символов.
   • Минимальные требования к сложности пароля (Android 12 или ниже в режиме device owner)

     Определяет минимальные требования к паролю разблокировки. Требования применяются только к новым паролям пользователя. Доступны следующие значения:

     • Числовой

       Пользователь может установить пароль, включающий в себя цифры, или любой более надежный пароль (например, буквенный или буквенно-цифровой).

       Этот параметр выбран по умолчанию.

     • Буквенный

       Пользователь может установить пароль, включающий в себя буквы (или другие нечисловые символы), или любой более надежный пароль (например, буквенно-цифровой).

     • Буквенно-цифровой

       Пользователь может установить пароль, включающий в себя цифры и буквы (или другие нечисловые символы), или любой более надежный сложный пароль.

     • Требования не заданы

       Пользователь может установить любой пароль.

     • Сложный

       Пользователь должен установить сложный пароль в соответствии с указанными свойствами пароля:

       • Минимальное количество букв
       • Минимальное количество цифр
       • Минимальное количество специальных символов (например, !@#$%)
       • Минимальное количество заглавных букв
       • Минимальное количество строчных букв
       • Минимальное количество небуквенных символов (например, 1^&*9)
     • Сложный числовой

       Пользователь может установить пароль, включающий в себя числа без повторений (например, 4444) или упорядоченных последовательностей (например, 1234, 4321, 2468), или любой более надежный сложный пароль.

     • Слабый биометрический

       Пользователь может использовать биометрические методы разблокировки или установить более надежный сложный пароль.

     Этот параметр применим только для устройств под управлением операционной системы Android 12 или выше в режиме device owner.

   • Срок действия пароля, в днях

     Определяет количество дней до истечения срока действия пароля. При применении новый срок действия будет установлен для текущего пароля.

     По умолчанию указано значение 0. Это означает, что срок действия пароля не ограничен.

     Эта настройка применима к устройствам с любыми поддерживаемыми версиями Android. Начиная с Android 10, эта настройка применима только для режима device owner.

   • Количество дней, за которое уведомлять о необходимости смены пароля (для режима device owner)

     Определяет количество дней, за которое уведомлять пользователя об истечении срока действия пароля.

     По умолчанию указано значение 0. Это означает, что пользователь не будет уведомлен об истечении срока действия пароля.

     Этот параметр применим только для устройств, работающих в режиме device owner.

   • Количество последних паролей, которые нельзя использовать в качестве нового пароля (все версии Android; Android 10 или выше в режиме device owner)
   • Период неактивности без блокировки экрана устройства, в секундах

     Определяет период неактивности перед блокировкой экрана устройства. После окончания этого периода экран устройства будет заблокирован.

     По умолчанию указано значение 0. Это означает, что экран устройства не будет блокироваться после окончания какого-либо периода.

   • Период после разблокировки биометрическими методами до ввода пароля, в минутах (Android 8.0 или выше в режиме device owner)

     Определяет период для разблокировки устройства без пароля. В течение этого периода пользователь может использовать биометрические методы для разблокировки экрана. После окончания этого периода пользователь может разблокировать экран только с помощью пароля.

     По умолчанию указано значение 0. Это означает, что пользователю не придется разблокировать устройство с помощью пароля после истечения какого-либо периода.

     Этот параметр применим только для устройств под управлением операционной системы Android 8.0 или выше в режиме device owner.

   • Разрешить биометрические методы разблокировки (Android 9 или выше; Android 10 или выше в режиме device owner)

     Если флажок установлен, использование биометрических методов разблокировки на мобильном устройстве разрешено.

     Если флажок снят, Kaspersky Endpoint Security для Android запрещает использовать биометрические методы для разблокировки экрана. Пользователь может разблокировать экран только с помощью пароля.

     По умолчанию флажок установлен.

     Этот параметр применим только для устройств под управлением Android 9 или выше. Начиная с Android 10, эта настройка применима только для режима device owner.

   • Разрешить использование отпечатков пальцев (все версии Android; Android 10 или выше в режиме device owner)

     Использование отпечатков пальцев для разблокировки экрана.

     Флажок не ограничивает использование сканера отпечатков пальцев при входе в приложения или подтверждении покупок.

     Если флажок установлен, использование отпечатков пальцев на мобильном устройстве разрешено.

     Если флажок снят, Kaspersky Endpoint Security для Android блокирует возможность использовать отпечатки пальцев для разблокировки экрана. Пользователь может разблокировать экран только с помощью пароля. В настройках Android пункт установки отпечатков пальцев будет недоступен (Настройки Android > Безопасность > Блокировка экрана > Отпечатки пальцев).

     Флажок доступен только если установлен флажок Разрешить биометрические методы разблокировки (Android 9 или выше; Android 10 или выше в режиме device owner).

     По умолчанию флажок установлен.

     Эта настройка применима к устройствам с любыми поддерживаемыми версиями Android. Начиная с Android 10, эта настройка применима только для режима device owner.

     На некоторых устройствах Xiaomi рабочий профиль Android можно разблокировать с помощью отпечатка пальца только в том случае, если значение параметра Период неактивности без блокировки экрана устройства будет установлено после установки отпечатка пальца в качестве метода разблокировки экрана.

   • Разрешить распознавание лица (Android 9 или выше; Android 10 или выше в режиме device owner)
   • Разрешить распознавание по радужной оболочке глаза (Android 9 или выше; Android 10 или выше в режиме device owner)

     Если флажок установлен, использование распознавания по радужной оболочке глаза на мобильном устройстве разрешено.

     Если флажок снят, Kaspersky Endpoint Security для Android запрещает использовать распознавание по радужной оболочке глаза для разблокировки экрана.

     Флажок доступен только если установлен флажок Разрешить биометрические методы разблокировки (Android 9 или выше; Android 10 или выше в режиме device owner).

     По умолчанию флажок установлен.

     Этот параметр применим только для устройств под управлением Android 9 или выше. Начиная с Android 10, эта настройка применима только для режима device owner.

   • Разрешить загрузку устройства до запроса пароля

     Если флажок установлен, устройство запускается и загружает системные процессы и фоновые приложения до запроса пароля разблокировки у пользователя.

     После того как флажок установлен, невозможно отключить запрос пароля при запуске устройства без сброса настроек до заводских.

     Если флажок снят, требования, касающиеся запуска устройства, остаются без изменений.

     По умолчанию флажок снят.

   • Пароль разблокировки

     Этот параметр позволяет установить пароль на устройстве пользователя.

     На устройствах под управлением операционной системы Android версий с 7.0 по 10 включительно этот параметр применим только к личным устройствам, на которых не установлен пароль.

     На устройствах под управлением операционной системы Android 11 или выше этот параметр применим, только если устройство находится в режиме device owner.

     После сохранения политики настройка применяется на устройстве в результате отправки команды с указанным паролем. Поле ввода будет очищено, указанный пароль не сохранится в Консоли администрирования.

     • Если устройство не защищено паролем или работает под управлением операционной системы Android 10 или ниже, Kaspersky Endpoint Security для Android сразу устанавливает пароль.
     • Если устройство работает под управлением операционной системы Android 11 или выше, Kaspersky Endpoint Security для Android предлагает пользователю применить новый пароль.

     Если вы оставите пустое значение, изменений на устройстве не будет.

7. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

На некоторых устройствах HUAWEI появляется сообщение о слишком простом способе разблокировки экрана.

Чтобы установить правильный PIN-код на устройстве HUAWEI, пользователь должен выполнить следующие действия:

1. В сообщении о проблеме нажмите на кнопку Изменить.
2. Введите текущий PIN-код.
3. В окне Настройте новый пароль нажмите на кнопку Изменение способа разблокировки.
4. Выберите способ разблокировки Персональный PIN-код.
5. Установите новый PIN-код.

   PIN-код должен соответствовать требованиям политики.

На устройстве установлен правильный PIN-код.

Настройка надежности пароля разблокировки iOS MDM-устройств

Для защиты данных iOS MDM-устройства следует настроить требования к надежности пароля разблокировки.

По умолчанию пользователь может использовать простой пароль. Простой пароль – это пароль, который может содержать последовательность символов или повторяющиеся символы, например, "abcd" или "2222". Вводить алфавитно-цифровой пароль с использованием специальных символов не обязательно. Срок действия пароля и количество попыток ввода пароля по умолчанию не ограничены.

Чтобы настроить параметры надежности пароля разблокировки iOS MDM-устройства, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Пароль.
5. В блоке Параметры пароля установите флажок Применить параметры на устройстве.
6. Настройте параметры надежности пароля разблокировки:
   • Чтобы разрешить пользователю использовать простой пароль, установите флажок Разрешить простой пароль.

   • Чтобы требовать использование алфавитно-цифрового пароля, установите флажок Требовать ввод алфавитно-цифрового значения.
   • Чтобы сделать использование пароля обязательным, установите флажок Принудительно использовать пароль. Если флажок снят, мобильное устройство можно использовать без пароля.

   • В списке Минимальное количество символов выберите минимальную длину пароля в символах.
   • В списке Минимальное количество специальных символов выберите минимальное количество специальных символов в пароле (например, "$", "&", "!").
   • В поле Максимальный срок использования укажите период времени в днях, в течение которого будет действовать пароль. По истечении установленного срока Kaspersky Device Management для iOS запрашивает у пользователя смену пароля.
   • В списке Включать автоблокировку через выберите время включения автоблокировки iOS MDM-устройства.

   • В поле История паролей укажите количество использованных паролей (включая текущий), которые Kaspersky Device Management для iOS при смене пароля сравнивает с новым паролем. Если пароли совпадут, новый пароль не будет принят.
   • В списке Максимальное время для разблокировки без пароля выберите время, в течение которого пользователь может разблокировать iOS MDM-устройство без ввода пароля.
   • В списке Максимальное количество попыток ввода выберите число доступных пользователю попыток ввести пароль для разблокировки iOS MDM-устройства.
7. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате на мобильном устройстве пользователя после применения политики Kaspersky Device Management для iOS проверит надежность пароля. Если надежность пароля разблокировки на устройстве не соответствует политике, пользователю будет предложено его изменить.

Настройка виртуальной частной сети (VPN)

Этот раздел содержит информацию о настройке параметров виртуальной частной сети (VPN) для безопасного подключения к сетям Wi-Fi.

Настройка VPN на Android-устройствах (только Samsung)

Для безопасного подключения Android-устройства к сетям Wi-Fi и защиты передачи данных следует настроить параметры VPN (Virtual Private Network).

Настройка VPN возможна только для Samsung-устройств под управлением операционной системы Android 11 и ниже.

При использовании виртуальной частной сети следует учитывать следующие требования:

• Приложение, использующее VPN-соединение, должно быть разрешено в параметрах Сетевого экрана.
• Параметры виртуальной частной сети, настроенные в политике, не могут быть применены для системных приложений. Для системных приложений VPN-соединение нужно настраивать вручную.
• Для некоторых приложений, использующих VPN-соединение, при первом запуске требуется дополнительная настройка. Чтобы выполнить настройку, нужно разрешить VPN-соединение в параметрах приложения.

Чтобы настроить VPN на мобильном устройстве пользователя, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Управление Samsung KNOX → Управление Samsung-устройствами.
5. В блоке VPN нажмите на кнопку Настроить.

   Откроется окно Сеть VPN.

6. В раскрывающемся списке Тип соединения выберите тип VPN-соединения.
7. В поле Имя сети введите название VPN-туннеля.
8. В поле Адрес сервера введите сетевое имя или IP-адрес VPN-сервера.
9. В поле Домен(ы) поиска DNS введите домен поиска DNS, который автоматически добавляется к имени DNS-сервера.

   Вы можете ввести несколько доменов поиска DNS через пробел.

10. В поле DNS-сервер(ы) введите полное доменное имя или IP-адрес DNS-сервера.

    Вы можете ввести несколько DNS-серверов через пробел.

11. В поле Перенаправление маршрутов введите диапазон IP-адресов сети, обмен данными с которыми осуществляется через VPN-соединение.

    Если в поле Перенаправление маршрутов не указан диапазон IP-адресов, весь интернет-трафик будет проходить через VPN-соединение.

12. Для типов сети IPSec Xauth PSK и L2TP IPSec PSK дополнительно настройте следующие параметры:
    1. В поле Общий ключ IPSec введите пароль от предварительно установленного ключа безопасности IPSec.
    2. В поле Идентификатор IPSec введите имя пользователя мобильного устройства.
13. Для типа сети L2TP IPSec PSK дополнительно укажите пароль для ключа L2TP в поле Ключ L2TP.
14. Для типа сети PPTP установите флажок Использовать SSL-соединение, чтобы приложение использовало метод шифрования данных MPPE (Microsoft Point-to-Point Encryption) для обеспечения безопасности передачи данных при подключении мобильного устройства к VPN-серверу.
15. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

Настройка VPN на iOS MDM-устройствах

Для подключения iOS MDM-устройства к виртуальной частной сети (VPN) и обеспечения безопасности данных при подключении к сети VPN следует настроить параметры подключения к сети VPN. VPN-протоколы IKEv2 и IPSec также позволяют настроить VPN-соединение для избранных доменов веб-сайтов в Safari.

Чтобы настроить VPN-соединение на iOS MDM-устройстве пользователя, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел VPN.
5. В блоке Конфигурации VPN нажмите на кнопку Добавить.

   Откроется окно Конфигурация VPN.

6. В поле Имя сети введите название VPN-туннеля.
7. В раскрывающемся списке Тип соединения выберите тип VPN-соединения:
   • L2TP (Layer 2 Tunneling Protocol). Соединение поддерживает аутентификацию пользователя iOS MDM-устройства с помощью паролей MS-CHAP v2, двухфакторную аутентификацию и автоматическую аутентификацию с помощью общего ключа.
   • PPTP (Point-to-Point Tunneling Protocol). Соединение поддерживает аутентификацию пользователя iOS MDM-устройства с помощью паролей MS-CHAP v2 и двухфакторную аутентификацию.

     Соединение PPTP больше не поддерживается.

   • IKEv2 (Internet Key Exchange версии 2). Соединение устанавливает между двумя сетевыми объектами атрибут Ассоциация безопасности (SA) и поддерживает аутентификацию с использованием EAP (Extensible Authentication Protocols), общих ключей и сертификатов.
   • IPSec (Cisco). Соединение поддерживает аутентификацию пользователей с помощью паролей, двухфакторную аутентификацию и автоматическую аутентификацию с помощью общего ключа и сертификатов.
   • Cisco AnyConnect. Соединение поддерживает межсетевой экран Cisco Adaptive Security Appliance (ASA) версии 8.0(3).1 и выше. Для настройки VPN-соединения требуется установить на iOS MDM-устройство приложение Cisco AnyConnect из App Store.
   • Juniper SSL. Соединение поддерживает шлюз Juniper Networks SSL VPN серии SA версии 6.4 и выше с пакетом Juniper Networks IVE версии 7.0 и выше. Для настройки VPN-соединения требуется установить на iOS MDM-устройство приложение JUNOS из App Store.
   • F5 SSL. Соединение поддерживает решения F5 BIG-IP Edge Gateway, Access Policy Manager и Fire SSL VPN. Для настройки VPN-соединения требуется установить на iOS MDM-устройство приложение F5 BIG-IP Edge Client из App Store.
   • SonicWALL Mobile Connect. Соединение поддерживает устройства SonicWALL Aventail E-Class Secure Remote Access версии 10.5.4 и выше, устройства SonicWALL SRA версии 5.5 и выше, а также устройства SonicWALL Next-Generation Firewall, включая TZ, NSA, E-Class NSA с SonicOS версии 5.8.1.0 и выше. Для настройки VPN-соединения требуется установить на iOS MDM-устройство приложение SonicWALL Mobile Connect из App Store.
   • Aruba VIA. Соединение поддерживает контроллеры мобильного доступа Aruba Networks. Для их настройки требуется установить на iOS MDM-устройство приложение Aruba Networks VIA из App Store.
   • Custom SSL. Соединение поддерживает аутентификацию пользователя iOS MDM-устройства с помощью паролей и сертификатов, а также двухфакторную аутентификацию.
8. В поле Адрес сервера введите сетевое имя или IP-адрес VPN-сервера.
9. В поле Имя учетной записи введите имя учетной записи пользователя для авторизации на сервере VPN. Вы можете использовать макросы из раскрывающегося списка Добавить макрос.
10. Настройте параметры безопасности для VPN-соединения в соответствии с выбранным типом виртуальной частной сети. Информацию об этих параметрах можно получить в контекстной справке плагина управления.
11. При необходимости для подключения по протоколам IKEv2 и IPsec настройте Per App VPN для поддерживаемых системных приложений (электронная почта, календарь, Safari и контакты). Подробную информацию см. в разделе Настройка Per App VPN на устройствах iOS MDM или в контекстной справке плагина управления.
12. Настройте (если требуется) параметры подключения к сети VPN через прокси-сервер:
    1. Выберите закладку Параметры прокси-сервера.
    2. Выберите режим настройки прокси-сервера и укажите параметры подключения.
    3. Нажмите кнопку OK.

    В результате на iOS MDM-устройстве будут настроены параметры подключения устройства к VPN-сети через прокси-сервер

13. Нажмите кнопку OK.

    Новая сеть VPN отобразится в списке.

14. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате на iOS MDM-устройстве пользователя после применения политики будет настроено подключение к VPN-сети.

Настройка Per App VPN на устройствах iOS MDM

Per App VPN позволяет подключать устройства к сети VPN при запуске поддерживаемых системных приложений (электронная почта, календарь, Safari и контакты). Эта функция доступна при подключении по протоколам IKEv2 и IPSec.

Чтобы включить Per App VPN, выполните следующие действия:

1. Выполните первоначальную настройку VPN-соединения. Порядок предварительной настройки описан в разделе Настройка VPN на устройствах iOS MDM.
2. Установите флажок Включить Per App VPN.

Настройте Per App VPN для поддерживаемых системных приложений (электронная почта, календарь, Safari и контакты) в соответствующих разделах политики.

При установке флажка Включить Per App VPN становится доступен и по умолчанию установлен флажок Включать VPN автоматически для системных приложений. Это означает, что устройство автоматически активирует VPN-соединение, когда ассоциированные системные приложения инициируют передачу данных по сети.

Чтобы указать конфигурацию Per App VPN для приложений Электронная почта, Календарь и Контакты:

1. Перейдите в соответствующий раздел политики.
2. Нажмите Добавить, чтобы создать новую учетную запись, или выберите существующую из списка и нажмите Изменить.
3. В разделе Настройки Per App VPN установите флажок Включить Per App VPN (iOS 14+).
4. Выберите эту конфигурацию Per App VPN из раскрывающегося списка Выбрать конфигурацию Per App VPN и нажмите OK, чтобы сохранить изменения.

Чтобы указать конфигурацию Per App VPN для Safari:

1. Перейдите в раздел политики Safari.
2. Нажмите на кнопку Добавить.

   Откроется окно Добавление домена для Safari.

3. Выберите эту конфигурацию Per App VPN из раскрывающегося списка Выберите конфигурацию Per App VPN.
4. В поле Домен, для которого будет включаться VPN-соединение укажите домен веб-сайта, который активирует VPN-соединение в Safari. Домен необходимо указывать в формате "www.example.com".
5. Нажмите OK, чтобы добавить домен в список.

Настройка Сетевого экрана на Android-устройствах (только Samsung)

Для контроля сетевых соединений на мобильном устройстве пользователя следует настроить параметры Сетевого экрана.

Чтобы настроить Сетевой экран на мобильном устройстве, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Управление Samsung KNOX → Управление Samsung-устройством.
5. В блоке Сетевой экран нажмите на кнопку Настроить.

   Откроется окно Сетевой экран.

6. Выберите режим работы Сетевого экрана:
   • Чтобы разрешить все входящие и исходящие соединения, переместите ползунок в положение Разрешать все.
   • Чтобы блокировать любую сетевую активность, кроме приложений из списка исключений, переместите ползунок в положение Блокировать все, кроме исключений.
7. Если вы выбрали режим работы Сетевого экрана Блокировать все, кроме исключений, сформируйте список исключений:
   1. Нажмите на кнопку Добавить.

      Откроется окно Исключение для Сетевого экрана.

   2. В поле Название приложения введите название мобильного приложения.
   3. В поле Имя пакета введите системное имя пакета мобильного приложения (например, com.mobileapp.example).
   4. Нажмите на кнопку OK.
8. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

Защита Kaspersky Endpoint Security для Android от удаления

Для защиты мобильного устройства и выполнения требований корпоративной безопасности вы можете включить защиту Kaspersky Endpoint Security для Android от удаления. В этом случае пользователю недоступно удаление приложения с помощью интерфейса Kaspersky Endpoint Security для Android. При удалении приложения с помощью инструментов операционной системы Android появится запрос на выключение прав администратора для Kaspersky Endpoint Security для Android. После выключения прав мобильное устройство будет заблокировано.

На некоторых Samsung-устройствах под управлением операционной системы Android 7.0 и выше при попытке пользователя настроить неподдерживаемые способы разблокировки устройства (например, графический пароль) устройство может быть заблокировано, если выполнены следующие условия: включена защита Kaspersky Endpoint Security для Android от удаления и заданы требования к надежности пароля разблокировки экрана. Для разблокировки устройства требуется отправить на устройство специальную команду.

Чтобы включить защиту Kaspersky Endpoint Security для Android от удаления, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Дополнительно.
5. В блоке Удаление приложения Kaspersky Endpoint Security для Android снимите флажок Разрешить удаление приложения Kaspersky Endpoint Security для Android.

   На устройствах под управлением операционной системы Android версии 7 и выше для защиты приложения от удаления Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Во время работы мастера первоначальной настройки Kaspersky Endpoint Security для Android предлагает пользователю предоставить приложению необходимые права. Пользователь может пропустить эти шаги или выключить права в параметрах устройства позднее. В этом случае защита приложения от удаления не работает.

6. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. При попытке удаления приложения мобильное устройство будет заблокировано.

Обнаружение взлома устройства (получение root-прав)

Kaspersky Secure Mobility Management позволяет обнаруживать взлом устройства (получение root-прав). На взломанном устройстве системные файлы не защищены и доступны для изменения. Также на взломанном устройстве доступна установка сторонних приложений из неизвестных источников. После обнаружения взлома рекомендуется восстановить нормальную работу устройства.

Kaspersky Endpoint Security для Android использует следующие службы для обнаружения получения пользователем root-прав:

• Встроенная служба Kaspersky Endpoint Security для Android. Служба "Лаборатории Касперского", которая проверяет получение root-прав пользователем мобильного устройства (Kaspersky Mobile Security SDK).

При взломе устройства вы получите уведомление. Вы можете просмотреть уведомления о взломе в рабочей области Сервера администрирования на закладке Мониторинг. Вы также можете выключить уведомление о взломе в параметрах уведомлений о событиях.

На устройствах под управлением операционной системы Android вы можете установить ограничения при работе пользователя с устройством в случае взлома (например, заблокировать устройство). Вы можете установить ограничения с помощью компонента Контроль соответствия. Для этого в параметрах правила соответствия требуется выбрать критерий На устройстве получены root-права.

Настройка глобального HTTP-прокси на iOS MDM-устройствах

Для защиты интернет-трафика пользователя нужно настроить подключение iOS MDM-устройства к интернету через прокси-сервер.

Автоматическое подключение к интернету через прокси-сервер доступно только для контролируемых устройств.

Чтобы настроить глобальный HTTP-прокси на iOS MDM-устройстве, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Глобальный HTTP-прокси.
5. В блоке Параметры глобального HTTP-прокси установите флажок Применить параметры на устройстве.
6. Выберите тип настройки глобального HTTP-прокси.

   По умолчанию выбран ручной тип настройки глобального HTTP-прокси и пользователю запрещено подключаться к подписным сетям без подключения к прокси-серверу. Подписные сети – беспроводные сети, требующие предварительной аутентификации на мобильном устройстве без подключения к прокси-серверу.

   • Если вы хотите вручную ввести параметры подключения к прокси-серверу, выполните следующие действия:
     1. В раскрывающемся списке Тип настройки выберите Вручную.
     2. В поле Адрес прокси-сервера и порт введите имя хоста, домена или IP-адрес прокси-сервера и номер порта прокси-сервера.
     3. В поле Имя пользователя задайте имя учетной записи пользователя для авторизации на прокси-сервере. Вы можете использовать макросы из раскрывающегося списка Добавить макрос.
     4. В поле Пароль задайте пароль учетной записи пользователя для авторизации на прокси-сервере.
     5. Чтобы разрешить пользователю доступ к подписным сетям, установите флажок Разрешить доступ к подписным сетям без подключения к прокси-серверу.
   • Чтобы настроить параметры подключения к прокси-серверу с помощью подготовленного файла PAC (Proxy Auto Configuration), выполните следующие действия:
     1. В раскрывающемся списке Тип настройки выберите Автоматически.
     2. В поле Веб-адрес PAC-файла введите веб-адрес PAC-файла (например, http://www.example.com/filename.pac).
     3. Чтобы разрешить пользователю подключение мобильного устройства к беспроводной сети без использования прокси-сервера в случае, если PAC-файл недоступен, установите флажок Разрешить прямое соединение, если PAC-файл недоступен.
     4. Чтобы разрешить пользователю доступ к подписным сетям, установите флажок Разрешить доступ к подписным сетям без подключения к прокси-серверу.
7. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате после применения политики пользователь мобильного устройства будет подключаться к интернету через прокси-сервер.

Добавление сертификатов безопасности на iOS MDM-устройства

Для упрощения аутентификации пользователя и обеспечения безопасности данных следует добавить на iOS MDM-устройство пользователя сертификаты. Подписание данных с помощью сертификата защищает данные от изменения во время сетевого обмена. Шифрование данных с помощью сертификата обеспечивает дополнительную защиту информации. Сертификат также может использоваться для удостоверения личности пользователя.

Kaspersky Device Management для iOS поддерживает следующие стандарты сертификатов:

• PKCS#1 – шифрование с открытым ключом на основе алгоритмов RSA.
• PKCS#12 – хранение и передача сертификата и закрытого ключа.

Чтобы добавить сертификат безопасности на iOS MDM-устройство пользователя, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Сертификаты.
5. В блоке Сертификаты нажмите на кнопку Добавить.

   Откроется окно Сертификат.

6. В поле Имя файла укажите путь к сертификату:

   Файлы сертификатов PKCS#1 имеют расширения cer, crt или der. Файлы сертификатов PKCS#12 имеют расширения p12 или pfx.

7. Нажмите на кнопку Открыть.

   Если сертификат защищен паролем, требуется указать пароль. После этого новый сертификат отобразится в списке.

8. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате на мобильном устройстве после применения политики пользователю будет предложено установить сертификаты из сформированного списка.

Добавление профиля SCEP на iOS MDM-устройства

Чтобы пользователь iOS MDM-устройства мог автоматически получать сертификаты из Центра сертификации через интернет, следует добавить профиль SCEP. Профиль SCEP позволяет поддерживать протокол простой регистрации сертификатов.

По умолчанию добавляется профиль SCEP со следующими параметрами:

• Для регистрации сертификатов не используется альтернативное имя субъекта.
• Предпринимаются три попытки опроса SCEP-сервера с интервалом 10 секунд между попытками. Если все попытки подписать сертификат были неудачными, следует сформировать новый запрос на подписание сертификата.
• Полученный сертификат запрещено использовать для подписи или шифрования данных.

Вы можете изменить указанные параметры при добавлении профиля SCEP.

Чтобы добавить профиль SCEP, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел SCEP.
5. В блоке Профили SCEP нажмите на кнопку Добавить.

   Откроется окно Профиль SCEP.

6. В поле Веб-адрес сервера введите веб-адрес SCEP-сервера, на котором развернут Центр сертификации.

   Веб-адрес может содержать IP-адрес или полное доменное имя (FQDN). Например, http://10.10.10.10/certserver/companyscep.

7. В поле Название введите название Центра сертификации, развернутого на SCEP-сервере.
8. В поле Субъект введите строку с атрибутами пользователя iOS MDM-устройства, которые содержатся в сертификате X.500.

   Атрибуты могут содержать сведения о стране (С), организации (O) и общем имени пользователя (CN). Например, /C=RU/O=MyCompany/CN=User/. Вы можете использовать и другие атрибуты, которые приведены в RFC 5280.

9. В раскрывающемся списке Тип альтернативного имени субъекта выберите тип альтернативного имени субъекта SCEP-сервера:
   • Не задан – идентификация по альтернативному имени не используется.
   • RFC 822 имя – идентификация по адресу электронной почты. Адрес электронной почты должен быть представлен в соответствии с RFC 822.
   • DNS-имя – идентификация по доменному имени.
   • URI – идентификация по IP-адресу или адресу в формате FQDN.

   Вы можете использовать альтернативное имя субъекта для идентификации пользователя iOS MDM-устройства.

10. В поле Альтернативное имя субъекта введите альтернативное имя субъекта сертификата X.500. Значение альтернативного имени субъекта зависит от типа субъекта: адрес электронной почты пользователя, домен или веб-адрес.
11. В поле Имя субъекта NT введите DNS-имя пользователя iOS MDM-устройства в сети Windows NT.

    Имя субъекта NT содержится в запросе на сертификат в SCEP-сервер.

12. В поле Количество попыток опроса SCEP-сервера укажите максимальное количество попыток опроса SCEP-сервера для подписания сертификата.
13. В поле Интервал между попытками (сек) укажите период времени в секундах между попытками опроса SCEP-сервера для подписания сертификата.
14. В поле Запрос регистрации введите предварительно опубликованный ключ регистрации.

    Перед подписанием сертификата SCEP-сервер запрашивает у пользователя мобильного устройства ключ. Если оставить поле пустым, SCEP-сервер не будет запрашивать ключ.

15. В раскрывающемся списке Размер ключа выберите размер ключа регистрации в битах: 1024 или 2048.
16. Если вы хотите разрешить пользователю использовать сертификат, полученный от SCEP-сервера, в качестве сертификата подписи, установите флажок Использовать для подписи.
17. Если вы хотите разрешить пользователю использовать сертификат, полученный от SCEP-сервера, для шифрования данных, установите флажок Использовать для шифрования.

    Запрещено использовать сертификат SCEP-сервера в качестве сертификата подписи данных и сертификата шифрования данных одновременно.

18. В поле Отпечаток сертификата введите уникальный отпечаток сертификата для проверки подлинности ответа от Центра сертификации. Вы можете использовать отпечатки сертификатов с алгоритмом хеширования SHA-1 или MD5. Вы можете скопировать отпечаток сертификата вручную или выбрать сертификат с помощью кнопки Создать из сертификата. При создании отпечатка с помощью кнопки Создать из сертификата отпечаток будет добавлен в поле автоматически.

    Отпечаток сертификата требуется указать, если обмен данными между мобильным устройством и Центром сертификации осуществляется по протоколу HTTP.

19. Нажмите кнопку OK.

    Новый профиль SCEP отобразится в списке.

20. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате после применения политики на мобильном устройстве пользователя будет настроено автоматическое получение сертификата из Центра сертификации через интернет.

Настройка ограничений на использование SD-карт (только для устройств Samsung)

Развернуть всё | Свернуть всё

В параметрах SD-карты настройте возможности контроля за использованием SD-карты на мобильном устройстве пользователя.

Чтобы ограничить использование SD-карты на мобильном устройстве, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Управление Samsung KNOX → Управление Samsung-устройством.
5. В разделе Параметры SD-карты укажите необходимые ограничения:
   • Разрешить доступ к SD-карте

     Этот параметр применим для устройств с Android 5.0-12.

     Установка или снятие этого флажка определяет, включен или отключен доступ к SD-карте на устройстве.

     По умолчанию флажок установлен.

   • Разрешить запись на SD-карту

     Установка или снятие этого флажка определяет, включена или отключена запись на SD-карту на устройстве.

     По умолчанию флажок установлен.

   • Разрешить перенос приложений на SD-карту

     Установка или снятие флажка определяет, разрешено ли пользователю устройства перемещать приложения на SD-карту.

     По умолчанию флажок установлен.

6. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры SD-карты настроены.