Comments 55
Результат мощный, пожалуй, следует запретить использование android на exchange.
Кстати, другие клиенты поступают интереснее — они реализуют обязательный функционал клиента, но в рамках приложения, что гораздо удобнее. В качестве примера (не рекламного) — touchdown, он требует установить пароль на себя, и вайпит, если что, тоже себя.
Кстати, другие клиенты поступают интереснее — они реализуют обязательный функционал клиента, но в рамках приложения, что гораздо удобнее. В качестве примера (не рекламного) — touchdown, он требует установить пароль на себя, и вайпит, если что, тоже себя.
UFO just landed and posted this here
Отсутствие поддержки некоторых политик. Такой поддержки, как у WinMobile, нет ни у одного клиента ни под одну платформу. Учитывая, что вы вряд ли сможете такими же хаками «добавлять» поддержку нужных политик, вышеуказанная таблица — мощное средство для ограничения доступа недоверенных устройств.
Ну или по старинке, EAS выпилить, оставить BES, и жить на ежевике.
Ну или по старинке, EAS выпилить, оставить BES, и жить на ежевике.
Справедливости ради надо сказать что сам софт в WindowsPhone довольно урезан в своей функциональности. Если мне не изменяет память то например календарь в актуальной версии Windows Phone умеет в разы меньше чем его ежевичный собрат (или андроидовский — кому как).
Справедливости ради стоит сказать, что я и не про Windows Phone говорил. У актуальной версии WP в вышеуказанной таблице пробелов больше, чем у iOS.
Нам много чего наобещали в WP8, посмотрим, когда обновят табличку, но пока WP — однозначно не корпоративная платформа. И глупо ее сравнивать с ежевикой — там система политик не хуже, чем в EAS, работает как часы, и только это ежевику до сих пор на плаву и держит.
А андроид, после этого топика, имхо, должен держаться в изоляции от EAS. Учитывая, что андроид и так не поддерживает вайп по неправильному device password, подобные хаки вообще исключают возможность удаления конфиденциальной информации в случае банально забытого в такси телефона. Это просто ни в какие ворота.
Нам много чего наобещали в WP8, посмотрим, когда обновят табличку, но пока WP — однозначно не корпоративная платформа. И глупо ее сравнивать с ежевикой — там система политик не хуже, чем в EAS, работает как часы, и только это ежевику до сих пор на плаву и держит.
А андроид, после этого топика, имхо, должен держаться в изоляции от EAS. Учитывая, что андроид и так не поддерживает вайп по неправильному device password, подобные хаки вообще исключают возможность удаления конфиденциальной информации в случае банально забытого в такси телефона. Это просто ни в какие ворота.
Да, вы действительно говорили только о WinMobile — про WinPhone я как то сам додумал. Интересно насколько ещё жив WinMobile в корпоративной среде, я забыл про эту платформу после выхода первых устройств «под пальцы».
Насчёт андроида, тут вы правы. Мы для этого на все корпоративные телефоны ставим специальный софт с помощью которого мы можем в любой момент «брикнуть» весь девайс.
Насчёт андроида, тут вы правы. Мы для этого на все корпоративные телефоны ставим специальный софт с помощью которого мы можем в любой момент «брикнуть» весь девайс.
Дело не в адроиде, а в рутованном девайсе. никто не мешает повторить сей трюк с Windows Mobile или iPhone. Декомпилятор в руки — и вперёд.
Во времена WM6 по просьбе одного участника с 4pda я снимал блокировку на загрузку девайса Loox C550. на форме ввода пароля было банальное переполнение — при вводе слишком длинной строки (16K знаков) локер банально падал, открывая рабочий стол. системный апплет смены пароля я подхачил, чтобы при старте он не спрашивал старый пароль, и можно было поставить новый или снять, не зная старого
Трюки с исправлением системных приложений делались ещё в школе, когда администратор в политиках запрещал запуск на компах Regedit, но правкой одного байта эта проверка шла лесом. Безопасность не может полагаться на клиентский код.
Во времена WM6 по просьбе одного участника с 4pda я снимал блокировку на загрузку девайса Loox C550. на форме ввода пароля было банальное переполнение — при вводе слишком длинной строки (16K знаков) локер банально падал, открывая рабочий стол. системный апплет смены пароля я подхачил, чтобы при старте он не спрашивал старый пароль, и можно было поставить новый или снять, не зная старого
Трюки с исправлением системных приложений делались ещё в школе, когда администратор в политиках запрещал запуск на компах Regedit, но правкой одного байта эта проверка шла лесом. Безопасность не может полагаться на клиентский код.
Рутованный телефон с разблокированным загрузчиком не спасут никакие вайпы и девайс пасворды. А в нерутованном и неразблокированном так просто Mail.apk не заменишь.
Еще вариант:
forum.xda-developers.com/showthread.php?t=1367254
forum.xda-developers.com/showthread.php?t=1367254
Запустил этот код на эмуляторе, открылась та самая activity с кнопкой:
cs403016.userapi.com/v403016231/1a3f/TH91dBxcHI4.jpg
На ICS оно вообще упало, т.к. там такой activity нету.
cs403016.userapi.com/v403016231/1a3f/TH91dBxcHI4.jpg
На ICS оно вообще упало, т.к. там такой activity нету.
О! Спасибо за интересную статью. Я как раз недавно настраивал свой андроид планшет для корпоративной почты и был удивлён обилием прав которые от меня требует наш exchange. Если ему эти права не дать то отказывает в соединении. Собственно с правами всё ясно — во-первых нефиг на частном девайсе почту фирмы настраивать, во-вторых если девайс будет потерян то его можно будет вайпнуть. Правда я не знал что это действительно работает. Не могли бы вы осветить вайп со стороны exchange? Где собственно спрятаны опции для вайпа?
В политиках EAS. Создаете профайл доступа, и указываете в нем, какие политики должны быть включены на устройстве для подключения. Список актуальных политик есть в моем комментарии чуть-чуть повыше.
Каст магического заклинания на вычистку устройства немного разнится в разных версиях EXS, для актуальной, например, есть инструкция на technet, а все остальное без труда гуглится.
Каст магического заклинания на вычистку устройства немного разнится в разных версиях EXS, для актуальной, например, есть инструкция на technet, а все остальное без труда гуглится.
Мне одно непонятно — кто вообще додумался добавить такой функционал в ActiveSync? Как это вообще пропустили?
Нормальный, полезный функционал.
Функционал совершенно нормальный, ориентированный в первую очередь на корпоративные девайсы.
Ну вот представьте, что Вы — топ-менеджер какой-нибудь крупной компании, какого-нибудь газпрома или там лукойла. У Вас в почте — конфиденциальная переписка стоимостью миллионы баксов.
А тут Вы потеряли планшет. Или у Вас его украли.
Вот тут как раз remote wipe и пригодится — администратор безопасности нажимает кнопочку и потенциальные злоумышленники остаются с носом.
Ну вот представьте, что Вы — топ-менеджер какой-нибудь крупной компании, какого-нибудь газпрома или там лукойла. У Вас в почте — конфиденциальная переписка стоимостью миллионы баксов.
А тут Вы потеряли планшет. Или у Вас его украли.
Вот тут как раз remote wipe и пригодится — администратор безопасности нажимает кнопочку и потенциальные злоумышленники остаются с носом.
Да даже и не топ-менеджер… вы представляете сколько всего интересного можно найти в корпоративной почте даже простого сотрудника какой-нибудь мегакорпорации?
Простым сотрудникам я бы доступ к корпоративной почте извне не давал вообще. Если вдуматься — то людей, которым это действительно необходимо, в «мегакорпорации» не так уж и много.
Почта извне нужна любому человеку, периодически ездящему в командировки.
Все верно. А много ли таких людей из не-управленческого звена, скажем, в крупном банке? Отвечу — практически нет. За исключением департамента, ответственного за работу с филиалами — эти да, катаются постоянно.
А бухгалтера, кассиры, операционисты? Вот им — зачем?
А бухгалтера, кассиры, операционисты? Вот им — зачем?
Корпоративные рассылки и новости получать, например. Или прочую, более полезную информацию. Меня вот сама постановка вопроса удивляет — что значит зачем? Просто удобное средство коммуникации, повышающее производительность труда, между прочим. Для передачи информации иногда удобнее телефон, иногда IM, иногда почта.
А, пропустил нюанс — вы имеете в виду доступ к почте _извне_.
Да, да! Всех согнать в офисы и посажать за десктопы!
… и отобрать админские права на машину.
И вот встречайте — самый эффективный сотрудник по мнению 90% менеджеров!
Никогда не видели программиста в банке, втыкающего в свою машину (в банковской сети) свисток от Yota, потому что ему так показалось удобнее? А заодно отключающего сервис виндовых апдейтов, а то перезагружаться лень? Я видел. Кроме шуток.
Большая часть админов это видела, вы не одиноки. Когда-то я работал в компании, где никто не заморачивался правами, и я так задолбался регулярно вычищать там троянов с машин, что с тех пор чётко понял, что пользователям в массе админские права не нужны. Это не говоря уже про выкрутасы с системой отдельных продвинутых товарищей, и последующие фразы типа «оно само сломалось» и «мне работать надо».
Ооо, что вы говорите? Вы такой умный, вы, наверное, сисадмин? А расскажите пожалуйста про ваши критерии необходимости?
Если бизнес-задачи человека подразумевают его удаленную работу — значит, ему это надо. Если нет — значит, нет.
Зачем доступ к почте снаружи для девочки-операционистки в банке? Или для тетеньки-бухгалтера? (не имею в виду главбуха — в банке главбух это второе по значимости лицо и назначается специальным приказом центробанка).
Зачем доступ к почте снаружи для девочки-операционистки в банке? Или для тетеньки-бухгалтера? (не имею в виду главбуха — в банке главбух это второе по значимости лицо и назначается специальным приказом центробанка).
«Эффективные манагеры» не одобряют.
Зачем упускать прибыль. Вот стоит сотрудник в пробке, в очереди. По привычке глянул в почту, увидел проблему и мозг начал работать над её решением пользу компании, мозг ведь не выключишь. Пришёл на рабочее место с готовым решением и думает над следующей проблемой.
В тему:
habrahabr.ru/post/135236/
Зачем упускать прибыль. Вот стоит сотрудник в пробке, в очереди. По привычке глянул в почту, увидел проблему и мозг начал работать над её решением пользу компании, мозг ведь не выключишь. Пришёл на рабочее место с готовым решением и думает над следующей проблемой.
В тему:
habrahabr.ru/post/135236/
Это справедливо для Вас. А нужен ли внешний доступ, скажем, для девочки-операционистки в банке? Какие такие проблемы она будет обдумывать в очереди в маникюрный салон?
Это основной функционал, без которого нормальные ИТ безопасники никогда не разрешат использование корпоративной почты на мобильных устройствах.
Это совсем немного повышает безопасность.
В случае кражи с целью доступа к данным в первую очередь злоумышленник извлечёт батарею, затем получит доступ к памяти без загрузки ОС (почти у каждой модели телефона есть режимы recovery, bootloader, или и то, и другое).
В случае кражи с целью продать девайс, злоумышленник в первую очередь сам сделает wipe.
То есть, функционал защищает только от случайных незадачливых воришек.
Любопытно, что блокировка девайса на сервере не предотвращает доступ к данным. Все реквизиты доступа, в том числе свой доменный пароль, я обнаружил в файле
/data/data/com.htc.android.mail/shared_prefs/EASSetupWizard.xml
Узнав пароль, злоумышленник может заходить на корпоративную почту через OWA, или настроив ящик на другом устройстве, не забаненном.
Андроид вообще в этом смысле не пытается делать security through obscurity. Например, пароли всех WiFi точек тоже лежат открыто.
В случае кражи с целью доступа к данным в первую очередь злоумышленник извлечёт батарею, затем получит доступ к памяти без загрузки ОС (почти у каждой модели телефона есть режимы recovery, bootloader, или и то, и другое).
В случае кражи с целью продать девайс, злоумышленник в первую очередь сам сделает wipe.
То есть, функционал защищает только от случайных незадачливых воришек.
Любопытно, что блокировка девайса на сервере не предотвращает доступ к данным. Все реквизиты доступа, в том числе свой доменный пароль, я обнаружил в файле
/data/data/com.htc.android.mail/shared_prefs/EASSetupWizard.xml
Узнав пароль, злоумышленник может заходить на корпоративную почту через OWA, или настроив ящик на другом устройстве, не забаненном.
Андроид вообще в этом смысле не пытается делать security through obscurity. Например, пароли всех WiFi точек тоже лежат открыто.
Не знаю, как с этим у RIM, iOS и WinMobile/WinPhone, но хороший аргумент не юзать Android.
Минуточку, а причём здесь андроид? Если протокол требует знания пароля от клиента, то как ни шифруй его, всё равно где-то он появится в открытом виде. Другое дело, если бы EAS мог на основании пароля выдавать девайсу уникальный токен, а потом пароль больше не требовался и удалялся из памяти в любом виде. То, что в винде пароль зашифрован каким-нибудь примитивным XOR-ом (или AES256, не суть, при наличии ключа на том же девайсе) даёт ложное чувство защищённости
UFO just landed and posted this here
вопрос в том, разрешено ли работнику выбирать себе пароль самостоятельно (т.е. менять его на своё усмотрение).
тыщу раз сталкивался: если первый пароль был mypassword, то при энфорсинге политики смены пароля работники ставят mypassword1, далее mypassword2 и т.д…
т.е. получить начальный пароль весьма интересно злоумышленнику
тыщу раз сталкивался: если первый пароль был mypassword, то при энфорсинге политики смены пароля работники ставят mypassword1, далее mypassword2 и т.д…
т.е. получить начальный пароль весьма интересно злоумышленнику
Угу. А если получить доступ к серверу, слить данные, стереть оригинал и разослать всем клиентам wipe? Эффект будет гораздо веселее одного утерянного устройства.
Буквально 10 минут назад решил прикрутить корпоративный аккаунт exchange к andoid. В итоге он запросил разрешения на блокировку камеры, удаления всех данных с телефона и тд… Решил что почты через браузер достаточно (:
Адроид до сих пор не умеет работать с почтой MS Exchange используя сертификат и вообще не используя пароль. Все программы требуют пароля, хотя Exchange может требовать персональный сертификат пользователя без логина и пароля.
К слову, Lotus Traveler также умеет делать remote wipe. В свое время удивился, увидев в администраторах устройства Lotus Traveler Security.
После того, как меня неделю назад вайпнули, начал копать в направлении автоматизации данного патча.
И вот что нарыл:
forum.xda-developers.com/showthread.php?t=1117452
Может, кому будет полезно
После некоторых танцев с бубном получилось даже на Sony Xperia Arc ICS 4.0.4
И вот что нарыл:
forum.xda-developers.com/showthread.php?t=1117452
Может, кому будет полезно
После некоторых танцев с бубном получилось даже на Sony Xperia Arc ICS 4.0.4
Sign up to leave a comment.
Remote wipe на Android и Exchange ActiveSync