Cortado Mobile Solutions

Meine Tickets
Willkommen
Anmelden

So machen Sie komplett verwaltete Android-Geräte sicher für Ihr Unternehmen

Rooting von Android-Geräten verhindern

Zurücksetzen auf Werkseinstellungen, über die Geräte-Einstellungen verhindern

Neukonfiguration nach einem harten Reset verhindern

Installation einer benutzerdefinierten OS-Version verhindern

Sicherheits-Patches installieren

Installation von Apps verhindern, die nicht aus dem Play Store stammen

Vermisste Geräte wiederfinden

Installation von nicht vertrauenswürdigen Zertifikaten verhindern

Versehentliches browsen auf Phishing-Webseiten verhindern

Rooting von Android-Geräten verhindern

Als Rooting wird bei Android der Prozess bezeichnet, bei dem ein Root-Konto (Superuser) Zugriff auf das komplette System inklusive aller Ressourcen erlangt. Deshalb ist der Root-Zugriff bei allen Android-Geräten standardmäßig deaktiviert. Gerootete Geräte sind in einer Unternehmensumgebung unerwünscht, da Unternehmensdaten auf solchen Geräten offengelegt werden können. Deshalb muss sichergestellt werden, dass keine bereits gerooteten Geräte Zugriff auf die Unternehmensanwendungen und -dienste erlangen. Außerdem muss das nachträgliche Rooting bereits angemeldeter Geräte verhindert werden.

Hierfür sind zwei Maßnahmen erforderlich:

  1. Konfigurieren Sie die SafetyNet-Überprüfung von Google. Aktivieren Sie unter Basic Integrity failure action die Option Wipe. Sobald der SafetyNet-Check ein gerootetes Gerät erkennt, wird es auf Werkseinstellungen zurückgesetzt. Somit wird bereits die Registrierung gerooteter Geräte unterbunden.
  2. Die zweite Sicherheitsmaßnahme ist bereits standardmäßig aktiviert. Die Nutzer haben keinen Zugriff auf die Entwickleroptionen von komplett verwalteten Android-Geräten. (Bei Bedarf können Sie diese Standardeinstellung mit Hilfe der Policy Allow USB debugging ändern. Dies ist aber aus genannten Gründen nicht zu empfehlen.)

Android-Geräte können nur gerootet werden, wenn der Bootloader entsperrt ist, was die Aktivierung des USB-Debuggings erfordert. Durch die standartmäßige Beschränkung der "Debugging-Funktionen" wird ein Rooting des Gerätes verhindert. In sehr seltenen Fällen kann jedoch eine Sicherheitslücke in der Betriebssystemversion dazu führen, dass einige Anwendungen den Root-Zugriff auf das Gerät auch ohne aktiviertes USB-Debugging erhalten. In so einem Fall greift der Google SafetyNet-Check, vorausgesetzt bei Basic Integrity failure action wurde die Option Wipe aktiviert.

Zurücksetzen auf Werkseinstellungen, über die Geräte-Einstellungen verhindern

Wenn Sie verhindern möchten, dass ein Nutzer sein Gerät über die Geräte-Einstellungen auf Werkseinstellungen zurücksetzt, richten Sie eine entsprechende Policy ein.

Nach der Zuweisung der Policy an die Nutzer leuchtet die Ampel in der Cortado-App rot (linkes Bild) und die Option Alle Daten löschen ist in den Einstellungen ausgegraut (rechtes Bild).

Ein Zurücksetzen auf Werkseinstellungen über die Geräte-Einstellungen ist jetzt nicht mehr möglich.

Neukonfiguration nach einem harten Reset verhindern

Es ist möglich Android-Geräte mit Hilfe der Ein-/Aus-Taste und der Lautstärketasten auf Werkseinstellungen zurückzusetzen. Dieser harte Reset kann nicht durch eine Policy unterbunden werden. Hingegen kann aber die Neukonfiguration, eines auf diese Art zurückgesetzen Gerätes, verhindert werden. Google hat hierfür mit Android 5.1 die sogenannte  Factory Reset Protection (FRP) eingeführt. Aktivieren Sie FRP in der Managementkonsole mit Hilfe der Policy Factory Reset Protection (FRP). Auf Geräten mit FRP wird bei einer Neukonfiguration, nach einem harten Reset, die Eingabe vom zuletzt verwendeten Google-Konto mit Passwort verlangt. Deshalb können Sie in der FRP-Policy bis zu drei Google-Konten (von Administratoren) hinterlegen, die stattdessen verwendet werden können.

Installation einer benutzerdefinierten OS-Version verhindern

Es gibt verschiedene Gründe, die dazu führen können, dass Nutzer eine angepasste Version des Android-Betriebssystems verwenden möchten. So können solche Versionen beispielsweise über eine zusätzliche Funktion verfügen, die in einer offiziellen Version nicht vorhanden ist. Oder Nutzer möchten, aus einer betreiberspezifischen Version des Betriebssystems (T-Mobile, Verizon) herauszukommen. Es könnte auch sein, dass ein Recovery-Image installiert werden soll, welches das Rooting vom Gerät ermöglicht. Um Unternehmensdaten zu schützen, muss sichergestellt werden, dass keine Geräte mit benutzerdefinierten OS-Versionen Zugriff bekommen. Außerdem muss die nachträgliche Änderung der OS-Version auf bereits registrierten Geräten verhindert werden.

Hierfür sind zwei Maßnahmen erforderlich:

  1. Konfigurieren Sie die SafetyNet-Überprüfung von Google. Aktivieren Sie unter CTS Profile Match failure action die Option Wipe (oder Lock). Sobald der SafetyNet-Check ein Gerät mit einem nicht offiziellen Betriebssystem erkennt, wird es auf Werkseinstellungen zurückgesetzt (oder gesperrt). Somit wird bereits die Registrierung dieser Geräte unterbunden.
  2. Die zweite Sicherheitsmaßnahme ist für Android-Geräte bereits standardmäßig aktiviert. Die Nutzer haben keinen Zugriff auf die Entwickleroptionen von komplett verwalteten Android-Geräten. Es können deshalb keine Änderungen am Betriebssystem vorgenommen werden. (Bei Bedarf können Sie diese Standardeinstellung mit Hilfe der Policy Allow USB debugging ändern. Dies ist aber aus genannten Gründen nicht zu empfehlen.)

Ein benutzerdefiniertes Betriebssystem kann nur installiert werden, wenn der Bootloader entsperrt ist, was die Aktivierung des USB-Debuggings erfordert. Durch die standartmäßige Beschränkung der "Debugging-Funktionen" sind die Geräte in der Regel sicher. In sehr seltenen Fällen kann jedoch eine Sicherheitslücke in der Betriebssystemversion unerwünschte Auswirkungen haben. In so einem Fall greift der Google SafetyNet-Check, vorausgesetzt bei CTS Profile Match failure action wurde die Option Wipe (oder Lock) aktiviert.

Sicherheits-Patches installieren

In der Vergangenheit sind immer mal wieder Sicherheitslücken in Android-Versionen bekannt geworden. Deshalb veröffentlichen Gerätehersteller und Google monatlich Sicherheitspatches. Es wird immer empfohlen, die Sicherheitspatches auf dem neuesten Stand zu halten. Nutzen Sie die OS-Update-Policy, um die Installation von OS-Updates zu forcieren. Mit Hilfe der Policy können Sie die Updates entweder sofort durchführen oder um bis zu 30 Tage verzögern. Planen Sie die Updates während der arbeitsfreien Zeit.

Installation von Apps verhindern, die nicht aus dem Play Store stammen

Alle Play-Store-Anwendungen werden von Google dahingehend geprüft, dass sie keine Sicherheitslücken aufweisen und keine Malware-Programme enthalten. .apk-Dateien, die direkt auf einem Gerät installiert werden, können allerdings Sicherheitslücken oder Malware-Programme enthalten. Die Installation von anderen Anwendungen, als aus dem Play Store wird von Cortado deshalb schon per Default verhindert. Sie müssen also keine weiteren Einstellungen vornehmen.

Wenn Sie Ihren Nutzern dennoch erlauben möchten, Anwendungen zu installieren, die nicht aus dem Play Store stammen, aber sicherstellen möchten, dass diese keine Bedrohungen darstellen, verteilen Sie die Policy Allow Installation of non-market apps. Achten Sie in diesem Fall darauf, dass die Policy Ensure verify apps ebenfalls aktiviert ist. Alle Apps werden dann auf Schwachstellen gescannt.

Vermisste Geräte wiederfinden

Missgeschicke können jederzeit passieren. Wird ein Gerät vom Nutzer vermisst, wurde es vielleicht verlegt, verloren oder gestohlen. Mit der Cortado Managementkonsole können Sie versuchen es wiederzufinden. Sperren Sie das Gerät, in dem Sie den Verlustmodus aktivieren, hinterlassen Sie eine Nachricht auf dem Sperrbildschirm und versuchen Sie es zu lokalisieren.

Installation von nicht vertrauenswürdigen Zertifikaten verhindern

Die Installation eines nicht vertrauenswürdigen CA-Zertifikats würde Raum für einen Man-in-the-Middle-Angriff schaffen. Verhindern können Sie dies mit der Policy Config credentials. Entfernen Sie das Häkchen aus der Checkbox und verteilen Sie die Policy an Ihre Nutzer. 

Wenn Sie in Ihrem Unternehmen selbstsignierte Zertifikate für Apps verwenden möchten, erstellen Sie für das Verteilen der Zertifikate ein Zertifikat-Profil.

Versehentliches browsen auf Phishing-Webseiten verhindern

Phishing-Websites versuchen, an Anmeldedaten von Nutzern zu gelangen. Besucht ein Nutzer versehentlich so eine Webseite (z. B. über einen Link in einer Phishing-Mail), können Unternehmensdaten in falsche Hände geraten. Sie können das mit Hilfe der Managed Configurations für die Browser Google Chrome und Microsoft Edge verhindern. Aktivieren Sie hierfür die Checkbox Disable proceeding from the Safe Browsing warning page in den Managed Configurations der jeweiligen App

Stellen Sie sicher, dass alle anderen Systembrowser auf dem Gerät auf die Blacklist gesetzt werden.

War diese Antwort hilfreich? Ja Nein

Feedback senden
Entschuldigen Sie, dass wir nicht hilfreich sein konnten. Helfen Sie uns, diesen Artikel zu verbessern und geben uns dazu ein Feedback.