Контроль соответствия Android-устройств

Вы можете проверять Android-устройства на соответствие требованиям корпоративной безопасности. Требования корпоративной безопасности регламентируют работу пользователя с устройством. Например, на устройстве должна быть включена постоянная защита, базы вредоносного ПО должны быть актуальны, пароль устройства должен быть достаточно сложным. Контроль соответствия работает на основе списка правил. Правило соответствия состоит из следующих компонентов:

• критерий проверки устройства (например, отсутствие на устройстве запрещенных приложений);
• время, выделенное пользователю устройства для устранения несоответствия (например, 24 часа);
• реакции, которые будут применены на устройстве, если пользователь не устранит несоответствие в течение указанного времени (например, блокирование устройства).

  Если устройство находится в режиме экономии заряда батареи, Kaspersky Endpoint Security для Android может выполнить эту задачу позже, чем указано.

Чтобы добавить правило проверки устройств на соответствие политике:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите Android и перейдите в раздел Контроль безопасности.
4. На карточке Контроль соответствия нажмите Параметры.

   Откроется окно Контроль соответствия.

5. Включите параметры с помощью переключателя Контроль соответствия.
6. В разделе При обнаружении несоответствия:
   • Установите флажок Уведомить пользователя, чтобы сообщить пользователю, что устройство не соответствует политике.

     Если флажок не установлен, пользователь не будет уведомлен о случае несоответствия, и по истечении времени, отведенного на устранение несоответствия, на устройстве будет применена соответствующая реакция.

   • Установите флажок Уведомить администратора в разделе "Выборки событий", чтобы сообщить администратору, что устройство не соответствует политике.
7. Нажмите Добавить.

   Запустится Мастер добавления правила. С помощью мастера можно создать набор правил для проверки соответствия устройства политике. Следуйте шагам мастера, используя кнопки Далее и Назад.

Шаг 1. Критерий несоответствия

Нажмите Добавить критерий, чтобы указать критерий несоответствия для срабатывания правила.

Доступны следующие критерии:

• Постоянная защита выключена

  Kaspersky Endpoint Security для Android не установлен или не запущен на устройстве.

• Базы вредоносного ПО на устройстве устарели

  Базы вредоносного ПО последний раз обновлялись 3 или более дней назад.

• Установлены запрещенные приложения

  Список приложений на устройстве содержит приложения, запрещенные в параметрах политики Контроль приложений.

• Установлены приложения из запрещенных категорий

  Список приложений на устройстве содержит приложения из категорий, запрещенных в параметрах политики Контроль приложений.

• Не установлены все обязательные приложения

  Список приложений на устройстве не содержит приложение, установленное в качестве обязательного в параметрах политики Контроль приложений.

• Версия операционной системы устарела

  Версия Android на устройстве не соответствует заданному диапазону разрешенных версий.

  Для этого критерия укажите минимальную и максимальную разрешенные версии Android в полях Минимальная версия и Максимальная версия. Если в качестве максимальной разрешенной версии выбрано значение Любая, то будущие версии Android, поддерживаемые Kaspersky Endpoint Security для Android, будут также разрешены.

• Устройство давно не синхронизировалось

  Проверяется последняя синхронизация устройства с Сервером администрирования.

  Для этого критерия укажите максимальный период с момента последней синхронизации в поле Период без синхронизации.

• На устройстве получены root-права

  Устройство взломано (на устройстве получены права суперпользователя).

• Пароль разблокировки экрана не соответствует параметрам безопасности, указанным в политике

  Пароль разблокировки устройства не соответствует параметрам, заданным в карточке Параметры разблокировки экрана.

• Установлена неактуальная версия Kaspersky Endpoint Security для Android

  Установленная на устройстве версия Kaspersky Endpoint Security для Android устарела.

  Критерий применяется, только если приложение установлено с помощью инсталляционного пакета Kaspersky Endpoint Security для Android и если в параметрах политики Обновление приложения указана минимальная разрешенная версия приложения.

• Использование SIM-карты не соответствует требованиям безопасности

  SIM-карта устройства была заменена или извлечена относительно предыдущего состояния проверки, или была установлена дополнительная SIM-карта.

  Для этого критерия выберите условие, которое необходимо проверять:

  • SIM-карта не должна быть заменена или удалена
  • SIM-карта не должна быть заменена или удалена; не должны быть установлены дополнительные SIM-карты
• Местоположение устройства

  Устройство находится за пределами установленных геозон.

  Указание геозоны приведет к увеличению энергопотребления устройства.

  Для этого критерия выберите условие, которое необходимо проверять:

  • Устройство находится в пределах указанной геозоны (геозоны объединяются с помощью логического оператора "ИЛИ").
  • Устройство находится за пределами указанных геозон (геозоны объединяются с помощью логического оператора "И").

  Чтобы добавить геозону:

  1. Нажмите Добавить геозоны.

     Откроется окно Добавить геозоны.

  2. Укажите Название геозоны.
  3. Обозначьте периметр геозоны, указав широту и долготу для каждой точки геозоны.

     Для каждой геозоны можно вручную задать от 3 до 100 пар координат (широта, долгота) в формате десятичных чисел.
     
     Периметр геозоны не должен содержать пересекающиеся прямые.

     При необходимости вы можете указать более 3 точек, нажав Добавить точку.

     Чтобы удалить точку, нажмите кнопку X.

     Вы можете просмотреть указанную геозону в программе "Яндекс Карты", нажав Посмотреть на карте.

  4. Нажмите OK, чтобы добавить указанные геозоны.
• У Kaspersky Endpoint Security для Android нет доступа к точному или фоновому местоположению

  У Kaspersky Endpoint Security для Android нет разрешения на определение точного местоположения устройства или использование данных о местоположении в фоновом режиме.

Шаг 2. Реакции при несоответствии требованиям безопасности

Добавьте действия, которые будут выполняться на устройстве при обнаружении указанного критерия несоответствия.

Выберите один из следующих вариантов:

• Добавить реакцию. Реакция применяется немедленно после обнаружения критерия несоответствия.
• Добавить отложенную реакцию. Реакция применяется спустя период времени, указанный в поле Время на устранение.

  Доступны следующие реакции:

  • Блокировка всех приложений, кроме системных

    На устройстве заблокирован запуск всех приложений, кроме системных.

    Как только критерий несоответствия правилу перестанет обнаруживаться на устройстве, приложения автоматически разблокируются.

  • Блокировка устройства

    Мобильное устройство заблокировано. Чтобы получить доступ к данным, необходимо разблокировать устройство с помощью ввода одноразового кода или выполнив команду "Разблокировать устройство".

  • Удаление корпоративных данных

    Корпоративные данные удалены с устройства. Перечень удаленных данных зависит от режима работы устройства.

    • С личного устройства удалены профиль Knox и почтовый сертификат.
    • С корпоративного устройства удалены профиль Knox и сертификаты, установленные приложением Kaspersky Endpoint Security для Android (почтовые и VPN-сертификаты, а также сертификаты, полученные через профили SCEP, кроме мобильных сертификатов).
    • Дополнительно на устройстве с корпоративным контейнером удалены корпоративный контейнер (его содержимое, настройки и ограничения) и установленные в нем сертификаты (почтовые и VPN-сертификаты, а также сертификаты, полученные через профили SCEP, кроме мобильных сертификатов).
  • Сброс настроек до заводских

    Удалены все данные с устройства; настройки устройства сброшены до заводских. После применения этой реакции устройство перестает быть управляемым. Для подключения устройства к Kaspersky Security Center требуется повторно установить Kaspersky Endpoint Security для Android.

    На устройствах под управлением Android 14 или выше эта реакция применяется только в том случае, если устройство работает в режиме корпоративного устройства.

  • Блокировка корпоративного контейнера

    Корпоративный контейнер на устройстве заблокирован. Для получения доступа к корпоративному контейнеру необходимо его разблокировать.

    Реакция применяется только на устройствах под управлением Android 6 или выше.

    После блокировки корпоративного контейнера история паролей корпоративного контейнера очищается. Это означает, что пользователь может повторно использовать один из недавних паролей, независимо от параметров пароля для корпоративного контейнера.

  • Удалить данные всех приложений

    На корпоративном устройстве удалены данные всех приложений.

    На устройстве с корпоративным контейнером удалены данные всех приложений в контейнере.

    В результате настройки приложений сброшены до установленных по умолчанию.

    Реакция применяется только на корпоративных устройствах или устройствах с корпоративным контейнером под управлением Android 9 или выше.

  • Удаление данных указанного приложения

    Для этой реакции необходимо указать имя пакета приложения, данные которого будут удалены. Как получить имя пакета приложения

    Чтобы получить имя пакета приложения:

    1. Откройте Google Play.
    2. Найдите нужное приложение и откройте его страницу.

    URL приложения оканчивается именем пакета приложения (например, https://play.google.com/store/apps/details?id=com.android.chrome).

    Чтобы получить имя пакета приложения, которое было добавлено в Kaspersky Security Center:

    1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Приложения.
    2. Нажмите Приложения для Android.

       В открывшемся списке приложений отображаются идентификаторы приложений в столбце Имя пакета.

    В результате настройки приложения сброшены до установленных по умолчанию.

    Реакция применяется только на корпоративных устройствах или устройствах с корпоративным контейнером под управлением Android 9 или выше.

  • Запрет на запуск устройства в безопасном режиме

    Пользователю запрещено запускать устройство в безопасном режиме.

    Реакция применяется только на корпоративных устройствах под управлением Android 6 или выше.

  • Запрет на использование камеры

    Пользователю запрещено использовать все имеющиеся на устройстве камеры.

  • Запрет на использование Bluetooth

    Пользователю устройства запрещено включать Bluetooth и изменять его параметры.

    Реакция применяется только на личных устройствах под управлением Android 12 или ниже, корпоративных устройствах или устройствах с корпоративным контейнером.

  • Запрет на использование Wi-Fi

    Пользователю устройства запрещено включать Wi-Fi и изменять его параметры.

    Реакция применяется только на личных устройствах под управлением Android 9 или ниже или на корпоративных устройствах.

  • Запрет на использование функций отладки по USB

    Пользователю запрещено использовать функции отладки по USB и режим разработчика на устройстве.

    Реакция применяется только на корпоративных устройствах или устройствах с корпоративным контейнером.

  • Запрет режима полета

    Пользователю запрещено включать режим полета на устройстве.

    Это действие применяется только на устройствах под управлением Android 9 или выше.

Нажмите Добавить правило, чтобы завершить Мастер добавления правила. Новое правило и краткая информация о нем отобразятся в списке правил Контроля соответствия. Чтобы временно выключить правило, используйте переключатель рядом с выбранным правилом.

Чтобы включить автоматическое удаление данных с устройств, связанных с неактивными учетными записями пользователей Active Directory, установите флажок Удалять данные неактивных пользователей Active Directory и выберите одно из действий:

• Удалить корпоративные данные
• Сбросить настройки до заводских

  На устройствах под управлением Android 14 или выше это действие применяется только в том случае, если устройство работает в режиме корпоративного устройства.

Для этих настроек необходима интеграция с Microsoft Active Directory.

Если вы используете профили политики, убедитесь, что вы выставили опцию удаления данных на всю политику. После удаления пользователя из Active Directory он в первую очередь удалится из группы пользователей Active Directory. В результате профиль политики больше не будет распространяться на учетную запись этого пользователя, поэтому данные не будут удалены с устройства.

Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

В начало