Развертывание поддержки Управления мобильными устройствами

В этом разделе приведена информация о первоначальном развертывании функции Управление мобильными устройствами.

Подключение KES-устройств к Серверу администрирования

В зависимости от способа подключения устройств к Серверу администрирования существует две схемы развертывания Kaspersky Device Management для iOS для KES-устройств:

• схема развертывания с использованием прямого подключения устройств к Серверу администрирования;
• схема развертывания с использованием обратного прокси-сервера, поддерживающего Kerberos Constrained Delegation.

Прямое подключение устройств к Серверу администрирования

KES-устройства могут напрямую подключаться к порту 13292 Сервера администрирования.

В зависимости от способа аутентификации существуют два варианта подключения KES-устройств к Серверу администрирования:

• подключение устройств с использованием пользовательского сертификата;
• подключение устройств без пользовательского сертификата.

Подключение устройства с использованием пользовательского сертификата

При подключении устройства с использованием пользовательского сертификата происходит привязка этого устройства к учетной записи пользователя, для которой средствами Сервера администрирования назначен соответствующий сертификат.

В этом случае будет использована двусторонняя аутентификация SSL (mutual authentication). Как Сервер администрирования, так и устройство будут аутентифицированы с помощью сертификатов.

Подключение устройства без пользовательского сертификата

При подключении устройства без пользовательского сертификата оно не будет привязано ни к одной учетной записи пользователя на Сервере администрирования. Но при получении устройством любого сертификата будет произведена привязка этого устройства к пользователю, которому средствами Сервера администрирования назначен соответствующий сертификат.

При подключении устройства к Серверу администрирования будет использована односторонняя SSL-аутентификация (one-way SSL authentication), при которой только Сервер администрирования аутентифицируется с помощью сертификата. После получения устройством пользовательского сертификата тип аутентификации будет изменен на двустороннюю аутентификацию SSL (2-way SSL authentication, mutual authentication).

Схема подключения KES-устройств к Серверу с использованием принудительного делегирования Kerberos (KCD)

Схема подключения KES-устройств к Серверу администрирования с использованием Kerberos Constrained Delegation (KCD) предполагает:

• интеграция с обратным прокси-сервером, поддерживающим KCD;
• использование принудительного делегирования Kerberos Constrained Delegation (далее KCD) для аутентификации мобильных устройств;
• интеграцию с инфраструктурой открытых ключей (Public Key Infrastructure, далее PKI) для использования пользовательских сертификатов.

При использовании этой схемы подключения следует учесть следующее:

• Тип подключения KES-устройств к обратному прокси-серверу должен быть "two-way SSL authentication", то есть устройство должно подключаться к обратному прокси-серверу по своему пользовательскому сертификату. Для этого в инсталляционный пакет Kaspersky Endpoint Security для Android, который установлен на устройстве, необходимо интегрировать пользовательский сертификат. Этот KES-пакет должен быть создан Сервером администрирования специально для данного устройства (пользователя).
• Вместо серверного сертификата по умолчанию для мобильного протокола следует указать особый (кастомизированный) сертификат:
  1. В окне свойств Сервера администрирования в разделе Параметры установить флажок Открыть порт для мобильных устройств и в раскрывающемся списке выбрать Добавить сертификат.
  2. В открывшемся окне указать тот же сертификат, что задан на обратном прокси-сервере при публикации точки доступа к мобильному протоколу на Сервере администрирования.
• Пользовательские сертификаты для KES-устройств должны выписываться доменным Certificate Authority (CA). Следует учесть, если в домене несколько корневых CA, то пользовательские сертификаты должны быть выписаны тем CA, который прописан в публикации на обратном прокси-сервере.

  Обеспечить соответствие пользовательского сертификата заявленному выше требованию возможно несколькими способами:

  • Указать особый пользовательский сертификат в мастере создания инсталляционных пакетов и в мастере установки сертификатов.
  • Интегрировать Сервер администрирования с доменным PKI и настроить соответствующий параметр в правилах выписки сертификатов:
    1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
    2. В рабочей области папки Сертификаты по кнопке Настроить правила выпуска сертификатов откройте окно Правила выпуска сертификатов.
    3. В разделе Интеграция с PKI настройте интеграцию с инфраструктурой открытых ключей.
    4. В разделе Выпуск мобильных сертификатов укажите источник сертификатов.

Рассмотрим пример настройки ограниченного делегирования KCD со следующими допущениями:

• точка доступа к мобильному протоколу на Сервере администрирования поднята на 13292 порте;
• имя устройства с обратного прокси-сервера – firewall.mydom.local;
• имя устройства с Сервером администрирования – ksc.mydom.local;
• имя внешней публикации точки доступа к мобильному протоколу – kes4mob.mydom.global.

Доменная учетная запись для Сервера администрирования

Необходимо создать доменную учетную запись (например, KSCMobileSrvcUsr), под которой будет работать служба Сервера администрирования. Указать учетную запись для службы Сервера администрирования можно при установке Сервера администрирования или с помощью утилиты klsrvswch. Утилита klsrvswch расположена в папке установки Сервера администрирования. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

Указать доменную учетную запись необходимо по следующим причинам:

• Функциональность по управлению KES-устройствами является неотъемлемой частью Сервера администрирования.
• Для правильной работы принудительного делегирования (KCD) принимающая сторона, которой является Сервер администрирования, должна работать под доменной учетной записью.

Service Principal Name для http/kes4mob.mydom.local

В домене под учетной записью KSCMobileSrvcUsr требуется прописать Service Principal Name (SPN) для публикации сервиса мобильного протокола на 13292 порту устройства с Сервером администрирования. Для устройства kes4mob.mydom.local с Сервером администрирования это будет выглядеть следующим образом:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Настройка доменных свойств устройств с обратным прокси-сервером (firewall.mydom.local)

Для делегирования трафика нужно доверить устройство с обратным прокси-сервером (firewall.mydom.local) службе, определенной по SPN (http/kes4mob.mydom.local:13292).

Чтобы доверить устройство с обратным прокси-сервером службе, определенной по SPN (http/kes4mob.mydom.local:13292), администратору нужно выполнить следующие действия:

1. В оснастке Microsoft Management Console "Active Directory Users and Computers" выбрать устройство с установленным обратным прокси-сервером (firewall.mydom.local).
2. В свойствах устройства на закладке Delegation для переключателя Trust this computer for delegation to specified service only выбрать вариант Use any authentication protocol.
3. В список Services to which this account can present delegated credentials добавить SPN http/kes4mob.mydom.local:13292.

Особый (кастомизированный) сертификат для публикации (kes4mob.mydom.global)

Для публикации мобильного протокола Сервера администрирования требуется выписать особый (кастомизированный) сертификат на FQDN kes4mob.mydom.global и указать его взамен серверного сертификата по умолчанию в параметрах мобильного протокола Сервера администрирования в Консоли администрирования. Для этого в окне свойств Сервера администрирования в разделе Параметры необходимо установить флажок Открыть порт для мобильных устройств и в раскрывающемся списке выбрать Добавить сертификат.

Следует учесть, что в контейнере с серверным сертификатом (файл с расширением p12 или pfx) должна также присутствовать цепочка корневых сертификатов (публичные части).

Настройка публикации на обратном прокси-сервере

На обратном прокси-сервере для трафика, идущего со стороны мобильного устройства на 13292 порт kes4mob.mydom.global, необходимо настроить KCD на SPN http/kes4mob.mydom.local:13292 с использованием серверного сертификата, выписанного для FQND kes4mob.mydom.global. При этом следует учесть, что как на публикации, так и на публикуемой точке доступа (13292 порт Сервера администрирования) должен быть один и тот же серверный сертификат.

Использование Firebase Cloud Messaging

Для своевременной доставки команд на KES-устройства под управлением операционной системы Android в Kaspersky Security Center используется механизм push-нотификаций. Push-нотификации между KES-устройствами и Сервером администрирования осуществляются с помощью сервиса Firebase Cloud Messaging (далее – FCM). В Консоли администрирования Kaspersky Security Center вы можете указать параметры сервиса Cloud Messaging, чтобы подключить KES-устройства к этому сервису.

Для получения параметров Firebase Cloud Messaging вам необходимо иметь учетную запись Google.

Чтобы включить использование FCM:

1. В Консоли администрирования выберите узел Управление мобильными устройствами и папку Мобильные устройства.
2. В контекстном меню папки Мобильные устройства выберите пункт Свойства.
3. В окне свойств папки выберите раздел Параметры Google Firebase Cloud Messaging.
4. В поле Идентификатор отправителя укажите Sender ID FCM.
5. В поле Файл приватного ключа (в формате JSON) выберите файл приватного ключа.

При следующей синхронизации с Сервером администрирования KES-устройства под управлением операционной системы Android будут подключены к службе Firebase Cloud Messaging.

Вы можете изменить параметры Firebase Cloud Messaging по кнопке Сбросить параметры.

При переключении на другой проект Firebase работа FCM возобновляется через 10 минут.

Сервис FCM работает на следующих диапазонах адресов:

• Со стороны KES-устройства необходим доступ на порты 443 (HTTPS), 5228 (HTTPS), 5229 (HTTPS), 5230 (HTTPS) следующих адресов:
  • google.com;
  • fcm.googleapis.com;
  • android.apis.google.com;
  • либо на все IP из списка "Google ASN 15169".
• Со стороны Сервера администрирования необходим доступ на порт 443 (HTTPS) следующих адресов:
  • fcm.googleapis.com;
  • либо на все IP из списка "Google ASN 15169".

В случае если в Консоли администрирования в свойствах Сервера администрирования заданы параметры прокси-сервера (Дополнительно / Параметры доступа к сети Интернет), то они будут использованы для взаимодействия с FCM.

Настройка FCM: получение Sender ID и файла закрытого ключа

Чтобы настроить FCM:

1. Зарегистрироваться на портале Google.
2. Перейдите в консоль Firebase.
3. Выполните одно из следующих действий:
   • Чтобы создать проект, нажмите на кнопку Create a project и следуйте инструкциям на экране.
   • Откройте существующий проект.
4. Нажмите на значок шестеренки и выберите Project settings.

   Откроется окно Параметры проекта.

5. Выберите вкладку Cloud Messaging.
6. Скопируйте Sender ID из поля Sender ID в разделе Firebase Cloud Messaging API (V1).
7. Выберите вкладку Service accounts и нажмите на кнопку Generate new private key.
8. В открывшемся окне нажмите на кнопку Generate key, чтобы сгенерировать и загрузить файл приватного ключа.

Firebase Cloud Messaging настроен.

Интеграция с инфраструктурой открытых ключей

Интеграция с инфраструктурой открытых ключей (Public Key Infrastructure, далее PKI) в первую очередь предназначена для упрощения выпуска доменных пользовательских сертификатов Сервером администрирования.

Администратор может назначить для пользователя доменный сертификат в Консоли администрирования. Это можно сделать одним из следующих способов:

• назначить пользователю особый (кастомизированный) сертификат из файла в мастере установки сертификатов;
• выполнить интеграцию с PKI и назначить PKI источником сертификатов для конкретного типа сертификатов либо для всех типов сертификатов.

Параметры интеграции с PKI доступны в рабочей области папки Управление мобильными устройствами / Сертификаты при переходе по ссылке Интегрировать с инфраструктурой открытых ключей.

Общий принцип интеграции с PKI для выпуска доменных сертификатов пользователей

В Консоли администрирования по ссылке Интегрировать с инфраструктурой открытых ключей в рабочей области папки Управление мобильными устройствами / Сертификаты следует задать доменную учетную запись, которая будет использована Сервером администрирования для выписки доменных пользовательских сертификатов посредством доменного CA (далее – учетная запись, под которой производится интеграция с PKI).

Обратите внимание:

• В параметрах интеграции с PKI существует возможность указать шаблон по умолчанию для всех типов сертификатов. Тогда как в правилах выпуска сертификатов (правила доступны в рабочей области папки Управление мобильными устройствами / Сертификаты по кнопке Настроить правила выпуска сертификатов) присутствует возможность задать шаблон для каждого типа сертификата отдельно.
• На устройстве с установленным Сервером администрирования в хранилище сертификатов учетной записи, под которой производится интеграция с PKI, должен быть установлен специализированный сертификат Enrollment Agent (EA). Сертификат Enrollment Agent (EA) выписывает администратор доменного CA (Certificate Authority).

Учетная запись, под которой производится интеграция с PKI, должна соответствовать следующим критериям:

• Является доменным пользователем.
• Является локальным администратором устройства с установленным Сервером администрирования, с которого производится интеграция с PKI.
• Обладает правом Вход в качестве службы.
• Под этой учетной записью необходимо хотя бы один раз запустить устройство с установленным Сервером администрирования, чтобы создать постоянный профиль пользователя.

Веб-сервер Kaspersky Security Center

Веб-сервер Kaspersky Security Center (далее Веб-сервер) – это компонент Kaspersky Security Center. Веб-сервер предназначен для публикации автономных инсталляционных пакетов, автономных инсталляционных пакетов для мобильных устройств, а также файлов из папки общего доступа.

Созданные инсталляционные пакеты публикуются на Веб-сервере автоматически и удаляются после первой загрузки. Администратор может передать сформированную ссылку пользователю любым удобным способом, например, по электронной почте.

По полученной ссылке пользователь может загрузить на мобильное устройство предназначенную для него информацию.

Настройка Веб-сервера

Для тонкой настройки Веб-сервера в свойствах Веб-сервера можно сменить порты для протоколов HTTP (8060) и HTTPS (8061). Также, помимо смены портов, возможна смена серверного сертификата для HTTPS-протокола и смена FQDN-имени веб-сервера для HTTP-протокола.