2214580

iOS 10 - Neue Funktionen bei Geräteverwaltung und -Management

18.08.2016 | 08:44 Uhr |

Wer die letzte Keynote auf der WWDC16 gesehen hat, ist der Meinung, dass Apple für Unternehmen wenig zu bieten hat und den Schwerpunkt auf bunte Icons in iMessage liegt. Dabei bietet iOS 10 auch für die Geräteverwaltung einige Neuigkeiten.

Für Unternehmen hat Apple in iOS 10 einige neue Funktionen für die Verwaltung durch ein MDM-System vorgesehen.

VoIP wird integraler Bestandteil

Unternehmen sind jetzt in der Lage, eine eigene VoIP-Anwendung als Standard für ausgehende Sprachanrufe zu hinterlegen. Durch die neue CallKit API können sich VoIP-Apps der iOS-typischen Darstellung von Sprachanrufen bedienen. Dies betrifft die komplette Integration inklusive der Darstellung auf dem Sperrbildschirm bei eingehenden Anrufen. Für den Anwender integriert sich damit jeder VoIP-Dienst nahtlos und damit optimal das bestehende Benutzererlebnis im iOS-System.

Für Unternehmen dürfte auch die vollständige Integrierbarkeit in Cisco-Telefonanlagen eine willkommene Funktion darstellen.

VPN-Systeme werden sicherer

Firmen nutzen Virtual Private Networks (VPN) primär, um externen Mitarbeitern übers Internet sicheren Zugriff auf das Firmennetz zu gewähren. Oft sollen VPNs auch die Netzwerkverbindung von mobilen Geräten und Smartphones, etwa an öffentlichen Hotspots, absichern und dabei neugierige Schnüffler aussperren.

Mit iOS 10 treibt Apple (siehe Teil 1: iOS 10 - Sicherheit bei der Kommunikation ) die Sicherheit der Plattform und der Kommunikation weiter nach oben. Mit iOS 10 sind PPTP-VPN-Konfigurationen (Microsofts Point to Point Tunneling Protocol) nicht mehr lauffähig. Der Grund liegt darin, dass das in PPTP eingesetzte Authentifizierungsverfahren MSCHAPv2 auf dem angestaubten DES basiert und sich mit Spezial-Hardware einfach knacken lässt. So lässt sich aus aufgezeichneten Netzwerk-Paketen der sogenannte NT-Hash ermitteln, der die Basis für Authentifizierung und Verschlüsselung von PPTP ist (im übrigen auch bei WLANs mit WPA2).

Die Webseite Cloudcracker nutzt dies und verspricht, für 200 US-Dollar jeden PPTP-Zugang innerhalb eines Tages zu knacken.

Als Alternative können und müssen Unternehmen auf andere Verfahren setzen, etwa L2TP/IPSec, IKEv2/IPSec, Cisco IPSec oder SSL VPN-Clients aus dem App Store (z.B von AirWatch, Check Point, Cisco, MobileIron, Open VPN und andere).

Zertifikats-Rollout wird sicherer

Setzen Ihre SCEP-Server noch MD5 (Message-Digest Algorithm 5) als Fingerprint (Hexadecimal String) ein, muss dies auf 3DES (auch als Triple-DES, TDES oder DESede bezeichnet) oder AES (Advanced Encryption Standard) "aufgerüstet" werden. SCEP (Simple Certificate Enrollment Protocol) vereinfacht das Anfordern und Ausstellen von Zertifikaten in internen vertrauenswürdigen Netzwerken deutlich, indem das iOS-Gerät sich selbst das Zertifikat abholt. Damit dies nicht missbraucht wird, muss aber zuerst eine berechtigte Person ein "Einmalkennwort" erstellen, das dann dem Gerät zur Verfügung gestellt wird. Das Endgerät kann dann mit diesem zeitlich begrenzt gültigen Kennwort (Windows: 60 Minuten) ein Zertifikat vom SCEP-Service anfordern.

MD5 ist hier eine weit verbreitete kryptographische Hashfunktion, die aus einer beliebigen Nachricht einen 128-Bit-Hashwert erzeugt. Sie gilt inzwischen jedoch nicht mehr als sicher, da es mit überschaubarem Aufwand möglich ist, unterschiedliche Nachrichten zu erzeugen, die den gleichen MD5-Hashwert aufweisen. Daher hat sich Apple zu diesem Schritt entschlossen.

Alles wird betreut

Der Betreuungsmodus gewinnt immer mehr an Bedeutung. Entweder durch DEP (Device Enrollment Program) oder durch den Apple Configurator aktiviert, sind tiefgreifendere Befehle durch ein MDM auf einem iOS-Gerät möglich. Device Enrollment Program ist dabei ein Service von Apple, der für Geräte, die von ausgewählten Partnern bezogen werden, zur Verfügung steht. Der Apple Configurator kann bei jedem via Kabel angeschlossenen iOS-Gerät den Modus aktivieren.

Auch wenn die folgenden Funktionen nicht erst mit iOS 10, sondern bereits mit iOS 9.3.3 erschienen sind, möchte ich diese der Vollständigkeit halber hier erwähnen:

  1. Das Layout des Homescreens lässt sich vorgeben

  2. Apps lassen sich in Black-/White-Listen legen (inklusive Build-In-Apps)

  3. Verlorene oder gestohlene Geräte können für eine (fremde) Aktivierung gesperrt werden.

  4. Wird per MDM der Verlust (Lost mode) eines Gerätes initiiert, kann das MDM das Gerät per GPS orten

  5. Restriktionen auf Apple Music, iTunes Radio sind möglich

Mit iOS 10 kommt die Möglichkeit dazu, Bluetooth zwangsweise zu aktivieren und ein Deaktivieren unmöglich zu machen.

Wie erwähnt, erfährt der Betreuungsmodus immer mehr an Bedeutung. Nicht nur, dass dieser mehr Konfigurationen ermöglicht, nein, es werden auch bestehende Konfigurationen, die ihn bisher nicht benötigt haben, von Apple mit iOS 10 migriert.

Auch sind einige MDM-Kommandos nur noch mit entsprechendem Betreuungsmodus möglich (z.B. Einschränkungen für Multiplayer-Spiele, Gamecenter-Freunde, App-Store-Installationen). Hier empfiehlt es sich, einen Blick in die Dokumentation bei Apple zu werfen.

Empfehlung

Verstehen Sie diese Verschärfung der Sicherheit als Chance. Während andere Plattformen wie Windows oder Android noch die alten und angreifbaren Zugänge akzeptieren, schneidet Apple hier rigoros ab. Auch wenn dies nicht immer Zuspruch einbringen wird, da viele Unternehmen hier einen zusätzlichen Aufwand in der Anpassung vermuten, ist dieser Schritt konsequent und bewundernswert.

Wie jedes Jahr überführt Apple immer mehr Funktionen aus dem Funktionsumfang des klassischen MDM in das MDM von betreuten Geräten. Beschäftigen Sie sich daher frühzeitig damit, inwieweit Sie ihre Geräte in diesem Modus versetzen wollen und können.

0 Kommentare zu diesem Artikel
2214580