便攜式電子產品,尤其是智慧型手機和平板電腦的快速發展,為企業資訊安全帶來了許多新挑戰。過去,網路安全主要依靠建置並保護安全邊界,而如今幾乎所有員工都使用行動裝置處理工作,監控安全邊界變得異常困難。對於大型企業而言,情況尤其如此,因為每位員工都擁有用於存取電子郵件和其他企業資源的登入名稱和密碼。通常情況下,員工在購買新的智慧型手機或平板電腦時,會直接在新裝置上輸入登入憑證,卻常常忘記從舊裝置上登出。即使這類不負責任的員工只占公司員工總數的5%,但如果沒有管理員的適當監督,行動裝置存取電子郵件的安全狀況仍然堪憂。 伺服器 很快就變成了一團糟。
此外,移動設備經常丟失或被盜,隨後被用來搜索危害證據,以及訪問屬於商業機密的公司資源和數據。 通常,對企業網絡安全的最大危害是攻擊者獲得對員工電子郵件的訪問權限。 因此,他們可以訪問全球地址和聯繫人列表、不幸員工本應參加的會議時間表以及他的信件。 此外,獲得公司郵件訪問權限的攻擊者可以從受信任的電子郵件地址發送網絡釣魚或感染惡意軟件的電子郵件。 所有這些共同為攻擊者提供了幾乎無限的機會來進行網絡攻擊,以及使用社會工程來實現他們的目標。
為了控制包含在安全範圍內的移動設備,有 ABQ 技術,或允許/阻止/隔離。 它允許管理員控制允許與郵件服務器同步數據的移動設備列表,並在必要時阻止受感染的設備並隔離可疑的移動設備。
然而,免費 Zimbra Collaboration Suite Open-Source Edition 的任何管理員都知道,它與移動設備交互的能力受到嚴重限制。 嚴格來說,Zimbra 免費版的用戶只能使用 POP3 或 IMAP 協議收發電子郵件,而沒有內置的與服務器同步日記、地址簿和筆記數據的功能。 Zimbra Collaboration Suite 和 ABQ 技術的免費版本中未實現,它會自動結束所有在企業中創建封閉信息邊界的嘗試。 在管理員不知道哪些設備連接到他的服務器的情況下,企業可能會發生信息洩漏,根據前面描述的場景,網絡攻擊的可能性會急劇增加。
Zextras Mobile 模塊化擴展將幫助解決 Zimbra Collaboration Suite 開源版中的這個問題。 此擴展允許您將對 ActiveSync 協議的完全支持添加到 Zimbra 的免費版本中,並因此為移動設備和郵件服務器之間的交互開闢了很多機會。 除了各種其他功能外,Zextras Mobile 擴展還完全支持 ABQ。
我們會立即警告您,由於 ABQ 配置不正確會導致某些用戶無法將其移動設備上的數據與服務器同步,因此您需要極其謹慎地處理設置問題. ABQ 是從 Zextras 命令行配置的。 在命令行上配置 Zimbra 中的 ABQ 操作模式,並管理設備列表。
其實現如下:用戶在移動設備上登錄企業郵箱後,向服務器發送授權數據,以及他設備的標識數據,在途中遇到ABQ形式的障礙,這查看識別數據並將它們與那些在允許、隔離和阻止設備列表中可用的數據進行比較。 如果設備不在任何列表中,則 ABQ 會根據其運行模式對其進行處理。
Zimbra 中的 ABQ 提供三種操作模式:
寬容的:在此操作模式下,在用戶身份驗證後,會根據移動設備的第一次請求自動執行同步。 在這種操作模式下,可以阻止個別設備,但所有其他設備都可以自由地與服務器同步數據。
交互的:在這種操作模式下,在用戶通過身份驗證後,安全系統會立即請求設備標識數據並將其與允許的設備列表進行比較。 如果設備在允許列表中,同步會自動繼續。 如果此設備不在白名單中,則會自動隔離,以便管理員稍後決定是允許此設備與服務器同步還是阻止它。 相應的通知將發送給用戶。 定期通知管理員,在可自定義的時間段內通知一次。 同時,每個新通知將只包含已被隔離的新設備。
嚴格的:在這種操作模式下,用戶認證後,它會立即檢查設備的標識數據是否在允許列表中。 如果它在那裡列出,同步將自動繼續。 如果設備不在允許列表中,它會立即進入阻止列表,用戶會通過郵件收到相應的通知。
此外,如果需要,Zimbra 管理員可以完全停用其郵件上的 ABQ 功能。 服務器.
使用以下命令設置 ABQ 操作模式:
zxsuite config 全局設置屬性 abqMode 值 Permissive
zxsuite config 全局設置屬性 abqMode 值 Interactive
zxsuite config 全局設置屬性 abqMode 值 Strict
zxsuite config global 設置屬性 abqMode 值 Disabled
您可以使用以下命令找出 ABQ 當前的操作模式 zxsuite 配置全局獲取屬性 abqMode.
如果您使用 ABQ 的互動式或嚴格模式,通常需要管理允許、封鎖和隔離的裝置清單。假設有兩台設備連接到我們的伺服器:一台… iPhone 和一個 Android 並附上相應的身份識別資料。後來證明, iPhone 前幾天,這家企業的總經理買下了一家公司,決定在那裡從事郵政業務。 Android 屬於一位普通經理,出於安全原因,不允許在智慧型手機上使用工作郵箱。
在互動模式下,所有這些設備都將被隔離,管理員需要將它們從隔離區移出。 iPhone 添加到允許的設備清單中,並且 Android 將其添加到黑名單。為此,他使用了以下命令。 zxsuite 移動 abq 允許 iPhone и zxsuite 移動 abq 塊 Android. 之後,CEO 將能夠完全通過他的設備處理郵件,而經理仍將只能通過他的工作筆記本電腦查看郵件。
值得注意的是,在使用互動模式時,即使經理處於線上狀態, Android即使使用者在裝置上正確輸入了登入名稱和密碼,他們仍然無法存取自己的帳戶。相反,他們會登入虛擬信箱,並收到一則通知,告知他們的裝置已被隔離,無法使用該裝置收發電子郵件。
在嚴格模式下,所有新設備都將被阻止,在查明設備所有者之後,管理員只需將其添加到允許的設備清單中即可。 iPhone 執行長在團隊的幫助下 zxsuite 行動 ABQ 套件 iPhone 寵物留下經理的電話號碼。
寬鬆的操作模式與企業中的任何安全規則都不兼容,但是,如果仍然需要阻止任何允許的移動設備,例如,如果經理突然因醜聞辭職,則可以使用命令 zxsuite 行動 ABQ 套件 Android 封鎖.
如果公司為員工提供處理郵件的服務小工具,那麼隨著其所有者的下一次更改,該設備可以從 ABQ 列表中完全刪除,以便隨後再次決定是否允許它與服務器同步。 這是使用命令完成的 zxsuite 行動版 ABQ 刪除 Android.
因此,如您所見,借助 Zimbra 中的 Zextras Mobile 擴展,您可以實施一個非常靈活的系統來監控移動設備的使用,適用於對企業資源外部使用有相當嚴格政策的企業。辦公室,以及那些在使用移動設備方面相當自由的公司。這個計劃。
來源: www.habr.com
