发现移动设备
越来越多的用户将他们的个人移动设备连接到公司网络。这些设备通过漏洞增加和扩展环境中的攻击面,这些漏洞允许攻击者绕过安全限制,执行未经授权的操作或执行任意代码。
您可以发现通过ActiveSync连接到Microsoft Exchange的苹果iOS或谷歌Android操作系统的设备。支持所有版本的iOS和Android。
安全控制台发现使用Microsoft Exchange ActiveSync协议管理的移动设备。动态发现功能目前支持Exchange 2010和2013版本以及Office 365。
你可以通过三种微软Windows服务器配置之一连接到移动数据:
- 通过LDAP/Active Directory (AD)连接到Exchange服务器
- 一个通过PowerShell框架连接到本地Exchange服务器的Windows远程管理(WinRM)网关
- 一个连接到Office 365服务器的WinRM网关
使用其中一种WinRM配置的好处是,通过其中一种方法发现的资产数据包括每个移动设备与Exchange服务器同步的最近时间。如果您不希望您的报告包含来自网络上不再使用的旧设备的数据,那么这将非常有用。您可以为过滤掉旧设备的移动设备创建一个动态资产组。看到执行过滤的资产搜索.
为动态发现移动设备做准备
根据您所使用的Windows服务器配置,您将需要采取一些初步步骤来准备您的目标环境以进行发现。
LDAP /广告
对于发现连接,安全控制台需要对Active Directory中的移动设备对象具有读权限的用户的凭据。该用户必须是Microsoft Exchange组织管理安全组的成员或已被授予对移动设备对象的读访问权的用户。这允许Security Console执行LDAP查询。
在AD服务器上为AD OU(包含ActiveSync (Mobile)设备的用户)授予帐户“只读”权限的操作步骤如下:
- 启动ADSI Edit (Active Directory Service Interfaces Editor),连接AD环境。
- 选择使用移动同步设备的用户所在的OU。在本例中,Users OU中包含了使用ActiveSync设备的用户。
- 右键单击“Users”OU,选择属性.
- 选择安全选项卡。
- 单击添加按钮,并添加安全控制台将用于连接到AD服务器的用户帐户。
- 选择用户,单击先进的.
- 选择用户,单击编辑.
- 从适用于下拉列表中,选择后代msExchActiveSyncDevice对象.
对于任何包含ActiveSync(移动)设备的附加ou重复上述步骤。
WinRM
对于PowerShell和Office 365配置,目标环境中的设置要求和步骤实际上是相同的:
服务器和凭证
- 具有具有WinRM权限的用户帐户的WinRM网关服务器
- 具有管理员帐户或具有“仅查看组织管理”或更高角色的用户帐户的交换服务器
如果安全控制台在Windows上运行,WinRM网关也可能是Exchange服务器或暴露。
设置WinRM网关
如果您不熟悉这些过程,请咨询Windows服务器管理员。
WinRM网关必须在端口5986上有一个可用的https WinRM监听器。实现此功能的典型步骤包括:
- 检查服务器是否安装了未过期或未自签名的服务器身份验证证书。有关更多信息,请参见https://technet.microsoft.com/en-us/library/cc731183.aspx.
- 启用WinRM https监听器:
C:\> winrm quickconfig -transport:https - 使用PowerShell命令增加WinRM内存限制(最小设置为1024 MB;建议设置为2048mb。)
[PS] C:\> set-item wsman:localhost\Shell\MaxMemoryPerShellMB 2048 - 在Windows防火墙上打开5986端口:
C: >
1
"Windows远程管理(http - in)" dir=in action=allow protocol=TCP localport=5986 ' ' '
2
3.
以下说明可用于非管理员帐户启用WinRM:请参阅此处的协商身份验证部分:(https://msdn.microsoft.com/en-us/library/aa384295(v=vs.85).aspx。
4
5
# # #网络连接
6
7
*安全控制台必须能够通过https或WS-Management协议通过端口5986连接到WinRM网关。
8
* WinRM网关必须能够通过80端口连接到Exchange服务器,并执行必要的kerberos身份验证。
9
10
## WinRM连接问题
11
12
如果WinRM使用域控制器作为WinRM网关失败,请参阅[http://www.projectleadership.net/blog/](http://www.projectleadership.net/blog/)的博客获取帮助。通常,运行' ' ' setspn -L [server_name] ' ' '返回两个WinRM配置;但是,在本例中,没有显示。
13
14
如果PowerShell脚本失败,由于StackOverflowException终止error _Process。_,表示WinRM内存不足。通过运行PowerShell命令增加设置:
15
16
[PS] C:\> set-item wsman:localhost\Shell\MaxMemoryPerShellMB 2048 ' ' '
17
18
# #故障排除交换连接
19
20.
要验证Exchange连接并排除故障,请使用WinRM凭据打开PowerShell Windows WinRM网关服务器。然后使用Exchange用户凭据和组织的Exchange服务器完全限定域名运行以下Powershell命令:
$cred = Get-Credential $s = New-PSSession -ConfigurationName交换-ConnectionUrihttp://exchangeserver.domain.com/-credential $cred Import-PSSession $s Get-ActiveSyncDevice
1
这将显示一个输入凭据的窗口。如果_New-PSSession_失败,说明与Exchange服务器的远程PowerShell连接失败。
2
3.
如果_Get-ActiveSyncDevices_命令返回_not devices_,这可能表明您的Exchange帐户没有足够的权限来执行查询。
4
5
##解决Office 365配置的连接问题
6
7
Office 365的配置与PowerShell的配置完全相同,除了它与云中的Microsoft Exchange服务器通信,并通过PowerShell与网关连接有一些不同。
8
9
使用以下脚本解决Office365 exchange连通性问题:
$cred = Get-Credential $s = New-PSSession -ConfigurationName交换-ConnectionUrihttps://outlook.office365.com/powershell-credential $cred -Authentication Basic -AllowRedirection Import-PSSession $s Get-ActiveSyncDevice . txt . txt
1
在为发现准备好网络之后,请参见[创建和管理动态发现连接](文档:创建和管理动态发现连接)。
2
3.
##管理移动曝光度的一般最佳实践
4
5
为了持续优化发现结果,请遵循一些管理环境的最佳实践:
6
7
# # # #测试您的环境
8
9
测试ActiveSync环境,以验证所有组件是否正常工作和通信。这将有助于提高你的覆盖面。
10
11
####创建设备接入规则
12
13
在网络中为ActiveSync设备创建规则进一步扩展了您的控制。例如,您可以创建用于审批隔离设备的规则。
14
15
####管理和增加设备伙伴关系
16
17
组织中的单个用户可能使用多个设备,每个设备都有自己的伙伴关系或初始同步期间创建的ActiveSync属性集。此外,用户经常从一个设备版本升级到另一个版本,这也增加了支持合作伙伴的潜在数量。管理这些伙伴关系对于跟踪环境中的ActiveSync设备非常重要。它涉及从Exchange服务器中移除旧设备,这有助于创建更准确的移动风险评估。