Windows 10 管理 统一端点管理

Windows 10 管理 — 企业数据安全

跟以前的 Windows 版本相比,Windows 10 大大增强了安全方面的特性,能够有效地抵抗垃圾邮件、恶意软件、网络欺诈等方面的威胁。

  • 用户身份保护:Windows 10 新增了原生的多因子认证功能,Windows Hello 是 Widows 10 内置的生物识别登录系统,允许面部或指纹标识解锁用户的设备。Windows Hello 为设备识别个人用户提供了可靠的方法,然后通过 Microsoft Passport 来获得访问每一个应用的授权。
  • 数据加密:内置 Bitlocker 加密功能,用户在 Explorer 使用右键菜单就可以启用这一功能。新增 Enterprise Data Protection 功能能够区分企业和个人数据,并把企业数据进行保护。
  • 阻止威胁:Windows 10 的设备卫士(Device Guard)通过数字签名来确保系统只安装受信任的软件,Windows 自带的杀毒功能 Defender 能够有效拦截恶意软件。
  • 硬件保证的安全性:Windows 10 结合硬件来提供更加保护措施,例如安全启动(Secure Boot)防止了任何硬件固件被窜改的可能性,TPM(Trusted Platform Module)芯片保证了用户生物因子特征和私钥的安全性。

移动设备安全保护是 Workspace ONE(或 AirWatch)的传统强项,Workspace ONE 除了 Windows 10 原生的安全特性之外还增加了很多额外的安全防护措施,来为企业应用和数据提供全方位的安全防护。

 

用户认证安全

Workspace ONE 不需要 Windows 10 设备加入 Windows 域,也不需要客户把现有的身份认证系统迁移动 Active Directory,Workspace ONE 通过作为一个桥接来提供现有用户身份的认证。Workspace ONE 能够很好的利用 Windows Hello 和 Microsoft Passport 的功能来辅助身份认证,并且进一步为各种应用软件实现单点登录(Single Sign On)功能。

Workspace ONE 特有的条件访问(Conditional Access)功能能够根据设备的状态来控制用户对于特定应用和数据的访问,例如当用户在公司办公区域时,他的笔记本能够访问任何公司数据;但是当他在外出差时,通过公共网络就不能访问公司敏感数据。

 

确保设备健康

Workspace ONE 可以定义设备上可运行应用的白名单(或者是禁止运行应用的黑名单),从而仅允许受信任的应用运行,避免任何由于第三方软件所带来的威胁。另外,Workspace ONE 也能利用 Windows 10 新提供的应用安全沙箱,让应用在沙箱中运行,从而把该应用和其他的操作系统环境隔离开来,即便应用中含有恶意代码,也无法危害操作系统或其他应用。


利用 Device Guard 来阻止用户安装 OpenOffice

 

Workspace ONE 的 AirWatch Agent 运行在纳管的 Windows 10 系统中,能够实时发现设备的循规情况,如硬盘是否加密、是否启用 Secure Boot 和 Device Guard 等安全特性。管理员可以定义循规策略,例如:一旦发现某个设备违反了循规策略,就可以阻止它上面的应用访问企业数据;情况严重的话,甚至可以阻止所有纳管应用的运行,并且执行企业擦除和发邮件通知管理员。


基于设备姿态和循规状态的设备安全

 

企业数据保护 EDP(Enterprise Data Protection)

Workspace ONE 可以通过指定数据来源来指定受保护的企业数据,例如来自于指定的域名或IP地址范围内的服务器上的数据被定义成为企业数据;另外管理员也会指定一组企业应用,凡是企业应用访问的数据就是企业数据。利用企业数据和企业应用,管理员就可以指定企业数据的保护级别:

  • 最低级别:允许企业数据被非企业应用所访问;加密企业数据,允许非企业应用访问企业数据,但该动作会被审计记录;加密企业数据,非企业应用访问企业数据前会提示用户,并且该动作会被审计记录;
  • 最高级别:加密企业数据,并禁止任何非企业应用访问。

下图展示的就是企业应用 Outlook 受 AirWatch(Workspace ONE)保护的场景,Outlook 把邮件附件的 PPT 文件保存在桌面上后,该文件图标上带有 EDP(Enterprise Data Protection)锁形标记,当用户试图用非企业应用 WordPad 去打开该文件时,就会被拒绝打开。同样地,如果用户从 Outlook 中复制部分邮件内容粘贴到微信(非企业应用)时,系统也会阻止该操作并提示。

网络通讯安全

VPN 的全称是虚拟专用网络(Virtual Private Network),用于在公用网络上建立专用网络,进行加密通讯。Windows 上自带的 VPN 都是设备级的,一旦建立连接接入企业网络,设备上所有的应用都可以访问企业网络,虽然还有防火墙等传统的网络安全措施,还是存在一定的安全隐患。

Workspace ONE 可以让应用跟后台数据中心建立起应用级(Per-App)VPN,即建立的 VPN 通道仅供当前的企业应用使用,所有其他的应用都无法访问该加密通道。这种方式可以大大提高数据通讯的安全性,杜绝了其他无关应用(甚至是恶意软件)通过 VPN 通道访问企业数据中心的可能。

更进一步,如果企业数据中心部署了 VMware 的网络虚拟化产品 NSX 产品,利用 NSX 的微分段技术(Micro-Segmentation),应用级 VPN 可以进一步地做到让该应用仅与后台的某一台服务器进行通讯,从而提供更高的网络安全性

 

数据不落地

Workspace ONE 整合了 VMware 终端用户计算(End User Computing)的两大产品线:统一端点管理 AirWatch + 桌面和应用虚拟化平台 Horizon。要想彻底保证企业数据的安全,可以通过虚拟桌面和远程应用把企业应用和数据放在数据中心,而不是移动设备这一端,企业数据始终没有物理存放到设备这一端,这种方案称之为“数据不落地”。