Сегодня в сфере ИТ можно отметить две актуальные тенденции – использование технологий клиентской мобильности и облачные технологии. Каждая представляет собой потенциал для безграничного увеличения производительности и получения выгод в условиях экономии затрат на лицензирование и покупку аппаратного обеспечения. Тем не менее, как и везде, существуют приверженцы текущего положения дел, и приверженцы перемен, которые хотят наслаждаться получаемыми привилегиями. Стоит только посмотреть на огромные суммы, которые основные технологические игроки (Microsoft, Amazon, Google – только некоторые из них) вкладывают в облачные центры обработки данных, чтобы понять, что облако, доступное из любой точки мира вне зависимости от типа устройства, уже заняло свое место и будет новым признанным лицом ИТ.

Основные привилегии нового подхода к ИТ реализованы в условиях увеличения продуктивности и снижения затрат. Сотруднику проще работать на своем собственном устройстве, а работодателю не нужно инвестировать в аппаратное обеспечение для своего сотрудника.

Согласно исследованиям, проведенным крупным производителем аппаратного обеспечения Dell, существует ряд явных преимуществ разрешения использования личных устройств в работе:

  • 67 % пользователей используют личное ПО и приложения в работе;
  • компании, позволившие сотрудникам использовать личные устройства, на 38 % оптимизировали свои рабочие процессы;
  • гибкость и мобильность сотрудника увеличивались на 34 %;
  • продуктивность и эффективность сотрудника увеличивались на 31 %;
  • уровень взаимодействия между сотрудниками вырос на 28 %;
  • процесс принятия решений улучшился на 27 %.

Как же быть с безопасностью?


По всему миру 43% пользователей используют личные устройства в рабочих целях. Фактически это означает, что данные устройства не являются частью информационной стратегии компаний и представляют собой достаточно большой риск относительно безопасности данных соответствующих сотрудников.

Однако, например, при использовании ОС Windows 10 в распоряжении компаний есть операционная система, в которую встроены инструменты безопасности, делающие личные устройства логической альтернативой негибкой информационной среды. При этом в Windows 10 значительно увеличилась степень защиты механизмов безопасности аппаратного обеспечения, безопасности идентификации, данных и инструментов менеджмента для управления и контроля такими технологиями.

Предлагаем рассмотреть сценарии управления мобильными устройствами с помощью Windows 10

Защита устройств


Защитник Windows

  • Полнофункциональная антивредоносная программа, предшественник Microsoft Security Essentials
  • Регулярность обновления антивредоносных программ
  • При установке альтернативного антивредоносного решения Защитник Windows прекращает процессы защиты в режиме реального времени, но остается доступным

Служба Device Guard

  • Доступна только в пакете Windows 10 Enterprise
  • Используется для полной блокировки устройства таким образом, чтобы оно не могло запускать ненадежные коды
  • К запуску разрешены только коды, подтвержденные компанией Microsoft путем выдачи сертификата
  • В данный перечень входят любые приложения из Windows Store, а также приложения, подписание которых подтверждено компании MS в цифровом виде

ТРМ 2.0

  • Аппаратная технология сертификации, связывающая аппаратное обеспечение с идентификационными данными пользователя

Защита подлинности


Многофакторная проверка подлинности

  • Дополнительный уровень безопасности, помимо стандартного имени пользователя и пароля, который включает проверку личности путем получения кода на мобильном устройстве (смартфоне)
  • Такой агент установлен во всех версиях Windows 10
  • Active Directory, Azure Active Directory и Microsoft Accounts поддерживают данную опцию

Служба Microsoft Passport

  • В Windows 10 служба Microsoft Passport заменяет пароли двухфакторной проверкой подлинности, включающей регистрацию устройства и Windows Hello (биометрическая авторизация) или PIN-код.
  • Служба Microsoft Passport позволяет пользователям войти в учетную запись Active Directory, Microsoft Azure Active Directory (AD) или в службу, выпущенную не компанией Microsoft, которая поддерживает авторизацию Fast ID Online (FIDO). После первоначальной двухэтапной проверки при регистрации в службе Microsoft Passport, пользователь настраивает на своем устройстве с Microsoft Passport способ авторизации – с помощью Windows Hello или PIN-кода. Пользователь определяет способ проверки; затем Windows использует службу Microsoft Passport для авторизации пользователей и помогает им получить доступ к защищенным ресурсам и услугам.

Служба Windows Hello

  • Обеспечивает систему поддержки для биометрического входа – используя лицо или отпечатки пальцев для разблокировки устройства – с помощью технологии, которая является намного безопаснее, чем традиционные пароли. Вы – и исключительно вы – наряду с вашим устройством являетесь ключом к использованию Windows, приложений, данных и даже сайтов и сервисов. А не случайный набор букв и цифр, которые легко забываются или взламываются. Современные сенсоры распознают ваши уникальные личные характеристики для входа в устройство с Windows 10.

Защита данных


Enterprise Data Protection (EDP)

  • Для мобильных устройств или стационарных компьютеров
  • Администраторы могут помечать и зашифровывать корпоративные данные для их отделения от простых данных
  • По окончании соединения корпоративные данные можно удалить с помощью возможностей удаленной очистки

Универсальные приложения

  • «Современные приложения»
  • Запуск в защищенной виртуальной среде на устройстве
  • Постоянное обновление (приложения обновляются автоматически)
  • Для установки на локальном устройстве административные права не требуются

Bitlocker

  • Поддерживается во всех версиях Windows 10
  • Позволяет выбирать только ту часть диска, на которой содержатся данные
  • Более быстрый и менее прерывающийся процесс шифрования
  • Обычный пользователь без административных привилегий может переустановить PIN-код для Bitlocker

Integrated Rights Management (IRM)

  • Альтернатива DLP (Data Linkage Protection)
  • Зашифровывает конфиденциальные данные с помощью технологии сертификации и предотвращает неавторизированное распространение или печать конфиденциальных данных

Приложение, запускаемое через VPN

  • Активация защищенного соединения VPN для определенных приложений

Smart Screen

Управление


MS Intune

  • Позволяет управлять мобильными устройствами и компьютерами в облаке. С помощью Windows Intune сотрудники компании могут получить доступ к своим приложениям, данным и ресурсам вне зависимости от своего места расположения и мобильного устройства, на котором они получают доступ к данным

Enterprise mobility suite (EMS)

  • Позволяет конечным пользователям работать на любимом устройстве или устройствах, предоставляет им постоянный и безопасный доступ к корпоративным ресурсам. Enterprise mobility suite представляет собой гибридное решение для идентификации личности, поддерживаемое Azure Active Directory Premium
  • Обеспечивает обширное использование и управление мобильным устройством из локальной инфраструктуры, в том числе из Microsoft System Center Configuration Manager, Windows Server с Active Directory, а также из облачных служб, включая Intune и Azure. Что способствует объединению ИТ-среды.
  • EMS обеспечивает мобильное управление, поддерживаемое Windows Intune
  • Защита данных EMS, обеспечиваемая службой Azure Rights Management, помогает обезопасить данные путем защиты корпоративной информации и управления рисками.

Каждый из этих сервисов входит в пакет Enteprise Mobility Suite.

В заключении


С Windows 10 в распоряжение организаций предоставляются все инструменты для внедрения стратегии использования как корпоративных мобильных устройств, так и личных мобильных устройств.

Также не следует забывать про значительные преимущества, заключающиеся в увеличении производительности и сокращении текущих затрат при внедрении политики использования мобильных устройств, в том числе про преимущества стратегии использования личных устройств. В то же время необходимо осознавать возможные последствия для безопасности, а также то, что инструменты, находящиеся в распоряжении ИТ, могут сделать такое использование наиболее безопасным и защищенным.
Поделиться с друзьями
-->

Комментарии (1)


  1. tgilartem
    16.11.2016 15:31

    BYOD — концепция удобная, но небезопасная. Не уверен, что Window 10 защитит от полнейшей безграмотности наших людей в плане информационной безопасности. Менеджеры среднего звена будут продолжать открывать фишинговые письма, переходить по ссылкам и нажимать на рекламные объявления, ведущие на подставные сайты, передавать свои пароли друг другу. Особенно в свободное от работы время с личного девайса, который в ближайший же понедельник превратиться в рабочий. Ваши советы безусловно помогут улучшить ситуацию, но только в сочетании с тренингами по ИБ для всех сотрудников компании от генерального директора до уборщицы.