Surface Duo – Sicherheitsübersicht
Surface Duo verfügt über integrierten Schutz auf jeder Ebene mit tief integrierter Hardware, Firmware und Software, um Ihre Geräte, Identitäten und Daten zu schützen. Als Android 10-Gerät nutzt Surface Duo Android-Sicherheitsfeatures auf Betriebssystemebene und auf der Google-Dienstebene. Das Android-Betriebssystem nutzt herkömmliche Sicherheitskontrollen des Betriebssystems, um Benutzerdaten und Systemressourcen zu schützen, die Geräteintegrität vor Schadsoftware zu schützen und anwendungsisoliert zu werden. Darüber hinaus bietet Google verschiedene Dienste auf dem Betriebssystem, die in Kombination mit der Sicherheit des Android-Betriebssystems dazu beitragen, den Android-Benutzer kontinuierlich zu schützen.
- Maßgeschneiderte UEFI. Einzigartig für Surface Duo ist unter Android-Geräten die maßgeschneiderte Unified Extensible Firmware Interface (UEFI) von Microsoft, die vollständige Kontrolle über Firmwarekomponenten ermöglicht. Microsoft bietet Sicherheit auf Unternehmensniveau für Surface Duo, indem jede Zeile von Firmwarecode intern geschrieben oder überprüft wird, sodass Microsoft direkt und agil auf potenzielle Firmwarebedrohungen reagieren und Sicherheitsrisiken in der Lieferkette mindern kann.
- Überprüfter Start. Ab der Hardwareebene bei der Anmeldung ist verified Boot bestrebt, sicherzustellen, dass ausgeführter Code nur von einer vertrauenswürdigen Quelle stammt. Es wird eine vollständige Vertrauenskette eingerichtet – vom hardwaregeschützten Vertrauensstamm bis hin zum Bootloader, der Startpartition und anderen überprüften Partitionen. Wenn Surface Duo hochfährt, überprüft jede Phase die Integrität und Authentizität der nächsten Phase, bevor die Ausführung übergeben wird.
- App-Trennung. Anwendungssandboxing isoliert und schützt Android-Apps und verhindert, dass böswillige Apps auf private Informationen zugreifen. Obligatorische Always-On-Verschlüsselung und Schlüsselbehandlung tragen dazu bei, Daten während der Übertragung und im Ruhezustand zu schützen – auch wenn Geräte in falsche Hände geraten. Die Verschlüsselung wird mit Keystore-Schlüsseln geschützt, die kryptografische Schlüssel in einem Container speichern, wodurch die Extraktion von einem Gerät erschwert wird.
- Google Play Protect. Auf der Softwareebene verwendet Surface Duo die Google Play Protect-Bedrohungserkennung, die alle Anwendungen scannt, einschließlich öffentlicher Apps von Google Play, von Microsoft und Netzbetreibern aktualisierter System-Apps und quergeladene Apps.
- Microsoft Defender ATP. Die Antiviren- und Schadsoftware für Windows 10 auf Unternehmensniveau ist jetzt für Android-Geräte verfügbar, die über Intune verwaltet werden. Weitere Informationen finden Sie unter Microsoft Defender ATP für Android.
Sicherheit für die Verwaltung mobiler Geräte
Surface Duo wird in einer Unternehmensumgebung mit einer EMM-Lösung (Enterprise Mobility Management) geschützt, die einen konsistenten Satz von Schutztools, Technologien und bewährten Methoden bietet, die Sie an Ihre Organisations- und Complianceanforderungen anpassen können. Eine breite Palette von Verwaltungs-APIs bietet IT-Abteilungen die Tools, um Datenlecks zu verhindern und Compliance in verschiedenen Szenarien zu erzwingen. Unterstützungsoptionen für mehrere Profile und Geräteverwaltung ermöglichen die Trennung von Geschäftlichen und persönlichen Daten, um die Sicherheit von Unternehmensdaten zu gewährleisten.
MDM-Sicherheit basiert auf einer wachsenden Reihe von Konfigurationstechnologien, die Benutzern ermöglichen, unterwegs produktiv zu sein und gleichzeitig kritisches geistiges Eigentum des Unternehmens zu schützen. Dazu gehören App-Schutzrichtlinien, Geräteeinschränkungsrichtlinien und zugehörige Technologien, die Es Ihnen ermöglichen, bestimmte Ziele abhängig von Ihrer Umgebung zu erreichen – unabhängig davon, ob Ihr Unternehmen aus der Bereitstellung von Restaurantbestellungen, der Verwaltung von IT-Dienstleistungen für Zahnarztpraxen oder dem Umgang mit vertraulichen nationalen Sicherheitsinformationen besteht.
Beispielsweise können Sie die Geräteauthentifizierung stärken, indem Sie benutzer dazu auffordern, einen 6-stelligen alphanumerischen Pin zusammen mit der 2-Faktor-Authentifizierung einzugeben. Möglicherweise möchten Sie die Geräte einschränken, auf denen sich Benutzer registrieren können, um die Einhaltung der Lizenzierungsgrenzwerte zu gewährleisten, oder vermeiden Sie, Zugriff auf Telefone mit Jailbreak oder anderen nicht unterstützten Gerätetypen zu gewähren. Intune und anderen EMMs ermöglichen Es Organisationen, Geräte gemäß ihren Anforderungen zu verwalten.
App-Schutz-Richtlinien
App-Schutz-Richtlinien (APP) sind Regeln, die sicherstellen, dass die Daten einer organization sicher bleiben oder in einer verwalteten App enthalten bleiben. Eine Richtlinie kann eine Regel sein, die erzwungen wird, wenn der Benutzer versucht, auf "Unternehmensdaten" zuzugreifen oder diese zu verschieben, oder eine Reihe von Aktionen, die verboten oder überwacht werden, wenn sich der Benutzer in der App befindet. Eine verwaltete App ist eine App, auf die App-Schutzrichtlinien angewendet werden und die von Intune verwaltet werden kann.
App-Schutz Richtlinien ermöglichen es Ihnen, die Daten Ihrer organization innerhalb einer Anwendung zu verwalten und zu schützen. Viele Produktivitäts-Apps, z. B. die Microsoft Office-Apps, können von Intune MAM verwaltet werden. Sehen Sie sich die offizielle Liste der Microsoft Intune geschützten Apps an, die für die öffentliche Verwendung verfügbar sind.
Sicherheitsüberlegungen bei der Verwaltung von Surface Duo
Die wachsende Anzahl von Richtlinieneinstellungen, die in Verwaltungslösungen für mobile Geräte verfügbar sind, ermöglichen es Organisationen, Schutzstufen an ihre spezifischen Anforderungen anzupassen. Um Organisationen bei der Priorisierung von Sicherheitseinstellungen für Surface Duo (oder ein beliebiges anderes Android-Gerät) zu unterstützen, hat Intune das Android Enterprise-Sicherheitskonfigurationsframework eingeführt, das in verschiedenen Konfigurationsszenarien organisiert ist und Anleitungen für Arbeitsprofile und vollständig verwaltete Szenarien bereitstellt.
Sicherheitsstufe | Ziel: | Zusammenfassung | Einstellungsinformationen |
---|---|---|---|
Grundlegende Sicherheit des Arbeitsprofils – Ebene 1 | Persönliche Geräte mit Zugriff auf Geschäfts-, Schul- oder Unidaten. | Führt Kennwortanforderungen ein, trennt geschäftliche und personenbezogene Daten und überprüft den Android-Gerätenachweis. | Einstellungen der Arbeitsprofilebene 1 |
Hohe Sicherheit des Arbeitsprofils – Ebene 3 (Aufgrund von Frameworkkonventionen ist dies die nächste Ebene über Ebene 1.) |
Geräte, die von Benutzern oder Gruppen mit einem eindeutig hohen Risiko verwendet werden. Zum Beispiel, wenn Benutzer mit hochsensiblen Daten umgehen, bei denen eine nicht autorisierte Offenlegung zu erheblichen materiellen Verlusten führt. | Führt mobile Bedrohungsabwehr oder Microsoft Defender ATP ein, legt die Android-Mindestversion auf 8.0 fest, erlässt strengere Kennwortrichtlinien und schränkt die Trennung von Arbeit und Persönlicher weiter ein. | Einstellungen der Arbeitsprofilebene 3 |
Vollständig verwaltete Grundlegende Sicherheit – Ebene 1 | Minimale Sicherheitskonfiguration für ein Unternehmensgerät, die für die meisten mobilen Benutzer gilt, die auf Geschäfts-, Schul- oder Unidaten zugreifen. | Führt Kennwortanforderungen ein, legt die Android-Mindestversion auf 8.0 fest und erlässt bestimmte Geräteeinschränkungen. | Vollständig verwaltete Einstellungen der Ebene 1 |
Vollständig verwaltete erweiterte Sicherheitsstufe 2 | Geräte, auf denen Benutzer auf vertrauliche oder vertrauliche Informationen zugreifen. | Erlässt strengere Kennwortrichtlinien und deaktiviert Benutzer-/Kontofunktionen. | Vollständig verwaltete Level 2-Settngs |
Vollständig verwaltete hohe Sicherheitsstufe 3 | Geräte, die von Benutzern oder Gruppen mit einem eindeutig hohen Risiko verwendet werden. Zum Beispiel, wenn Benutzer mit hochsensiblen Daten umgehen, bei denen eine nicht autorisierte Offenlegung zu erheblichen materiellen Verlusten führt. | Erhöht die Android-Mindestversion auf 10.0, führt mobile Bedrohungsabwehr oder Microsoft Defender ATP ein und erzwingt zusätzliche Geräteeinschränkungen. | Vollständig verwaltete Einstellungen der Ebene 3 |
Wie bei jedem Framework müssen Einstellungen innerhalb einer entsprechenden Ebene möglicherweise basierend auf den Anforderungen der organization angepasst werden, da die Sicherheit die Bedrohungsumgebung, die Risikobereitschaft und die Auswirkungen auf die Benutzerfreundlichkeit bewerten muss.