Surface Duo – Sicherheitsübersicht
Surface Duo verfügt über integrierten Schutz auf jeder Ebene mit tief integrierter Hardware, Firmware und Software, um Ihre Geräte, Identitäten und Daten zu schützen. Als Android 10-Gerät nutzt Surface Duo Android-Sicherheitsfeatures auf Betriebssystemebene und der Google-Dienstebene. Das Android-Betriebssystem nutzt herkömmliche Betriebssystemsicherheitskontrollen zum Schutz von Benutzerdaten und Systemressourcen, schützt die Geräteintegrität vor Schadsoftware und bietet Anwendungsisolation. Darüber hinaus stellt Google verschiedene Dienste bereit, die über dem Betriebssystem angeordnet sind, die in Kombination mit der Sicherheit des Android-Betriebssystems dazu beitragen, den Android-Benutzer kontinuierlich zu schützen.
- Angepasste UEFI. Einzigartig für Surface Duo unter Android-Geräten ist die benutzerdefinierte Unified Extensible Firmware Interface (UEFI) von Microsoft, die die vollständige Kontrolle über Firmwarekomponenten ermöglicht. Microsoft bietet Surface Duo Sicherheit auf Unternehmensniveau, indem jede Zeile von Firmwarecode intern geschrieben oder überprüft wird, sodass Microsoft direkt und agil auf potenzielle Firmwarebedrohungen reagieren und Sicherheitsrisiken der Lieferkette mindern kann.
- Bestätigter Start. Ab der Hardwareebene bei der Anmeldung ist der überprüfte Start bestrebt, sicherzustellen, dass ausgeführter Code nur aus einer vertrauenswürdigen Quelle stammt. Es richtet eine vollständige Vertrauenskette ein – vom hardwaregeschützten Vertrauensstamm bis zum Startladeprogramm, der Startpartition und anderen überprüften Partitionen. Wenn Surface Duo gestartet wird, überprüft jede Phase die Integrität und Authentizität der nächsten Phase, bevor die Ausführung übergeben wird.
- App-Trennung. Die Anwendungs-Sandboxing isoliert und schützt Android-Apps, wodurch verhindert wird, dass schädliche Apps auf private Informationen zugreifen. Obligatorische, immer aktivierte Verschlüsselung und Schlüsselverarbeitung tragen dazu bei, Daten während der Übertragung und im Ruhezustand zu schützen – auch wenn Geräte in die falschen Hände geraten. Die Verschlüsselung ist durch Keystore-Schlüssel geschützt, die kryptografische Schlüssel in einem Container speichern, wodurch es schwieriger wird, von einem Gerät zu extrahieren.
- Google Play Protect. Auf Softwareebene verwendet Surface Duo die Bedrohungserkennung von Google Play Protect, die alle Anwendungen überprüft, einschließlich öffentlicher Apps von Google Play, von Microsoft und Netzbetreibern aktualisierter System-Apps und quergeladener Apps.
- Microsoft Defender ATP. Die Antiviren- und Schadsoftware auf Unternehmensniveau für Windows 10 ist jetzt für Android-Geräte verfügbar, die von Intune verwaltet werden. Weitere Informationen finden Sie unter Microsoft Defender ATP für Android.
Sicherheit der Verwaltung mobiler Geräte
Surface Duo ist in einer Unternehmensumgebung mithilfe einer Enterprise Mobility Management (EMM)-Lösung gesichert, die einen konsistenten Satz von Schutztools, Technologien und bewährten Methoden bereitstellt, die Sie an Ihre Organisations- und Complianceanforderungen anpassen können. Eine breite Palette von Verwaltungs-APIs bietet IT-Abteilungen die Tools zur Verhinderung von Datenlecks und zur Durchsetzung der Compliance in verschiedenen Szenarien. Multiprofilunterstützung und Geräteverwaltungsoptionen ermöglichen die Trennung von Arbeits- und personenbezogenen Daten und tragen dazu bei, die Sicherheit von Unternehmensdaten zu gewährleisten.
Die MDM-Sicherheit basiert auf einer erweiterten Reihe von Konfigurationstechnologien, die es Benutzern ermöglichen, unterwegs produktiv zu sein und gleichzeitig kritisches geistiges Eigentum des Unternehmens zu schützen. Dazu gehören App-Schutzrichtlinien, Geräteeinschränkungsrichtlinien und zugehörige Technologien, die Ihnen die Erfüllung bestimmter Ziele je nach Ihrer Umgebung ermöglichen – ganz gleich, ob Ihr Unternehmen aus der Lieferung von Restaurant-Takeout-Bestellungen, der Verwaltung von IT-Diensten für Dentalbüros oder dem Umgang mit vertraulichen nationalen Sicherheitsinformationen besteht.
Sie können z. B. die Geräteauthentifizierung stärken, indem Sie von Benutzern die Eingabe eines 6-stelligen alphanumerischen Pins zusammen mit der 2-Faktor-Authentifizierung verlangen. Möglicherweise möchten Sie die Geräte einschränken, bei denen Benutzer sich registrieren können, um die Lizenzierungsbeschränkungen einzuhalten oder den Zugriff auf "jailbroken"-Telefone oder andere nicht unterstützte Gerätetypen zu vermeiden. Intune und andere EMMs ermöglichen Es Organisationen, Geräte entsprechend ihren Anforderungen zu verwalten.
App-Schutz-Richtlinien
App-Schutz-Richtlinien (APP) sind Regeln, die sicherstellen, dass die Daten einer Organisation sicher oder in einer verwalteten App enthalten sind. Eine Richtlinie kann eine Regel sein, die erzwungen wird, wenn der Benutzer versucht, auf Unternehmensdaten zuzugreifen oder diese zu verschieben, oder eine Reihe von Aktionen, die verboten oder überwacht werden, wenn sich der Benutzer in der App befindet. Eine verwaltete App ist eine App, auf die App-Schutzrichtlinien angewendet wurden und die von Intune verwaltet werden kann.
App-Schutz Richtlinien ermöglichen es Ihnen, die Daten Ihrer Organisation in einer Anwendung zu verwalten und zu schützen. Viele Produktivitäts-Apps, z. B. die Microsoft Office-Apps, können von Intune MAM verwaltet werden. Sehen Sie sich die offizielle Liste der Microsoft Intune geschützten Apps an, die für die öffentliche Nutzung verfügbar sind.
Sicherheitsüberlegungen für die Verwaltung von Surface Duo
Die wachsende Anzahl von Richtlinieneinstellungen, die in Lösungen für die Verwaltung mobiler Geräte verfügbar sind, ermöglicht es Organisationen, die Schutzstufen an ihre spezifischen Anforderungen anzupassen. Um Organisationen bei der Priorisierung von Sicherheitseinstellungen für Surface Duo (oder ein anderes Android-Gerät) zu unterstützen, hat Intune sein Android Enterprise-Sicherheitskonfigurationsframework eingeführt, das in mehrere unterschiedliche Konfigurationsszenarien unterteilt ist und Anleitungen für Arbeitsprofil und vollständig verwaltete Szenarien bietet.
| Sicherheitsstufe | Gezielt für | Zusammenfassung | Einstellungsinformationen |
|---|---|---|---|
| Grundlegende Sicherheit des Arbeitsprofils – Stufe 1 | Persönliche Geräte mit Zugriff auf Geschäfts-, Schul- oder Unidaten. | Führt Kennwortanforderungen ein, trennt arbeits- und personenbezogene Daten und überprüft den Android-Gerätenachweis. | Einstellungen der Arbeitsprofilebene 1 |
| Hohe Sicherheit des Arbeitsprofils – Stufe 3 (Aufgrund von Frameworkkonventionen ist dies die nächste Ebene über Ebene 1.) |
Geräte, die von Benutzern oder Gruppen mit eindeutig hohem Risiko verwendet werden. Beispielsweise behandeln Benutzer hochsensible Daten, bei denen eine unbefugte Offenlegung zu erheblichen materiellen Verlusten führt. | Führt die Mobile Threat Defense oder Microsoft Defender ATP ein, legt die Android-Mindestversion auf 8.0 fest, setzt strengere Kennwortrichtlinien ein und schränkt die arbeits- und persönliche Trennung weiter ein. | Einstellungen der Arbeitsprofilebene 3 |
| Vollständig verwaltete Grundsicherheit – Stufe 1 | Mindestsicherheitskonfiguration für ein Unternehmensgerät, die für die meisten mobilen Benutzer gilt, die auf Geschäfts-, Schul- oder Unidaten zugreifen. | Führt Kennwortanforderungen ein, legt die Android-Mindestversion auf 8.0 fest und erlässt bestimmte Geräteeinschränkungen. | Vollständig verwaltete Einstellungen der Ebene 1 |
| Vollständig verwaltete erweiterte Sicherheitsstufe 2 | Geräte, auf denen Benutzer auf vertrauliche oder vertrauliche Informationen zugreifen. | Erlässt strengere Kennwortrichtlinien und deaktiviert Benutzer-/Kontofunktionen. | Vollständig verwaltete Level 2-Settngs |
| Vollständig verwaltete hohe Sicherheitsstufe 3 | Geräte, die von Benutzern oder Gruppen mit eindeutig hohem Risiko verwendet werden. Beispielsweise behandeln Benutzer hochsensible Daten, bei denen eine unbefugte Offenlegung zu erheblichen materiellen Verlusten führt. | Erhöht die Mindestversion von Android auf 10.0, führt die Mobile Threat Defense oder Microsoft Defender ATP ein und erzwingt zusätzliche Geräteeinschränkungen. | Vollständig verwaltete Einstellungen der Ebene 3 |
Wie bei jedem Framework müssen die Einstellungen innerhalb einer entsprechenden Ebene möglicherweise basierend auf den Anforderungen der Organisation angepasst werden, da die Sicherheit die Bedrohungsumgebung, die Risikobereitschaft und die Auswirkungen auf die Benutzerfreundlichkeit bewerten muss.