Σταματώντας τους App Killers: Πώς να προστατεύσετε τις εφαρμογές MTD χρησιμοποιώντας προνόμια βάσει ρόλων του AMAPI

Μια επίμονη και απογοητευτική πρόκληση στην κινητικότητα των επιχειρήσεων είναι η διασφάλιση ότι οι κρίσιμες για την αποστολή εφαρμογές ασφαλείας παραμένουν ενεργές. Αναπτύσσετε μια υπερσύγχρονη λύση Mobile Threat Defense (MTD) στον εταιρικό σας στόλο, μόνο και μόνο για να ανακαλύψετε ότι οι συσκευές παύουν να συμμορφώνονται. Ο ένοχος; Τα επιθετικά πρωτόκολλα βελτιστοποίησης μπαταρίας των κατασκευαστών (OEM)--συχνά αναφερόμενα ως "app killers"--ή έμπειροι τελικοί χρήστες που σταματούν χειροκίνητα την εφαρμογή για να εξοικονομήσουν μπαταρία ή να παρακάμψουν την παρακολούθηση.

Για τη διατήρηση μιας στάσης ασφαλείας μηδενικής εμπιστοσύνης (zero-trust), οι εφαρμογές MTD πρέπει να εκτελούνται αθόρυβα και συνεχώς στο παρασκήνιο, 24/7. Όταν τα όρια εκτέλεσης στο παρασκήνιο του Android τερματίζουν αυτές τις εφαρμογές, το εταιρικό σας δίκτυο γίνεται ευάλωτο σε phishing, κακόβουλα φορτία και επιθέσεις man-in-the-middle. Ιστορικά, η επίλυση αυτού απαιτούσε περίπλοκα, προσαρμοσμένα σενάρια JSON και συνεχείς μάχες με τις ρυθμίσεις μπαταρίας που διαφέρουν ανά κατασκευαστή.

Ανακαλύψτε πώς να αξιοποιήσετε τα τελευταία προνόμια βάσει ρόλων του Android Management API (AMAPI) εντός του Nomid MDM για να καταστήσετε τα εργαλεία Mobile Threat Defense εντελώς απαραβίαστα. Ως επίσημος συνεργάτης του Android Enterprise, το Nomid MDM παρέχει μια απρόσκοπτη προσέγγιση μέσω διεπαφής χρήστη (UI) για την παράκαμψη των επιθετικών περιορισμών του λειτουργικού συστήματος, διασφαλίζοντας ότι η δέσμη ασφαλείας σας παραμένει αήττητη σε αναπτύξεις στους τομείς της Υγείας, του Λιανικού Εμπορίου, της Εκπαίδευσης και των Logistics.

Κατανόηση του Προβλήματος των Android App Killers

Προτού μπορέσετε να σταματήσετε αποτελεσματικά τους Android app killers, πρέπει να κατανοήσετε πώς το λειτουργικό σύστημα Android διαχειρίζεται τους πόρους. Για τη μεγιστοποίηση της διάρκειας ζωής της μπαταρίας, το Android χρησιμοποιεί αρκετά επιθετικά χαρακτηριστικά εξοικονόμησης ενέργειας, με κυριότερα τη λειτουργία Doze και τα App Standby Buckets. Αν και είναι εξαιρετικά για καταναλωτικές συσκευές, αυτά τα χαρακτηριστικά προκαλούν προβλήματα στα εργαλεία ασφαλείας των επιχειρήσεων.

Όταν μια συσκευή είναι αποσυνδεδεμένη από το ρεύμα και ακίνητη, η λειτουργία Doze περιορίζει τη δραστηριότητα της CPU και του δικτύου στο παρασκήνιο. Επιπλέον, τα App Standby Buckets κατηγοριοποιούν τις εφαρμογές με βάση την αλληλεπίδραση του χρήστη. Επειδή οι εφαρμογές MTD έχουν σχεδιαστεί για να είναι αόρατες στον χρήστη, το λειτουργικό σύστημα συχνά τις κατατάσσει στις κατηγορίες "Σπάνιες" (Rare) ή "Περιορισμένες" (Restricted), περιορίζοντας σοβαρά την ικανότητά τους να σαρώνουν για απειλές ή να αναφέρουν πίσω στην κονσόλα MDM.

Σε αυτή τη συμπεριφορά σε επίπεδο λειτουργικού συστήματος προστίθεται και η παρέμβαση του χρήστη. Εάν ένας υπάλληλος παρατηρήσει ότι μια εφαρμογή καταναλώνει μπαταρία, μπορεί να μεταβεί στις ρυθμίσεις της συσκευής και να πατήσει "Αναγκαστική διακοπή". Μόλις διακοπεί αναγκαστικά, μια εφαρμογή δεν μπορεί να επανεκκινηθεί από μόνη της μέχρι ο χρήστης να την εκκινήσει ξανά χειροκίνητα. Για να είναι αποτελεσματική η προστασία MTD στο Android Enterprise, πρέπει να εξουδετερώσετε τόσο τη βελτιστοποίηση μπαταρίας σε επίπεδο λειτουργικού όσο και τη δυνατότητα του χρήστη να τερματίζει την εφαρμογή.

Η Λύση του Nomid MDM: Προνόμια Βάσει Ρόλων AMAPI

Η σύγχρονη λύση σε αυτή την πρόκληση βρίσκεται στο Android Management API (AMAPI). Η Google εισήγαγε τα προνόμια βάσει ρόλων AMAPI (συγκεκριμένα μέσω του DelegatedScope) για να επιτρέψει στους Διαχειριστές Πληροφορικής να εκχωρούν αυξημένα δικαιώματα σε επίπεδο συστήματος σε συγκεκριμένες εφαρμογές, χωρίς να απαιτείται οι εφαρμογές αυτές να είναι ο Ελεγκτής Πολιτικής Συσκευής (DPC).

Σε συνδυασμό με ακριβείς πολιτικές εξαίρεσης βελτιστοποίησης μπαταρίας MDM και αυστηρές ρυθμίσεις κλειδώματος εφαρμογών, το Nomid MDM διασφαλίζει ότι οι αναγκαστικά εγκατεστημένες εφαρμογές Android γίνονται πραγματικά απαραβίαστες εφαρμογές ασφαλείας. Είτε αναπτύσσετε ενισχυμένους σαρωτές σε μια αποθήκη logistics είτε tablet με δυνατότητα Samsung Knox σε ένα κλινικό περιβάλλον υγειονομικής περίθαλψης, αυτή η διαμόρφωση εγγυάται ότι η λύση MTD σας θα επιβιώσει από επανεκκινήσεις, παρεμβάσεις χρηστών και επιθετική διαχείριση πόρων του λειτουργικού συστήματος.

Οδηγός Βήμα προς Βήμα: Καθιστώντας τις Εφαρμογές MTD Απαραβίαστες στο Nomid MDM

Ακολουθήστε αυτά τα ακριβή βήματα στην κονσόλα Nomid MDM για να διαμορφώσετε, να αναπτύξετε και να προστατεύσετε την εφαρμογή Mobile Threat Defense χρησιμοποιώντας τα προνόμια βάσει ρόλων AMAPI. Αυτός ο οδηγός προϋποθέτει ότι έχετε ήδη συνδέσει τον διαχειριζόμενο λογαριασμό Google Play με το περιβάλλον Nomid MDM σας.

Βήμα 1: Αναγκαστική Εγκατάσταση της Εφαρμογής MTD

Για να διασφαλίσετε ότι η εφαρμογή MTD είναι παρούσα στη συσκευή αμέσως μετά την Εγγραφή Zero-Touch, πρέπει να τη διαμορφώσετε ως αναγκαστικά εγκατεστημένη εφαρμογή. Αυτό εμποδίζει τον χρήστη να την απεγκαταστήσει.

1. Συνδεθείτε στην Κονσόλα Διαχειριστή Nomid MDM.
2. Μεταβείτε στο Εφαρμογές > Κατάλογος Εφαρμογών στο μενού πλοήγησης στα αριστερά.
3. Κάντε κλικ στο Προσθήκη Εφαρμογής και αναζητήστε τη συγκεκριμένη λύση MTD (π.χ. Lookout, Zimperium ή Microsoft Defender) στο iframe του Managed Google Play.
4. Εγκρίνετε την εφαρμογή και τα απαιτούμενα δικαιώματά της και, στη συνέχεια, κάντε κλικ στο Συγχρονισμός.
5. Μεταβείτε στο Πολιτικές > Προφίλ Συσκευών και επιλέξτε το προφίλ που έχει αντιστοιχιστεί στις συσκευές-στόχους σας.
6. Στην καρτέλα Εφαρμογές, εντοπίστε την εφαρμογή MTD και αλλάξτε τον Τύπο Ανάπτυξης σε Αναγκαστική Εγκατάσταση (ισοδύναμο AMAPI: installType: FORCE_INSTALLED).
7. Αποθηκεύστε το προφίλ.

Αναμενόμενο αποτέλεσμα: Η εφαρμογή MTD θα ληφθεί και θα εγκατασταθεί αυτόματα σε όλες τις συσκευές που έχουν αντιστοιχιστεί σε αυτό το προφίλ χωρίς να απαιτείται αλληλεπίδραση του χρήστη, και το κουμπί "Απεγκατάσταση" θα είναι απενεργοποιημένο στη συσκευή.

Προειδοποίηση: Οι αναγκαστικά εγκατεστημένες εφαρμογές θα καταναλώσουν δεδομένα δικτύου κατά την αρχική προετοιμασία της συσκευής. Εάν κάνετε ανάπτυξη μέσω Εγγραφής Zero-Touch σε δίκτυα κινητής τηλεφωνίας σε περιβάλλοντα logistics ή υπηρεσιών πεδίου, βεβαιωθείτε ότι τα προγράμματα δεδομένων σας καλύπτουν αυτό το αρχικό φορτίο.

Βήμα 2: Εφαρμογή της Εξαίρεσης Βελτιστοποίησης Μπαταρίας MDM

Στη συνέχεια, πρέπει να δώσετε εντολή στο λειτουργικό σύστημα Android να αγνοεί τη συγκεκριμένη εφαρμογή κατά την εφαρμογή της λειτουργίας Doze και των ορίων App Standby.

1. Ενώ βρίσκεστε ακόμα στην ενότητα Προφίλ Συσκευών του Nomid MDM, επεξεργαστείτε το προφίλ-στόχο σας.
2. Μεταβείτε στην καρτέλα Προηγμένες Διαμορφώσεις Εφαρμογών.
3. Εντοπίστε την ενότητα Εξαιρέσεις Βελτιστοποίησης Μπαταρίας.
4. Κάντε κλικ στο Προσθήκη Εξαίρεσης και επιλέξτε την εφαρμογή MTD από την αναπτυσσόμενη λίστα.
5. Ενεργοποιήστε τη ρύθμιση σε Εξαίρεση από τη Βελτιστοποίηση. (Αυτό αξιοποιεί την πολιτική AMAPI batteryOptimization: EXEMPTED).
6. Αποθηκεύστε τις αλλαγές σας.

Αναμενόμενο αποτέλεσμα: Το λειτουργικό σύστημα Android δεν θα αναστέλλει πλέον τις διεργασίες παρασκηνίου της εφαρμογής MTD, διασφαλίζοντας συνεχή σάρωση απειλών ανεξάρτητα από το επίπεδο μπαταρίας της συσκευής ή την κατάσταση αναμονής.

Βήμα 3: Αντιστοίχιση Προνομίων Βάσει Ρόλων AMAPI (Delegated Scopes)

Αυτό είναι το κρίσιμο βήμα για να σταματήσετε τους Android app killers. Αναθέτοντας το εύρος Security Admin, δίνετε στην εφαρμογή MTD την εξουσία να παρακολουθεί συμβάντα σε επίπεδο συστήματος χωρίς να τερματίζεται από το λειτουργικό σύστημα.

1. Στην κονσόλα Nomid MDM, μεταβείτε στο Ασφάλεια > Εκχωρημένα Προνόμια.
2. Κάντε κλικ στο Δημιουργία Νέας Εκχώρησης.
3. Επιλέξτε το Προφίλ Συσκευής-στόχου σας.
4. Στο πεδίο Εφαρμογή-Στόχος, επιλέξτε την εφαρμογή MTD.
5. Στη λίστα Εκχωρημένα Εύρη (Delegated Scopes), επιλέξτε το πλαίσιο για το Security Admin (ισοδύναμο AMAPI: DELEGATED_SCOPE_SECURITY_ADMIN).
6. Προαιρετικά: Εάν η εφαρμογή MTD εκτελεί προστασία από phishing μέσω τοπικού VPN, επιλέξτε επίσης το πλαίσιο για το Network Activity Admin (ισοδύναμο AMAPI: DELEGATED_SCOPE_NETWORK_ACTIVITY_LOGS).
7. Κάντε κλικ στο Εφαρμογή Εκχώρησης.

Αναμενόμενο αποτέλεσμα: Η εφαρμογή MTD διαθέτει πλέον αυξημένα προνόμια σε επίπεδο συστήματος. Το λειτουργικό σύστημα την αναγνωρίζει ως κρίσιμο στοιχείο ασφαλείας, μειώνοντας δραστικά την πιθανότητα απροσδόκητου τερματισμού από πρωτόκολλα διαχείρισης μνήμης συγκεκριμένων κατασκευαστών.

Σημείωση: Δεν είναι όλες οι εφαρμογές MTD κατασκευασμένες για να δέχονται όλα τα εκχωρημένα εύρη AMAPI. Συμβουλευτείτε την τεκμηρίωση του συγκεκριμένου προμηθευτή MTD για να βεβαιωθείτε ότι εκχωρείτε μόνο τα εύρη που η εφαρμογή τους είναι προγραμματισμένη να χρησιμοποιεί.

Βήμα 4: Κλείδωμα των Ρυθμίσεων Πληροφοριών Εφαρμογής για την Αποτροπή Παραβίασης από τον Χρήστη

Ακόμη και με τις προστασίες σε επίπεδο λειτουργικού συστήματος, ένας χρήστης μπορεί να προσπαθήσει να μεταβεί στις ρυθμίσεις της συσκευής και να πατήσει "Αναγκαστική διακοπή" ή να καθαρίσει τα δεδομένα της εφαρμογής. Πρέπει να αποκλείσετε την πρόσβαση σε αυτές τις ρυθμίσεις.

1. Μεταβείτε στο Πολιτικές > Προφίλ Συσκευών και ανοίξτε το προφίλ-στόχο σας.
2. Μεταβείτε στην καρτέλα Περιορισμοί Συσκευής.
3. Κυλήστε προς τα κάτω στην ενότητα Διαχείριση Εφαρμογών.
4. Εντοπίστε τη ρύθμιση με την ετικέτα Να επιτρέπεται στον χρήστη να τροποποιεί τις ρυθμίσεις εφαρμογών και απενεργοποιήστε την (ισοδύναμο AMAPI: modifyAppSettingsDisabled: true).
5. Για να είστε απόλυτα σχολαστικοί, εντοπίστε το Να επιτρέπεται στον χρήστη η αναγκαστική διακοπή εφαρμογών και απενεργοποιήστε το.
6. Κάντε κλικ στο Δημοσίευση Προφίλ για να προωθήσετε αυτές τις αλλαγές στον στόλο σας.

Αναμενόμενο αποτέλεσμα: Όταν ένας χρήστης μεταβαίνει στις Ρυθμίσεις > Εφαρμογές > [Εφαρμογή MTD], τα κουμπιά "Αναγκαστική διακοπή", "Απεγκατάσταση" και "Εκκαθάριση δεδομένων" θα είναι γκρίζα και μη επιλέξιμα. Η εφαρμογή είναι πλέον πλήρως απαραβίαστη.

Επαλήθευση της Απαραβίαστης Προστασίας MTD

Αφού προωθήσετε το ενημερωμένο προφίλ Nomid MDM στις συσκευές σας, πρέπει να επαληθεύσετε ότι η διαμόρφωση σταματά με επιτυχία τους Android app killers και αποτρέπει την παρέμβαση του χρήστη. Πάρτε μια δοκιμαστική συσκευή που έχει λάβει το ενημερωμένο προφίλ και εκτελέστε τους ακόλουθους ελέγχους:

• Η Δοκιμή Αναγκαστικής Διακοπής: Μεταβείτε στις Ρυθμίσεις > Εφαρμογές > [Η εφαρμογή MTD σας]. Βεβαιωθείτε ότι τα κουμπιά "Αναγκαστική διακοπή" και "Απεγκατάσταση" είναι γκρίζα.
• Η Δοκιμή Βελτιστοποίησης Μπαταρίας: Μεταβείτε στις Ρυθμίσεις > Μπαταρία > Βελτιστοποίηση μπαταρίας (οι διαδρομές μενού διαφέρουν ανά κατασκευαστή). Αναζητήστε την εφαρμογή MTD σας. Θα πρέπει να αναγράφει "Χωρίς βελτιστοποίηση" και ο χρήστης θα πρέπει να μην μπορεί να αλλάξει αυτή την κατάσταση.
• Η Δοκιμή Επανεκκίνησης: Επανεκκινήστε τη συσκευή. Μην ανοίξετε την εφαρμογή MTD χειροκίνητα. Συνδεθείτε στην κονσόλα web του προμηθευτή MTD και βεβαιωθείτε ότι η συσκευή συνδέεται και αναφέρει την κατάσταση υγείας της εντός 5 λεπτών από την εκκίνηση. Αυτό επιβεβαιώνει ότι η εφαρμογή εκκινείται αυτόματα στο παρασκήνιο.

Εάν η συσκευή περάσει και τις τρεις δοκιμές, τα προνόμια βάσει ρόλων AMAPI και οι εξαιρέσεις βελτιστοποίησης μπαταρίας MDM λειτουργούν τέλεια.

Συχνές Ερωτήσεις Αντιμετώπισης Προβλημάτων

Γιατί η εφαρμογή MTD μου εξακολουθεί να τίθεται σε αναστολή σε συσκευές Samsung;

Οι συσκευές Samsung χρησιμοποιούν ένα ιδιόκτητο σύστημα διαχείρισης μπαταρίας παράλληλα με το εγγενές Android Doze. Ενώ η πολιτική εξαίρεσης μπαταρίας του Nomid MDM χειρίζεται την πλευρά του εγγενούς Android, ίσως χρειαστεί να αξιοποιήσετε τη βαθιά ενοποίηση Samsung Knox που διαθέτουμε. Στην κονσόλα Nomid MDM, μεταβείτε στην ενότητα OEMConfig του προφίλ σας, προσθέστε το Knox Service Plugin (KSP) και προσθέστε ρητά το όνομα πακέτου της εφαρμογής MTD στη λίστα επιτρεπόμενων στις ρυθμίσεις βελτιστοποίησης μπαταρίας Knox.

Το εκχωρημένο εύρος "Security Admin" αποτυγχάνει να εφαρμοστεί. Τι πήγε στραβά;

Το AMAPI θα απορρίψει ένα εκχωρημένο εύρος εάν η εφαρμογή-στόχος δεν είναι αναγκαστικά εγκατεστημένη ή εάν το μανιφέστο της εφαρμογής δεν δηλώνει υποστήριξη για αυτόν τον συγκεκριμένο ρόλο διαχείρισης. Βεβαιωθείτε ότι το Βήμα 1 (Αναγκαστική Εγκατάσταση) έχει ολοκληρωθεί πλήρως και συγχρονιστεί πριν εφαρμόσετε το Βήμα 3. Επιπλέον, επαληθεύστε με τον προμηθευτή MTD ότι η τρέχουσα έκδοση της εφαρμογής τους υποστηρίζει εκχωρημένα εύρη AMAPI.

Μπορούν οι χρήστες να το παρακάμψουν κάνοντας εκκίνηση σε Ασφαλή Λειτουργία (Safe Mode);

Πώς ενημερώνω την εφαρμογή MTD εάν έχω κλειδώσει τις τροποποιήσεις εφαρμογών;

Το κλείδωμα του περιορισμού "Τροποποίηση ρυθμίσεων εφαρμογών" εμποδίζει τον χρήστη να αλλάξει τις καταστάσεις της εφαρμογής. Δεν εμποδίζει το MDM να ενημερώσει την εφαρμογή. Το Nomid MDM θα συνεχίσει να προωθεί αθόρυβα ενημερώσεις στην εφαρμογή MTD μέσω του Managed Google Play στο παρασκήνιο, τηρώντας τις διαμορφωμένες πολιτικές Παραθύρου Συντήρησης.

Η συσκευή εμφανίζεται ως "Μη Συμμορφούμενη" στο Nomid MDM μετά την εφαρμογή αυτών των ρυθμίσεων. Γιατί;

Αυτό συμβαίνει συνήθως εάν η εφαρμογή MTD απαιτεί από τον χρήστη να την ανοίξει μία φορά για να εκχωρήσει τοπικές άδειες συσκευής (όπως Τοποθεσία ή Αποθηκευτικό Χώρο) προτού μπορέσει να ενεργοποιηθεί. Για να το διορθώσετε, χρησιμοποιήστε τις Πολιτικές Αδειών Εφαρμογών του Nomid MDM για να εκχωρήσετε αυτόματα και αθόρυβα όλες τις απαιτούμενες άδειες χρόνου εκτέλεσης στην εφαρμογή MTD. Ορίστε την πολιτική αδειών σε GRANT για το συγκεκριμένο όνομα πακέτου MTD, ώστε να μην απαιτείται αλληλεπίδραση του χρήστη.

Συμπέρασμα

Η διακοπή των Android app killers και η διασφάλιση της συνεχούς λειτουργίας της δέσμης ασφαλείας σας δεν είναι πλέον ένα παιχνίδι εικασιών με λύσεις ανά κατασκευαστή. Αξιοποιώντας τα προνόμια βάσει ρόλων AMAPI, τις εξαιρέσεις βελτιστοποίησης μπαταρίας και τους αυστηρούς περιορισμούς διαχείρισης εφαρμογών, μπορείτε να μετατρέψετε τις τυπικές αναπτύξεις κινητών συσκευών σε θωρακισμένα τελικά σημεία μηδενικής εμπιστοσύνης.

Το Nomid MDM αφαιρεί την πολυπλοκότητα του σεναρίου JSON του Android Management API, επιτρέποντας στους Διαχειριστές Πληροφορικής να αναπτύσσουν απαραβίαστες λύσεις MTD με λίγα μόνο κλικ. Είτε διασφαλίζετε δεδομένα ασθενών στην Υγεία είτε προστατεύετε συστήματα σημείων πώλησης στο Λιανικό Εμπόριο, η εφαρμογή αυτών των βημάτων εγγυάται ότι οι εφαρμογές Mobile Threat Defense θα εκτελούνται άψογα στο παρασκήνιο.

Είστε έτοιμοι να ζήσετε την αστραπιαία ανάπτυξη συσκευών και τον απαράμιλλο έλεγχο ασφαλείας; Συνδεθείτε στην κονσόλα Nomid MDM σήμερα για να διαμορφώσετε τα εκχωρημένα προνόμιά σας ή επικοινωνήστε με τους ειδικούς ενοποίησης Android Enterprise για να βελτιστοποιήσετε τη στάση ασφαλείας του στόλου σας.