How does ASD secure configuration hardening work?

Sikker iOS-konfiguration med Intune

15/03/2025

Rating: 4.96 (4098 votes)

Sikker iOS-konfiguration med Intune: En guide til ASD-hærdning

I en verden, hvor digitale trusler konstant udvikler sig, er det afgørende for organisationer at sikre deres mobile enheder. Australian Signals Directorate (ASD) har udgivet retningslinjer for sikker konfiguration af iOS-enheder for at beskytte følsomme data. Microsoft Intune, i kombination med Apple Business Manager, tilbyder en kraftfuld løsning til at implementere disse sikkerhedsforanstaltninger og opnå en robust sikkerhedskonfiguration på tværs af organisationens iOS-enheder. Denne artikel dykker ned i, hvordan ASD's principper for sikker konfiguration kan anvendes på iOS-enheder ved hjælp af Intune.

Where can I find a security hardening guide for Samsung S9 & S9+?
The full-length security hardening guide for Samsung S9 and S9+ devices published by the ACSC is available on the cyber.gov.au platform.
Indholdsfortegnelse

Hvad er ASD's Sikker Konfigurationshærdning for iOS?

ASD's retningslinjer for sikker konfiguration af iOS-enheder er designet til at minimere risici og sikre, at mobile enheder kan håndtere klassificerede data sikkert. Hærdning indebærer en række konfigurationsændringer, der begrænser potentielle angrebsvektorer og forbedrer enhedens generelle sikkerhedsposture. Disse konfigurationer omfatter typisk:

  • Sikkerhedspolitikker: Sikring af, at enheden har opdaterede og sikre autentificeringspolitikker samt krypteringsmekanismer, der lever op til ASD's standarder.
  • Branding: Tilpasning af låseskærm, baggrunde og rapportering ved tab af enhed med organisationens branding.
  • Enhedsfunktioner: Konfiguration af enhedsfunktioner som AirDrop og Bluetooth-parring for at begrænse uønsket dataoverførsel.

Intune og Apple Business Manager: Et Kraftfuldt Samspil

Intune fungerer som et Mobile Device Management (MDM) værktøj, der giver organisationer mulighed for at administrere og konfigurere iOS-enheder centralt. Når Intune kombineres med Apple Business Manager (tidligere VPP - Volume Purchase Program), opnås en sømløs og sikker udrulning af enheder og applikationer. Dette samspil muliggør:

  • Centraliseret Administration: Styring af alle konfigurationsindstillinger, sikkerhedspolitikker og applikationsudrulning fra et enkelt administrationsinterface.
  • Applikationsbegrænsning: Mulighed for at begrænse adgangen til App Store og kun tillade installation af godkendte applikationer via Intune Company Portal.
  • Forbedret Brugeroplevelse: En strømlinet onboarding-proces for nye enheder, der fjerner behovet for individuelle Apple ID'er og den offentlige App Store.
  • Licensstyring: Sikring af, at alle anvendte applikationer er korrekt licenseret inden for Apple Business Manager, ofte ved hjælp af enhedsbetinget licensering.

Nøglekonfigurationer i henhold til ASD's Retningslinjer

For at opnå en sikker iOS-konfiguration i overensstemmelse med ASD's vejledning, er der en række specifikke indstillinger, der bør konfigureres via Intune:

Sikkerhedskonfigurationer

Disse indstillinger fokuserer på at beskytte enheden og de data, den indeholder:

KonfigurationASD AnbefalingBegrundelse
Supervised ModeAktiveret (for organisationsejede enheder)Muliggør dybere kontrol over enheden, herunder fjernadministration og håndhævelse af politikker. Nødvendigt for OFFICIAL: Sensitive og PROTECTED dataklassifikationer.
Enhedskodelås15 tegn eller mere, alfanumerisk med mindst ét specialtegn.Sikrer stærk kryptering af data "at rest" i overensstemmelse med ISM-krav (Information Security Manual).
Biometri (Touch ID/Face ID)Deaktiveret (for PROTECTED data)ASD's vejledning for PROTECTED data kræver deaktivering af biometri. For OFFICIAL: Sensitive kan det overvejes, men kræver godkendelse.
Mobile Device Management (MDM)AktiveretGiver organisationen bedre revisionsværktøjer og mulighed for at håndhæve sikkerhedspolitikker, i overensstemmelse med ASD's vejledning for PROTECTED enheder.
Automatisk Lås (Auto-Lock)Maksimalt 2 minutterLåser enheden efter en periode med inaktivitet for at beskytte data "at rest".
Virtual Private Network (VPN)Konfigureret (Per-app VPN anbefales)Sikrer kommunikation mellem enheden og organisationens data i overensstemmelse med ASD's vejledning.

Applikations- og Datahåndtering

Disse indstillinger styrer, hvordan applikationer interagerer med data på enheden:

KonfigurationASD AnbefalingBegrundelse
App Store AdgangDeaktiveretForhindrer installation af uautoriserede applikationer. Applikationsstyring sker via VPP og Intune Company Portal.
Tillad iCloud Backup, Dokumentdata og KeychainDeaktiveretForhindrer utilsigtet backup af organisationens data til usikre lokationer. Data skal synkroniseres til organisationens tenant.
Managed Open-InAktiveretAdskiller virksomhedsdata fra personlige applikationer og sikrer, at data kun kan tilgås af godkendte apps.
Tillad Dokumenter fra Administrerede Kilder til Ikke-administrerede DestinationerDeaktiveretForhindrer overførsel af organisationens data til ukendte eller usikre applikationer/lokationer.
Behandl AirDrop som Ikke-administreret DestinationAktiveretForhindrer utilsigtet overførsel af organisationens data via AirDrop til usikre lokationer.
Begrænset ApplikationslisteKonfigureretTillader kun godkendte applikationer at blive installeret og brugt.

Håndtering af Konflikter mellem ASD og Leverandørvejledninger

Det er vigtigt at bemærke, at der kan opstå konflikter mellem ASD's sikkerhedsanbefalinger og producenternes (f.eks. Apples) egne vejledninger. I sådanne tilfælde skal præcedens gives til den mest restriktive vejledning. Dette sikrer, at sikkerhedsniveauet altid er i overensstemmelse med de højeste standarder, især når der håndteres klassificerede data.

How can we improve Australia's cybersecurity landscape?
Security frameworks: Follow guidelines from trusted sources like the ASD. Automated tools: Use software for patch management and security updates. Community engagement: Connect with others for support and shared knowledge. The Australian Signals Directorate (ASD) has been a key player in shaping Australia’s cybersecurity landscape.

iOS Opdateringer og Sikkerhed

Apple frigiver løbende opdateringer til iOS, der adresserer sikkerhedssårbarheder. ASD anbefaler kraftigt at:

  • Aktivt teste betaversioner af iOS for at identificere potentielle problemer tidligt.
  • Altid opgradere til den seneste iOS-version for at drage fordel af de seneste sikkerhedsrettelser.
  • Implementere eventuel mellemliggende vejledning fra ASD, der kan opstå mellem større iOS-udgivelser.

Organisationer bør løbende overvåge Apples sikkerhedsopdateringer for at vurdere risikoen ved ikke at opdatere.

Kryptering og Databeskyttelse på iOS

iOS-platformen anvender avancerede krypterings- og databeskyttelsesmekanismer. ASD kategoriserer disse som:

  • Klasse A: Data er krypteret og utilgængeligt, når enheden er låst (med en kort vindue efter låsning). Dette er standard for de fleste iOS-funktioner som e-mail og filopbevaring.
  • Klasse B: Data er krypteret og utilgængeligt, når enheden er låst og filen er lukket. Bruges f.eks. under download af e-mails.
  • Klasse C: Data er krypteret og utilgængeligt, når enheden er slukket eller ulåst. Kalenderdata og metadata falder typisk ind under denne kategori.
  • Klasse D: Data er krypteret, men betragtes som tilgængeligt på grund af håndteringen af krypteringsnøgler.

ASD anbefaler, at alt klassificeret data bruger Klasse A databeskyttelse.

What is Australian Signals Directorate (ASD)?
Image from National Archives of Australia (NAA 7648060) The Australian Signals Directorate has a rich history. ASD can trace its origins back to the Second World War then was formed as a peacetime signals intelligence organisation in Albert Park, Melbourne. To learn more about ASD’s roots and beginnings, read some of our stories.

Supervised Devices og Bring Your Own Device (BYOD)

Supervised Mode er essentiel for enheder, der håndterer OFFICIAL: Sensitive og PROTECTED data. Dette gælder både organisationsejede enheder og BYOD-enheder. Supervision sikrer, at organisationen kan håndhæve politikker, overvåge enheder og administrere funktioner som Activation Lock. For BYOD-enheder skal der foretages en grundig risikovurdering og udvikles klare politikker, da supervision effektivt giver organisationen kontrol over enheden.

De Essentielle Otte og iOS

ASD's "Essential Eight" er en række strategier til at mindske cybersikkerhedsrisici. Mange af disse principper kan og bør overføres til iOS-enheder:

  • Applikationskontrol: Kun godkendte applikationer må køre.
  • Patch Applikationer: Regelmæssig opdatering af applikationer.
  • Konfigurer Microsoft Office Macros: Ikke relevant for standard iOS, men skal overvåges for fremtidige versioner.
  • Brugerapplikationshærdning: Sikring af browsere (f.eks. blokering af Java, brug af content blockers).
  • Begræns Administratorrettigheder: Standard på iOS, hvor brugere og apps har begrænsede rettigheder.
  • Patch Operativsystemer: Regelmæssig opdatering af iOS.
  • Multi-faktor Autentifikation: Anvendelse af flere faktorer til godkendelse.
  • Daglige Backups: Mulighed for fjernbackup af udvalgt indhold.

Ofte Stillede Spørgsmål (FAQ)

Hvad er formålet med ASD's vejledning for iOS?

Formålet er at give organisationer information og vejledning til at sikre iOS-enheder, så de kan håndtere følsomme og klassificerede data sikkert i overensstemmelse med australske cybersikkerhedsstandarder.

Do ASD and vendor hardening guidance conflict?
As such, the Australian Signals Directorate (ASD) and vendors often produce hardening guidance to assist in hardening the configuration of operating systems. Note, however, in situations where ASD and vendor hardening guidance conflicts, precedence should be given to implementing the most restrictive guidance.

Hvorfor skal biometri deaktiveres for PROTECTED data?

ASD's vejledning for PROTECTED data kræver, at adgang ikke baseres på biometriske data alene, da disse mekanismer ikke er blevet evalueret af ASD på samme niveau som adgangskoder. For OFFICIAL: Sensitive kan det overvejes, men kræver en godkendelse.

Kan jeg bruge den offentlige App Store på enheder administreret af Intune?

Nej, for at opnå ASD-kompatibel sikkerhed, skal adgangen til den offentlige App Store deaktiveres. Applikationer skal distribueres via Intune Company Portal og Apple Business Manager.

What does ASD advice mean for mobile devices?
It is each organisation’s responsibility to configure devices according to ASD advice, and assess that available cryptographic protections are used appropriately. Configuration advice regarding device integrity aims to provide a level of protection suitable for classified mobile devices.

Hvad sker der, hvis ASD's og Apples vejledninger er i konflikt?

Hvis der er en konflikt, skal den mest restriktive vejledning altid følges for at opretholde det højeste sikkerhedsniveau.

Er Supervised Mode nødvendig for alle organisationens iOS-enheder?

Supervised Mode er specifikt nødvendig for enheder, der håndterer OFFICIAL: Sensitive og PROTECTED data. For enheder med lavere dataklassifikationer kan det være en organisationsbeslutning baseret på risikovurdering.

How does ASD secure configuration hardening work?
In line with ASD’s iOS Secure Configuration Hardening guide for PROTECTED devices. Auto Lock will lock a device if it is inactive for specified time. Per-app VPN will be set up to secure communication between the device and the organisations data. This is in line with ASD’s iOS Secure Configuration Hardening guide.

Konklusion

Implementering af ASD's principper for sikker konfigurationshærdning på iOS-enheder er afgørende for organisationer, der prioriterer datasikkerhed. Ved at udnytte Microsoft Intune og Apple Business Manager kan disse komplekse konfigurationer udrulles effektivt og administreres centralt. En omhyggelig konfiguration af sikkerhedsindstillinger, applikationsstyring og datahåndtering sikrer, at organisationens mobile enheder lever op til de strenge krav, der stilles for at beskytte følsomme oplysninger.

Hvis du vil læse andre artikler, der ligner Sikker iOS-konfiguration med Intune, kan du besøge kategorien Teknologi.

Go up