Защита

Этот раздел содержит информацию о том, как удаленно управлять защитой мобильных устройств в Kaspersky Security Center Web Console.

Настройка защиты от вредоносного ПО на Android-устройствах

Развернуть всё | Свернуть всё

Для своевременного обнаружения угроз, поиска вирусов, а также других вредоносных программ можно настроить параметры постоянной защиты и автоматический запуск проверки на наличие вредоносного ПО.

Kaspersky Endpoint Security для Android обнаруживает следующие типы объектов:

• вирусы, черви, троянские приложения, вредоносные утилиты;
• рекламные приложения;
• легальные приложения, которые злоумышленники могут использовать для нанесения вреда устройствам или данным пользователей.

Защита от вредоносного ПО имеет несколько ограничений:

• Из-за технических ограничений Kaspersky Endpoint Security для Android не может проверять файлы размером 2 ГБ и более. Во время проверки приложение пропускает такие файлы и не уведомляет вас, если такие файлы были пропущены.
• На устройствах с Android 11 или выше приложение Kaspersky Endpoint Security для Android не может сканировать папки Android/data и Android/obb и обнаруживать в них вредоносные программы из-за технических ограничений.

Настройка постоянной защиты

Чтобы настроить параметры постоянной защиты для мобильных устройств:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите Android и перейдите в раздел Защита.
4. На карточке Постоянная защита нажмите Параметры.

   Откроется окно Постоянная защита.

5. Включите параметры с помощью переключателя Постоянная защита.

   Если переключатель включен, защита устройства включена, но пользователь может отключить ее вручную.

   Если переключатель выключен, защита устройства выключена, и пользователь не может ее включить.

6. В раскрывающемся списке Проверка приложений выберите режим проверки приложений:
   • Не проверять приложения
   • Проверять только новые приложения и файлы из папки Загрузки
   • Проверять все приложения и контролировать действия с файлами
7. В выпадающем списке Действие при обнаружении угрозы выберите один из следующих вариантов:
   • Удалить

     Обнаруженные объекты будут удалены автоматически. От пользователя не требуется никаких дополнительных действий. Перед удалением Kaspersky Endpoint Security для Android отобразит временное уведомление об обнаружении объекта.

   • Пропустить

     Если обнаруженные объекты были пропущены, Kaspersky Endpoint Security для Android предупреждает пользователя о проблемах в защите устройства. Для каждой пропущенной угрозы приведены действия, которые может выполнить пользователь для ее устранения. Список пропущенных объектов может измениться, например, если вредоносный файл удален или перемещен. Чтобы получить актуальный список угроз, запустите полную проверку устройства. Для надежной защиты ваших данных устраните все обнаруженные объекты.

   • Удалить и сохранить резервную копию файла в карантине
8. Чтобы включить дополнительную проверку новых приложений до их первого запуска на устройстве пользователя с помощью облачной службы Kaspersky Security Network, установите флажок Дополнительная защита с помощью Kaspersky Security Network.
9. Чтобы заблокировать рекламные программы и приложения, которые могут быть использованы злоумышленниками для нанесения вреда устройству или данным пользователя, установите флажок Обнаруживать рекламные приложения, средства автодозвона и легальные приложения, которые злоумышленники могут использовать для нанесения вреда устройству и данным пользователя.
10. Нажмите OK.
11. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

Настройка автоматического поиска вредоносного ПО

Чтобы настроить автоматический запуск проверки на наличие вредоносного ПО на мобильном устройстве:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите Android и перейдите в раздел Защита.
4. На карточке Проверка нажмите Параметры.

   Откроется окно Проверка.

5. Включите параметры с помощью переключателя Проверка.
6. В списке Действие при обнаружении угрозы выберите один из следующих вариантов:
   • Удалить

     Обнаруженные объекты будут удалены автоматически. От пользователя не требуется никаких дополнительных действий. Перед удалением Kaspersky Endpoint Security для Android отобразит временное уведомление об обнаружении объекта.

   • Пропустить

     Если обнаруженные объекты были пропущены, Kaspersky Endpoint Security для Android предупреждает пользователя о проблемах в защите устройства. Для каждой пропущенной угрозы приведены действия, которые может выполнить пользователь для ее устранения. Список пропущенных объектов может измениться, например, если вредоносный файл удален или перемещен. Чтобы получить актуальный список угроз, запустите полную проверку устройства. Для надежной защиты ваших данных устраните все обнаруженные объекты.

   • Удалить и сохранить резервную копию файла в карантине
   • Запросить действие

     Приложение Kaspersky Endpoint Security для Android выводит уведомление, в котором пользователю предлагается выбрать действие над обнаруженным объектом: Пропустить или Удалить.

     Для отображения уведомлений на мобильных устройствах под управлением операционной системы Android 10 или выше Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Kaspersky Endpoint Security для Android предлагает пользователю установить приложение в качестве службы Специальных возможностей во время работы мастера первоначальной настройки. Пользователь может пропустить этот шаг или выключить службу в параметрах устройства позднее. В этом случае Kaspersky Endpoint Security для Android выводит системное окно Android, в котором пользователю предлагается выбрать действие над обнаруженным объектом: Пропустить или Удалить. Чтобы применить действие к нескольким объектам, откройте Kaspersky Endpoint Security.

   Если во время проверки Kaspersky Endpoint Security для Android обнаруживает на устройствах пользователей вредоносные программы, действия различаются в зависимости от режима управления устройством.

   Вредоносные программы, установленные на корпоративные устройства и обнаруженные Kaspersky Endpoint Security для Android, автоматически удаляются с устройства, если выбран параметр Удалить. Если Kaspersky Endpoint Security для Android обнаруживает вредоносные системные программы, их отображение и запуск на устройствах пользователей запрещаются.

   В корпоративном контейнере установленные вредоносные программы, обнаруженные Kaspersky Endpoint Security для Android, не удаляются, их отображение и запуск на устройствах пользователей запрещаются без уведомления пользователей.

   Если выбран вариант Запросить действие, Kaspersky Endpoint Security для Android предлагает пользователям выбрать действие для каждого обнаруженного приложения как на корпоративных устройствах, так и на устройствах с корпоративным контейнером.

   Установленные вредоносные программы нельзя переместить в карантин. Соответственно, если выбран вариант Удалить и сохранить резервную копию файла в карантине, обнаруженная вредоносная программа будет удалена.

   На личных устройствах обнаруженные вредоносные программы не могут быть удалены автоматически. В этом случае Kaspersky Endpoint Security для Android предлагает пользователю удалить или пропустить обнаруженную программу.

7. В разделе Проверка по расписанию можно настроить автоматический запуск полной проверки файловой системы устройства.
8. Если выбрана еженедельная или ежедневная проверка, укажите день недели (для еженедельных проверок) и время начала проверки в полях День и Время.

   Если устройство находится в режиме экономии заряда батареи, приложение может выполнить эту задачу позже, чем указано.

9. Нажмите OK.
10. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. Kaspersky Endpoint Security для Android проверяет все файлы, в том числе содержимое архивов.

Для поддержания защиты мобильного устройства в актуальном состоянии настройте параметры обновления баз вредоносного ПО.

По умолчанию обновление баз вредоносного ПО в зоне роуминга выключено. Обновление баз вредоносного ПО по расписанию не выполняется.

Настройка обновления баз

Чтобы настроить параметры обновления баз вредоносного ПО:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите Android и перейдите в раздел Защита.
4. На карточке Обновление баз нажмите Параметры.

   Откроется окно Обновление баз.

5. Включите параметры с помощью переключателя Обновление баз.
6. В поле Обновление баз по расписанию можно настроить параметры автоматического запуска обновлений баз вредоносного ПО на устройстве пользователя.
7. Если выбрано еженедельное или ежедневное обновление баз, укажите день недели (для еженедельных обновлений баз) и время начала обновления в полях День и Время.

   Если устройство находится в режиме экономии заряда батареи, приложение может выполнить эту задачу позже, чем указано.

8. В блоке Источник обновления баз укажите источник обновлений, из которого Kaspersky Endpoint Security для Android будет получать и устанавливать обновления баз вредоносного ПО:
   • Серверы "Лаборатории Касперского"

     Использование сервера обновлений "Лаборатории Касперского" в качестве источника для загрузки обновлений баз Kaspersky Endpoint Security для Android на мобильные устройства пользователей. Для обновления баз с помощью серверов "Лаборатории Касперского" Kaspersky Endpoint Security для Android передает в "Лабораторию Касперского" данные (например, идентификатор запуска задачи обновления). Список передаваемых данных при обновлении баз вы можете просмотреть в Лицензионном соглашении.

   • Сервер администрирования

     Использование хранилища Сервера администрирования Kaspersky Security Center в качестве источника для загрузки обновлений баз приложения Kaspersky Endpoint Security для Android на мобильные устройства пользователей.

   • Другой источник

     Использование стороннего сервера в качестве источника для загрузки обновлений баз приложения Kaspersky Endpoint Security для Android на мобильные устройства пользователей. Для обновления нужно задать адрес HTTP-сервера в поле ниже (например, http://domain.com/).

9. Чтобы приложение Kaspersky Endpoint Security для Android загружало обновления баз по расписанию, когда устройство находится в зоне роуминга, в блоке Обновление баз в роуминге установите флажок Разрешить обновление баз в роуминге.

   Даже если флажок снят, пользователь может запустить обновление баз вредоносного ПО в роуминге вручную.

10. Нажмите OK.
11. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

Защита Android-устройств в интернете

Вы можете использовать Веб-Защиту для защиты персональных данных пользователей мобильных устройств в интернете. Веб-Защита блокирует вредоносные сайты, цель которых – распространить вредоносный код, а также фишинговые сайты, цель которых – украсть ваши конфиденциальные данные и получить доступ к вашим финансовым счетам. Веб-Защита проверяет сайты до открытия, используя облачную службу Kaspersky Security Network. По умолчанию Веб-Защита включена.

В Яндекс Браузере и Samsung Internet вредоносные и фишинговые сайты могут оставаться незаблокированными. Это связано с тем, что проверяется только домен сайта, и, если он является доверенным, Веб-Защита может пропустить угрозу.

Веб-Защита на Android-устройствах поддерживается только браузерами Google Chrome, HUAWEI Browser, Samsung Internet и Яндекс Браузер.

На корпоративных устройствах, если приложение Kaspersky Endpoint Security для Android не включено в качестве службы Специальных возможностей, Веб-Защита поддерживается только в Google Chrome и проверяет только домен сайта. Чтобы Веб-Защита поддерживалась другими браузерами (Samsung Internet, Яндекс Браузер и HUAWEI Browser), приложение Kaspersky Endpoint Security должно быть включено в качестве службы Специальных возможностей.

Чтобы включить Веб-Защиту, выполните следующие действия:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите Android и перейдите в раздел Защита.
4. На карточке Веб-Защита активируйте параметры с помощью переключателя Веб-Защита.
5. Нажмите Включить.

   Если вы выключите Веб-Защиту, Веб-Контроль также будет выключен.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

Защита данных при потере или краже устройств

Этот раздел содержит информацию о настройке параметров защиты мобильного устройства от несанкционированного доступа в случае потери или кражи.

Отправка команд на утерянное или украденное мобильное устройство

Для защиты данных на мобильном устройстве в случае его потери или кражи вы можете отправить специальные команды.

Вы можете отправлять команды на следующие типы управляемых мобильных устройств:

• Android-устройства, управляемые через приложение Kaspersky Endpoint Security для Android;
• iOS MDM-устройства.

Каждый тип устройств поддерживает свой набор команд (см. таблицу ниже).

Команды для Android-устройств

Команды для защиты данных при потере или краже Android-устройства

Команды для iOS MDM-устройств

Команды для защиты данных при потере или краже iOS MDM-устройства

Разрешения для выполнения команд

Для выполнения команд Kaspersky Endpoint Security для Android требуются специальные права и разрешения. Во время работы мастера первоначальной настройки Kaspersky Endpoint Security для Android предлагает пользователю предоставить приложению необходимые права и разрешения. Пользователь может пропустить эти шаги или отозвать разрешения в параметрах устройства позднее. В этом случае выполнение команд невозможно.

На устройствах с Android 10 или выше необходимо предоставить разрешение "Всегда" для доступа к местоположению устройства. На устройствах с Android 11 или выше необходимо также предоставить разрешение "При использовании приложения" для доступа к камере. В противном случае команды Анти-Вора работать не будут. Пользователю будет показано уведомление об этом ограничении и будет предложено повторно предоставить требуемые разрешения. Если пользователь выбрал вариант "Только сейчас" для разрешения камеры, считается, что доступ предоставлен приложением. Мы рекомендуем связаться с пользователем напрямую при повторном запросе разрешения для камеры.

Полный список доступных команд приведен в разделе Команды для мобильных устройств. Подробная информация об отправке команд из Консоли администрирования приведена в разделе Отправка команд.

Разблокировка мобильного устройства

Вы можете разблокировать мобильное устройство следующими способами:

• Отправить команду разблокировки мобильного устройства
• Ввести на мобильном устройстве одноразовый код (только для Android-устройств)

На некоторых устройствах (например, HUAWEI, Meizu, Xiaomi) требуется вручную добавить Kaspersky Endpoint Security для Android в список приложений, запускаемых при загрузке операционной системы. Если приложение не добавлено в список, вы можете разблокировать устройство только с помощью одноразового кода. Разблокировать устройство с помощью команд невозможно.

Подробная информация об отправке команд из списка мобильных устройств в Web Console приведена в разделе Отправка команд.

Одноразовый код – секретный код для разблокировки мобильного устройства. Этот код создается в Kaspersky Security Center. Он уникален для каждого мобильного устройства. Вы можете изменить длину одноразового кода (4, 8, 12 или 16 цифр) в параметрах Анти-Вор политики.

Чтобы разблокировать мобильное устройство с помощью одноразового кода, выполните следующие действия:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Устройства.
2. Выберите мобильное устройство, для разблокировки которого вы хотите получить одноразовый код.
3. Выберите Приложения → Kaspersky Mobile Devices Protection and Management.

   Откроется окно свойств Kaspersky Mobile Devices Protection and Management.

4. Выберите вкладку Параметры приложения.

   В поле Одноразовый код в разделе Одноразовый код разблокировки устройства будет указан уникальный для выбранного устройства код.

5. Сообщите пользователю заблокированного мобильного устройства одноразовый код любым доступным способом (например, в сообщении электронной почты).

   Затем пользователю нужно ввести одноразовый код на экране устройства, заблокированном Kaspersky Endpoint Security для Android.

Мобильное устройство пользователя будет разблокировано.

После разблокировки устройства под управлением операционной системы Android 5–6 пароль разблокировки экрана будет заменен на "1234". На устройствах под управлением Android 7 или выше после разблокировки пароль разблокировки экрана останется прежним.

Чтобы изменить длину одноразового кода разблокировки устройства:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите Android и перейдите в раздел Защита.
4. На карточке Анти-Вор нажмите Параметры.

   Откроется окно Анти-Вор.

5. Выберите длину одноразового кода устройства в соответствующем раскрывающемся списке. По умолчанию код состоит из 4 цифр.
6. Если вы хотите связаться с человеком, который нашел мобильное устройство, в поле Текст, отображаемый на заблокированном устройстве введите текст сообщения, которое будет отображаться на экране блокировки.
7. Нажмите OK.
8. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Будет установлена выбранная длина одноразового кода разблокировки.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

Настройка надежности пароля разблокировки устройства

Для защиты доступа к мобильному устройству пользователя следует настроить пароль разблокировки устройства.

Этот раздел содержит информацию о настройке защиты паролем Android-устройств и iOS-устройств.

Настройка надежности пароля разблокировки Android-устройства

Развернуть всё | Свернуть всё

Для обеспечения безопасности Android-устройства нужно настроить использование пароля, который запрашивается при разблокировке устройства.

Вы можете установить ограничения при работе пользователя с устройством, если пароль разблокировки недостаточно сложный (например, заблокировать устройство). Вы можете установить ограничения с помощью компонента Контроль соответствия. Для этого в параметрах правила проверки требуется выбрать критерий Пароль разблокировки не соответствует требованиям безопасности.

На некоторых Samsung-устройствах под управлением операционной системы Android 7 или выше при попытке пользователя настроить неподдерживаемые способы разблокировки устройства (например, графический пароль) оно может быть заблокировано, если выполнены следующие условия: включена защита Kaspersky Endpoint Security для Android от удаления и заданы требования к надежности пароля разблокировки экрана. Для разблокировки устройства требуется отправить на устройство специальную команду.

Настройка параметров пароля разблокировки

Чтобы настроить использование пароля разблокировки:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите Android и перейдите в раздел Контроль безопасности.
4. На карточке Параметры разблокировки экрана нажмите Параметры.

   Откроется окно Параметры разблокировки экрана.

5. Включите параметры с помощью переключателя Параметры разблокировки экрана, если нужно, чтобы приложение проверяло, установлен ли пароль разблокировки.

   Переключатель на этой карточке не включает и не выключает соответствующую функциональность на устройствах. Включение переключателя позволяет настроить пользовательские параметры. Выключение переключателя позволяет использовать параметры по умолчанию.

   Если приложение обнаружит, что пароль на устройстве не установлен, пользователю потребуется установить его. Пароль указывается с учетом параметров, заданных администратором.

6. При необходимости укажите следующие параметры:
   • Минимальная длина пароля

     Минимальное количество символов в пароле пользователя. Возможные значения: от 4 до 16 символов.

     По умолчанию пароль пользователя состоит из 4 символов.

     Следующая информация относится только к личному пространству пользователя и корпоративному контейнеру:

     • В личном пространстве пользователя Kaspersky Endpoint Security сводит требования к надежности пароля к одному из значений, доступных в системе: средний или высокий уровень для устройств под управлением Android 10 или выше.
     • В корпоративном контейнере Kaspersky Endpoint Security сводит требования к надежности пароля к одному из значений, доступных в системе: средний или высокий уровень для устройств под управлением Android 12 или выше.

     Значения уровня надежности определяются по следующим правилам:

     • Если требуемая длина пароля составляет от 1 до 4 символов, приложение предлагает пользователю установить пароль средней надежности. Он должен быть либо цифровым (PIN-код) без повторяющихся или упорядоченных последовательностей (например 1234), либо буквенным / буквенно-цифровым. PIN-код или пароль должны состоять не менее чем из 4 символов.
     • Если требуемая длина пароля составляет не менее 5 символов, приложение предлагает пользователю установить пароль высокой надежности. Он должен быть либо цифровым (PIN-код) без повторяющихся или упорядоченных последовательностей, либо буквенным / буквенно-цифровым (пароль). PIN-код должен состоять не менее чем из 8 цифр. Пароль должен состоять не менее чем из 6 символов.
   • Минимальные требования сложности пароля

     Определяет минимальные требования к паролю разблокировки. Требования применяются только к новым паролям пользователя. Доступны следующие значения:

     • Числовой

       Пользователь может установить пароль, включающий в себя цифры, или любой более надежный пароль (например, буквенный или буквенно-цифровой).

       Этот параметр выбран по умолчанию.

     • Буквенный

       Пользователь может установить пароль, включающий в себя буквы (или другие нечисловые символы), или любой более надежный пароль (например, буквенно-цифровой).

     • Буквенно-цифровой

       Пользователь может установить пароль, включающий в себя цифры и буквы (или другие нечисловые символы), или любой более надежный сложный пароль.

     • Требования не заданы

       Пользователь может установить любой пароль.

     • Сложный

       Пользователь должен установить сложный пароль в соответствии с указанными свойствами пароля:

       • Минимальное количество букв
       • Минимальное количество цифр
       • Минимальное количество специальных символов
       • Минимальное количество строчных букв
       • Минимальное количество заглавных букв
       • Минимальное количество небуквенных символов

     • Сложный числовой

       Пользователь может установить пароль, включающий в себя числа без повторений (например, 4444) или упорядоченных последовательностей (например, 1234, 4321, 2468), или любой более надежный сложный пароль.

   • Максимальный срок действия пароля (дней)

     Определяет количество дней до истечения срока действия пароля. При применении новый срок действия будет установлен для текущего пароля.

     По умолчанию указано значение 0. Это означает, что срок действия пароля не ограничен.

   • Количество дней, за которое уведомлять о необходимости смены пароля

     Определяет количество дней, за которое уведомлять пользователя об истечении срока действия пароля.

     По умолчанию указано значение 0. Это означает, что пользователь не будет уведомлен об истечении срока действия пароля.

   • Количество последних паролей, которые нельзя установить в качестве нового пароля

     Определяет максимальное количество ранее использованных пользователем паролей, которые не могут быть установлены в качестве нового пароля. Этот параметр применяется, только когда пользователь устанавливает новый пароль на устройстве.

     По умолчанию указано значение 0. Это означает, что новый пароль пользователя может совпадать с любым ранее использованным паролем, кроме текущего.

   • Период неактивности без блокировки экрана (сек)

     Определяет период неактивности перед блокировкой экрана устройства.

     По умолчанию указано значение 0. Это означает, что экран устройства не будет блокироваться после окончания какого-либо периода.

   • Период после биометрической разблокировки до запрашивания пароля (мин)

     Определяет период для разблокировки устройства без пароля. В течение этого периода пользователь может использовать биометрические методы для разблокировки экрана. После окончания этого периода пользователь может разблокировать экран только с помощью пароля.

     По умолчанию указано значение 0. Это означает, что пользователю не придется разблокировать устройство с помощью пароля после истечения какого-либо периода.

   • Разрешить биометрические методы разблокировки

     Если флажок установлен, использование биометрических методов разблокировки на мобильном устройстве разрешено.

     Если флажок снят, Kaspersky Endpoint Security для Android запрещает использовать биометрические методы для разблокировки экрана. Пользователь может разблокировать экран только с помощью пароля.

     По умолчанию флажок установлен.

   • Разрешить разблокировку по отпечатку пальца

     Указывает, можно ли использовать отпечатки пальцев для разблокировки экрана.

     Флажок не ограничивает использование сканера отпечатков пальцев при входе в приложения или подтверждении покупок.

     Если флажок установлен, использование отпечатков пальцев на мобильном устройстве разрешено.

     Если флажок снят, Kaspersky Endpoint Security для Android блокирует возможность использовать отпечатки пальцев для разблокировки экрана. Пользователь может разблокировать экран только с помощью пароля. В настройках устройства пункт установки отпечатков пальцев будет недоступен

     Флажок доступен, только если установлен флажок Разрешить биометрические методы разблокировки.

     По умолчанию флажок установлен.

     На некоторых устройствах Xiaomi с корпоративным контейнером этот контейнер можно разблокировать с помощью отпечатка пальца только в том случае, если значение параметра Период неактивности без блокировки корпоративного контейнера (сек) будет установлено после установки отпечатка пальца в качестве способа разблокировки экрана.

   • Разрешить распознавание лица

     Если флажок установлен, на мобильном устройстве разрешено использование распознавания лица.

     Если флажок снят, Kaspersky Endpoint Security для Android запрещает использовать распознавание лица для разблокировки экрана.

     Флажок доступен, только если установлен флажок Разрешить биометрические методы разблокировки.

     По умолчанию флажок установлен.

   • Разрешить распознавание по радужной оболочке глаза

     Если флажок установлен, на мобильном устройстве разрешено использование распознавания радужной оболочки глаза.

     Если флажок снят, Kaspersky Endpoint Security для Android запрещает использовать распознавание по радужной оболочке глаза для разблокировки экрана.

     Флажок доступен, только если установлен флажок Разрешить биометрические методы разблокировки.

     По умолчанию флажок установлен.

   • Сбрасывать настройки до заводских после неудачных попыток ввода пароля

     Позволяет ограничить количество попыток ввода пароля разблокировки экрана.

     Если флажок установлен, приложение удаляет все данные на устройстве, когда пользователю не удается ввести правильный пароль после указанного количества попыток.

     Если флажок снят, количество попыток не ограничено.

     По умолчанию флажок снят.

   • Максимальное количество неудачных попыток ввода пароля

     Определяет количество попыток ввода пароля, которые пользователь может совершить, чтобы разблокировать устройство. По умолчанию указано значение 8. Максимальное доступное значение – 20.

     Поле доступно, если установлен флажок Сбрасывать настройки до заводских после неудачных попыток ввода пароля.

   • Установить новый пароль

     Этот параметр позволяет установить пароль на корпоративном устройстве пользователя.

     Нажмите эту кнопку, чтобы открыть окно Новый пароль разблокировки экрана и ввести новый пароль.

     Сложность вводимого пароля должна соответствовать требованиям, заданным ранее в карточке Параметры разблокировки экрана политики.

     После сохранения политики настройка применяется на устройстве в результате отправки команды с указанным паролем. Поле ввода будет очищено, указанный пароль не сохранится в Консоли администрирования.

     • Если устройство не защищено паролем или работает под управлением операционной системы Android 10 или ниже, Kaspersky Endpoint Security для Android сразу устанавливает пароль.
     • Если устройство защищено паролем или работает под управлением операционной системы Android 11 или выше, Kaspersky Endpoint Security для Android предлагает пользователю применить новый пароль.

     Если вы оставите пустое значение, изменений на устройстве не будет.

7. Нажмите OK.
8. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

Установка нового пароля разблокировки

Чтобы установить новый пароль на корпоративном устройстве пользователя:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите Android и перейдите в раздел Ограничения.
4. На карточке Новый пароль разблокировки экрана нажмите Параметры.

   Откроется окно Новый пароль разблокировки экрана.

5. Включите параметры с помощью переключателя Новый пароль разблокировки экрана.
6. Введите новый пароль, который будет использоваться для разблокировки экрана мобильного устройства пользователя. Этот пароль должен соответствовать текущим параметрам пароля разблокировки экрана.
7. Если вы хотите изменить текущие параметры пароля разблокировки, нажмите кнопку Настроить параметры разблокировки экрана.

   В открывшемся окне Параметры разблокировки экрана настройте параметры пароля разблокировки экрана требуемым образом.

8. Нажмите OK.

   Если устройство не защищено паролем или работает под управлением операционной системы Android 10 или ниже, Kaspersky Endpoint Security для Android сразу устанавливает пароль. Если устройство защищено паролем или работает под управлением операционной системы Android 11 или выше, Kaspersky Endpoint Security для Android предлагает пользователю применить новый пароль.

9. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Новый пароль будет установлен на мобильном устройстве пользователя. Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

Установка PIN-кода на устройствах HUAWEI

На некоторых устройствах HUAWEI отображается сообщение о слишком простом способе разблокировки экрана.

Чтобы установить подходящий PIN-код на устройстве HUAWEI, пользователь должен выполнить следующие действия:

1. В сообщении о проблеме нажмите Изменить.
2. Введите текущий PIN-код.
3. В окне Настройте новый пароль нажмите на кнопку Изменение способа разблокировки.
4. Выберите способ разблокировки Персональный PIN-код.
5. Установите новый PIN-код.

   PIN-код должен соответствовать требованиям политики.

На устройстве будет установлен правильный PIN-код.

Настройка надежности пароля разблокировки iOS MDM-устройства

Эти параметры применяются к устройствам в режимах "Расширенный контроль" и "Базовый контроль".

Для защиты данных iOS MDM-устройства следует настроить требования к надежности пароля разблокировки.

По умолчанию пользователь может использовать простой пароль. Простой пароль – это пароль, который может содержать последовательность символов или повторяющиеся символы, например, "abcd" или "2222". Вводить буквенно-цифровой пароль с использованием специальных символов не обязательно. Срок действия пароля и количество попыток ввода пароля по умолчанию не ограничены.

Чтобы настроить параметры надежности пароля разблокировки iOS MDM-устройства:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите iOS и перейдите в раздел Контроль безопасности.
4. На карточке Параметры разблокировки экрана нажмите Параметры.

   Откроется окно Параметры разблокировки экрана.

5. Включите параметры с помощью переключателя Параметры разблокировки экрана.

   Переключатель на этой карточке не включает и не выключает соответствующую функциональность на устройствах. Включение переключателя позволяет настроить пользовательские параметры. Выключение переключателя позволяет использовать параметры по умолчанию.

6. Настройте параметры надежности пароля разблокировки:
   • Чтобы разрешить пользователю использовать простой пароль, установите флажок Разрешить простой пароль. Если этот флажок снят, пользователь по-прежнему может установить пароль длиной менее 6 символов.

     Если установлен только флажок Разрешить простой пароль, пароль запрашиваться не будет. Чтобы предложить пользователю задать пароль, установите флажки Разрешить простой пароль и Принудительно использовать пароль.

   • Чтобы требовать использование буквенно-цифрового пароля, установите флажок Требовать ввод буквенно-цифрового значения.
   • Чтобы сделать использование пароля обязательным, установите флажок Принудительно использовать пароль. Если флажок снят, мобильное устройство можно использовать без пароля.

     Если включен один из параметров – Требовать ввод буквенно-цифрового значения, Минимальная длина пароля или Минимальное количество специальных символов, – пароль запрашивается, даже если снят флажок Принудительно использовать пароль.

   • В списке Минимальная длина пароля выберите минимальное количество символов в пароле.
   • В списке Минимальное количество специальных символов выберите минимальное количество специальных символов в пароле (например, "$", "&", "!").

     На некоторых iOS MDM-устройствах, если задано значение параметра Минимальное количество специальных символов и установлен флажок Разрешить простой пароль, устройство отображает информацию об установке пароля из 6 или более символов, хотя можно установить пароль из 4 и более символов.

   • В поле Максимальный срок действия пароля (дней) укажите период времени в днях, в течение которого будет действовать пароль. По истечении установленного срока Сервер iOS MDM запрашивает у пользователя смену пароля.
   • В списке Автоблокировка выберите период времени, по истечении которого должна включаться автоблокировка на iOS MDM-устройстве. Если в течение выбранного времени мобильным устройством не пользуются, оно переходит в режим сна.

     На разных iOS MDM-устройствах фактическое время включения автоблокировки устройства может отличаться от заданного значения:

     На устройствах iPhone: если выбрана автоблокировка через 10 или 15 минут, устройство будет заблокировано через 5 минут.

     На устройствах iPad: если выбрана автоблокировка через 1–4 минуты, устройство будет заблокировано через 2 минуты.

     Для других вариантов фактическое время включения автоблокировки устройства соответствует заданному.

   • В поле Повторное использование предыдущих паролей укажите количество использованных паролей (включая текущий), которые Сервер iOS MDM будет сравнивать с новым паролем при изменении пользователем текущего пароля. Если пароли совпадут, новый пароль не будет принят.
   • В списке Максимальное время для разблокировки без пароля выберите время, в течение которого пользователь может разблокировать iOS MDM-устройство без ввода пароля.
   • В поле Максимальное количество неудачных попыток ввода пароля выберите количество попыток, которое пользователь может предпринять для ввода пароля разблокировки на iOS MDM-устройстве.
7. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Сервером iOS MDM.

В результате после применения политики Сервер iOS MDM проверит надежность пароля на мобильном устройстве пользователя. Если надежность пароля разблокировки на устройстве не соответствует политике, пользователю будет предложено изменить пароль.

Настройка виртуальной частной сети (VPN)

Этот раздел содержит информацию о настройке параметров виртуальной частной сети (VPN) для безопасного подключения к сетям Wi-Fi.

Настройка VPN на Android-устройствах (только Samsung)

Для безопасного подключения Android-устройства к интернету и защиты передачи данных можно настроить параметры VPN (Virtual Private Network).

Настройка VPN возможна только для Samsung-устройств под управлением Android 11 или ниже.

При использовании виртуальной частной сети необходимо учитывать следующие требования:

• Приложение, использующее VPN-соединение, должно быть разрешено в параметрах Сетевой экран.
• Параметры VPN, настроенные в политике, не могут быть применены для системных приложений. Для системных приложений VPN-соединение нужно настраивать вручную.
• Для некоторых приложений, использующих VPN-соединение, при первом запуске требуется дополнительная настройка. Чтобы выполнить настройку, нужно разрешить VPN-соединение в параметрах приложения.

Чтобы настроить VPN на мобильном устройстве пользователя:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите Android и перейдите в раздел Параметры Samsung Knox.
4. На карточке VPN нажмите Параметры.

   Откроется окно VPN.

5. Включите параметры с помощью переключателя VPN.
6. Укажите следующие параметры VPN:
   • Параметры в разделе Сеть:
     • В поле Имя сети введите имя VPN-туннеля.
     • В раскрывающемся списке Протокол выберите тип VPN-соединения:
       • IPSec Xauth PSK. Туннельный протокол типа "шлюз-шлюз", позволяющий пользователю мобильного устройства устанавливать защищенное соединение с VPN-сервером с использованием утилиты авторизации Xauth.
       • L2TP IPSec PSK. Туннельный протокол типа "шлюз-шлюз", позволяющий пользователю мобильного устройства устанавливать защищенное соединение с VPN-сервером по протоколу IKE с использованием предварительно установленного ключа. Это протокол выбран по умолчанию.
       • PPTP. Туннельный протокол типа "точка-точка", позволяющий пользователю мобильного устройства устанавливать защищенное соединение с VPN-сервером за счет создания специального туннеля в стандартной, незащищенной сети.
     • В поле Адрес сервера введите сетевое имя или IP-адрес VPN-сервера.
   • Параметры в разделе Параметры протокола:
     • В поле Домен(ы) поиска DNS введите домен поиска DNS, который автоматически добавляется к имени DNS-сервера.

       Вы можете ввести несколько доменов поиска DNS через пробел.

     • В поле DNS-сервер(ы) введите полное доменное имя или IP-адрес DNS-сервера.

       Вы можете ввести несколько DNS-серверов через пробел.

     • В поле Перенаправление маршрутов введите диапазон IP-адресов сети, обмен данными с которыми осуществляется через VPN-соединение.

       Если в поле Перенаправление маршрутов не указан диапазон IP-адресов, весь интернет-трафик будет проходить через VPN-соединение.

7. Дополнительно настройте следующие параметры:
   • Для протоколов IPSec Xauth PSK и L2TP IPSec PSK:
     • В поле Общий ключ IPSec введите пароль от предварительно установленного ключа безопасности IPSec.
     • В поле Идентификатор IPSec введите имя пользователя мобильного устройства.
   • Для типа протокола L2TP IPSec PSK укажите пароль для ключа L2TP в поле Ключ L2TP.
   • Для типа сети PPTP установите флажок Использовать SSL-соединение, чтобы приложение использовало метод шифрования данных MPPE (Microsoft Point-to-Point Encryption) для обеспечения безопасности передачи данных при подключении мобильного устройства к VPN-серверу.
8. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

Настройка VPN на iOS MDM-устройствах

Развернуть всё | Свернуть всё

Эти параметры применяются к устройствам в режимах "Расширенный контроль" и "Базовый контроль".

Для подключения iOS MDM-устройства к виртуальной частной сети (VPN) и обеспечения безопасности данных при подключении к сети VPN нужно настроить параметры подключения к сети VPN. Протоколы VPN IKEv2 и IPSec также позволяют настроить соединение Per App VPN.

Чтобы настроить VPN-соединение на iOS MDM-устройстве пользователя:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите iOS и перейдите в раздел Конфигурация устройств.
4. На карточке VPN нажмите Параметры.

   Откроется окно VPN.

5. Включите параметры с помощью переключателя VPN.
6. Нажмите Добавить.

   Откроется окно Добавить конфигурацию VPN.

7. На вкладке Общие в разделе Сеть настройте следующие параметры:
   1. В поле Имя сети введите название VPN-туннеля.
   2. В раскрывающемся списке Протокол выберите тип VPN-соединения.
      • L2TP (Layer 2 Tunneling Protocol). Соединение поддерживает аутентификацию пользователя iOS MDM-устройства с помощью паролей MS-CHAP v2, двухфакторную аутентификацию и автоматическую аутентификацию с помощью открытого ключа.
      • IKEv2 (Internet Key Exchange версии 2). Соединение устанавливает между двумя сетевыми объектами атрибут Ассоциация безопасности (SA) и поддерживает аутентификацию с использованием EAP (Extensible Authentication Protocols), общих ключей и сертификатов.
      • IPSec. Соединение поддерживает аутентификацию пользователей с помощью паролей, двухфакторную аутентификацию и автоматическую аутентификацию с помощью открытого ключа и сертификатов.
      • Cisco AnyConnect. Соединение поддерживает межсетевой экран Cisco Adaptive Security Appliance (ASA) версии 8.0(3).1 и выше. Для настройки VPN-соединения нужно установить на iOS MDM-устройство приложение Cisco AnyConnect из App Store.
      • Juniper SSL. Соединение поддерживает шлюз Juniper Networks SSL VPN серии SA версии 6.4 и выше с пакетом Juniper Networks IVE версии 7.0 и выше. Для настройки VPN-соединения нужно установить на iOS MDM-устройство приложение JUNOS из App Store.
      • F5 SSL. Соединение поддерживает решения F5 BIG-IP Edge Gateway, Access Policy Manager и Fire SSL VPN. Для настройки VPN-соединения нужно установить на iOS MDM-устройство приложение F5 BIG-IP Edge Client из App Store.
      • SonicWALL Mobile Connect. Соединение поддерживает устройства SonicWALL Aventail E-Class Secure Remote Access версии 10.5.4 и выше, устройства SonicWALL SRA версии 5.5 и выше, а также устройства SonicWALL Next-Generation Firewall, включая TZ, NSA, E-Class NSA с SonicOS версии 5.8.1.0 и выше. Для настройки VPN-соединения нужно установить на iOS MDM-устройство приложение SonicWALL Mobile Connect из App Store.
      • Aruba VIA. Соединение поддерживает контроллеры мобильного доступа Aruba Networks. Для их настройки нужно установить на iOS MDM-устройство приложение Aruba Networks VIA из App Store.
      • Custom SSL. Соединение поддерживает аутентификацию пользователя iOS MDM-устройства с помощью паролей и сертификатов, а также двухфакторную аутентификацию.
   3. В поле Адрес сервера введите сетевое имя или IP-адрес VPN-сервера.
8. Настройте параметры VPN-соединения в соответствии с выбранным типом виртуальной частной сети.
   • L2TP
     • Параметры в разделе Аутентификация:
       • Тип аутентификации

         Двухфакторная аутентификация пользователя iOS MDM-устройства с использованием токена RSA SecurID или аутентификация на основе пароля.

       • Имя учетной записи

         Имя учетной записи для авторизации на VPN-сервере.

       • Пароль

         Пароль учетной записи для аутентификации в виртуальной частной сети.

       • Метод аутентификации

         Метод аутентификации пользователей iOS MDM-устройств в виртуальной частной сети.

       • Общий ключ

         Пароль для предварительно установленного ключа безопасности IPSec для протоколов L2TP и IPSec (Cisco).

       • Сертификат аутентификации

         Сертификат, используемый для аутентификации пользователя.

     • Параметры в разделе Прочее:
       • Отправлять весь трафик через VPN

         Передача через VPN-соединение всего исходящего трафика, даже если используется другая сетевая служба (например, AirPort или Ethernet).

         Если флажок установлен, весь исходящий трафик передается через VPN-соединение.

         Если флажок снят, исходящий трафик передается без обязательного использования VPN-соединения.

         По умолчанию флажок снят.

   • IPSec
     • Параметры в разделе Аутентификация:
       • Метод аутентификации

         Метод аутентификации пользователей iOS MDM-устройств в виртуальной частной сети.

       • Имя учетной записи

         Имя учетной записи для авторизации на VPN-сервере.

       • Пароль

         Пароль учетной записи для аутентификации в виртуальной частной сети.

       • Общий ключ

         Пароль для предварительно установленного ключа безопасности IPSec для протоколов L2TP и IPSec (Cisco).

       • Имя группы

         Имя группы iOS MDM-устройств, которые подключаются к VPN-сети по протоколам L2TP и IPSec (Cisco). Если установлен флажок Использовать гибридную аутентификацию, имя группы должно заканчиваться на "[hybrid]" (например, "mycompany [hybrid]").

       • Использовать гибридную аутентификацию

         Использование гибридной аутентификации при подключении пользователя к VPN-сети. Для аутентификации VPN-сервер использует сертификат, а пользователь iOS MDM-устройства вводит открытый ключ для аутентификации по протоколу IPSec (Cisco).

         Если флажок установлен, при подключении пользователя к VPN-сети используется гибридная аутентификация.

         Если флажок снят, гибридная аутентификация не используется.

         По умолчанию флажок снят.

       • Сертификат аутентификации

         Сертификат, используемый для аутентификации пользователя.

     • Параметры в разделе Домены:
       • Включать VPN при подключении указанных доменов

         Домены, для которых будет включено VPN-соединение.

     • Параметры в разделе Прочее:
       • Требовать PIN

         Проверка наличия системного пароля при включении мобильного устройства.

         Если флажок установлен, Kaspersky Mobile Devices Protection and Management проверяет на устройстве наличие системного пароля. Если системный пароль на устройстве не задан, пользователю нужно задать его. Пароль должен быть задан с учетом параметров, настроенных администратором.

         Если флажок снят, Kaspersky Mobile Devices Protection and Management не требует наличия системного пароля.

         По умолчанию флажок снят.

   • IKEv2
     • Параметры в разделе Сеть:
       • Интервал обнаружения неработающих узлов (DPD)

         Периодичность, с которой VPN-клиент IKEv2 должен запускать алгоритм обнаружения неработающих узлов (DPD). Доступны следующие значения:

         • Не выбрано. Не запускать DPD.
         • Низкий. Запускать DPD каждые 30 минут.
         • Средний. Запускать DPD каждые 10 минут.
         • Высокий. Запускать DPD 1 раз в минуту.

         По умолчанию выбран вариант Средний.

     • Параметры в разделе Аутентификация:
       • Метод аутентификации

         Метод аутентификации пользователей iOS MDM-устройств в виртуальной частной сети.

       • Локальный идентификатор

         Идентификатор VPN-клиента IKEv2 (iOS MDM-устройство).

       • Удаленный идентификатор

         Идентификатор VPN-сервера IKEv2.

       • Общий ключ

         Общий ключ, используемый для аутентификации VPN IKEv2.

       • Общее имя (CN) сертификата сервера

         Имя используется для проверки сертификата, отправленного VPN-сервером IKEv2. Если этот параметр не задан, сертификат проверяется с помощью удаленного идентификатора.

       • Общее имя (CN) издателя сертификата сервера

         Если задан этот параметр, IKEv2 отправляет на сервер запрос на сертификат на основе этого поставщика сертификата.

       • Сертификат аутентификации

         Сертификат, используемый для аутентификации пользователя.

       • Аутентификация по EAP

         Тип аутентификации по EAP, используемый для VPN-соединения IKEv2. Доступны следующие значения:

         • Учетные данные
         • Сертификат

         По умолчанию указано значение Учетные данные.

       • Имя учетной записи

         Имя учетной записи для авторизации на VPN-сервере.

       • Пароль

         Пароль учетной записи для аутентификации в виртуальной частной сети.

       • Минимальная версия TLS

         Минимальная версия TLS, используемая для аутентификации по EAP. Доступны следующие значения:

         • TLS 1.0
         • TLS 1.1
         • TLS 1.2

         По умолчанию указано значение TLS 1.0.

       • Максимальная версия TLS

         Максимальная версия TLS, используемая для аутентификации по EAP. Доступны следующие значения:

         • TLS 1.0
         • TLS 1.1
         • TLS 1.2

         По умолчанию указано значение TLS 1.2.

     • Параметры в разделе Ассоциация безопасности (SA):
       • Параметры SA

         Определяет объект, в котором отправляются параметры. Возможные значения:

         • IKEv2
         • Дочерняя

         По умолчанию указано значение IKEv2.

       • Алгоритм шифрования

         Определяет алгоритм шифрования, используемый для соединения. Возможные значения:

         • DES
         • 3DES
         • AES-128
         • AES-256
         • AES-128-GCM
         • AES-256-GCM
         • ChaCha20Poly1305

         По умолчанию указано значение AES-256.

       • Алгоритм целостности

         Определяет алгоритм целостности, используемый для соединения. Возможные значения:

         • SHA1-96
         • SHA1-160
         • SHA2-256
         • SHA2-384
         • SHA2-512

         По умолчанию указано значение SHA2-256.

       • Группа Диффи-Хеллмана

         Определяет группу Диффи – Хеллмана, используемую при настройке VPN-туннеля.

         По умолчанию указано значение 14.

       • Время жизни SA (мин)

         Интервал смены ключа в минутах.

     • Параметры в разделе Прочее:
       • Запретить перенаправление

         Определяет, запрещено ли перенаправление на VPN-сервере IKEv2.

         Если флажок установлен, VPN-соединение IKEv2 не перенаправляется.

         Если флажок снят, VPN-соединение IKEv2 перенаправляется, когда от сервера получен запрос на перенаправление.

         По умолчанию флажок снят.

       • Запретить протокол Mobility and Multi-Homing (MOBIKE)

         Определяет, запрещен ли протокол Mobility and Multi-Homing (MOBIKE) для VPN-соединения IKEv2.

         Если флажок установлен, MOBIKE запрещен.

         Если флажок снят, MOBIKE разрешен.

         По умолчанию флажок снят.

       • Использовать атрибуты конфигурации IPv4 и IPv6

         Определяет, должен ли VPN-клиент IKEv2 использовать атрибуты конфигурации INTERNAL_IP4_SUBNET и INTERNAL_IP6_SUBNET, отправляемые VPN-сервером IKEv2.

         Если флажок установлен, атрибуты INTERNAL_IP4_SUBNET и INTERNAL_IP6_SUBNET используются.

         Если флажок снят, атрибуты INTERNAL_IP4_SUBNET и INTERNAL_IP6_SUBNET не используются.

         По умолчанию флажок снят.

       • Активировать туннель через сотовые данные

         Определяет, включен ли откат.

         Если флажок установлен, устройство активирует туннель через сотовые данные, чтобы пропускать трафик, подходящий для функции Помощь Wi-Fi и требующий наличия VPN.

         Если флажок снят, откат выключен.

         По умолчанию флажок снят.

       • Включить Perfect Forward Secrecy

         Определяет, включено ли свойство Perfect Forward Secrecy (PFS) для VPN-соединения IKEv2.

         Если флажок установлен, PFS включено.

         Если флажок снят, PFS выключено.

         По умолчанию флажок снят.

   • Cisco AnyConnect
     • Параметры в разделе Сеть:
       • Время бездействия до прерывания соединения (мин)

         Время ожидания перед отключением соединения по требованию.

     • Параметры в разделе Аутентификация:
       • Метод аутентификации

         Метод аутентификации пользователей iOS MDM-устройств в виртуальной частной сети.

       • Имя учетной записи

         Имя учетной записи для авторизации на VPN-сервере.

       • Пароль

         Пароль учетной записи для аутентификации в виртуальной частной сети.

       • Группа

         Псевдоним группы туннелирования для клиентов Cisco AnyConnect при подключении к VPN-сети.

       • Сертификат аутентификации

         Сертификат, используемый для аутентификации пользователя.

     • Параметры в разделе Домены:
       • Включать VPN при подключении указанных доменов

         Домены, для которых будет включено VPN-соединение.

     • Параметры в разделе Прочее:
       • Отправлять весь трафик через VPN

         Маршрутизирует весь трафик через VPN.

       • Исключить локальный трафик

         Исключает локальный трафик из трафика, маршрутизируемого через VPN-соединение.

         Этот флажок доступен, если установлен флажок Отправлять весь трафик через VPN.

   • Juniper SSL
     • Параметры в разделе Сеть:
       • Время бездействия до прерывания соединения (мин)

         Время ожидания перед отключением соединения по требованию.

     • Параметры в разделе Аутентификация:
       • Метод аутентификации

         Метод аутентификации пользователей iOS MDM-устройств в виртуальной частной сети.

       • Имя учетной записи

         Имя учетной записи для авторизации на VPN-сервере.

       • Пароль

         Пароль учетной записи для аутентификации в виртуальной частной сети.

       • Область действия

         Имя сети, в состав которой входят VPN-серверы и iOS MDM-устройства для VPN-соединения с помощью Juniper SSL.

       • Роль

         Название роли пользователя, в соответствии с которой пользователь получает доступ к ресурсам с помощью Juniper SSL. Роль может объединять несколько пользователей, выполняющих одинаковые функции.

       • Сертификат аутентификации

         Сертификат, используемый для аутентификации пользователя.

     • Параметры в разделе Домены:
       • Включать VPN при подключении указанных доменов

         Домены, для которых будет включено VPN-соединение.

     • Параметры в разделе Прочее:
       • Отправлять весь трафик через VPN

         Маршрутизирует весь трафик через VPN.

       • Исключить локальный трафик

         Исключает локальный трафик из трафика, маршрутизируемого через VPN-соединение.

         Этот флажок доступен, если установлен флажок Отправлять весь трафик через VPN.

   • F5 SSL
     • Параметры в разделе Сеть:
       • Время бездействия до прерывания соединения (мин)

         Время ожидания перед отключением соединения по требованию.

     • Параметры в разделе Аутентификация:
       • Метод аутентификации

         Метод аутентификации пользователей iOS MDM-устройств в виртуальной частной сети.

       • Имя учетной записи

         Имя учетной записи для авторизации на VPN-сервере.

       • Пароль

         Пароль учетной записи для аутентификации в виртуальной частной сети.

       • Сертификат аутентификации

         Сертификат, используемый для аутентификации пользователя.

     • Параметры в разделе Домены:
       • Включать VPN при подключении указанных доменов

         Домены, для которых будет включено VPN-соединение.

     • Параметры в разделе Прочее:
       • Отправлять весь трафик через VPN

         Маршрутизирует весь трафик через VPN.

       • Исключить локальный трафик

         Исключает локальный трафик из трафика, маршрутизируемого через VPN-соединение.

         Этот флажок доступен, если установлен флажок Отправлять весь трафик через VPN.

   • SonicWALL Mobile Connect
     • Параметры в разделе Сеть:
       • Время бездействия до прерывания соединения (мин)

         Время ожидания перед отключением соединения по требованию.

     • Параметры в разделе Аутентификация:
       • Метод аутентификации

         Метод аутентификации пользователей iOS MDM-устройств в виртуальной частной сети.

       • Имя учетной записи

         Имя учетной записи для авторизации на VPN-сервере.

       • Пароль

         Пароль учетной записи для аутентификации в виртуальной частной сети.

       • Домен или группа

         Доменное имя сервера SSL VPN (например, vpn.company.com) или имя группы пользователей SonicWALL Mobile Connect.

       • Сертификат аутентификации

         Сертификат, используемый для аутентификации пользователя.

     • Параметры в разделе Домены:
       • Включать VPN при подключении указанных доменов

         Домены, для которых будет включено VPN-соединение.

     • Параметры в разделе Прочее:
       • Отправлять весь трафик через VPN

         Маршрутизирует весь трафик через VPN.

       • Исключить локальный трафик

         Исключает локальный трафик из трафика, маршрутизируемого через VPN-соединение.

         Этот флажок доступен, если установлен флажок Отправлять весь трафик через VPN.

   • Aruba VIA
     • Параметры в разделе Сеть:
       • Время бездействия до прерывания соединения (мин)

         Время ожидания перед отключением соединения по требованию.

     • Параметры в разделе Аутентификация:
       • Метод аутентификации

         Метод аутентификации пользователей iOS MDM-устройств в виртуальной частной сети.

       • Имя учетной записи

         Имя учетной записи для авторизации на VPN-сервере.

       • Пароль

         Пароль учетной записи для аутентификации в виртуальной частной сети.

       • Сертификат аутентификации

         Сертификат, используемый для аутентификации пользователя.

     • Параметры в разделе Домены:
       • Включать VPN при подключении указанных доменов

         Домены, для которых будет включено VPN-соединение.

     • Параметры в разделе Прочее:
       • Отправлять весь трафик через VPN

         Маршрутизирует весь трафик через VPN.

       • Исключить локальный трафик

         Исключает локальный трафик из трафика, маршрутизируемого через VPN-соединение.

         Этот флажок доступен, если установлен флажок Отправлять весь трафик через VPN.

   • Custom SSL
     • Параметры в разделе Сеть:
       • Время бездействия до прерывания соединения (мин)

         Время ожидания перед отключением соединения по требованию.

     • Параметры в разделе Конфигурационные данные:
       • Ключ

         Содержит ключ с дополнительными параметрами соединения Custom SSL.

       • Значение

         Содержит значение с дополнительными параметрами соединения Custom SSL.

     • Параметры в разделе Аутентификация:
       • Метод аутентификации

         Метод аутентификации пользователей iOS MDM-устройств в виртуальной частной сети.

       • Имя учетной записи

         Имя учетной записи для авторизации на VPN-сервере.

       • Пароль

         Пароль учетной записи для аутентификации в виртуальной частной сети.

       • Сертификат аутентификации

         Сертификат, используемый для аутентификации пользователя.

       • Идентификатор пакета (Bundle ID)

         Если настраиваемая конфигурация VPN работает с решением VPN, которое использует поставщика расширений сети, укажите в этом поле идентификатор пакета приложения, содержащего поставщика. Обратитесь к поставщику решения VPN, чтобы узнать значение идентификатора.

     • Параметры в разделе Домены:
       • Включать VPN при подключении указанных доменов

         Домены, для которых будет включено VPN-соединение.

9. При необходимости на вкладке Дополнительные в разделе Прокси-сервер настройте параметры VPN-соединения через прокси-сервер:
   1. Установите флажок Использовать прокси-сервер.
   2. Настройте подключение к прокси-серверу:
      1. Если вы хотите, чтобы подключение было настроено автоматически:
         • Выберите Автоматически.
         • В поле Веб-адрес PAC-файла укажите адрес PAC-файла прокси.
         • Чтобы разрешить пользователю подключение мобильного устройства к беспроводной сети без использования прокси-сервера в случае, если PAC-файл недоступен, установите флажок Разрешить прямое соединение, если PAC-файл недоступен.
      2. Если вы хотите настроить подключение вручную:
         • Выберите Вручную.
         • В полях Адрес прокси-сервера и Порт прокси-сервера укажите IP-адрес или DNS-имя прокси-сервера и номер порта.
         • В поле Имя пользователя выберите макрос, который будет использоваться в качестве имени пользователя для подключения к прокси-серверу.
      3. В поле Пароль укажите пароль для подключения к прокси-серверу.
10. При необходимости для подключений по протоколам IKEv2 и IPSec настройте Per App VPN для поддерживаемых системных приложений (Почта, Календарь, Контакты и Safari).
11. Нажмите Добавить.

    Новая сеть VPN отобразится в списке.

    Вы можете изменять или удалять VPN-соединения с помощью кнопок Изменить и Удалить в верхней части списка.

12. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Сервером iOS MDM.

В результате после применения политики на iOS MDM-устройстве пользователя будет настроено VPN-соединение.

Настройка Per App VPN на iOS MDM-устройствах

Эти параметры применяются к устройствам в режимах "Расширенный контроль" и "Базовый контроль".

Per App VPN позволяет подключать устройства к сети VPN при запуске поддерживаемых системных приложений. Эта функция доступна при подключении по протоколам IKEv2 и IPSec.

Соединения Per App VPN поддерживаются следующими системными приложениями:

• Почта
• Календарь
• Контакты
• Safari
• Сообщения

Чтобы включить Per App VPN:

1. Выполните первоначальную настройку VPN-соединения.
2. На вкладке Дополнительные в разделе Per App VPN установите флажок Включить Per App VPN.
3. Настройте Per App VPN для поддерживаемых системных приложений в соответствующих параметрах политики.

Почта

Чтобы указать конфигурацию Per App VPN для приложения Почта:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите iOS и перейдите в раздел Конфигурация устройств.
4. На карточке Электронная почта нажмите Параметры.

   Откроется окно Электронная почта.

5. Включите параметры с помощью переключателя Электронная почта.
6. Нажмите Добавить.

   Откроется окно Добавить учетную запись.

7. Настройте почтовый ящик.
8. На вкладке Дополнительные в разделе Per App VPN установите флажок Включить Per App VPN.
9. Выберите конфигурацию из раскрывающегося списка Конфигурация Per App VPN.
10. Нажмите Сохранить.
11. Нажмите OK.
12. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Сервером iOS MDM.

В результате после применения политики для приложения Почта будет настроен Per App VPN.

Календарь

Чтобы указать конфигурацию Per App VPN для приложения Календарь:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите iOS и перейдите в раздел Конфигурация устройств.
4. На карточке Календарь нажмите Параметры.

   Откроется окно Календарь.

5. Включите параметры с помощью переключателя Календарь.
6. Нажмите Добавить.

   Откроется окно Добавить учетную запись CalDAV.

7. Добавьте учетную запись календаря.
8. В разделе Per App VPN установите флажок Включить Per App VPN.
9. Выберите конфигурацию из раскрывающегося списка Конфигурация Per App VPN.
10. Нажмите Добавить.
11. Нажмите OK.
12. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Сервером iOS MDM.

В результате после применения политики для приложения Календарь будет настроен Per App VPN.

Подписки на календари

Список подписок на календари других пользователей CalDAV, календари iCal и другие опубликованные календари.

Чтобы указать конфигурацию VPN для подписок на календари:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите iOS и перейдите в раздел Конфигурация устройств.
4. На карточке Подписки на календари нажмите Параметры.

   Откроется окно Подписки на календари.

5. Включите параметры с помощью переключателя Подписки на календари.
6. Нажмите Добавить.

   Откроется окно Добавить подписку на календарь.

7. Добавьте подписку на календарь.
8. В разделе Per App VPN установите флажок Включить Per App VPN.
9. Выберите конфигурацию из раскрывающегося списка Конфигурация Per App VPN.
10. Нажмите Добавить.
11. Нажмите OK.
12. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Сервером iOS MDM.

В результате после применения политики для подписок на календари будет настроен Per App VPN.

Контакты

Чтобы указать конфигурацию Per App VPN для приложения Контакты:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите iOS и перейдите в раздел Конфигурация устройств.
4. На карточке Контакты нажмите Параметры.

   Откроется окно Контакты.

5. Включите параметры с помощью переключателя Контакты.
6. Нажмите Добавить.

   Откроется окно Добавить учетную запись CardDAV.

7. Добавьте учетную запись контактов.
8. В разделе Per App VPN установите флажок Включить Per App VPN.
9. Выберите конфигурацию из раскрывающегося списка Конфигурация Per App VPN.
10. Нажмите Добавить.
11. Нажмите OK.
12. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Сервером iOS MDM.

В результате после применения политики для приложения Контакты будет настроен Per App VPN.

Safari

Чтобы указать конфигурацию Per App VPN для Safari:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите iOS и перейдите в раздел Конфигурация устройств.
4. На карточке Per App VPN для Safari нажмите Параметры.

   Откроется окно Per App VPN для Safari.

5. Включите параметры с помощью переключателя Per App VPN для Safari.
6. Нажмите Добавить.

   Откроется окно Добавить домен сайта.

7. Выберите конфигурацию из раскрывающегося списка Конфигурация Per App VPN.
8. В поле Имя домена укажите домен сайта, который будет активировать VPN-соединение в Safari. Домен необходимо указывать в формате www.example.com.
9. Нажмите Добавить.

   Новый домен появится в списке Домены сайтов Safari.

   Вы можете изменять или удалять домены веб-сайтов Safari с помощью кнопок Изменить и Удалить в верхней части списка.

10. Нажмите OK.
11. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Сервером iOS MDM.

В результате после применения политики для доменов сайтов Safari будет настроен Per App VPN.

LDAP

Учетная запись LDAP позволяет получить доступ к корпоративным данным и контактам в стандартных приложениях iOS: Контакты, Сообщения и Почта.

Чтобы указать конфигурацию Per App VPN для учетной записи LDAP:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите iOS и перейдите в раздел Конфигурация устройств.
4. На карточке LDAP нажмите Параметры.

   Откроется окно LDAP.

5. Включите параметры с помощью переключателя LDAP.
6. Нажмите Добавить.

   Откроется окно Добавить учетную запись LDAP.

7. Добавьте учетную запись LDAP.
8. В разделе Per App VPN установите флажок Включить Per App VPN.
9. Выберите конфигурацию из раскрывающегося списка Конфигурация Per App VPN.
10. Нажмите Добавить.
11. Нажмите OK.
12. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Сервером iOS MDM.

В результате после применения политики для учетной записи LDAP будет настроен Per App VPN.

Настройка Сетевого экрана на Android-устройствах (только Samsung)

Для контроля сетевых соединений на мобильном устройстве пользователя настройте параметры Сетевого экрана.

Сетевой экран можно настроить только для устройств Samsung.

Чтобы настроить Сетевой экран на мобильном устройстве пользователя:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите Android и перейдите в раздел Параметры Samsung Knox.
4. На карточке Сетевой экран нажмите Параметры.

   Откроется окно Сетевой экран.

5. Включите параметры с помощью переключателя Сетевой экран.
6. В раскрывающемся списке Доступ в интернет выберите режим Сетевого экрана. В соответствии с режимом работы Сетевой экран контролирует соединения на мобильном устройстве пользователя:
   • Если вы хотите разрешить входящие и исходящие соединения для всех установленных приложений, выберите Разрешить для всех приложений. Этот режим выбран по умолчанию.
   • Если вы хотите заблокировать сетевую активность для всех приложений, кроме нескольких указанных, выберите Разрешить для указанных приложений.
7. Если выбран режим Сетевого экрана Разрешить для указанных приложений, создайте список приложений, которым разрешена вся сетевая активность:
   1. В разделе Приложения с доступом в интернет нажмите Добавить.

      Откроется окно Добавить приложение.

   2. В поле Название приложения введите название мобильного приложения.
   3. В поле Имя пакета введите системное имя пакета мобильного приложения (например, com.mobileapp.example).
   4. Нажмите Добавить.

   Новое приложение, для которого выключен Сетевой экран, появится в списке.

   Вы можете изменять или удалять мобильные приложения из списка с помощью кнопок Изменить и Удалить в верхней части списка.

8. Нажмите OK.
9. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

Защита Kaspersky Endpoint Security для Android от удаления

Для защиты мобильных устройств и выполнения требований корпоративной безопасности вы можете включить защиту Kaspersky Endpoint Security для Android от удаления. В этом случае пользователю недоступно удаление приложения с помощью интерфейса Kaspersky Endpoint Security для Android. При удалении приложения с помощью инструментов операционной системы Android появится запрос на выключение прав администратора для Kaspersky Endpoint Security для Android. После выключения прав мобильное устройство будет заблокировано.

На некоторых Samsung-устройствах под управлением Android 7 или выше при попытке пользователя настроить неподдерживаемые способы разблокировки устройства (например, графический пароль) оно может быть заблокировано, если выполнены следующие условия: включена защита Kaspersky Endpoint Security для Android от удаления и заданы требования к надежности пароля разблокировки экрана. Для разблокировки устройства требуется отправить на устройство специальную команду.

На устройствах под управлением Android 7 или выше для защиты приложения от удаления Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Во время работы мастера первоначальной настройки Kaspersky Endpoint Security для Android предлагает пользователю предоставить приложению необходимые разрешения. Пользователь может пропустить эти шаги или отозвать разрешения в параметрах устройства позднее. В этом случае защита приложения от удаления не работает.

Чтобы включить защиту Kaspersky Endpoint Security для Android от удаления:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите Android и перейдите в раздел Параметры KES для Android.
4. На карточке Параметры доступа к настройкам приложения нажмите Параметры.

   Откроется окно Параметры доступа к настройкам приложения.

5. Включите параметры с помощью переключателя Параметры доступа к настройкам приложения.

   Переключатель на этой карточке не включает и не выключает соответствующую функциональность на устройствах. Включение переключателя позволяет настроить пользовательские параметры. Выключение переключателя позволяет использовать параметры по умолчанию.

6. Снимите флажок Разрешить удаление приложения с устройства.
7. Нажмите OK.
8. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. При попытке удаления приложения мобильное устройство будет заблокировано.

Обнаружение взлома устройств

Kaspersky Security Center Web Console позволяет обнаруживать взлом устройства (получение root-прав) на Android-устройствах и модификацию прошивки (jailbreak) на iOS-устройствах. На взломанном устройстве системные файлы не защищены и доступны для изменения. После обнаружения взлома рекомендуется восстановить нормальную работу устройства.

При взломе устройства вы получите уведомление. Вы можете просмотреть уведомления о взломах в Kaspersky Security Center Web Console в разделе Мониторинг и отчеты → Панель мониторинга. Вы также можете выключить уведомление о взломе в параметрах уведомлений о событиях.

На Android-устройствах можно установить ограничения на действия пользователя в случае взлома устройства (например, заблокировать устройство). Вы можете установить ограничения с помощью компонента Контроль соответствия. Для этого создайте правило соответствия с критерием На устройстве получены root-права.

Настройка глобального HTTP-прокси на iOS MDM-устройствах

Эти параметры применяются к устройствам в режиме "Расширенный контроль".

Для маршрутизации интернет-трафика пользователя настройте подключение iOS MDM-устройства к интернету через прокси-сервер.

Будьте осторожны при настройке этих параметров. В случае неправильной настройки устройства могут потерять подключение к интернету и не будут синхронизироваться с Сервером iOS MDM. Если это произойдет, вам придется заново добавить эти устройства.

Чтобы настроить глобальный HTTP-прокси на iOS MDM-устройстве:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите iOS и перейдите в раздел Конфигурация устройств.
4. На карточке Глобальный HTTP-прокси нажмите Параметры.

   Откроется окно Глобальный HTTP-прокси.

5. Включите параметры с помощью переключателя Глобальный HTTP-прокси.
6. Выберите тип настройки глобального HTTP-прокси:
   • Чтобы вручную задать параметры подключения к прокси-серверу:
     1. В разделе Тип настройки выберите Вручную.
     2. В полях Адрес прокси-сервера и Порт прокси-сервера введите имя хоста или IP-адрес прокси-сервера и номер порта прокси-сервера.
     3. В поле Имя пользователя задайте имя учетной записи пользователя для авторизации на прокси-сервере.
     4. В поле Пароль задайте пароль учетной записи пользователя для авторизации на прокси-сервере.
     5. Чтобы разрешить пользователю доступ к подписным сетям, установите флажок Разрешить доступ к сетям с авторизацией без подключения к прокси-серверу.
   • Чтобы настроить параметры подключения к прокси-серверу с помощью подготовленного файла PAC (Proxy Auto Configuration):
     1. В разделе Тип настройки выберите Автоматически.
     2. В поле Веб-адрес PAC-файла введите веб-адрес PAC-файла (например, http://www.example.com/filename.pac).
     3. Чтобы разрешить пользователю подключение мобильного устройства к беспроводной сети без использования прокси-сервера в случае, если PAC-файл недоступен, установите флажок Разрешить прямое соединение, если PAC-файл недоступен.
     4. Чтобы разрешить пользователю доступ к подписным сетям, установите флажок Разрешить доступ к сетям с авторизацией без подключения к прокси-серверу.
7. Нажмите OK.
8. Нажмите Сохранить, чтобы сохранить внесенные изменения.

В результате после применения политики пользователь мобильного устройства будет подключаться к интернету через прокси-сервер.

Добавление сертификатов безопасности на iOS MDM-устройства

Эти параметры применяются к устройствам в режимах "Расширенный контроль" и "Базовый контроль".

Вы можете добавлять сертификаты на iOS MDM-устройства, чтобы упростить аутентификацию пользователей и обеспечить безопасность данных. Данные, подписанные сертификатом, защищены от изменений при передаче по сети. Шифрование данных с помощью сертификата обеспечивает дополнительную защиту информации. Сертификат также может использоваться для удостоверения личности пользователя.

Kaspersky Mobile Devices Protection and Management поддерживает следующие стандарты сертификатов:

• PKCS#1. Шифрование с открытым ключом на основе алгоритмов RSA.
• PKCS#12. Хранение и передача сертификата и закрытого ключа.

Чтобы добавить сертификат безопасности на iOS MDM-устройства:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите iOS и перейдите в раздел Конфигурация устройств.
4. На карточке Управление сертификатами нажмите Параметры.

   Откроется окно Управление сертификатами.

5. Включите параметры с помощью переключателя Управление сертификатами.
6. Нажмите Загрузить и укажите путь к сертификату.

   Файлы сертификатов PKCS#1 имеют расширения CER, DER или PEM. Файлы сертификатов PKCS#12 имеют расширения P12 или PFX. Пароль для сертификата PKCS#12 не должен быть пустым.

7. Нажмите Открыть.

   Если сертификат защищен паролем, введите пароль. Новый сертификат отобразится в списке.

8. Нажмите OK.
9. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Сервером iOS MDM.

В результате после применения политики сертификаты будут автоматически установлены на устройствах.

Добавление профиля SCEP на iOS MDM-устройства

Эти параметры применяются к устройствам в режимах "Расширенный контроль" и "Базовый контроль".

Чтобы пользователь iOS MDM-устройства мог автоматически получать сертификаты из Центра сертификации через интернет, нужно добавить профиль SCEP. Профиль SCEP позволяет поддерживать протокол простой регистрации сертификатов.

По умолчанию добавляется профиль SCEP со следующими параметрами:

• Для регистрации сертификатов не используется альтернативное имя субъекта.
• Предпринимаются три попытки опроса SCEP-сервера с интервалом 10 секунд между попытками. Если все попытки подписать сертификат были неудачными, нужно сформировать новый запрос на подписание сертификата.
• Полученный сертификат запрещено использовать для подписи или шифрования данных.

Вы можете изменить указанные параметры при добавлении профиля SCEP.

Чтобы добавить профиль SCEP:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите iOS и перейдите в раздел Конфигурация устройств.
4. На карточке SCEP нажмите Параметры.

   Откроется окно SCEP.

5. Включите параметры с помощью переключателя SCEP.
6. Нажмите Добавить.

   Откроется окно Добавить профиль SCEP.

7. В разделе Сервер SCEP укажите следующие параметры SCEP-сервера:
   • В поле Имя конфигурации укажите название Центра сертификации, развернутого на SCEP-сервере. Центр сертификации обеспечивает пользователя iOS MDM-устройства сертификатами при помощи простого протокола регистрации SCEP.
   • В поле Веб-адрес сервера введите веб-адрес SCEP-сервера, на котором развернут Центр сертификации.

     Веб-адрес может содержать IP-адрес или полное доменное имя (FQDN). Например, http://10.10.10.10/certserver/companyscep.

   • В поле Максимальное количество попыток опроса укажите максимальное количество попыток опроса SCEP-сервера для подписания сертификата. Значение по умолчанию – 3 попытки.

     Если все попытки подписать сертификат были неудачными, нужно сформировать новый запрос на подписание сертификата.

   • В поле Интервал между попытками (сек) укажите период времени в секундах между попытками опроса SCEP-сервера для подписания сертификата. Значение по умолчанию – 10 секунд.
   • В поле Статическая контрольная фраза введите предварительно опубликованный ключ регистрации.

     Перед подписанием сертификата SCEP-сервер запрашивает у пользователя мобильного устройства ключ. Если оставить поле пустым, SCEP-сервер не будет запрашивать ключ.

   • В раскрывающемся списке Метод загрузки отпечатка сертификата выберите способ добавления отпечатка сертификата. Вы можете использовать отпечатки сертификатов с алгоритмом хеширования SHA-1 или MD5.
     • Если вы выбрали вариант Вручную, в появившемся поле Отпечаток сертификата введите уникальный отпечаток сертификата для проверки подлинности ответа Центра сертификации.
     • Если вы выбрали вариант Из файла, загрузите файл в формате CER, KEY или PEM. Отпечаток будет сгенерирован и добавлен автоматически.

     Отпечаток сертификата нужно указать, если обмен данными между мобильным устройством и Центром сертификации осуществляется по протоколу HTTP.

8. В разделе Субъект укажите следующие параметры:
   • В поле Имя субъекта введите строку с атрибутами пользователя iOS MDM-устройства, которые содержатся в сертификате X.500.

     Атрибуты могут содержать сведения о стране (C), местоположении (L), стране (ST), организации (O), подразделении (OU) и общем имени пользователя (CN). Например, /C=RU/O=MyCompany/CN=User/.

     Вы можете использовать и другие атрибуты, которые приведены в RFC 5280.

     Атрибуты используются DNS-службами для проверки подлинности сертификата, выданного Центром сертификации по запросу пользователя.

   • Нажмите Добавить альтернативное имя субъекта, чтобы добавить поле для указания альтернативного имени субъекта:
     • В раскрывающемся списке Тип альтернативного имени субъекта выберите тип альтернативного имени субъекта SCEP-сервера. Можно добавить только одно альтернативное имя каждого типа.

       Вы можете использовать альтернативное имя субъекта для идентификации пользователя iOS MDM-устройства. По умолчанию идентификация на основе альтернативного имени не используется.

       • DNS-имя. Идентификация по доменному имени.
       • Имя субъекта NT. DNS-имя пользователя iOS MDM-устройства в сети Windows NT. Имя субъекта NT содержится в запросе на сертификат в SCEP-сервер. Вы также можете использовать имя субъекта NT для идентификации пользователя iOS MDM-устройства.
       • Адрес электронной почты. Идентификация по адресу электронной почты. Адрес электронной почты должен быть представлен в соответствии с RFC 822.
       • Унифицированный идентификатор ресурса (URI). Идентификация по IP-адресу или адресу в формате FQDN.
     • В поле Альтернативное имя субъекта (SAN) введите альтернативное имя субъекта сертификата X.500. Значение альтернативного имени субъекта зависит от выбранного типа субъекта: адрес электронной почты пользователя, домен или веб-адрес.
9. В разделе Ключ настройте параметры ключа шифрования:
   • В раскрывающемся списке Размер ключа (бит) выберите размер ключа регистрации в битах: 1024, 2048 или 4096. По умолчанию указано значение 1024 бита.
   • Если вы хотите разрешить пользователю использовать сертификат, полученный от SCEP-сервера, в качестве сертификата подписи, установите флажок Использовать для подписи.

     Подпись данных защищает данные от изменений. Например, Safari может проверить подлинность сертификата и установить безопасный сеанс обмена данными.

   • Если вы хотите разрешить пользователю использовать сертификат, полученный от SCEP-сервера, для шифрования данных, установите флажок Использовать для шифрования.

     Шифрование данных также защищает конфиденциальные данные при обмене данными по сети. Например, Safari может установить безопасный сеанс обмена данными с использованием шифрования. Это гарантирует подлинность сайта и подтверждает, что соединение с сайтом зашифровано для предотвращения перехвата личных и конфиденциальных данных.

     Вы не можете одновременно использовать сертификат SCEP-сервера в качестве сертификата для подписи данных и сертификата шифрования данных.

   • Если вы хотите разрешить всем установленным приложениям доступ к закрытому ключу из сертификата SCEP-сервера, установите флажок Разрешить всем приложениям доступ к закрытому ключу.
   • Если вы не хотите, чтобы закрытый ключ экспортировался из связки ключей, установите флажок Запретить экспорт закрытого ключа из связки ключей.
10. Нажмите Добавить.

    Новый профиль SCEP отобразится в списке.

    Вы можете изменять или удалять профили SCEP с помощью кнопок Изменить и Удалить в верхней части списка.

11. Нажмите OK.
12. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Сервером iOS MDM.

В результате после применения политики на мобильном устройстве пользователя будет настроено автоматическое получение сертификата из Центра сертификации через интернет.

Настройка ограничений на использование SD-карт (только для устройств Samsung)

Развернуть всё | Свернуть всё

Настройте ограничения для SD-карт, чтобы контролировать их использование на устройстве Samsung с поддержкой Knox.

Чтобы ограничить использование SD-карт на мобильном устройстве:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите Android и перейдите в раздел Параметры Samsung Knox.
4. На карточке Ограничения функций устройств нажмите Параметры.

   Откроется окно Ограничения функций устройств.

5. Включите параметры с помощью переключателя Ограничения функций устройств.
6. В разделе Параметры SD-карты укажите необходимые ограничения:
   • Запретить доступ к SD-карте

     Этот параметр применим для устройств с Android 5-12.

     Установка или снятие этого флажка определяет, включен или отключен доступ к SD-карте на устройстве.

     По умолчанию флажок снят.

   • Запретить запись на SD-карту

     Установка или снятие этого флажка определяет, включена или отключена запись на SD-карту на устройстве.

     По умолчанию флажок снят.

   • Запретить перенос приложений на SD-карту

     Установка или снятие флажка определяет, разрешено ли пользователю устройства перемещать приложения на SD-карту.

     По умолчанию флажок снят.

7. В разделе Дополнительные параметры можно указать дополнительные ограничения:
   • Запретить отправку отчетов о сбоях в Google

     Этот параметр применим только для устройств под управлением Android 11 или ниже.

     Если флажок установлен, Kaspersky Endpoint Security для Android блокирует отправку отчетов о сбоях в Google.

     Если флажок снят, отправка отчетов разрешена.

     По умолчанию флажок снят.

   • Запретить режим разработчика

     Этот параметр применим только для устройств с Android 11 или ниже.

     Если флажок установлен, пользователю запрещено включать режим разработчика на устройстве.

     Если флажок снят, пользователю разрешено включать режим разработчика на устройстве.

     По умолчанию флажок снят.

8. Нажмите OK.
9. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. Параметры SD-карты настроены.