标签: android

最近，一名用户将公司 PC 与网络断开，并使用 USB 网络共享与他们的 Android 手机完全绕过公司网络并访问互联网。我认为我不需要解释为什么这很糟糕。从零成本（即开源、使用脚本和组策略等）和技术角度（即 HR 已经收到通知，我不认为这是某种症状），最好的方法是什么？更深层次的企业文化问题等），以检测和/或防止类似的事情再次发生？有一个系统范围的解决方案（例如通过使用组策略）会很好，但如果这是不可能的，那么对这个人的 PC 做一些特定的事情也可能是一个答案。

一些细节：PC 是 Windows 7 加入了 Active Directory 域，用户具有普通用户权限（不是管理员），PC 上没有无线功能，禁用 USB 端口不是一个选项

注意：感谢您的精彩评论。我添加了一些额外的细节。

我认为禁止网络共享的原因有很多，但对于我的特定环境，我可以想到以下几点： (1) 防病毒更新。我们有一个本地防病毒服务器，可为联网的计算机提供更新。如果您未连接到网络，则无法接收更新。(2) 软件更新。我们有一个 WSUS 服务器并审查每个更新以批准/禁止。我们还通过组策略向其他常用软件程序（例如 Adob​​e Reader 和 Flash）提供更新。如果计算机未连接到本地网络，则它们无法接收更新（不允许从外部更新服务器进行更新）。(3)互联网过滤。我们过滤掉恶意的，呃，顽皮（？）的网站。

更多背景信息：已经通知了 HR。说的人是高层次的人，所以有点棘手。尽管诱人不是一个好主意，但该员工的“树立榜样”。我们的过滤并不严格，我猜虽然没有直接证据（缓存已清除），但该人可能一直在查看淘气站点。他说他只是在给他的手机充电，但 PC 已经从本地网络上拔掉了。我不想让这个人陷入困境，只是可能防止类似的事情再次发生。

我有一个我一直在修补的 Ubuntu Lucid Lynx VM。我想建立一个 VPN，我很高兴学习如何自己做，但大量的选择让我头晕目眩，所以我只是在寻找指针。

我想为我的设置考虑的因素

• 每个用户都需要个人身份验证（不是所有人都需要一个密码）
• 我想知道客户端使用的是什么操作系统（android / iphone 其他）
• 我想跟踪每个人使用了多少带宽
• 虽然安全很重要，但主要是为了绕过中国的防火墙（访问 facebook / twitter），所以我不是要保护五角大楼的文件。安全性很好，只要它不涉及数小时的复杂配置。
• 防止同一用户同时使用多台设备访问vpn
• 有什么建议吗？

所以我的问题是：

• 我应该使用什么协议来与 Android（比如 1.6+）和 iPhone 兼容？
• 我应该使用什么管理软件（最好免费但愿意投资一点）？
• 您可以推荐哪些指南/教程比这更容易混淆？

安卓：

16 个 IPSec VPN 隧道
8 个 L2TP VPN 隧道（拨入：4，拨出：4）
8 个 PPTP VPN 隧道（拨入：4，拨出：4）

• 嵌入式 IPSec 和 PPTP 客户端/服务器
• IKE 密钥管理
• 用于 IPSec 的 DES、3DES 和 AES 加密
• 嵌入式强大的 3DES 加速器
• PPTP 的 MPPE 加密
• IPSec内的L2TP
• L2TP/PPTP/IPSec 透传

苹果手机

• L2TP/IPSec
• MShapV2 密码
• RSA 安全 ID
• 加密卡
• PPTP
• MShapV2 …

我的网站是https://blendbee.com。它使用有效的 PositiveSSL 证书。

在 Windows 8 Chrome 中，证书很好（左上角的绿色锁）。

但是...在我的 Android 上，它不是那么好。截图：http : //postimg.org/image/6vc64lr1d/

任何想法为什么？

该服务器在 Digital Ocean 上运行 Ubuntu 13.10。

将 android 移动设备连接到 Exchange ActiveSync 时，有些需要授予设备管理员权限，允许交换管理员远程擦除手机。警告消息吓坏了一些移动用户，让他们完全放弃使用 Exchange ActiveSync。

如何在 Exchange Server 2010 上禁用他的功能？[安全漏洞在这里不是问题]

我正在尝试使用一个简单的 Android 4.4.4 VPN 连接来连接 openswan/xl2tpd/pppd 组合。IPSec SA 工作，但 xl2tpd 在某一时刻终止了 pppd，这显示在日志中：

xl2tpd[17990]: handle_avps: handling avp's for tunnel 46247, call 0
xl2tpd[17990]: message_type_avp: message type 4 (Stop-Control-Connection-Notification)
xl2tpd[17990]: assigned_tunnel_avp: using peer's tunnel 54725
xl2tpd[17990]: result_code_avp: avp is incorrect size.  8 < 10
xl2tpd[17990]: handle_avps: Bad exit status handling attribute 1 (Result Code) on mandatory packet.
xl2tpd[17990]: handle_packet: bad AVP handling!
xl2tpd[17990]: network_thread: bad packet
xl2tpd[17990]: build_fdset: closing down tunnel 46247
xl2tpd[17990]: Terminating pppd: sending TERM signal to pid 17991
xl2tpd[17990]: …

我的公司通过 Verizon 进行了过度服务，而该地区的 AT&T 服务处于“劣质”状态，因此我无法像我的许多系统管理员同事那样加入“iPhone 派对”。

话虽如此，本周终于有一款我喜欢的手机登陆了 Verizon，HTC Incredible。（我一直在等待 Desire 或 Nexus One，但在看到规格表和评论后，HTC Incredible 无论如何都领先了）。

所以（最后）我正在寻找系统管理员“必备”的 Android 应用程序。

我找到了最底层的三个。如果还有其他你更喜欢这些的，请告诉我。

RDP 程序 - RemoteRDP

SSH 客户端 - ConnectBot

Nagios - NagMonDroid

回复您最喜欢的 Android 应用程序以及原因！

我正在尝试配置运行软件版本 8.2 的 Cisco ASA 5510，以允许我的 Droid X 通过 L2TP/IPSec VPN 进行连接。我已经像这样配置了 DefaultRAGroup：

tunnel-group DefaultRAGroup general-attributes
 address-pool vpn_pool
 default-group-policy droid
tunnel-group DefaultRAGroup ipsec-attributes
 pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
 authentication pap
 no authentication chap
 authentication ms-chap-v2

以及相关的组策略：

group-policy droid internal
group-policy droid attributes
 wins-server value (ip omitted)
 dns-server value (ip omitted)
 vpn-tunnel-protocol IPSec l2tp-ipsec 
 split-tunnel-policy tunnelall

在我尝试从手机连接时查看日志，我进入“PHASE 2 COMPLETED”，但随后什么也没有发生，又过了几秒钟，手机说连接失败。通过完整的 ipsec、isakmp 和 l2tp 调试，我可以看到 IKE 协商成功完成并建立了 IPSec SA，然后有以下消息：

IKEQM_Active() Add L2TP classification rules: ip <72.121.92.238> mask <0xFFFFFFFF> port <1701> 
L2TP LOWERLAYER: l2tp_add_classification_rules()...ip …

我有一个用于小型企业的 Microsoft Exchange 服务器，我们刚刚升级到 2010。它现在提示 Android 用户：

Activate device administrator?

 - Erase all data: Perform a factory reset, deleting all of your data without any confirmation 
 - Limit Password: Restrict the types of passwords you are allowed to use. 
 - Watch login attempts: Monitor failed attempts to login to the device, to perform some action 
 - Force Lock: Control when device locks, requiring you re-enter its password.

我们不想要这个。Exchange 有没有办法关闭它？

在我们的实验室中，我们为所有内容分配了静态 IP。我们有不到 20 台设备，有些是物理的，有些是在 ESXi 上虚拟的，从服务器到安卓平板电脑。一切都是有线以太网。交换机上有 3 个 VLAN。我们的虚拟 linux 机器工作正常，因为 vSwitch 似乎应用了标签，但是我们的物理 Linux 机器需要将它们的 ifcfg-eth0 接口更改为 ifcfg-eth0.20 才能参与网络。我们的带有以太网加密狗的 Android 平板电脑无法像 linux 那样为 vlan 标记创建这个新的以太网配置，因为它没有被扎根，而且据我所知，没有用于有线 vlan 设置的工具。（这是安卓 4.0。）

交换机不应该负责根据机器的子网和插入的端口标记网络流量吗？为什么物理 Window 的机器似乎无需额外设置即可处理 VLAN，而 Linux 物理机器需要新的接口配置才能查看流量？物理交换机不应该能够像 vSwitch 为我们的虚拟机那样做吗？

我只是想让 Android 设备使用来自 VM 和 Windows 机器的服务，但我什至无法 ping 它们或网关，因为无法在设备上手动设置 VLAN。

我的公司在其 XMPP Android 应用程序中将 OpenFire 用于服务器端，并将 smack 用于客户端。

AWS 似乎是我们需要的一种很好且可扩展的服务。我们用它来测试我们的应用程序，但我担心服务器会因 20k-50k 用户而崩溃。

我有两个问题：

1. 对于 XMPP (OpenFire) 服务器，AWS 是否足够好？优缺点都有什么？
2. 我如何构建这样一个至少可以处理 20k 在线用户的应用程序，比如说 2k 打开的聊天室？
3. 有没有针对这种东西的特定教程？

就服务器成本而言，金钱不是问题。现在对我们来说时间是最重要的。