标签: mobile-devices

我们希望从我们的组织内部部署 iPad。我们希望能够为用户安装应用程序，这可以通过移动设备管理来完成。但是，我们不希望用户能够购买应用程序，因为这些应用程序可以使用他们的内部购买帐户购买。以这种方式购买的应用程序不应被允许离开组织，但用户可以通过他们的个人 Apple 帐户购买应用程序，允许他们在其他设备上使用该应用程序，即使他们是使用组织的购买帐户购买的。

我找不到禁止在 iOS 设备上购买应用程序的方法，无论是通过本地限制还是通过移动设备管理。我似乎能做的就是：

• 限制安装所有应用程序（不可接受，因为我们无法将应用程序推送到设备）
• 在所有设备上设置一个组织的 iCloud 帐户，并限制在本地更改帐户设置（不可接受，因为需要输入密码才能接受 MDM 推送的应用程序安装）

有没有办法只阻止应用程序购买？是否有提供此功能的 MDM 套件？

我很快就会为我们的移动员工购买一些运行 Windows 7 的笔记本电脑。由于我们业务的性质，我需要驱动器加密。Windows BitLocker 似乎是显而易见的选择，但看起来我需要购买 Windows 7 Enterprise 或 Ultimate 版本才能获得它。任何人都可以提供有关最佳行动方案的建议：

a) 使用 BitLocker，咬紧牙关，付费升级到 Enterprise/Ultimate

b) 购买另一个更便宜的 3rd 方驱动器加密产品（建议表示赞赏）

c) 使用免费的驱动加密产品，例如 TrueCrypt

理想情况下，我也对使用驱动器加密软件的人的“真实世界”体验和任何需要注意的陷阱感兴趣。

提前谢谢了...

更新

由于以下原因，决定使用 TrueCrypt：

a) 产品有良好的记录

b) 我没有管理大量笔记本电脑，因此与 Active Directory、管理控制台等集成并不是一个巨大的好处

c) 尽管 eks 确实对 Evil Maid (EM) 攻击提出了很好的观点，但我们的数据并不能将其视为主要因素

d) 成本（免费）是一大优势，但不是主要动力

我面临的下一个问题是成像 (Acronis/Ghost/..) 加密驱动器将无法工作，除非我执行逐个扇区的成像。这意味着一个 80Gb 的加密分区会创建一个 80Gb 的图像文件:(

带电脑上飞机需要注意什么？

欢迎提供一般性答案，但...

我特别感兴趣的是：

• 电脑是否会受到 X 光机或其他随身或托运行李所接触的物品的干扰？
• TSA 包装非笔记本电脑会引发什么样的危险信号？
• 是否有任何已知的设置可以很好地打包更大的系统（如服务器规模）？
• 有没有人见过乐队用来包装用于安装服务器的音响设备的那些箱子之一？

（如果你没有发现它，我在想如何构建一个移动服务器群以进行快速、短时间内的部署。FWIW 更有可能以故事告终而不是在飞机上）

这个问题分为两部分。

一季度。

手机如何通过3G获取IP地址？比如，它会在很短的时间内（例如 1 天等）获得相同的 IP 吗？因为我的手机经常进出建筑物和地下停车场，我在手机热点/接收塔之间跳跃，所以我每次都会获得新 IP 吗？我觉得这又回到了过去的现代 -> 每次我“打电话/跳到互联网”时，我都会得到一个新号码。

或者它是否有一些 mac 地址，并且电信公司的手机 DHCP 服务器在特定的时间段内不断重复使用基于 mac 的最后一个 IP（例如，IP 的 TTL，就像普通的 DHCP 一样，它具有分配的到期设置知识产权）。

Q2。

如果之前的答案是移动设备不断获得不同的 IP，这是否会影响 Google 分析和唯一身份访问者的价值？因此，如果我一天在我的手机上获得 5 个 IP，这是否意味着我是我正在跟踪的网站的 5 个唯一访问者？

我是 X 公司的系统管理员。他们对允许 ActiveSync 访问支持下载的附件和电子邮件数据的本地离线加密的设备感兴趣。

考虑到 iPhone 是如何加密本地数据的，你需要有 3GS 或更新版本的最新 IOS 手机，然后点击配置设置……Android 手机中有哪些离线安全规定？

我想防止出现用户窃取 Android 手机并复制未加密数据的情况。

题

如何确保本地下载到设备的 ActiveSync 数据受到保护？
是否有任何适用于 2.2 版的特定内容？

在我的网站上，我使用Haproxy负载均衡器将使用移动设备的用户重定向到移动网站。我对此有一些抱怨，并希望为用户提供一个返回“经典”门户的链接。由于并非所有子页面都以移动格式提供，因此我必须首先选择内容是否可用。

    acl path_root path /
    acl path_mobile path_beg /faq
    acl site_classic hdr_sub(cookie) CLASSIC=
    acl ua_smartphone hdr_reg(User-Agent) -i iphone ipod android bada
    redirect location http://s.tld if path_root ua_smartphone !site_classic
    redirect prefix http://s.tld if path_mobile ua_smartphone !site_classic

如果用户进入顶级目录，只需重定向该位置。如果“移动”用户点击移动格式中可用的内容，则重定向包括完整路径。到目前为止，这一切都很好。

现在，当他/她单击移动版本中设置名为“CLASSIC”的 cookie 的链接时，我不想再重定向用户。

cookie 设置正确并且工作正常。如果我写以下重定向工作：

    acl site_classic hdr_sub(cookie) CLASSIC=
    redirect location http://s.tld if site_classic

我还尝试了所有可以想到的检查 cookie 的方法，例如 CLASSIC=1 CLASSIC=true CLASSIC=portal 等，并在代码中

    acl site_classic hdr_sub(cookie) CLASSIC
    acl site_classic hdr_sub(cookie) CLASSIC=
    acl site_classic hdr_sub(cookie) CLASSIC=1
    acl site_classic hdr_sub(cookie) CLASSIC=true
    acl site_classic hdr_sub(cookie) CLASSIC=portal

为什么它不起作用？ …

网站如何检测 http 请求是否来自移动设备？在我看来，这只是带有标准地址/端口标头的 TCP/IP 数据包，对吗？这是硬件/路由吗？它是像Apache这样的托管服务吗？ 为移动重定向准备网站需要知道什么？

是否有工具可以帮助为移动设备设置和管理证书（运行 Windows Mobile 5）

我的最终目标是让我的 WCF 服务（在 IIS 上运行）只信任这些证书。这样我就不必担心其他人找到我的端点并向我发送虚假数据。

我有 WaveLink 的 Avalanche MC 来管理设备并推送更新。（我仍在寻找该产品是否有任何帮助。）

一段时间以来，我一直在享受从数据库查找地理 IP 的好处。这很棒。

人们越来越多地尝试通过手机或 3G 调制解调器访问我的网站，而他们的物理位置似乎与我的 IP 查找告诉我他们所在的位置几乎没有关系。位于我国东海岸的用户可能会被视为位于遥远的内陆或北部。一个用户可能会被报告在一瞬间在一个位置，几秒钟后，在数百公里之外。

这正在成为一个问题，我需要找到解决方案。我已经每月更新我的数据库，但效果不大。

可以做什么？

我从 Namecheap 购买了 Comodo SSL。现在，SSL 在桌面上运行良好，但我在手机上收到“此连接不是私有的”。在 Android 上的 chrome 上

这是我的虚拟主机文件：

server {
       listen         80;
       server_name    www.-------------.com;
       return         301 https://www.-------------.com$request_uri;
}

server {

    listen 443 ssl;

    root /var/www/-------------.com/html;
    index index.html index.htm;

    ssl_certificate /etc/nginx/ssl/ssl-bundle.crt;
    ssl_certificate_key /etc/nginx/ssl/navarrarpg_com.key;

    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;

    ssl_prefer_server_ciphers on;
    ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;

    server_name www.-------------.com;

    location / {
        try_files $uri $uri/ =404;
    }
}

这是我收到的四个文件：

• 添加信任外部CARoot.crt
• COMODORSAAddTrustCA.crt
• COMODORSADomainValidationSecureServerCA.crt
• --------------com.crt

当然，然后我使用该命令将它们全部捆绑在一起，以使用其他命令获取捆绑的证书和密钥。

现在，当我访问https://www.digicert.com/help/并输入我的地址时......它说我安装正确。

我检查了我的证书安装，以确保我的链条正确：

• Comodo RSA 认证机构
  • Comodo RSA 域验证安全服务器 CA
    • --------------.com

我使用了以下命令：

cat -------------_com.crt …

您的用户之一的笔记本电脑被盗或丢失的可能性相当高。保护移动计算机上的数据时，有哪些最佳做法/政策？

了解磁盘加密是必不可少的，作为 IT 管理员，在使用用户的笔记本电脑时，哪些产品可以为您提供最大的灵活性？

Mfg/Model: Samsung Droid Charge
Android Version: 2.3
Provider: Verizon
Error: Failed to connect

该用户之前在他的手机上可以正常接收电子邮件，但从今天早上开始，他就无法收到任何邮件。

我不认为这是服务器问题，因为其他 Android 用户可以毫无问题地连接。

我不认为这是帐户问题，因为

1. 用户可以毫无问题地访问 Outlook 和 OWA，并且
2. 如果我在 iPhone 上设置，我可以访问用户的帐户

我不相信这是电话问题，因为

1. 我可以在 Android 手机上设置一个备用用户帐户并毫无问题地连接，并且
2. 如果我在不同的 Android 手机上设置用户的帐户，我也会得到相同的结果。

我尝试在 AD 中禁用/重新启用用户帐户，但这似乎没有任何影响。我还尝试将密码更改为其他内容，但这似乎也没有任何影响。

来自Android的调试日志：

[15:44:41] AbstractSyncService| Testing EAS: email.My_compnay_domain.com, My_Company_Domain\jdoe, ssl = 1
[15:44:50] AbstractSyncService| Validation (OPTIONS) response: 200
[15:44:50] AbstractSyncService| Server supports versions: 1.0,2.0,2.1,2.5
[15:44:50] AbstractSyncService| Try folder sync
[15:45:27] AbstractSyncService| IOException caught: Read timed out

按照建议，我还尝试禁用/启用 Exchange ActiveSync 策略，并验证了可继承权限。

任何建议，将不胜感激。

为了性能/负载平衡，是否可以将移动子域的 A 记录指向具有自己的 IP 地址的单独服务器？