Этот способ сброса настроек может привести к устранению угроз безопасности

Обновлено: 21.11.2024

Защита от сброса к заводским настройкам (FRP), дебютировавшая в Android Lollipop, оказалась довольно щекотливой; в то время как, с одной стороны, он предлагает отличные средства защиты от несанкционированного сброса настроек устройства, например, от неправильного ввода кода доступа слишком много раз или очистки через восстановление, например, с другой стороны, он несет единоличную ответственность за многие Android-блоки засоряют ящики и шкафы по всему миру.

В частности, для предприятий необходимость в учетных записях Google и ограничения, существующие для сохранения контроля над устаревшими регистрациями Android, почти гарантируют, что организации рано или поздно увидят ужасный FRP, и это часто влияет на организации даже сегодня. согласно источникам в крупном OEM-производителе, с которым я разговаривал. Хотя во многих случаях устройства, заблокированные из-за FRP, можно восстановить, это может быть дорогостоящим и трудоемким процессом.

Как это работает?

При настройке устройства Android из состояния сброса настроек во время работы мастера конечный пользователь может добавить свою учетную запись Google. Затем процесс добавления указанной учетной записи активирует функции безопасности устройства, включая FRP.

Если устройство затем будет сброшено до заводских настроек несанкционированным образом, действие по удалению учетной записи, предпринятое во время обычного сброса до заводских настроек, не будет завершено, и, таким образом, учетная запись Google останется связанной с устройством.

При настройке устройства на резервное копирование после сброса настроек оно проверит связь с учетной записью Google и потребует учетные данные учетной записи, чтобы продолжить настройку; ввод неправильных данных приведет к блокировке устройства на определенный период времени (до 72 часов) и может оставаться в этом цикле до тех пор, пока учетные данные учетной записи Google не будут введены правильно.

Для устройств с несколькими добавленными учетными записями Google обычно первая добавленная будет связана с FRP, однако это можно легко проверить, войдя в программу «Найти устройство» с учетными записями Google на устройстве. В какой бы учетной записи ни отображалось устройство, с ней связана учетная запись FRP.

Что было поддержано?

Большинство решений UEM предлагают возможность отключения FRP для полностью управляемых устройств, но не более того. Это означает, что устройство может быть сброшено до заводских настроек несанкционированным способом и разрешено выполнять настройку, не опасаясь срабатывания FRP.

Поскольку доступно только отключение FRP, это был единственный реальный вариант управления FRP, и его нужно было включить, поскольку запуск FRP на полностью управляемом устройстве с управляемой учетной записью Google Play, для которой нет пароля, почти гарантирует FRP. блокирует его.

К сожалению, отключение FRP оставило огромную лазейку, доступную на любом устройстве Android Enterprise, позволяющую конечным пользователям просто восстановить заводские настройки несанкционированным способом и снова настроить устройство без управления.

Очевидным способом решения этой проблемы был автоматический режим, так как он немедленно запросит резервное копирование устройства под управление UEM, но, поскольку автоматический режим – это функция Oreo, количество торговых посредников ограничено, и многие организации еще не внедрили его. , существует значительное количество устройств, для которых это не имеет значения.

Лучшее решение для управления FRP

С выпуском Workspace One UEM 9.6 и MobileIron Cloud R56 были наконец-то реализованы расширенные возможности управления FRP (доступные начиная с Android 5.1). В Intune это уже есть несколько месяцев, однако только поддержка COSU в настоящее время означает, что его использование ограничено (хотя, тем не менее, приветствуется).

Вместо простого отключения FRP организации теперь могут внести в белый список одну или несколько учетных записей Google, которые необходимо пройти аутентификацию, прежде чем устройство продолжит настройку, поэтому в большинстве случаев для разблокировки устройства требуется позвонить или посетить ИТ-отдел. гораздо более разумный подход к обеспечению того, чтобы устройства оставались под управлением организации.

Управление FRP полностью настраивается в UEM, а учетные записи можно добавлять/удалять на лету. Очевидно, что, как и в случае с большинством корпоративных аккаунтов, они должны быть общими для команды, а не личными аккаунтами Google.

Настройка

Управление FRP и добавление учетных записей в белый список — очень простой процесс на всех поддерживаемых платформах UEM.

Настройка WS1 UEM

Настройка MobileIron Cloud

Настройка Intune

Извините, здесь нет GIF. Также интересно использование адресов электронной почты.

Получение идентификатора

В приведенном выше примере (за исключением Intune) может показаться, что в поля идентификатора учетной записи вставляется набор чисел, но откуда берутся эти числа?

Просто зайдите в People: Get, введите «я» в идентификатор пользователя, нажмите «ВЫПОЛНИТЬ» и, когда будет предложено пройти аутентификацию, войдите в систему с общей учетной записью Google, для которой вы хотите получить идентификатор. Он выведет его, как показано ниже, выделенный оранжевым цветом.

Взаимодействие с конечным пользователем

Заключение

Недостаток каких-либо реальных способов остановить вывод устройства из-под контроля в случае его сброса к заводским настройкам был тем, с чем я не согласен в течение некоторого времени; между обращением к Google за другими средствами предотвращения сброса (такими как ограничение доступа к восстановлению) и частым обращением с проблемой к поставщикам UEM, я действительно рад видеть возможную реализацию решения; он предлагает довольно простой способ избежать корпоративного управления и должен каким-то образом гарантировать, что устройства, находящиеся под управлением, останутся такими же.

Я не могу сказать, почему потребовалось так много времени, чтобы увидеть достойное внедрение этой довольно важной функции, и почему она внезапно появилась на нескольких платформах UEM примерно в одно и то же время (хотя я могу предположить), но я очень счастлив. чтобы наконец увидеть, как он приземляется.

Если ваша организация управляет устройствами Android Enterprise без использования технологии Zero-Touch, управление FRP должно быть приоритетом для тех, у кого есть поддерживаемая платформа UEM. Если ваша платформа UEM не поддерживает его сегодня, определенно стоит обратиться к поставщику за его реализацией.

$post->ID, 'post_type' => $post->post_type ) ) ); если ($subpages == 0 )

Поддержите сайт. Поделитесь

Чувствуете дополнительную поддержку?
/ (UK) / (Wishlist) / (Patreon)
Все средства идут на оплату серверов и тестового оборудования

Джейсон Бейтон

Комментарии

Комментарии теперь связаны с Discourse. Disqus был удален из-за введения обязательной рекламы. Если вы хотите оставить комментарий, нажмите синюю кнопку комментария, чтобы перейти в соответствующую тему Bayton Discuss, где вы можете войти с помощью Twitter, Facebook, Google или Github.

Комментарии Disqus скоро снова появятся здесь (только для чтения).

Эй, я проверил это на последних версиях AirWatch/Workspace ONE UEM, и все сработало очень хорошо. На самом деле он предлагает снять блокировку, когда вы удаленно очищаете конечное устройство. Поэтому, естественно, это будет использоваться наряду с разрешением личных учетных записей Google на рабочем устройстве.
Я считаю, что это потенциально хорошая альтернатива регистрации COPE в отношении VMware.

наряду с разрешением личных аккаунтов Google на рабочем устройстве.

Разрешение личных аккаунтов на рабочем устройстве без использования отдельного рабочего профиля (COPE) может привести к ситуации, когда утечка данных весьма вероятна. С добавлением дополнительных учетных записей Google пользователи могут загружать любые приложения, которые они сочтут подходящими, через Play, которые будут находиться рядом с корпоративными приложениями, что абсолютно не рекомендуется, поскольку вы не можете значительно уменьшить объем данных, передаваемых между приложениями в профиле пользователя. на устройстве.

Мы рассмотрели, как это развернуть, и протестировали в режиме COPE. Мы обнаружили (что соответствует описанию в разделе «Безопасность | Android-разработчики», если вы знаете, как его интерпретировать), что развертывание профиля со списком учетных записей администратора фактически не позволяет пользователю разблокировать свое собственное (корпоративное) устройство с учетной записью Google, настроенной в личный профиль. Вместо этого требуется, чтобы администратор разблокировал устройство с настроенной учетной записью MDM. По сути, это увеличило бы усилия наших служб поддержки по каждому случайному сбросу устройства, а не уменьшило бы их.
Необдуманно также, что один и тот же параметр применяется к устройствам, настроенным с помощью Zero Touch. Процесс здесь довольно веселый: сначала администратору приходится входить в учетную запись, настроенную с помощью MDM, чтобы разблокировать устройство, а затем на следующем шаге получать конфигурацию ZTE, что, конечно же, в любом случае блокирует устройство в MDM.

заключается в том, что развертывание профиля со списком учетных записей администратора фактически не позволяет пользователю разблокировать собственное (корпоративное) устройство с помощью учетной записи Google, настроенной в личном профиле.

Да, абсолютно. В качестве полностью управляемого устройства вы переопределяете возможность пользователей блокировать управляемое устройство для FRP, однако в ситуации COPE, когда вы принимаете этот риск, вам не нужно применять белый список FRP с помощью политики, если вы этого хотите.

Необдуманно также, что один и тот же параметр применяется к устройствам, настроенным с помощью Zero Touch. Поток здесь довольно веселый,

При использовании технологии Zero-Touch эта функция белого списка FRP не требуется, и я не уверен, зачем вы ее используете; FRP можно отключить полностью, но за пределами автоматической настройки это необходимо, если вы не хотите, чтобы пользователи просто перезагружали устройство и настраивали его без управления.

Спасибо за отличную статью. Рабочая ссылка на People:Get Google API (тот, что в статье, уже не работает).

Исправлено

Разумно ли использовать адрес электронной почты для защиты от сброса настроек, такой же, как и для управляемого Google Play??

В этом нет ничего плохого, просто имейте в виду, что пользователи могут вводить этот пароль по телефону с ИТ-специалистом в случае сброса устройства, и это может раскрыть пароль для корпоративной привязки.

Лично я бы использовал для этого пару специальных аккаунтов.

скажем, если у меня есть телефон Android, который заблокирован личным Gmail пользователя после сброса настроек, и с ним невозможно связаться.

если я найду реселлера, который добавит телефон на портал Zero Touch и снова сбросит настройки, будет ли он разблокирован путем переопределения личной почты пользователя?

Привет, нет. Единственное исправление FRP, за исключением обходного пути сообщества, — это отправить устройство OEM-производителю для «ремонта» (очистить бит FRP)

Важно! Некоторые из этих шагов работают только на Android 9 и более поздних версиях. Узнайте, как проверить версию Android.

Подготовьтесь к сбросу настроек

Важно! При сбросе к заводским настройкам с телефона удаляются все ваши данные.

Если вы выполняете сброс для устранения проблемы, мы рекомендуем сначала попробовать другие решения. Узнайте, как устранять проблемы с Android .

Чтобы восстановить данные после сброса настроек телефона, необходимо ввести информацию о безопасности. Когда вы вводите информацию, она показывает, что вы или кто-то, кому вы доверяете, сделали сброс.

1. Убедитесь, что вы знаете учетную запись Google на телефоне.
   • Откройте приложение "Настройки" на телефоне.
   • Нажмите «Учетные записи». Если у вас нет возможности нажать "Аккаунты", обратитесь за помощью к производителю устройства.
   • Вы найдете имя пользователя аккаунта Google.
2. Убедитесь, что вы знаете пароль учетной записи Google на телефоне. Для подтверждения войдите в эту учетную запись на другом устройстве или компьютере. Если вы не помните пароль, обратитесь за помощью по входу.
3. Если вы установили блокировку экрана, убедитесь, что вы знаете PIN-код, графический ключ или пароль своего телефона. Если вы не можете разблокировать телефон, узнайте, что можно сделать.

Совет. Если вы недавно сбросили пароль своей учетной записи Google, подождите 24 часа, прежде чем выполнять сброс настроек.

Восстановление заводских настроек приводит к удалению ваших данных с телефона. Хотя данные, хранящиеся в вашем аккаунте Google, можно восстановить, все приложения и их данные будут удалены.

Чтобы быть готовым к восстановлению данных, убедитесь, что они есть в вашем аккаунте Google. Узнайте, как сделать резервную копию ваших данных.

Сброс настроек может занять до часа.

1. Зарядите телефон как минимум до 70%.
2. Подключите телефон к сети Wi-Fi или мобильной сети. Когда сброс настроек завершится, вы должны будете подключиться к своей учетной записи Google, чтобы войти в нее.

Восстановление заводских настроек телефона

На большинстве телефонов сбросить настройки можно в приложении "Настройки". Если вы не можете открыть приложение "Настройки" на своем телефоне, попробуйте восстановить заводские настройки телефона с помощью кнопок питания и громкости.

Мы рекомендуем проверить сайт поддержки вашего производителя на наличие инструкций для конкретных устройств.

3. Закройте неиспользуемые приложения

Хотя Android управляет приложениями памяти во время использования, в некоторых случаях вам может потребоваться выполнить поиск обновлений приложения или принудительно остановить приложение. Этот шаг может помочь, если вы наблюдаете определенное приложение, ответственное за сбой и перезапуск вашего Android.

Перейдите в приложение Play Маркет, коснитесь трехстрочного меню и выберите Мои приложения и игры, чтобы получать обновления для приложений Android. Нажмите «Обновить» для одного приложения или выберите «Обновить все», если они нужны нескольким приложениям.

Если вы заметили, что ваше устройство по-прежнему дает сбой и перезагружается, рассмотрите возможность принудительной остановки приложения, если вы считаете, что оно виновато.

Откройте "Настройки", нажмите "Приложения", нажмите на проблемное приложение и выберите "Принудительно остановить".

4. Снимите чехол и внешние батареи, если используете

Используете ли вы сторонние аксессуары, такие как чехол или внешний аккумулятор? Если это так, эти надстройки могут быть причиной ваших проблем, поскольку они часто могут закрывать датчики или кнопки вашего смартфона.

Чтобы исключить сторонние аксессуары как виновников, удалите их во время устранения неполадок. Если окажется, что они вызывают проблему, рассмотрите возможность их замены или устранения.

5. Проверьте Device Care и проверьте, включен ли автоматический перезапуск

Некоторые устройства Android, например устройства Samsung, имеют функцию "Уход за устройством", которая при необходимости помогает повысить производительность вашего смартфона. Чтобы проверить, включен ли автоматический перезапуск как причина сбоя и перезагрузки вашего устройства, следуйте приведенным ниже инструкциям.

Откройте "Настройки" и нажмите "Уход за устройством". Нажмите на три точки в правом верхнем углу и выберите «Автоматический перезапуск». Если параметр включен, отключите его и посмотрите, решит ли это вашу проблему.

6. Проверьте наличие вредоносных приложений и удалите их

Хотя загрузка и установка приложений часто безопасна, бывают случаи, когда приложение вызывает проблемы. Чтобы определить, не является ли приложение причиной выключения и перезагрузки вашего устройства, отключите загруженные приложения, перезапустив гаджет в безопасном режиме.

Вот как использовать безопасный режим на устройствах Samsung: (Примечание: шаги могут различаться у разных производителей.)

Сначала полностью выключите телефон. Затем включите телефон и, когда появится логотип Samsung, нажмите и удерживайте клавишу уменьшения громкости. Если все сделано правильно, в левом нижнем углу экрана отобразится «Безопасный режим». Если «Безопасный режим» не отображается, повторите шаги, описанные выше.

Перейдя в безопасный режим, вы можете удалить приложение, вызывающее проблемы на вашем телефоне.

Чтобы выйти из безопасного режима, перезагрузите телефон, и он перезагрузится в обычном режиме.

7. В крайнем случае: сбросьте телефон до заводских настроек

Предположим, проблема сохраняется в безопасном режиме; рассмотрите возможность расширенного устранения неполадок. Это состоит в сбросе телефона к заводским настройкам. Обратите внимание, что это крайняя мера, если все остальные варианты не помогли. Поскольку этот процесс удалит все приложения и данные с вашего устройства Android, вам необходимо сначала создать резервную копию устройства.

В настройках найдите и выберите Сброс до заводских настроек. Затем снова нажмите «Сброс заводских данных» и просмотрите информацию. Когда будете готовы, проведите пальцем по экрану и коснитесь «Сброс». Если у вас есть защитный замок на телефоне, вам будет предложено ввести свои учетные данные. Чтобы удалить всю информацию и загруженные приложения, нажмите "Удалить все".

Компания Google кардинально изменила подход к обходу блокировки экрана Android. Если вы забыли пароль/PIN/шаблон блокировки экрана, единственным выходом будет сброс настроек.

У каждого пользователя смартфона должен быть установлен пароль/PIN/шаблон блокировки экрана. Если нет, перестаньте читать и настройте его.

Я не могу сказать вам, сколько раз со мной связывались: «Я забыл пароль/PIN-код/пароль экрана блокировки и не могу войти в свой телефон! Помощь. "Некоторые из этих посланий были подозрительными, но некоторые были подлинными.

Когда-то (Android 4 и более ранние версии) вы могли намеренно ввести PIN-код/пароль или нарисовать шаблон пять раз, а затем получить код сброса, отправленный на вашу учетную запись Gmail, но это уже не так. У вас есть 10 попыток ввести правильный пароль/PIN/шаблон, иначе данные будут удалены, а телефон сброшен.

Правильно: сброс — единственный способ обойти экран блокировки. Вы можете либо ввести пароль/PIN/шаблон 10 раз неправильно, либо воспользоваться диспетчером устройств Android.

Причина, по которой Google отказывается от возможности сброса пароля, очевидна: безопасность. Данные бесценны, и многие из них хранятся на наших мобильных устройствах. Хорошая новость заключается в том, что после того, как вы очистите устройство и повторно свяжете его со своей учетной записью Google, большая часть вашей информации будет автоматически восстановлена.

Что вам нужно сделать

Если вы забыли, как обойти экран блокировки, войдите в диспетчер устройств Android и выберите смартфон или планшет, который необходимо сбросить, в раскрывающемся списке устройств (рис. A).

Рисунок А

Сброс настроек Droid Turbo марки Verizon с помощью диспетчера устройств Google.

Выбрав устройство, нажмите кнопку «Стереть». Для подтверждения нажмите «Стереть» еще раз. Команда будет отправлена ​​на устройство, и оно автоматически и немедленно выполнит сброс настроек.

Это сложный способ обойти забытый пароль/PIN-код/шаблон, но это неизбежное зло, поскольку мобильные устройства содержат так много важных данных. Тот факт, что Google наконец-то избавился от возможности обхода блокировки, должен указывать на то, что мобильная безопасность имеет решающее значение.

Итог: запомните свой пароль

Тем, кто может пожаловаться на то, что Google аннулирует возможность сбросить этот пароль/PIN-код/шаблон, нужно серьезно подумать обо всех конфиденциальных данных, которые вы носите с собой каждый день. Последнее, что вы хотите сделать, это передать ключи от вашего социального, делового и финансового королевства. Это небезопасный мир, и все, что вы можете сделать для защиты своих данных, следует рассматривать как необходимость.

Читайте также:

  
• Какие умные часы лучше honor или huawei
  
• Смартфон apple iphone xs max как новый 64gb серый космос
  
• Клавиатура не обнаружена, что делать asus
  
• Как поделиться плейлистом в Apple Music
  
• Обзор Asus rt ac1200