上一篇:EMM测试-EasyWork方案(增强沙箱)防坑指南_03 https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=128245
3.2.6 文件系统隔离与文件加密(Android)
测试用例 | | 测试工具 | | 预制条件 | 1. EMM设备已导入Android keystore证书。 2. 已准备待封装的apk包。 4. 不启动文件分享隔离的功能。 5. 手机已安装aWork 6. 用户关联L3VPN资源 | 测试步骤 | 1. 应用封装页面新建APP封装,上传封装APP并设置相关封装参数。 2. 封装时选择增强沙箱的方式封装。 3. 勾选启用文件系统隔离与文件加密的功能 4. 移动应用策略中关联此APP并勾选禁止应用读取个人域文件的功能。 5. 手机上安装封装完成后的APP。 | 预期结果 | 1. 使用封装后的APP创建的文件在封装后的APP中可以看到,而在个人的文件管理器中无法找到该文件。 2. 安全域的文件分享给个人域中的应用,看到的文件是加密的。 |
|
|
3.2.7 文件系统隔离(iOS)
测试用例 | | | EMM设备、iPhone、PP助手/iTunes等 | | 1. EMM设备已导入SSL受信证书、iOS企业证书、iOS描述文件、MDM证书。 2. 已准备待封装的ipa包。 4. 手机已安装aWork 5. 用户关联L3VPN资源 | | 1. 应用封装页面新建APP封装(建议文件管理类APP,如文件管理器、WPS等),上传封装APP并设置相关封装参数。 2. 封装时选择增强沙箱的方式封装。 3. 勾选启用文件系统隔离的功能 4. 手机上安装封装完成后的APP。 | | 使用封装后的APP创建的文件在封装后的APP中可以看到,而在个人域中无法找到该文件。 |
3.2.8 文件分享和打开隔离
测试用例 | | | EMM设备、Android手机、iOS描述文件、iPhone | | 1. EMM设备已导入SSL受信证书、iOS企业证书、iOS描述文件、MDM证书、Android keystore证书。 2. 已准备待封装的ipa包和apk包。 4. 手机已安装aWork 5. 用户关联L3VPN资源 | | 1. 应用封装页面新建APP封装(建议文件管理类APP,如文件管理器、WPS等),上传封装APP并设置相关封装参数。 2. 封装时选择增强的方式封装。 3. 移动应用策略中关联此APP并勾选启用文件分享和打开隔离的功能 4. 手机上安装封装完成后的APP。 | | 使用未封装的APP打开分享页面,可以看到通过QQ、微信等方式分享,而封装后的APP未找到合适的APP执行分享操作。 | | EMM测试项目,必须使用最新版本且EMM功能最强的版本进行测试。可以提前规避一些不必要的影响。 复杂场景举例: 1. X客户后面体验发现一个新问题:开启“禁止应用读取个人域文件(仅对已启用文件系统隔离的Android安全应用有效)”后,在安全浏览器打开的H5页面,还能通过拉起个人域系统管理软件上传个人域文件(这个虽然是客户最终需要使用的场景),但是客户表示测试禁止读取个人域时就应该不能上传个人域文件。 2.原因:H5应用通过拉起系统文件管理器读取文件,而系统文件管理器是没有被封装的,所以可以读取个人域文件。 解决方式:开启分享隔离(单项隔离或者完全隔离都可以),程序内部判断:如果开启“禁止读取个人域文件”,则不允许拉起系统文件管理器读取文件。 变更:使用定制封装单号重新封装一下安全浏览器,发布后,用户更新安全浏览器即可。 注意事项:当前客户H5应用上传个人域文件应该是正常使用场景,如果用新单号重新封装安全浏览器后,还需要利用H5应用上传个人域文件,则需要在移动应用策略里面关闭“禁止应用读取个人域文件(仅对已启用文件系统隔离的Android安全应用有效)”选项。
|
3.2.9 剪切板隔离
测试用例 | | | | | 1. EMM设备已导入SSL受信证书、iOS企业证书、iOS描述文件、MDM证书、Android keystore证书。 2. 已准备待封装的ipa包和apk包。 4. 手机安装aWork。 5. 用户关联L3VPN资源 | | 1. 应用封装页面新建APP封装,上传封装APP并设置相关封装参数。 2. 封装时选择增强的方式封装。 3. 移动应用策略中关联此APP并勾选启用剪切板隔离的功能,勾选允许个人域复制粘贴到安全域。 4. 手机上安装封装完成后的APP。 | | 1. 通过个人的本地记事本复制文字到封装后的APP中,复制成功,即允许允许个人域复制粘贴到安全域。 2. 通过在封装后APP中复制文字在个人的记事本中粘贴则粘贴不成功,及禁止安全域复制到个人域。 |
3.2.10 网络隔离
测试用例 | | | | | 1. EMM设备已导入SSL受信证书、iOS企业证书、iOS描述文件、MDM证书、Android keystore证书。 2. 已准备待封装的ipa包和apk包。 4. 手机安装aWork。 5. 用户关联L3VPN资源 | | 1. 应用封装页面新建APP封装,上传封装APP并设置相关封装参数。 2. 封装时选择增强沙箱的方式封装。 3. 手机上安装封装完成后的APP。 4. 策略组中开启禁止个人域应用通过VPN访问内网。 5. 策略组中开启禁止安全应用访问非受信网络。 | | 个人域的APP无法访问内网系统,安全域的APP无法访问互联网 | | Android: 开启前 安全域可以访问互联网 开启后 安全域无法访问互联网 |
PS:必须注意策略名称: 1.“应用封装”模块:“配置安全策略”->“启用文件加密和文件系统隔离(勾选后,应用产生的数据/文件将无法被个人域的应用查看,仅能被此应用或同样开启了该功能的安全应用读取)”->可以配置“白名单”(特定场景下使用) 2.“移动应用策略”模块:“策略选项”即:应用及其对应应用策略 (应用策略仅支持封装模式为增强沙箱的封装应用和H5应用,其中H5应用使用 “安全浏览器”对应的应用策略)->“文件/内容安全”+“屏幕安全”。“文件/内容安全"->“启用分享和打开隔离 可以配置白名单”+“启用剪切板隔离”+“禁止应用读取个人域文件(仅对已启用文件系统隔离的Android安全应用有效)”
未完待续~EMM测试-EasyWork方案(增强沙箱)防坑指南_05 |