Управління пристроями ATAK Android: MDM, реєстрація та управління парком тактичних пристроїв

Автор: Інженерна команда Corvus Intelligence · Про команду →

29 травня 2026 11 хв читання

Розгортання Android Team Awareness Kit у масштабі — це не лише програмна проблема, а й проблема управління пристроями. Один пристрій ATAK, налаштований вручну в гарнізонному IT-відділі, є керованим. Парк із 200 захищених Android-пристроїв, розподілених між кількома батальйонами, що несуть сертифікати ідентичності пристроїв, затверджені набори плагінів, класифіковані картографічні дані та суворі політики безпеки, вимагає тієї ж дисципліни Mobile Device Management, що й корпоративні парки смартфонів, але адаптованої до обмежень тактичних операцій: відсутність надійного інтернету, вимоги до очищення в умовах протидії та нульова толерантність до ручного переналаштування в полі.

Ця стаття охоплює повний стек управління пристроями ATAK Android: вибір MDM-платформи, методи реєстрації для підключених та ізольованих мереж, розподіл застосунків та плагінів ATAK, застосування політик безпеки, архітектуру віддаленого очищення, управління життєвим циклом сертифікатів та моніторинг відповідності.

Вибір MDM-платформи: варіанти, що відповідають STIG, для тактичного Android

Три платформи домінують у STIG-відповідному Android MDM для оборони: Samsung Knox, VMware Workspace ONE та Microsoft Intune. Кожна має опублікований базовий рівень DISA STIG, але їх можливості суттєво відрізняються для тактичного використання.

Samsung Knox (Knox Platform for Enterprise). Knox є кращим вибором для виділених тактичних пристроїв ATAK, оскільки забезпечує апаратне сховище ключів, яке загальні Android Enterprise API не можуть відтворити. Апаратна атестація Knox перевіряє цілісність пристрою на рівні завантажувача — MDM може підтвердити, що пристрій не зазнав підробки та операційна система Android не отримала root-доступ, навіть після того, як пристрій перебував поза опікою IT-адміністратора протягом тижнів. Knox Dual Data Protection шифрує дані пристрою до того, як Android OS може їх розшифрувати, забезпечуючи додатковий рівень поверх нативного повного шифрування диска Android. Knox STIG (DISA STIG для Samsung Android) розширює загальний Android STIG апаратно-специфічними засобами контролю, що мають значення в моделях загроз фізичного зберігання.

VMware Workspace ONE. Workspace ONE є правильним вибором для різнорідних парків, де пристрої ATAK Android співіснують з пристроями iOS, що запускають інші тактичні застосунки. Єдина система управління кінцевими точками Workspace ONE охоплює обидві платформи з єдиної консолі. Її реалізація Android Enterprise є надійною, але спирається на стандартну апаратну атестацію Android Enterprise, а не на апаратний рівень Knox — прийнятно, якщо пул апаратного забезпечення включає пристрої не Samsung, але суттєвий компроміс безпеки на виділеному тактичному обладнанні Samsung.

Microsoft Intune (GCC High). Intune GCC High є прийнятним шляхом для організацій, що вже працюють у Microsoft 365 GCC High і не готові запроваджувати другого постачальника MDM. Реалізація Android Enterprise Intune повністю відповідає STIG та інтегрується з Azure AD для управління ідентифікацією. Його слабкість для тактичного використання — та сама, що й у Workspace ONE: відсутність доступу до API Knox Platform for Enterprise на обладнанні Samsung. Якщо парк пристроїв — Samsung, а апаратна атестація є вимогою, інтеграція Knox Mobile Enrollment (KME) через Intune частково закриває прогалину, але вимагає додаткового налаштування.

Ключовий висновок: Вибір MDM-платформи — це так само рішення про апаратне забезпечення парку, як і програмне. Якщо парк пристроїв ATAK стандартизований на Samsung Galaxy XCover або DuraForce, засоби контролю Knox STIG, доступні через Samsung Knox Platform for Enterprise, являють собою суттєве покращення безпеки порівняно із загальним Android Enterprise MDM. Якщо парк змішаний, оберіть платформу, що охоплює найширший діапазон пристроїв, та прийміть компроміс із апаратною атестацією Knox.

Реєстрація пристроїв: zero-touch, QR-код та офлайн-методи

Zero-touch реєстрація є кращим методом для масового provisioning парку, де пристрої закуповуються безпосередньо у Samsung (або іншого авторизованого реселера, що бере участь у програмі zero-touch Google). Організація реєструє IMEI-номери пристроїв у порталі zero-touch до відправлення пристроїв. Коли кожен пристрій завантажується вперше, він звертається до серверів zero-touch Google, отримує конфігурацію реєстрації MDM (URL сервера, токен реєстрації, облікові дані Wi-Fi) та автоматично завершує реєстрацію — без взаємодії оператора, окрім увімкнення пристрою. Це правильний метод для гарнізонних закупівель, але він вимагає доступу до інфраструктури Google під час першого завантаження.

Provisioning через QR-код є стандартним резервним варіантом для польової реєстрації вже розгорнутих пристроїв та для організацій, що не можуть використовувати zero-touch. Адміністратор MDM генерує QR-код підготовки, що кодує адресу MDM-сервера, токен реєстрації та опційно облікові дані Wi-Fi для мережі реєстрації. Оператор скидає пристрій до заводських налаштувань, шість разів торкається екрана на екрані вітання для входу в режим підготовки та сканує QR-код камерою пристрою. Реєстрація завершується автоматично. Provisioning через QR-код вимагає Wi-Fi підключення до MDM-сервера, але не до інтернету — MDM-сервер може бути в локальній мережі.

Офлайн-реєстрація для ізольованих середовищ використовує локально розміщений MDM-сервер (локальний Workspace ONE, SOTI MobiControl або Knox EMM в ізольованому сегменті мережі) без підключення до публічного інтернету. QR-коди реєстрації кодують локальний URL сервера. Пристрої реєструються в локальному орендарі MDM, отримують конфігурацію та сертифікати від локальної інфраструктури та ніколи не звертаються до зовнішніх хмарних сервісів. Ця архітектура необхідна для розгортань ATAK у класифікованих мережах, де будь-яке підключення поза мережевим периметром заборонено.

Розподіл застосунку ATAK: корпоративний магазин, примусове встановлення та фіксація версії

ATAK недоступний у публічному Google Play Store — версія, що використовується в тактичних розгортаннях, — це або ATAK-CIV (цивільний реліз TAK.gov), або специфічна для DoD збірка, що розповсюджується через авторизовані канали. Жодна версія не може розповсюджуватись через споживчі магазини застосунків. Розподіл застосунків через MDM є оперативним стандартом.

Приватний корпоративний каталог застосунків MDM розміщує затверджений APK ATAK. Політика примусового встановлення надсилає ATAK на всі пристрої в цільовій групі одразу після реєстрації — оператори отримують повністю налаштовану установку ATAK без ручного передавання APK або sideloading. Політика MDM фіксує ATAK на перевіреній версії APK за хешем: будь-яке оновлення, що не відповідає затвердженому хешу, відхиляється, захищаючи пристрій від ненавмисного зміщення версії.

Поетапне розгортання є необхідним для оновлень версій ATAK. Новий реліз ATAK повинен бути перевірений щодо повного затвердженого набору плагінів до розгортання — плагін, скомпільований для ATAK SDK версії N, може не працювати з версією N+1. Механізм поетапного розгортання MDM дозволяє надіслати оновлення спочатку на 10% пристроїв, перевірити тестовою командою в репрезентативній конфігурації, а потім розгорнути на решті парку. Відкат до попередньої версії APK виконується через MDM, якщо поетапне розгортання виявляє несумісності.

Фреймворк AppConfig Android Enterprise дозволяє надсилати керовані значення конфігурації до ATAK під час встановлення: адреса та порт TAK Server, налаштування каналів за замовчуванням, посилання на псевдоніми сертифікатів. Оператори отримують попередньо налаштований ATAK, що підключається до правильного TAK Server без ручного введення — зменшуючи помилки реєстрації та усуваючи клас польових запитів на підтримку.

Управління плагінами: список дозволених, політика sideloading та перевірка підпису

Архітектура плагінів ATAK є значною поверхнею атаки при розгортаннях парку. Непідписаний або шкідливий плагін, встановлений оператором, може отримати доступ до шини CoT ATAK, місцезнаходження пристрою та потенційно мікрофону та камери пристрою — ті самі можливості, які роблять плагіни ATAK потужними, роблять їх небезпечними, якщо вони не обмежені.

MDM застосовує затверджений список плагінів як набір дозволених сертифікатів підпису APK. Лише APK, підписані сертифікатами зі списку дозволених, можна встановити в робочому профілі. Sideloading непідписаних або незареєстрованих плагінів з USB або передавання файлів заблоковано політикою. Нові плагіни проходять процес перевірки безпеки, перш ніж їх сертифікат підпису додається до списку дозволених: статичний аналіз, динамічний аналіз під репрезентативним навантаженням CoT та перевірка оголошених дозволів Android плагіна щодо його заявленої функції.

Оновлення плагінів слідують тому ж процесу поетапного розгортання, що й ATAK core. Кожна версія плагіна зафіксована за хешем APK в MDM. Розподіл плагінів через корпоративний каталог застосунків замінює індивідуальне передавання APK — оператори отримують оновлення плагінів через той самий керований канал застосунків, що й будь-який інший застосунок, розповсюджуваний MDM. Для власних плагінів ATAK, ключ підпису команди розробників реєструється в списку дозволених MDM, а конвеєр CI/CD підписує кожну збірку релізу перед її завантаженням до каталогу MDM.

Застосування політики безпеки: шифрування, блокування та USB

Android STIG та Samsung Knox STIG визначають базову лінію засобів контролю для захисту пристроїв ATAK. Обов'язковий набір політик для будь-якого парку ATAK, що несе чутливі дані:

Шифрування пристрою. Повне шифрування диска AES-256, застосоване при реєстрації. Пристрої без підтримки апаратного шифрування відхиляються. Knox Dual Data Protection увімкнено на обладнанні Samsung для додаткового рівня шифрування до завантаження. MDM блокує завершення реєстрації до підтвердження статусу шифрування.

Блокування екрана. Максимальний тайм-аут блокування екрана 30 секунд. PIN-код мінімум із шести цифр або біометричне розблокування (відбиток пальця). Шаблонне розблокування заборонено політикою на пристроях поблизу класифікованих даних. Максимальна кількість невдалих спроб розблокування встановлена на 10, що запускає повне очищення на 11-й невдалій спробі — критично для запобігання атакам грубої сили на захоплені пристрої.

USB налагодження. Вимкнено політикою MDM. USB налагодження є значним вектором атаки — воно дозволяє ADB-доступ до файлової системи пристрою та пам'яті процесів без облікових даних розблокування пристрою. Параметри розробника вимкнено тією ж політикою. USB-передавання даних можна обмежити до режиму лише зарядки через політику Knox USB для пристроїв, що потребують фізичного управління живленням у полі.

Мережева політика. Завжди активний VPN для будь-якого пристрою, що підключається до TAK Server через незашифровану мережу. Політика Wi-Fi обмежує підключення до затвердженого списку SSID та забороняє відкритий/корпоративний Wi-Fi без WPA3 або WPA2 Enterprise. Bluetooth вимкнено за замовчуванням та вимагає явного виключення з політики для пристроїв, що використовують периферійні Bluetooth-датчики.

Біометричне розблокування. Розблокування обличчям вимкнено політикою STIG на пристроях, що використовуються в багатооператорських середовищах (розблокування обличчям за допомогою фотографії є відомим обходом). Розблокування відбитком пальця є кращим біометричним методом. Біометричне розблокування може бути тимчасово призупинено політикою за геозональним тригером — наприклад, вимкнення біометричного розблокування та вимога введення PIN при виявленні пристрою у зоні підвищеного ризику.

Віддалене очищення та блокування: вибіркове очищення, повне очищення та геозональні тригери

Можливість віддаленого очищення є основною вимогою для будь-якого парку ATAK, що несе дані вище рівня публічної класифікації. Два режими очищення обслуговують різні оперативні сценарії.

Вибіркове очищення видаляє лише керований робочий профіль — ATAK, всі затверджені плагіни, дані плагінів, сертифікат TAK Server та керований сховище ключів. Особистий розділ пристрою залишається недоторканим. Вибіркове очищення є відповідним відгуком для BYOD-суміжних тактичних розгортань, де пристрій має суміш особистих та організаційних даних. Виконання вибіркового очищення займає 15–30 секунд і може бути ініційовано з консолі MDM, з автоматизованого правила відповідності або через API MDM.

Повне очищення скидає весь пристрій до заводських налаштувань. Повне очищення вимагається політикою для будь-якого пристрою, оціненого як захопленого, скомпрометованого або такого, що вийшов із авторизованого зберігання в розгортаннях, суміжних із класифікованими. Повне очищення є незворотним і займає 3–5 хвилин. MDM видає команду повного очищення та підтверджує виконання, коли пристрій наступного разу підключається — якщо пристрій офлайн, команда очищення стає в чергу та виконується при наступному підключенні.

Автоматичне геозональне очищення є найвищою конфігурацією безпеки для пристроїв ATAK, що діють поблизу оспорюваних меж. MDM визначає географічний периметр, що відповідає оперативному району. Якщо пристрій виходить за периметр та не підключається протягом налаштованого пільгового часу (15–60 хвилин залежно від моделі загрози), MDM автоматично видає команду очищення. Це захищає від сценарію, де пристрій захоплено та вивезено з оперативного району до того, як наказ про ручне очищення може бути виконаний через ланцюг командування. Геозональне очищення вимагає, щоб пристрій мав періодичний зв'язок для звіту про позицію — у повністю відключених операціях замість нього використовується автоматичне очищення за таймером (очищення, якщо пристрій не підключається більше 72 годин).

Управління сертифікатами: ідентичність пристрою та автентифікація клієнта TAK Server

TAK Server автентифікує клієнтів ATAK за допомогою взаємного TLS — кожен клієнтський пристрій пред'являє сертифікат ідентичності пристрою, підписаний CA TAK Server (або підпорядкованим CA, якому довіряє TAK Server). Управління цими сертифікатами вручну у масштабі — генерація, розповсюдження, встановлення та ротація сертифікатів для 200 пристроїв — є оперативно нежиттєздатним. Управління сертифікатами MDM автоматизує весь життєвий цикл.

MDM налаштовує профіль SCEP (Simple Certificate Enrollment Protocol), що вказує на CA організації. SCEP є стандартним протоколом для автоматизованої видачі сертифікатів на мобільних пристроях: пристрій генерує пару ключів у апаратному забезпеченні (у апаратному сховищі ключів Knox на пристроях Samsung), надсилає запит на підписання сертифіката до SCEP-ендпоінта та отримує підписаний сертифікат. MDM встановлює сертифікат у сховище ключів Android Enterprise та робить його доступним для ATAK через конфігурацію керованого застосунку.

Терміни дії сертифікатів слід встановлювати на 12 місяців з автоматичним поновленням, що активується за 30 днів до закінчення. MDM ініціює поновлення автоматично — без дій оператора. Відкликання обробляється через CRL CA або OCSP-відповідач; TAK Server слід налаштувати для перевірки статусу відкликання сертифіката при кожному підключенні клієнта для середовищ, де відкликання сертифікатів є живою загрозою.

Для ізольованих середовищ CA є локальним екземпляром Microsoft ADCS або окремим сервером EJBCA з увімкненим модулем SCEP RA. SCEP-ендпоінт публікується лише в межах ізольованої мережі. Сертифікати пристроїв, видані цим CA, є довіреними лише для локального TAK Server — вони не надають доступ до зовнішніх систем, обмежуючи радіус ураження від скомпрометованого сертифіката пристрою.

Моніторинг відповідності: панель, сповіщення та журнал аудиту

Постійний моніторинг відповідності парку відповідає на два оперативних питання: які пристрої наразі виходять за межі політики, та що сталося на конкретному пристрої між двома моментами часу. Обидва питання вимагають телеметрії, що безперервно надходить від пристроїв до MDM — не лише при реєстрації.

Панель відповідності MDM показує стан відповідності кожного зареєстрованого пристрою в реальному часі щодо активного набору політик. Пристрій стає невідповідним, коли будь-яка перевірка політики не вдається: тайм-аут блокування екрана змінено оператором, увімкнено USB налагодження, змінено статус шифрування, встановлено несанкціонований застосунок. Невідповідні пристрої негайно позначаються на панелі. Правила автоматизованого усунення виконуються без втручання адміністратора — пристрій, що вимикає блокування екрана, отримує команду блокування від MDM протягом 60 секунд; пристрій із увімкненим USB налагодженням переводиться в карантин від мережевого доступу TAK Server до повторного застосування політики.

Сповіщення про невідповідні пристрої доставляються через push-сповіщення MDM команді IT-безпеки та, залежно від класифікації серйозності порушення, офіцеру із забезпечення інформаційної безпеки підрозділу. Маршрутизація сповіщень використовує рольові політики сповіщень MDM: порушення низької серйозності (зміщення конфігурації) надходять до служби підтримки IT; порушення високої серйозності (виявлено jailbreak, шифрування вимкнено) надходять до команди безпеки та запускають автоматичний інцидент-тікет.

Журнал аудиту порушень політик фіксує кожну подію відповідності з ідентифікатором пристрою, міткою часу, типом порушення, порушеною політикою та вжитими заходами автоматизованого усунення. Цей журнал надходить до організаційного SIEM через syslog або API-інтеграцію MDM — дозволяючи перехресну кореляцію між порушеннями політик пристроїв ATAK та іншою телеметрією безпеки (незвичайні підключення TAK Server, аномалії CoT-повідомлень). Журнал аудиту є авторитетним записом для розслідування інцидентів безпеки та демонстрації відповідності STIG під час аудитів.

Обговоріть ваш проект

Ми проектуємо та впроваджуємо архітектури управління пристроями ATAK — реєстрацію MDM, життєвий цикл сертифікатів, розподіл плагінів та моніторинг відповідності для тактичних парків Android.

Розробка польових застосунків → Забронювати брифінг

Цей аналіз підготовлено інженерами Corvus Intelligence, які розробляють критично важливе програмне забезпечення для оборонних та урядових організацій. Дізнайтеся про нашу команду →

Часті запитання

Які MDM-платформи відповідають вимогам STIG для розгортань ATAK?

Samsung Knox, VMware Workspace ONE та Microsoft Intune мають опубліковані базові конфігурації відповідності STIG для Android Enterprise. Samsung Knox є кращим вибором для виділених тактичних пристроїв, оскільки Knox Platform for Enterprise (KPE) забезпечує апаратне сховище ключів, контейнеризацію з подвійною особистістю та атестацію пристрою, яку загальні MDM API Android Enterprise не можуть відтворити. Workspace ONE підходить для різнорідних парків. Intune є прийнятним для організацій у Microsoft 365 GCC High, але має слабшу апаратну атестацію Android порівняно з Knox.

Як працює zero-touch реєстрація для пристроїв ATAK?

Zero-touch реєстрація попередньо пов'язує IMEI або серійні номери пристроїв із конфігурацією MDM до відправлення пристрою. При першому завантаженні пристрій звертається до порталу zero-touch Google, отримує URL MDM-сервера та токен реєстрації та автоматично завершує реєстрацію без втручання оператора. Для ізольованих середовищ zero-touch замінюється provisioning через QR-код або NFC, оскільки zero-touch вимагає доступу до серверів Google.

Чи можна примусово встановити ATAK та зафіксувати версію через MDM?

Так. Managed Google Play в Android Enterprise (або Samsung Knox App Management) дозволяє MDM розповсюджувати конкретну версію APK на зареєстровані пристрої та блокувати самостійні оновлення. Політика MDM може зафіксувати ATAK на конкретному номері версії, відхиляти будь-який застосунок без затвердженого хешу та організовувати поетапне розгортання по групах пристроїв.

Що таке вибіркове очищення в управлінні пристроями ATAK?

Вибіркове очищення видаляє лише дані керованого робочого профілю — ATAK, його плагіни та контейнер даних — залишаючи особистий розділ пристрою недоторканим. Це актуально для BYOD тактичних розгортань. Повне очищення скидає весь пристрій до заводських налаштувань. Автоматичне геозональне очищення активує вибіркове або повне очищення, якщо пристрій залишає визначений географічний периметр.

Як сертифікати клієнтів TAK Server розгортаються через MDM?

TAK Server використовує взаємний TLS для автентифікації клієнтів — кожен пристрій ATAK пред'являє сертифікат ідентичності пристрою, підписаний CA TAK Server. Управління сертифікатами MDM розгортає ці сертифікати через SCEP до сховища ключів Android Enterprise по повітрю. MDM видає сертифікат від TAK CA, встановлює його у робочий профіль та налаштовує конфігурацію ATAK для посилання на псевдонім сертифіката. Ротація сертифікатів автоматизована MDM.

Які політики безпеки слід застосовувати на тактичних пристроях ATAK?

Мінімально необхідні політики: повне шифрування диска AES-256, тайм-аут блокування екрана 30 секунд або менше, обов'язкове PIN або біометричне розблокування (шаблон заборонено), USB налагодження вимкнено, встановлення з невідомих джерел заблоковано, параметри розробника вимкнено та завжди активний VPN для підключень TAK Server. Android 13 STIG та Samsung Knox STIG є авторитетними джерелами засобів контролю.

Як управляти затвердженнями плагінів ATAK в MDM?

Затверджений список плагінів ведеться в MDM як список дозволених підписаних хешів APK або сертифікатів підпису. Політика MDM блокує встановлення будь-якого APK, чий підпис не входить до списку дозволених, запобігаючи несанкціонованому sideloading. Нові плагіни проходять перевірку безпеки перед додаванням до списку. MDM розповсюджує затверджені плагіни через приватний корпоративний каталог застосунків.

Як виглядає моніторинг відповідності в реальному часі для парків ATAK?

Панель відповідності MDM показує стан відповідності кожного зареєстрованого пристрою щодо активного набору політик. Події невідповідності генерують миттєві сповіщення адміністратору та запускають автоматичне усунення: карантин пристрою від мережевих ресурсів, надсилання push-сповіщення оператору та запис порушення в журнал аудиту. Журнали надходять до SIEM організації для перехресної кореляції.

Як обробляти реєстрацію пристроїв ATAK в ізольованих середовищах?

Реєстрація в ізольованих середовищах використовує локально розміщений екземпляр MDM у поєднанні з provisioning через QR-код або NFC. QR-код кодує URL локального MDM-сервера, облікові дані Wi-Fi та токен реєстрації. Реєстрація пристроїв відбувається повністю в межах ізольованої мережі. Видача сертифікатів використовує локальний CA сервер (Microsoft ADCS або EJBCA) через локальний SCEP-ендпоінт MDM.

Яке обладнання рекомендується для розгортання парку ATAK?

Samsung Galaxy XCover Pro та XCover6 Pro є найпоширенішими апаратними платформами для ATAK через Samsung Knox та відповідність STIG для розгортань DoD, а захищений клас відповідає MIL-STD-810H. Kyocera DuraForce Ultra 5G є альтернативою для жорстких умов із вищими рейтингами IP. Усі пристрої мають підтримувати дворежимний GPS (L1/L5) для точного позиціонування.