Endpoint Central 作为企业终端管理的 "中枢系统",掌控着全网终端的补丁推送、软件部署、配置管理、远程控制等关键权限,存储着大量终端资产信息、用户数据及企业策略配置。一旦服务器被攻破,攻击者可能篡改管理指令(如推送恶意软件)、窃取敏感数据(如终端账号密码),甚至通过其远程控制功能横向渗透至企业内网,形成 "单点突破、全网沦陷" 的风险。因此,加固其安全是保障企业终端管理体系可信性、维护内网安全边界、规避合规风险的核心环节。下面是一些最佳实践:
移动设备管理
登记设置
- 如果登记公司拥有的设备,建议根据不同的平台,选择下面的登记方式,来防止设备在工厂重置后脱离管理:
- Apple Business Manager:对于iOS、macOS和tvOS设备。
- 三星Knox移动设备登记:对于三星设备。
- 零接触登记:对于非三星的设备。
- 对于公司设备,限制用户工厂重置设备和擦除设备,也能防止设备脱管。
- 对于安卓设备,还可以通过限制用户卸载ME MDM应用来防止设备脱管。
- 检测和移除被越狱或ROOT的设备,防止其被管和访问公司数据。
资产管理
- 设置周期性的资产扫描,使设备信息保持为最新。
设备设置
- 配置设备隐私设置,保证只有Endpoint Central管理需要的,和符合地区和国家安全法规的数据保存在服务器上。
- 配置使用策略条款,在收集设备信息时显示给客户,保证客户的隐私数据。
远程管理工具
- 管理页签,在工具设置下,点击端口设置,选中HTTPS方式并保存。
- 系统管理器:在权限设置中,只允许管理员访问用户的文件管理器 和命令提示行。
- 系统管理器:在用户确认中,设置文件管理器 和命令提示行的用户确认。
- 在远程控制中,设置空闲会话,在会话空闲一段时间后断开连接和锁定远程计算机。
- 在远程控制中,启用用户确认。
通用设置
- 数据库备份:在管理页签下,设置好数据库备份及备份保留的数量;设置数据库备份通知,以掌握数据库备份故障;为数据库备份文件设置密码。
- 代理设置:防止用户卸载代理,防止用户停止服务。
- 设置导出报表的数据库安全,你可以选择遮盖个人信息或移除个人信息。
- 如果你使用Endpoint Central的手机应用:使用HTTPS模式连接Endpoint Central服务器;使用应用锁功能;启用双重身份认证。
- 设置Web客户端的最小的会话超时时间。
- 建议为所有用户每90天更改一次密码。
- 不要使用边界设备作为分发服务器。
- 除了Endpoint Central技术支持,不要共享任何日志和文件给他人。
软件部署
- 在本地计算机和安全的网络路径中存储HTTP存储库。
- 在创建新的软件包时,扫描上传的文件。
配置管理
- 在上传文件到脚本库时,扫描上传到文件。
漏洞管理
- 当解决配置漏洞,阅读部署后问题,防止因为配置修改带来新的安全问题。