保护您的 Endpoint Central 服务器
简介
一名网络威胁行为者声称访问了部分作为边缘设备托管且密码策略较弱的 Endpoint Central 服务器实例。本文档将解释该声明、实例可能被攻破的条件以及终端用户可采取的安全加固措施。
相关文章
声明内容是什么?
一名网络威胁行为者声称,作为边缘设备托管的 Endpoint Central 服务器(公开可访问)如果未启用两因素认证且使用默认凭据进行用户认证,可能会受到影响。该声明仅适用于满足以下三项条件的组织 Endpoint Central 服务器。
我们如何分析该威胁?
我们已与第三方情报机构联系,以调查该声明。(参考文章)
目标是谁?
仅满足以下所有条件的 Endpoint Central 服务器会成为目标:
- 服务器可公开访问。
- 未启用两因素认证。
- 登录时使用默认管理员用户名和密码。
如果满足所有三个条件,我该怎么办?
解决办法:
影响评估:
- 验证是否创建了任何新的未经授权的用户。
- 检查网络中是否部署了未经认证的自定义脚本或配置。
- 检查是否有任何可疑的可执行文件被部署在您的网络中。强烈建议监控过去几周的防火墙流量,查看是否存在异常行为。
- 同时,您可以分析 Endpoint Central 的操作日志查看器及您的网络事件日志,查找异常行为。
我不满足所有三个条件。但我可以进一步加强我的 Endpoint Central 服务器的安全性吗?
转到 管理员 选项卡,点击 安全设置.
- 启用 安全登录.
- 启用 两因素认证.
- 设置复杂的密码策略。
- 确保始终更改默认管理员密码。.
- 为 LAN 和 WAN 代理启用安全通信 (HTTPS)。
- 禁用较旧版本的 TLS.
注意:1) 强烈建议您在 Endpoint Central 服务器中启用两因素认证。
2) 请参阅我们的 安全提示和建议 文档,以增强安全性。
常见问题
如何确认我的设置是否被使用默认凭据访问?
- 转到 管理员 选项卡。
- 在 全局设置中,点击 用户管理.
- 您可以检查是否创建了未经授权的用户。同时,请检查现有用户是否被修改。
- 您还应访问 操作日志查看器 我除了默认账户外还有其他管理员账户。我的设置会受到影响吗?
会,您的设置可能会受到影响,因为存在默认用户名和密码。强烈建议您删除或更改默认管理员账户的用户名和密码。操作方法是,转到
选项卡,选择 管理员 下的 用户管理 。在此处,可以更改默认管理员账户密码或删除该账户。若要进一步提升服务器安全,转到 全局设置选项卡,点击 管理员 ,启用更多列出的选项。 安全设置我已配置 Secure Gateway Server;这会影响我的中央服务器吗?
如果启用了 Secure Gateway Server 的 UI,且中央服务器仍然使用默认管理员用户名和密码,则服务器可能受到影响。如果您这样配置了服务器,请重置默认凭据并启用两因素认证。
本页 将为您提供帮助。 如需帮助,我们的支持团队随时为您服务。请通过以下邮箱联系我们:
uems-security@manageengine.com 点击此处直接与我们聊天!.
受信赖客户
