下表说明了Endpoint Central的功能如何与Essential Eight框架的成熟度等级保持一致。此外,我们还包括了 直接来源于 ASD网站的ISM控件。尽管ASD明确区分了ISM控件和Essential Eight作为独立的网络安全框架,但强调Essential Eight作为基线框架。本映射旨在简化并优化这两个框架的实际应用。
本映射概述了Endpoint Central满足的需求和控件。虽然大多数Essential Eight需求可以通过Endpoint Central直接满足,但诸如事件日志记录等特定需求可以通过SIEM工具实现。Endpoint Central无缝 集成 了流行的SIEM工具,如ManageEngine EventLog Analyzer、ManageEngine Log 360、Rapid7、Splunk等。
缓解策略 | Essential Eight需求 | ISM控件 | Endpoint Central如何提供帮助? |
| 修补应用程序 | 使用自动化资产发现方法,至少每两周一次,以支持后续漏洞扫描活动中的资产检测。 | ISM-1807 | Endpoint Central利用其代理获取IT中库存的完整详细信息。
Endpoint Central的全面补丁解决方案帮助您实现 高补丁合规性. |
| 使用具有最新漏洞数据库的漏洞扫描器进行漏洞扫描活动。 | ISM-1808 | ||
| 至少每日使用漏洞扫描器识别在线服务漏洞的缺失补丁或更新。 | ISM-1698 | ||
| 至少每周使用漏洞扫描器识别办公生产套件、网页浏览器及其扩展、电子邮件客户端、PDF软件和安全产品的缺失补丁或更新。 | ISM-1699 | ||
| 对在线服务漏洞,当供应商评估为关键漏洞或存在可用攻击利用时,在发布后48小时内应用补丁、更新或其他供应商缓解措施。 | ISM-1876 | ||
| 对在线服务漏洞,当供应商评估为非关键漏洞且无可用攻击利用时,在发布后两周内应用补丁、更新或其他供应商缓解措施。 | ISM-1690 | ||
| 对办公生产套件、网页浏览器及其扩展、电子邮件客户端、PDF软件和安全产品的漏洞,在发布后两周内应用补丁、更新或其他供应商缓解措施。 | ISM-1691 | ||
| 移除供应商不再支持的办公生产套件、网页浏览器及其扩展、电子邮件客户端、PDF软件、Adobe Flash Player和安全产品。 | ISM-1704 | ||
| 修补操作系统 | 使用自动化资产发现方法,至少每两周一次,以支持后续漏洞扫描活动中的资产检测。 | ISM-1807 | Endpoint Central利用其代理获取IT中库存的完整详细信息。
Endpoint Central的全面补丁解决方案帮助您实现高补丁合规性。 |
| 使用具有最新漏洞数据库的漏洞扫描器进行漏洞扫描活动。 | ISM-1808 | ||
| 至少每日使用漏洞扫描器识别互联网面向服务器和网络设备操作系统中缺失的补丁或更新。 | ISM-1701 | ||
| 至少每两周使用漏洞扫描器识别工作站、非互联网面向服务器和非互联网面向网络设备操作系统中缺失的补丁或更新。 | ISM-1702 | ||
| 当供应商评估为关键漏洞或存在可用攻击利用时,针对互联网面向服务器和网络设备操作系统的漏洞,在发布后48小时内应用补丁、更新或其他缓解措施。 | ISM-1877 | ||
| 当供应商评估为非关键漏洞且无可用攻击利用时,针对互联网面向服务器和网络设备操作系统的漏洞,在发布后两周内应用补丁、更新或其他缓解措施。 | ISM-1694 | ||
| 针对工作站、非互联网面向服务器和非互联网面向网络设备操作系统的漏洞,在发布后一个月内应用补丁、更新或其他缓解措施。 | ISM-1695 | ||
| 替换供应商不再支持的操作系统。 | ISM-1501 | ||
| 限制管理员权限 | 请求特权访问系统、应用程序和数据存储库时,首次请求时进行验证。 | ISM-1507 | 对于黑名单或灰名单应用程序,Endpoint Central允许管理员为用户提供 临时、按需访问 。因此,终端用户的请求得到验证。 Endpoint Central还具有 权限管理 配置(针对Windows),管理员可通过该配置限制用户访问特定文件、文件夹或注册表键。 Endpoint Central的 自定义组功能 允许管理员逻辑上分隔系统,以便更有效地管理和保护。 管理员可根据需求为不同操作环境创建静态或动态组。 |
| 特权用户被分配专用特权用户账户,仅用于需要特权访问的职责。 | ISM-0445 | ||
| 防止特权用户账户(不包括明确授权访问在线服务的账户)访问互联网、电子邮件和网页服务。 | ISM-1175 | ||
| 明确授权访问在线服务的特权用户账户严格限制访问仅限于履行职责所需范围。 | ISM-1883 | ||
| 特权用户使用分开的特权和非特权操作环境。 | ISM-1380 | ||
| 非特权用户账户不能登录特权操作环境。 | ISM-1688 | ||
| 特权用户账户(不包括本地管理员账户)不能登录非特权操作环境。 | ISM-1689 | ||
| 应用程序控制 | 在工作站上实施应用程序控制。 | ISM-0843 | Endpoint Central遵循最小特权原则,具备强大的 终端权限管理 功能,为应用程序提供特定权限管理和即时访问控制。 它具有 条件访问策略 ,验证授权用户访问关键业务系统和数据。 Endpoint Central的应用程序控制模块允许管理员 允许列表/ 黑名单关键端点中的软件应用程序。 Endpoint Central还支持 阻止可执行文件 功能,防止文件自动执行。 Endpoint Central还授权管理员控制 由其他应用产生的 子进程。 所有位于允许列表中的应用程序及未管理的应用程序将在 审核模式中顺畅运行,并启用日志收集。管理员可根据使用频率和合法性,监控日志并决定何时将应用程序从未管理列表迁移到允许列表。 |
| 应用程序控制应用于用户配置文件以及操作系统、网页浏览器和电子邮件客户端使用的临时文件夹。 | ISM-1870 | ||
| 应用程序控制限制可执行文件、软件库、脚本、安装程序、编译HTML、HTML应用程序和控制面板小程序的执行,只允许组织批准的集合。 | ISM-1657 | ||
| 限制Microsoft Office宏 | 对无明确业务需求的用户禁用Microsoft Office宏。 | ISM-1671 | Endpoint Central利用自定义脚本配置功能,确保无业务需求的用户禁用宏。 Endpoint Central的自定义组功能允许管理员逻辑分隔系统,以便仅将宏部署至选定计算机组。 通过将宏作为自定义脚本部署,利用Endpoint Central,管理员可使用 集合配置 功能。部署脚本后,管理员可启动杀毒应用程序(计划程序配置),以彻底扫描宏。 |
| 来自互联网的文件中的Microsoft Office宏被阻止。 | ISM-1488 | ||
| 启用Microsoft Office宏的杀毒扫描。 | ISM-1672 | ||
| 用户无法更改Microsoft Office宏安全设置。 | ISM-1489 | ||
| 用户应用程序加固 | Internet Explorer 11 被禁用或移除。 | ISM-1654 | Endpoint Central的 浏览器限制 策略可以让管理员限制终端用户使用 Internet Explorer。 Endpoint Central的 浏览器自定义配置 可以帮助管理员阻止浏览器中运行 javascript 使用 Endpoint Central,管理员可以 阻止网站 阻止带有过多广告的网站,以防止用户访问展示过量广告的网站。 Endpoint Central 的全面 浏览器安全 功能使管理员能够强化浏览器安全。 Endpoint Central 可以 确保 管理员部署的浏览器安全设置无法被终端用户篡改。 |
| 网络浏览器不处理来自互联网的 Java。 | ISM-1486 | ||
| 网络浏览器不处理来自互联网的网页广告。 | ISM-1485 | ||
| 用户无法更改浏览器安全设置。 | ISM-1585 | ||
| 定期备份 | 按照业务重要性和业务连续性要求执行并保留数据、应用和设置的备份。 | ISM-1511 | Endpoint Central 还提供 每三小时一次的瞬时、不可擦除备份 利用微软的卷影复制服务对您的网络文件进行备份。 如果文件感染了勒索软件,可以使用该文件的最近备份副本进行恢复。 |
| 数据、应用和设置的备份保持同步,以支持恢复到一个共同时间点。 | ISM-1810 | ||
| 数据、应用和设置的备份以安全和弹性的方式保存。 | ISM-1811 | ||
| 从备份恢复数据、应用和设置到共同时间点的过程被纳入灾难恢复演练进行测试。 | ISM-1515 |
缓解策略 | Essential Eight需求 | ISM控件 | Endpoint Central 帮助 |
| 修补应用程序 | 使用自动化资产发现方法,至少每两周一次,以支持后续漏洞扫描活动中的资产检测。 | ISM-1807 | Endpoint Central利用其代理获取IT中库存的完整详细信息。 Endpoint Central 与Tenable集成 进行广泛的漏洞检测。
|
| 使用具有最新漏洞数据库的漏洞扫描器进行漏洞扫描活动。 | ISM-1808 | ||
| 至少每日使用漏洞扫描器识别在线服务漏洞的缺失补丁或更新。 | ISM-1698 | ||
| 至少每周使用漏洞扫描器识别办公生产套件、网页浏览器及其扩展、电子邮件客户端、PDF软件和安全产品的缺失补丁或更新。 | ISM-1699 | ||
| 每至少两周使用一次漏洞扫描器,以识别除办公生产套件、网络浏览器及其扩展、电子邮件客户端、PDF 软件和安全产品外的应用中的缺失补丁或更新。 | ISM-1700 | ||
| 对在线服务漏洞,当供应商评估为关键漏洞或存在可用攻击利用时,在发布后48小时内应用补丁、更新或其他供应商缓解措施。 | ISM-1876 | ||
| 对在线服务漏洞,当供应商评估为非关键漏洞且无可用攻击利用时,在发布后两周内应用补丁、更新或其他供应商缓解措施。 | ISM-1690 | ||
| 对办公生产套件、网页浏览器及其扩展、电子邮件客户端、PDF软件和安全产品的漏洞,在发布后两周内应用补丁、更新或其他供应商缓解措施。 | ISM-1691 | ||
| 对除办公生产套件、网络浏览器及其扩展、电子邮件客户端、PDF 软件和安全产品之外的应用漏洞,打补丁、更新或采取其他厂商缓解措施,需在发布后一个月内完成。 | ISM-1693 | ||
| 移除供应商不再支持的办公生产套件、网页浏览器及其扩展、电子邮件客户端、PDF软件、Adobe Flash Player和安全产品。 | ISM-1704 | ||
| 修补操作系统 | 使用自动化资产发现方法,至少每两周一次,以支持后续漏洞扫描活动中的资产检测。 | ISM-1807 | Endpoint Central利用其代理获取IT中库存的完整详细信息。
Endpoint Central的全面补丁解决方案帮助您实现高补丁合规性。 Endpoint Central 还提供一个全面视图,列出与 Windows 11 不兼容的计算机硬件。 |
| 使用具有最新漏洞数据库的漏洞扫描器进行漏洞扫描活动。 | ISM-1808 | ||
| 至少每日使用漏洞扫描器识别互联网面向服务器和网络设备操作系统中缺失的补丁或更新。 | ISM-1701 | ||
| 至少每两周使用漏洞扫描器识别工作站、非互联网面向服务器和非互联网面向网络设备操作系统中缺失的补丁或更新。 | ISM-1702 | ||
| 当供应商评估为关键漏洞或存在可用攻击利用时,针对互联网面向服务器和网络设备操作系统的漏洞,在发布后48小时内应用补丁、更新或其他缓解措施。 | ISM-1877 | ||
| 当供应商评估为非关键漏洞且无可用攻击利用时,针对互联网面向服务器和网络设备操作系统的漏洞,在发布后两周内应用补丁、更新或其他缓解措施。 | ISM-1694 | ||
| 针对工作站、非互联网面向服务器和非互联网面向网络设备操作系统的漏洞,在发布后一个月内应用补丁、更新或其他缓解措施。 | ISM-1695 | ||
| 替换供应商不再支持的操作系统。 | ISM-1501 | ||
| 多因素认证 | 多因素认证用于验证系统的特权用户身份。 | ISM-1173 | Endpoint Central 帮助利用 Windows 设备上的 Windows Hello。管理员还可以为 Windows 终端用户配置双因素认证。 Endpoint Central 控制台可以通过双因素认证访问。 |
| 限制管理员权限 | 请求特权访问系统、应用程序和数据存储库时,首次请求时进行验证。 | ISM-1507 | 对于黑名单或灰名单应用程序,Endpoint Central允许管理员为用户提供 临时、按需访问 终端用户请求得到验证。 Endpoint Central还具有 权限管理 配置(针对Windows),管理员可通过该配置限制用户访问特定文件、文件夹或注册表键。 Endpoint Central遵循最小特权原则,具备强大的 终端权限管理 功能,为应用程序提供特定权限管理和即时访问控制。 管理员可以定期重新审核特权管理。 Endpoint Central 有助于移除不必要的本地管理员。 Endpoint Central的 自定义组 功能允许管理员根据自身需求逻辑隔离系统,以便有效管理和保护它们。 管理员可根据需求为不同操作环境创建不同的静态或动态组。 Endpoint Central 拥有 安全网关服务器 防止 Endpoint Central 服务器直接暴露在互联网。 |
| 除非重新验证,系统、应用和数据存储的特权访问在 12 个月后被禁用。 | ISM-1647 | ||
| 系统和应用的特权访问在 45 天无活动后被禁用。 | ISM-1648 | ||
| 特权用户被分配专用特权用户账户,仅用于需要特权访问的职责。 | ISM-0445 | ||
| 防止特权用户账户(不包括明确授权访问在线服务的账户)访问互联网、电子邮件和网页服务。 | ISM-1175 | ||
| 明确授权访问在线服务的特权用户账户严格限制访问仅限于履行职责所需范围。 | ISM-1883 | ||
| 特权用户使用分开的特权和非特权操作环境。 | ISM-1380 | ||
| 特权操作环境不在非特权操作环境中虚拟化。 | ISM-1687 | ||
| 非特权用户账户不能登录特权操作环境。 | ISM-1688 | ||
| 特权用户账户(不包括本地管理员账户)不能登录非特权操作环境。 | ISM-1689 | ||
| 管理活动通过跳板服务器进行。 | ISM-1387 | ||
| 应用程序控制 | 在工作站上实施应用程序控制。 | ISM-0843 | Endpoint Central遵循最小特权原则,具备强大的 终端权限管理 功能,为应用程序提供特定权限管理和即时访问控制。 它具有 条件访问策略 ,验证授权用户访问关键业务系统和数据。 Endpoint Central的应用程序控制模块允许管理员 允许列表/ 阻止关键终端上的软件应用。 Endpoint Central还支持 阻止可执行文件 功能,防止文件自动执行。 Endpoint Central还授权管理员控制 由其他应用产生的 子进程。 所有位于允许列表中的应用程序及未管理的应用程序将在 审核模式中顺畅运行,并启用日志收集。管理员可根据使用频率和合法性,监控日志并决定何时将应用程序从未管理列表迁移到允许列表。 |
| 应用控制在面向互联网的服务器上实施。 | ISM-1490 | ||
| 应用程序控制应用于用户配置文件以及操作系统、网页浏览器和电子邮件客户端使用的临时文件夹。 | ISM-1870 | ||
| 应用控制适用于除用户配置文件及操作系统、浏览器和邮件客户端使用的临时文件夹外的所有位置。 | ISM-1871 | ||
| 应用程序控制限制可执行文件、软件库、脚本、安装程序、编译HTML、HTML应用程序和控制面板小程序的执行,只允许组织批准的集合。 | ISM-1657 | ||
| 实施微软推荐的应用阻止列表。 | ISM-1544 | ||
| 应用控制规则集至少每年验证一次,或更频繁。 | ISM-1582 | ||
| 限制Microsoft Office宏 | 对无明确业务需求的用户禁用Microsoft Office宏。 | ISM-1671 | Endpoint Central利用自定义脚本配置功能,确保无业务需求的用户禁用宏。 Endpoint Central的自定义组功能允许管理员逻辑分隔系统,以便仅将宏部署至选定计算机组。 通过将宏作为自定义脚本部署,利用Endpoint Central,管理员可使用 集合配置功能。这意味着脚本部署后,管理员可启动杀毒应用程序(计划程序配置),以彻底扫描宏。 |
| 来自互联网的文件中的Microsoft Office宏被阻止。 | ISM-1488 | ||
| 启用Microsoft Office宏的杀毒扫描。 | ISM-1672 | ||
| 用户无法更改Microsoft Office宏安全设置。 | ISM-1489 | ||
| 用户应用程序加固 | Internet Explorer 11 被禁用或移除。 | ISM-1654 | Endpoint Central的 浏览器限制策略 允许管理员限制终端用户使用 Internet Explorer。 Endpoint Central的 浏览器自定义配置 可以帮助管理员阻止浏览器中运行 javascript。 使用 Endpoint Central,管理员可以 阻止网站 阻止带有过多广告的网站,以防止用户访问展示过量广告的网站。 Endpoint Central 的全面 浏览器安全 功能使管理员能够强化浏览器安全。 Endpoint Central 可以 确保 管理员部署的浏览器安全设置无法被终端用户篡改。 Endpoint Central还授权管理员控制 由其他应用产生的 子进程。 Endpoint Central 提供对第三方应用如 Adobe 的补丁支持。 |
| 网络浏览器不处理来自互联网的 Java。 | ISM-1486 | ||
| 网络浏览器不处理来自互联网的网页广告。 | ISM-1485 | ||
| 浏览器按照 ASD 和厂商的加固指南进行强化,出现冲突时采用最严格的指导。 | ISM-1412 | ||
| 用户无法更改浏览器安全设置。 | ISM-1585 | ||
| 阻止 Microsoft Office 创建子进程。 | ISM-1667 | ||
| 阻止 Microsoft Office 创建可执行内容。 | ISM-1668 | ||
| 阻止 Microsoft Office 向其他进程注入代码。 | ISM-1669 | ||
| 配置 Microsoft Office 防止激活对象链接和嵌入包。 | ISM-1542 | ||
| 办公生产套件按 ASD 和厂商的加固指导进行强化,出现冲突时采用最严格的指导。 | ISM-1859 | ||
| 办公生产套件的安全设置不可被用户更改。 | ISM-1823 | ||
| 阻止 PDF 软件创建子进程。 | ISM-1670 | ||
| PDF 软件按照 ASD 和厂商的加固指导进行强化,出现冲突时采用最严格的指导。 | ISM-1860 | ||
| PDF 软件的安全设置不可被用户更改。 | ISM-1824 | ||
| 定期备份 | 按照业务重要性和业务连续性要求执行并保留数据、应用和设置的备份。 | ISM-1511 | Endpoint Central 还提供 每三小时一次的瞬时、不可擦除备份 利用微软的卷影复制服务对您的网络文件进行备份。 如果文件感染了勒索软件,可以使用该文件的最近备份副本进行恢复。 |
| 数据、应用和设置的备份保持同步,以支持恢复到一个共同时间点。 | ISM-1810 | ||
| 数据、应用和设置的备份以安全和弹性的方式保存。 | ISM-1811 | ||
| 从备份恢复数据、应用和设置到共同时间点的过程被纳入灾难恢复演练进行测试。 | ISM-1515 |
缓解策略 | Essential Eight需求 | ISM控件 | Endpoint Central 帮助 |
| 修补应用程序 | 使用自动化资产发现方法,至少每两周一次,以支持后续漏洞扫描活动中的资产检测。 | ISM-1807 | Endpoint Central利用其代理获取IT中库存的完整详细信息。
Endpoint Central的全面补丁解决方案帮助您实现高补丁合规性。 |
| 使用具有最新漏洞数据库的漏洞扫描器进行漏洞扫描活动。 | ISM-1808 | ||
| 至少每日使用漏洞扫描器识别在线服务漏洞的缺失补丁或更新。 | ISM-1698 | ||
| 至少每周使用漏洞扫描器识别办公生产套件、网页浏览器及其扩展、电子邮件客户端、PDF软件和安全产品的缺失补丁或更新。 | ISM-1699 | ||
| 每至少两周使用一次漏洞扫描器,以识别除办公生产套件、网络浏览器及其扩展、电子邮件客户端、PDF 软件和安全产品外的应用中的缺失补丁或更新。 | ISM-1700 | ||
| 对在线服务漏洞,当供应商评估为关键漏洞或存在可用攻击利用时,在发布后48小时内应用补丁、更新或其他供应商缓解措施。 | ISM-1876 | ||
| 对在线服务漏洞,当供应商评估为非关键漏洞且无可用攻击利用时,在发布后两周内应用补丁、更新或其他供应商缓解措施。 | ISM-1690 | ||
| 对于办公生产套件、网络浏览器及其扩展、电子邮件客户端、PDF 软件和安全产品中被评估为关键漏洞或存在可利用漏洞的,补丁、更新或其他厂商缓解措施需在发布后 48 小时内应用。 | ISM-1692 | ||
| 对于办公生产套件、网络浏览器及其扩展、电子邮件客户端、PDF 软件和安全产品中被评估为非关键漏洞且无可利用漏洞的,补丁、更新或其他厂商缓解措施需在发布后两周内应用。 | ISM-1901 | ||
| 对除办公生产套件、网络浏览器及其扩展、电子邮件客户端、PDF 软件和安全产品之外的应用漏洞,打补丁、更新或采取其他厂商缓解措施,需在发布后一个月内完成。 | ISM-1693 | ||
| 移除供应商不再支持的办公生产套件、网页浏览器及其扩展、电子邮件客户端、PDF软件、Adobe Flash Player和安全产品。 | ISM-1704 | ||
| 移除不由厂商支持的除办公生产套件、网络浏览器及其扩展、电子邮件客户端、PDF 软件、Adobe Flash Player 及安全产品外的应用。 | ISM-0304 | ||
| 修补操作系统 | 使用自动化资产发现方法,至少每两周一次,以支持后续漏洞扫描活动中的资产检测。 | ISM-1807 | Endpoint Central利用其代理获取IT中库存的完整详细信息。
Endpoint Central的全面补丁解决方案帮助您实现高补丁合规性。 |
| 使用具有最新漏洞数据库的漏洞扫描器进行漏洞扫描活动。 | ISM-1808 | ||
| 至少每日使用漏洞扫描器识别互联网面向服务器和网络设备操作系统中缺失的补丁或更新。 | ISM-1701 | ||
| 至少每两周使用漏洞扫描器识别工作站、非互联网面向服务器和非互联网面向网络设备操作系统中缺失的补丁或更新。 | ISM-1702 | ||
| 至少每两周使用一次漏洞扫描器,以识别驱动程序中的缺失补丁或更新。 | ISM-1703 | ||
| 至少每两周使用一次漏洞扫描器,以识别固件中的缺失补丁或更新。 | ISM-1900 | ||
| 当供应商评估为关键漏洞或存在可用攻击利用时,针对互联网面向服务器和网络设备操作系统的漏洞,在发布后48小时内应用补丁、更新或其他缓解措施。 | ISM-1877 | ||
| 当供应商评估为非关键漏洞且无可用攻击利用时,针对互联网面向服务器和网络设备操作系统的漏洞,在发布后两周内应用补丁、更新或其他缓解措施。 | ISM-1694 | ||
| 对工作站操作系统、非面向互联网的服务器和网络设备操作系统中被评估为关键漏洞或存在可利用漏洞的,补丁、更新或其他厂商缓解措施需在发布后 48 小时内应用。 | ISM-1696 | ||
| 对工作站操作系统、非面向互联网的服务器和网络设备操作系统中被评估为非关键漏洞且无可利用漏洞的,补丁、更新或其他厂商缓解措施需在发布后一月内应用。 | ISM-1902 | ||
| 对驱动程序中被评估为关键漏洞或存在可利用漏洞的,补丁、更新或其他厂商缓解措施需在发布后 48 小时内应用。 | ISM-1879 | ||
| 对驱动程序中被评估为非关键漏洞且无可利用漏洞的,补丁、更新或其他厂商缓解措施需在发布后一月内应用。 | ISM-1697 | ||
| 对固件中被评估为关键漏洞或存在可利用漏洞的,补丁、更新或其他厂商缓解措施需在发布后 48 小时内应用。 | ISM-1903 | ||
| 对固件中被评估为非关键漏洞且无可利用漏洞的,补丁、更新或其他厂商缓解措施需在发布后一月内应用。 | ISM-1904 | ||
| 使用最新发布版本或前一版本的操作系统。 | ISM-1407 | ||
| 替换供应商不再支持的操作系统。 | ISM-1501 | ||
| 多因素认证 | 多因素认证用于验证系统的特权用户身份。 | ISM-1173 | Endpoint Central 帮助 利用 Windows Hello 用于 Windows 设备。管理员还可以为 Windows 终端用户配置双因素认证。 Endpoint Central 控制台可以通过双因素认证访问。 |
| 限制管理员权限 | 请求特权访问系统、应用程序和数据存储库时,首次请求时进行验证。 | ISM-1507 | 对于黑名单或灰名单应用程序,Endpoint Central允许管理员为用户提供 临时、按需访问 终端用户请求得到验证。 Endpoint Central还具有 权限管理配置 (针对 Windows)管理员可以通过该功能限制用户访问特定文件、文件夹或注册表项。 Endpoint Central遵循最小特权原则,具备强大的 终端权限管理 功能,为应用程序提供特定权限管理和即时访问控制。 管理员可以定期重新审核特权管理。 Endpoint Central 可以帮助移除 不必要的本地管理员。 Endpoint Central的 自定义组 功能允许管理员根据自身需求逻辑隔离系统,以便有效管理和保护它们。 管理员可根据需求为不同操作环境创建静态或动态组。 Endpoint Central 拥有 安全网关服务器 防止 Endpoint Central 服务器直接暴露在互联网。 |
| 除非重新验证,系统、应用和数据存储的特权访问在 12 个月后被禁用。 | ISM-1647 | ||
| 系统和应用的特权访问在 45 天无活动后被禁用。 | ISM-1648 | ||
| 特权用户被分配专用特权用户账户,仅用于需要特权访问的职责。 | ISM-0445 | ||
| 对系统、应用程序和数据存储库的特权访问仅限于用户和服务完成其职责所需的范围。 | ISM-1508 | ||
| 防止特权用户账户(不包括明确授权访问在线服务的账户)访问互联网、电子邮件和网页服务。 | ISM-1175 | ||
| 明确授权访问在线服务的特权用户账户严格限制访问仅限于履行职责所需范围。 | ISM-1883 | ||
| 安全管理工作站用于执行管理活动。 | ISM-1898 | ||
| 特权用户使用分开的特权和非特权操作环境。 | ISM-1380 | ||
| 特权操作环境不在非特权操作环境中虚拟化。 | ISM-1687 | ||
| 非特权用户账户不能登录特权操作环境。 | ISM-1688 | ||
| 特权用户账户(不包括本地管理员账户)不能登录非特权操作环境。 | ISM-1689 | ||
| 使用准时管理来管理系统和应用程序。 | ISM-1649 | ||
| 管理活动通过跳板服务器进行。 | ISM-1387 | ||
| 应用程序控制 | 在工作站上实施应用程序控制。 | ISM-0843 | Endpoint Central遵循最小特权原则,具备强大的 终端权限管理 功能,为应用程序提供特定权限管理和即时访问控制。 它具有 条件访问策略 ,验证授权用户访问关键业务系统和数据。 Endpoint Central的应用程序控制模块允许管理员 允许列表/ 黑名单关键端点中的软件应用程序。 Endpoint Central还支持 阻止可执行文件 功能,防止文件自动执行。 Endpoint Central还授权管理员控制 由其他应用产生的 子进程。 所有位于允许列表中的应用程序及未管理的应用程序将在 审核模式中顺畅运行,并启用日志收集。管理员可根据使用频率和合法性,监控日志并决定何时将应用程序从未管理列表迁移到允许列表。 |
| 应用控制在面向互联网的服务器上实施。 | ISM-1490 | ||
| 对非面向互联网的服务器实施应用程序控制。 | ISM-1656 | ||
| 应用程序控制应用于用户配置文件以及操作系统、网页浏览器和电子邮件客户端使用的临时文件夹。 | ISM-1870 | ||
| 应用控制适用于除用户配置文件及操作系统、浏览器和邮件客户端使用的临时文件夹外的所有位置。 | ISM-1871 | ||
| 应用程序控制限制可执行文件、软件库、脚本、安装程序、编译HTML、HTML应用程序和控制面板小程序的执行,只允许组织批准的集合。 | ISM-1657 | ||
| 应用程序控制限制驱动程序的执行范围,仅限于组织批准的集合。 | ISM-1658 | ||
| 实施微软推荐的应用阻止列表。 | ISM-1544 | ||
| 实施微软的易受攻击驱动程序阻止列表。 | ISM-1659 | ||
| 应用控制规则集至少每年验证一次,或更频繁。 | ISM-1582 | ||
| 限制Microsoft Office宏 | 对无明确业务需求的用户禁用Microsoft Office宏。 | ISM-1671 | Endpoint Central利用自定义脚本配置功能,确保无业务需求的用户禁用宏。 Endpoint Central的自定义组功能允许管理员逻辑分隔系统,以便仅将宏部署至选定计算机组。 通过将宏作为自定义脚本部署,利用Endpoint Central,管理员可使用 集合配置 功能。部署脚本后,管理员可启动杀毒应用程序(计划程序配置),以彻底扫描宏。 |
| 仅允许从沙箱环境、受信任位置或由受信任发布者数字签名的 Microsoft Office 宏执行。 | ISM-1674 | ||
| 在数字签名或放置于受信任位置之前,Microsoft Office 宏会被检查以确保其不含恶意代码。 | ISM-1890 | ||
| 只有负责检查 Microsoft Office 宏无恶意代码的特权用户可以写入和修改受信任位置中的内容。 | ISM-1487 | ||
| 由不受信任发布者数字签名的 Microsoft Office 宏无法通过消息栏或后台视图启用。 | ISM-1675 | ||
| 由非 V3 签名数字签名的 Microsoft Office 宏无法通过消息栏或后台视图启用。 | ISM-1891 | ||
| Microsoft Office 的受信任发布者列表每年或更频繁地进行验证。 | ISM-1676 | ||
| 来自互联网的文件中的Microsoft Office宏被阻止。 | ISM-1488 | ||
| 启用Microsoft Office宏的杀毒扫描。 | ISM-1672 | ||
| 阻止 Microsoft Office 宏调用 Win32 API。 | ISM-1673 | ||
| 用户无法更改Microsoft Office宏安全设置。 | ISM-1489 | ||
| 用户应用程序加固 | Internet Explorer 11 被禁用或移除。 | ISM-1654 | Endpoint Central的 浏览器限制 策略可以让管理员限制终端用户使用 Internet Explorer。 Endpoint Central的 浏览器自定义配置 可以帮助管理员阻止浏览器中运行 javascript。 使用 Endpoint Central,管理员可以 阻止网站 阻止带有过多广告的网站,以防止用户访问展示过量广告的网站。 Endpoint Central 的全面 浏览器安全 功能使管理员能够强化浏览器安全。 Endpoint Central 可以 确保 管理员部署的浏览器安全设置无法被终端用户篡改。 Endpoint Central还授权管理员控制 由其他应用产生的 子进程。 Endpoint Central 提供对第三方应用如 Adobe 的补丁支持。 |
| 网络浏览器不处理来自互联网的 Java。 | ISM-1486 | ||
| 网络浏览器不处理来自互联网的网页广告。 | ISM-1485 | ||
| 浏览器按照 ASD 和厂商的加固指南进行强化,出现冲突时采用最严格的指导。 | ISM-1412 | ||
| 用户无法更改浏览器安全设置。 | ISM-1585 | ||
| 阻止 Microsoft Office 创建子进程。 | ISM-1667 | ||
| 阻止 Microsoft Office 创建可执行内容。 | ISM-1668 | ||
| 阻止 Microsoft Office 向其他进程注入代码。 | ISM-1669 | ||
| 配置 Microsoft Office 防止激活对象链接和嵌入包。 | ISM-1542 | ||
| 办公生产套件按 ASD 和厂商的加固指导进行强化,出现冲突时采用最严格的指导。 | ISM-1859 | ||
| 办公生产套件的安全设置不可被用户更改。 | ISM-1823 | ||
| 阻止 PDF 软件创建子进程。 | ISM-1670 | ||
| PDF 软件按照 ASD 和厂商的加固指导进行强化,出现冲突时采用最严格的指导。 | ISM-1860 | ||
| PDF 软件的安全设置不可被用户更改。 | ISM-1824 | ||
| 禁用或移除 .NET Framework 3.5(包括 .NET 2.0 和 3.0)。 | ISM-1655 | ||
| 禁用或移除 Windows PowerShell 2.0。 | ISM-1621 | ||
| 定期备份 | 按照业务重要性和业务连续性要求执行并保留数据、应用和设置的备份。 | ISM-1511 | Endpoint Central 还提供 每三小时一次的瞬时、不可擦除备份 利用微软的卷影复制服务对您的网络文件进行备份。 如果文件感染了勒索软件,可以使用该文件的最近备份副本进行恢复。 |
| 数据、应用和设置的备份保持同步,以支持恢复到一个共同时间点。 | ISM-1810 | ||
| 数据、应用和设置的备份以安全和弹性的方式保存。 | ISM-1811 | ||
| 从备份恢复数据、应用和设置到共同时间点的过程被纳入灾难恢复演练进行测试。 | ISM-1515 |
