使用 Endpoint Central 简化网络安全基础认证

防火墙

要求

必须使用正确配置的防火墙（或具防火墙功能的网络设备）保护所有适用设备。

信息：大多数桌面及笔记本操作系统预装软件防火墙；我们建议优先启用这些防火墙，而非使用第三方防火墙应用。

对于所有防火墙（或具防火墙功能的网络设备），您的组织必须：

• 将默认管理员密码更改为强且唯一的密码（参见基于密码的身份验证）——或完全禁用远程管理员访问

• 除非有明确且有文档支持的业务需求，并且接口受到以下控制之一保护，否则禁止从互联网访问管理界面（用于管理防火墙配置）：
  i) 多因素认证
  ii) 限制访问至少数可信地址的 IP 允许列表，结合适当管理的密码认证方法

• 默认阻止未经身份验证的入站连接

• 确保入站防火墙规则由授权人员批准并记录，包括业务需求在内

• 当不再需要时，迅速删除或禁用多余的防火墙规则
  
  在不受信网络（如公共 wifi 热点）使用设备时，确保启用软件防火墙

Endpoint Central 方便管理员 配置 Windows 防火墙 供终端用户使用。

安全配置

要求

计算机及网络设备

您的组织必须主动管理计算机及网络设备。必须定期：

• 删除并禁用不必要的用户账户（如访客账户及不再使用的管理员账户）

• 修改任何默认或易猜测的账户密码（参见基于密码的身份验证）

• 删除或禁用不必要的软件（包括应用程序、系统工具及网络服务）

• 禁用任何允许文件在用户未授权情况下自动执行的自动运行功能（例如下载后执行）

• 确保用户经过身份验证后方可访问组织数据或服务

• 对物理出席的用户实施适当的设备锁定控制

设备解锁凭证

如果设备需要用户物理在场访问设备服务（如登录笔记本或解锁手机），则必须先通过生物特征、密码或 PIN 等凭证，用户才能获得服务访问权限。

必须保护所选身份验证方法（生物特征认证、密码或 PIN）免受暴力破解攻击。如可配置，应实施以下措施之一：

• “节流”尝试次数，即失败尝试次数越多，用户必须等待的时间越长。5 分钟内不应允许超过10次尝试。

• 超过10次失败尝试后锁定设备。

• 若供应商不允许配置上述策略，则采用供应商默认设置。

必须使用技术控制管理凭证质量。仅用于解锁设备的凭证，密码或 PIN 最小长度应为6个字符。当设备解锁凭证同时用于身份验证时，必须对凭证应用“用户访问控制”中描述的完整密码要求。

通过 Endpoint Central 吊销非预期用户的管理权限 并强制执行 最小权限原则。

管理员可 禁止用户 安装不必要的软件，并可创建允许/阻止的 软件列表 以管理其 IT 环境。

Endpoint Central 还可以 利用阻止可执行文件功能 防止文件自动执行。Endpoint Central 还允许管理员控制 由其他应用产生的 子进程。为确保安全访问企业应用，Endpoint Central 使用 Kerberos 协议实现企业 SSO。Endpoint Central 还利用基于证书的认证（通过 SCEP）。 Endpoint Central 允许管理员为运行 Android、Apple 和 Windows 的移动设备设定

密码策略，确保终端用户为设备设置强密码。策略允许管理员配置最大失败密码尝试次数、最大空闲时间后自动锁定以及多项配置。 安全更新管理
必须确保所有适用软件保持最新状态。所有范围内设备的软件必须：

获得授权和支持

要求

当软件不再受支持或范围外时须从设备移除，或通过定义的子集阻止所有互联网流量

• 尽可能启用自动更新

• 在更新发布后14天内完成更新，包括应用任何必要的手动配置修改，使更新生效，当：

• i) 供应商将更新描述为“关键”或“高风险”漏洞修复

• ii) 更新解决的漏洞 CVSS v3 基础分数为 7 或以上* iii) 供应商未提供修复漏洞的具体级别信息
  请注意：
  为实现最佳安全，强烈建议（但非强制）所有发布的更新在发布后14天内应用。
  及时应用更新非常重要，14天被视为合理的实施期限。超过此期限将构成严重的安全风险，期限过短可能不切实际。

信息： 如果供应商使用不同术语描述漏洞严重性，请参阅通用漏洞评分系统（CVSS）的精确定义。网络安全基础计划中，“关键”或“高风险”漏洞定义为 CVSS 3.0 分数7或以上，或被供应商标识为“关键或高风险”。

*注意：

一些供应商将多项不同严重等级问题的安全更新作为单一更新发布。如该更新包括任何“关键”或“高风险”问题，必须在14天内安装。 Endpoint Central 提供全面的漏洞管理，包括持续的威胁评估和单一控制台的可见性。除漏洞评估外，还内建漏洞修复功能。Endpoint Central 提供 风险基漏洞管理， 使管理员根据 CVSS 分数、CVE 影响类型、补丁可用性等指标优先处理漏洞。Endpoint Central 为 ITops 和 SecOps 提供统一控制台以管理和保护端点。具备基于角色的访问控制，实现网络安全功能由独立安全专家负责。

Endpoint Central 拥有漏洞生命周期矩阵及 漏洞严重性汇总， 提供有关补丁实施影响的丰富洞察。此外，Endpoint Central 还提供 IT 资产中漏洞系统及缺失补丁的综合报告。支持补丁测试和审批，允许管理员在有限电脑组内测试补丁，随后部署至全组织。支持 Windows、Linux、macOS 及 Windows Server OS 的全面补丁管理，也支持1000+第三方应用、硬件驱动和 BIOS 补丁。Endpoint Central 补丁服务协议（SLA）：

第三方更新在供应商发布后6-9小时内支持。 安全更新在供应商发布后12-18小时内支持。非安全更新在供应商发布后24小时内支持。

• 用户访问控制

• 组织必须控制用户账户及访问组织数据和服务的权限。重要的是，这包括第三方账户——例如支持服务使用的账户。

• 您还需了解用户账户认证方式，并相应管理认证。

必须确保所有适用软件保持最新状态。所有范围内设备的软件必须：这意味着您的组织必须：

要求

制定账户创建及审批流程

在授予应用或设备访问权限前，使用唯一凭证对用户进行认证（参见基于密码的认证）
当账户不再需要时，移除或禁用（例如用户离职或账户长时间不活跃）

• 可用时实施 MFA——对云服务的认证必须始终使用 MFA

• 管理员活动使用独立账户（不得用于电子邮件、网页浏览等标准用户活动，以避免暴露管理权限风险）

• 当不再需要时，移除或禁用特别访问权限（如员工角色变更）

• 基于密码的认证

• 所有用户账户必须进行认证。若使用密码，应采取以下保护措施：

• 密码必须通过至少以下一项措施防止暴力猜测：

多因素认证（见下文）

“节流”尝试次数，即根据失败尝试次数限制尝试频率

Passwords are protected against brute-force password guessing by implementing at least
one of:

• Multi-factor authentication (see below)

• Throttling' the rate of attempts, so that the number of times the user must wait

• 每次失败尝试之间的间隔会增加 – 你不应允许

• 在5分钟内超过10次猜测

• 不超过10次失败尝试后锁定账户

使用技术控制来管理密码质量。这将包括以下其中一项：
以下内容：

• 使用多因素认证（见下文）

• 密码最短长度不少于12个字符，不限制最大长度

• 密码最短长度不少于8个字符，不限制最大长度

• 限制，并使用拒绝列表自动阻止常见密码。

支持用户为工作账户选择唯一密码，方法包括：

• 教育用户避免使用常见密码，如宠物名称、常见键盘模式或他们在其他地方使用过的密码。这可能包括教授用户使用某些密码管理器内置的密码生成器功能。

• 通过推广使用多个单词（至少三个）来创建密码（例如NCSC关于使用三个随机单词的指导），鼓励用户选择更长的密码。

• 提供可用的安全密码存储（例如密码管理器或安全锁柜），并提供清晰的信息说明何时及如何使用。 

• 不强制定期密码过期

• 不强制密码复杂度要求

你还应确保有一个已建立的流程，在你知道或怀疑密码或账户被泄露时及时更改密码。
多因素认证（MFA）

除了为未受其他技术控制保护的密码提供额外安全层外，你应始终使用多因素认证，为管理员账户和互联网可访问的账户提供额外安全。

多因素认证中的密码部分必须至少8个字符长，不限制最大长度。

有四种额外因素可考虑：

受管理/企业设备

• 受信任设备上的应用程序

• 独立物理令牌

• 已知或受信任的账户

• 额外因素应选择易用且可访问的。你可能需要进行用户测试以确定最适合用户的方案。更多信息请参见NCSC关于MFA的指导。

并使用Endpoint Central执行最小权限原则。

通过 Endpoint Central 针对运行Android、Apple及Windows的移动设备，确保最终用户为设备创建强密码。该策略允许管理员配置密码失败次数上限、最大空闲时间自动锁定等多项配置。

密码策略，确保终端用户为设备设置强密码。策略允许管理员配置最大失败密码尝试次数、最大空闲时间后自动锁定以及多项配置。 Zoho 提供

Zoho OneAuth 以满足多因素认证需求。  Zoho 还提供

Zoho Vault - 企业密码管理器。 恶意软件防护



必须确保所有适用软件保持最新状态。所有范围内设备的软件必须：

你必须确保所有相关设备上都启用了恶意软件防护机制。对于每台设备，必须使用以下选项中的至少一项。大多数现代产品均将这些选项内置于所供软件中，或可从第三方购买产品。无论如何，软件必须处于启用状态，按照供应商说明保持更新，并配置为满足以下要求：

要求

防恶意软件软件（适用于运行Windows或MacOS的相关设备，包括服务器、台式机、笔记本）

如果使用防恶意软件软件保护设备，必须配置为：

根据供应商推荐进行更新

• 防止恶意软件运行

• 阻止恶意代码执行

• 防止连接到恶意网站

• 应用程序允许列表（适用于所有相关设备）

仅允许经过代码签名批准的应用程序在设备上运行。你必须：

在部署前积极批准此类应用

• 保持最新的批准应用程序列表，用户不得安装未签名或签名无效的应用。

• Endpoint Central 内置有

下一代杀毒引擎 （目前为预览版），通过AI辅助的实时行为检测和深度学习技术主动检测恶意软件等网络威胁。 除了实时恶意软件检测，Endpoint Central 还主动执行事件取证，方便安全运营分析威胁的根本原因和严重性。如果下一代杀毒引擎在终端检测到可疑行为/恶意软件，可将终端隔离，并在彻底取证分析后重新投入生产。

Endpoint Central 还提供

网络中每三小时一次的文件即时且不可删除备份，利用微软的卷影复制服务。如果文件被勒索软件感染，可通过最近的备份恢复。Endpoint Central 的应用控制模块允许管理员 允许列表/阻止列表 软件应用 Endpoint Central 有助于实现以下合规性： CIS