Endpoint Central服务器
的安全加固

首页 »

本地

Endpoint Central是一个 统一终端管理工具,可集中管理不同平台不同类型的设备。本文档将介绍强化Endpoint Central服务器安全的一些建议和方法。

最佳安全实践

Endpoint Central会在安全问题出现后及时发布安全补丁。请首先收藏并完成以下三个任务:1.请关注我们论坛中的“安全更新组”,及时获取最新的安全补丁。2.收藏知识库中的“安全漏洞更新”链接,及时获取最新的安全补丁。3.请订阅我们的“数据泄漏通知”,及时接收我们的安全事件通知。

我们强烈推荐:
1) 更新您的Endpoint Central服务器到最新版本。
2) 只允许授权的用户访问安装Endpoint Central服务器的机器。
3) 使用合适的防火墙和杀毒软件,并保持更新。
4) 删除不需要的用户:
i. 在Endpoint Central中:删除Endpoint Central系统中不需要的用户;删除主机系统中不需要的用户。
ii. 在Sql Server中:如果你选择使用Sql Server作为后台数据库,也请删除Sql Server及其主机中不需要的用户。
5) 使用专门的机器安装分发服务器,不要安装其他软件;不要允许非授权用户的访问。

安全访问Endpoint Central

加强对Endpoint Central的安全访问,设置角色和权限,避免安全问题发生。

安全设置

打开管理选项卡,点击安全设置

用户登录

  • 移除默认admin账户

    在第一次登录后,应该删除默认的管理员帐户。

  • 使用安全访问(HTTPS)

    启用此选项后,Endpoint Central服务器和代理之间的所有通信都将使用HTTPS协议进行。
    注意:另外,请在您的网络防火墙中禁用8020端口

  • 使用第三方SSL证书

    为了保证桌面、移动代理和服务器之间的安全连接,建议在Endpoint Central中配置可信的第三方证书。但是,为了使用HTTPS进行安全通信,服务器将提供一个默认证书。

  • 启用双因素认证

    对技术人员进行第二级验证可以防止未经授权的访问。

  • 设置复杂的密码

    通过设置复杂的密码策略,用户可以配置难以破解的唯一密码。密码策略越复杂,就越难破解。

  • 强化软件库的安全(本地网络共享)

    本地网络共享将存储所有软件安装文件。访问凭证仅用于将共享的访问权限授予有权限的用户。

  • 限制用户从控制中心卸载代理程序

    代理用于监视并执行部署到特定终端的配置和任务,必须禁止用户卸载代理。

  • 限制用户关闭代理的服务

    为保持终端与服务器每90分钟联系一次,必须阻止用户关闭代理服务。

2.代理和服务器间的通信安全

  • 启用局域网和广域网的代理安装通信(HTTPS)

    LAN和WAN代理的HTTPS协议确保代理和服务器之间的通信始终是加密的。

  • 启用安全的远程控制和文件传输选项

    启用此选项可确保远程控制会话和文件传输操作期间的通信安全。

  • 禁用老版本的TLS

    为了提高安全性,建议使用新版本的TLS协议。
    注意:    禁用老版本的TLS后,用户无法管理旧操作系统(Windows XP、Vista、Server 2003和Server 2008)上的设备。

  • 使用安全网关服务器

    强烈建议将Endpoint Central服务器托管在一个受防火墙限制和其他安全措施保护的公司网络中。如果存在漫游用户和远程办公室,您可以使用安全网关服务器。安全网关服务器是一个逆向代理解决方案,充当WAN代理和Endpoint Central服务器之间的桥梁,避免了Endpoint Central服务器作为EDGE设备直接管理漫游用户。

  • 启用代理和服务器间的可信通信

    只有导入第三方证书后才能启用可信通信。了解更多

  • 启用代理和服务器之间基于证书的通信

    启用后,装有旧版本代理的计算机将无法通信,请将代理更新至最新版本。了解更多

模块基本的安全加固方法

补丁管理

操作系统部署

移动设备管理

远程管理工具

通用设置

其他设置

软件部署

配置管理

漏洞管理

  • 只为信任的技术员提供Radhat提名机器的root权限访问,防止发送恶意内容
  • 只为信任的技术员提供Linux代理的root权限访问,防止发送不是补丁包的恶意URL
  • 对于从“上传补丁”中上传的文件要进行安全扫描,防止有恶意文件
  • 不要把以下文件共享给任何人:
    • 镜像创建器组件的安装文件
    • 可启动媒体文件
    • 部署密码(在配置部署任务的时候)
    • 镜像文件
    • 镜像文件
  • 把镜像和驱动库设置成有密码保护的共享
  • 使用目标机器的MAC地址或密码来启动部署,避免共享管理凭证
  • 如果部署后有安装软件的任务,扫描安装文件,防止恶意软件
  • 如果部署的时候添加用户,设置复制的密码并管理本地用户到各自的目标计算机

  • 登记设置

  • 资产管理

    • 设置周期性的资产扫描,使设备信息保持为最新

  • 设备设置

    • 配置设备隐私设置,保证只有Endpoint Central管理需要的,和符合地区和国家安全法规的数据保存在服务器上
    • 配置使用策略条款,在收集设备信息时显示给客户,保证客户的隐私数据
  • 打开“管理”选项卡,在“工具设置”中,
    点击“端口设置”,选择“HTTPS”通信方式并“保存”
  • 点击“系统管理器设置”
  • 在“权限设置”中,只允许管理员访问用户的“文件管理器”和“命令提示行”
  • 在“用户确认设置”中,设置“文件管理器”和“命令提示行”的用户确认
  • 打开“工具”选项卡,点击“远程控制”,打开“设置”选项卡,启用“空闲会话设置”,在会话空闲一段时间后断开连接和锁定远程计算机
  • 打开“远程控制”,在“用户确认”选项卡中,启用“用户确认”,设置超时时间和确认消息,您还可以设置为“总是征求用户确认”。设置完成后,点击“保存”。
  • 注意启用“总是征求用户确认”后,每次都将提示确认对话框,即使管理员也无权撤销
  • 打开“管理”选项卡,在“数据库设置”中,点击“数据库备份”。在这里,设置好数据库备份及备份保留的数量;设置数据库备份通知,以掌握数据库备份故障;为数据库备份文件设置密码
  • 在“管理范围设置”下,点击“代理设置”,启用“限制用户从控制中心卸载代理”并“限制用户阻止代理服务”
  • 在“安全设置”下,点击“导出设置”,对于所有导出报表,您可以选择:
    • 打码个人信息
    • 移除个人信息
    • 保留个人信息
    • 由技术人员选择
    这里的“配置导出设置”和“配置计划报表设置”,请选择“移除个人信息”
  • 如果您使用了Endpoint Central的手机应用,建议您:
    • 使用HTTPS模式连接Endpoint Central服务器
    • 在手机应用设置页面启用“应用锁”功能
    • 启用双重身份认证
  • 设置尽可能小的会话超时时间
  • 在Web控制台中,点击右上角的用户头像,点击“个性化”,设置最小会话过期时间
  • 在Endpoint Central Web控制台中监视活动的会话,并关闭过期的会话
  • 我们建议您
    • 为所有用户每90天更改一次密码
    • 不要使用边界设备作为分发服务器
    • 除了Endpoint Central技术支持,不要共享任何日志和文件给他人
  • 在本地计算机和安全的网络路径中存储HTTP存储库
  • 在创建新的软件包时,扫描上传的文件
  • 在上传文件到脚本库时,扫描上传的文件
  • 当解决配置漏洞,阅读部署后问题,防止因为配置修改带来新的安全问题

本文档所述方法可有效抵御网络威胁,强烈建议Endpoint Central用户采纳,尤其要配置“安全设置”,保护服务器安全,此外,各模块的加固安全方法也将进一步提高安全性。

Endpoint Central云是统一终端管理工具Endpoint Central的云版本,可集中管理不同平台不同类型的设备。本文档将介绍强化Endpoint Central云服务器安全的一些建议和方法。

最佳安全实践

Endpoint Central云会在出现安全问题后及时发布安全补丁。请首先收藏并完成以下三个任务:1.请关注我们论坛中的“安全更新组”1.来及时获取最新的安全补丁。2.收藏知识库中的“安全漏洞更新”链接,来及时获取最新的安全补丁。3.请订阅我们的“数据泄漏通知”3.,来及时接收我们的安全事件通知。操作步骤如下:点击“管理”选项卡>隐私设置>在数据泄漏通知表单中填写电子邮件地址并提交。

我们强烈推荐:
1) 使用合适的防火墙和杀毒软件,并保持更新。
2) 删除不需要的用户:管理>用户管理>删除不需要的用户。
3) 使用专门的机器安装分发服务器,不要安装其他软件,只允许授权的用户访问这台机器。
4) 启用多因素身份验证:点击“管理”选项卡>用户管理>安全验证>启用TFA。
5) 配置复杂密码策略:点击“管理”选项卡>用户管理>安全验证>配置密码策略。

安全设置

加强安全访问:点击“管理”选项卡>安全设置>

用户登录

  • 限制用户卸载代理程序

    代理是用于监视并执行部署到特定终端的配置和任务的,所以必须禁止用户卸载代理。

  • 制用户关闭代理的服务

    为保证终端与服务器每90分钟联系一次,必须阻止用户关闭代理服务。

模块基本的安全加固方法

账户设置

移动设备管理

远程管理工具

通用设置

其他设置

软件部署

配置管理

  • 只为信任的技术员提供Radhat提名机器的root权限访问,防止发送恶意内容
  • 只为信任的技术员提供Linux代理的root权限访问,防止发送不是补丁包的恶意URL
  • 对于从“上传补丁”中上传的文件要进行安全扫描,防止有恶意文件
  • 点击右上角的用户图标,并点击“我的账户”
  • 为保护账户安全,进入“我的账户”,配置“账户设置”
  • 在安全性部分,
    • 定期修改账户密码。
    • 设置安全问题。忘记密码时,通过回答安全问题访问账户
    • 添加受信任IP地址范围,限制账户访问
    • 允许使用应用程序专用密码代替账户密码登录第三方应用程序(如电子邮件客户端)
    • 检查已登录到Zoho帐户的设备列表
  • 在多因素身份验证(MFA)部分,
    • 选择任意一种MFA模式,增加一层保护

  • 登记设置

  •  

  • 设备设置

    • 配置设备隐私设置,保证服务器上只保存Endpoint Central管理所需信息,和符合地区和国家安全法规的数据
    • 配置使用策略条款,在收集设备信息时显示给客户并征得客户同意,保护客户隐私
  • 点击“系统管理器设置”
  • 在权限设置中,只允许管理员访问用户的命令提示行
  • 在用户确认设置中,勾选命令提示行的用户确认
  • 在“管理”选项卡中,点击“工具设置”下的“远程控制设置”,向下拖动,找到并启用“空闲会话设置”,远程连接将在空闲一定时间后自动断开,或自动断开并锁定目标计算机
  • 在“管理”选项卡中,点击“工具设置”下的“远程控制设置”,启用“用户确认”,设置超时时间和确认消息,您还可以设置为“总是征求用户确认”。设置完成后,点击“保存”
  • 注意:启用“总是征求用户确认”后,每次都将提示确认对话框,即使管理员也无权撤销
  • 在“管理范围设置”下,点击“代理设置”,启用“限制用户从控制中心卸载代理”并“限制用户阻止代理服务”
  • 在“安全设置”下,点击“导出设置”,对于所有导出报表,您可以选择:
    • 打码个人信息
    • 移除个人信息
    • 保留个人信息
    • 由技术人员选择
    这里的“配置导出设置”和“配置计划报表设置”,请选择“移除个人信息”
  • 如果您使用了Endpoint Central的手机应用,建议您:
    • 在手机应用设置页面启用“应用锁”功能
  • 打开“管理”选项卡,点击“用户管理”,配置角色,限制模块访问
  • 在Endpoint Central Web控制台中监视活动的会话,并关闭过期的会话
  • 我们强烈推荐:
    • 为所有用户每90天更改一次密码
    • 除了Endpoint Central技术支持外,不要共享代理注册表和日志给他人
  • 在本地计算机和安全的网络路径中存储HTTP存储库
  • 在创建新的软件包时,扫描上传的文件
  • 在上传文件到脚本库时,扫描上传的文件

本文档所述方法可有效抵御网络威胁,强烈建议Endpoint Central用户采纳,尤其要配置“安全设置”,保护服务器安全,此外,各模块的加固安全方法也将进一步提高安全性。

 

我们的客户