如何加固Endpoint Central服务器的安全?(上)
最近的安全问题频发,尤其是各种系统中常用的组件爆出了安全漏洞,一时朋友圈热闹非凡,给IT管理员带来了很大压力。
所以我们在想,任何的系统安全工作不只是关注或修复一两个公开漏洞,其实是一个长期和系统的工作。
Endpoint Central作为一个集中的管理不同类型不同平台设备的统一终端管理工具,拥有了大量的用户。我们想让其成为管理员趁手的工具,而不是因为安全问题困扰管理员。所以我们通过这个文档文档将说明强化Endpoint Central服务器安全的一些建议和方法。让管理员们的生活更轻松。
最佳安全实践
我们强烈推荐:
- 更新您的Endpoint Central到最新版本。
- 只允许授权的用户访问安装Endpoint Central服务器的机器。
- 使用合适的防火墙和杀毒软件,并保持更新。
- 删除不需要的用户:
- 在Endpoint Central中:删除Endpoint Central系统中不需要的用户;删除主机系统中不需要的用户。
- 在Sql Server中:如果你选择使用Sql Server作为后台数据库,也请删除Sql Server及其主机中不需要的用户。
- 使用专门的机器安装分发服务器,不要安装其他软件;不要允许非授权用户的访问。
安全访问Endpoint Central
加强对Endpoint Central的安全访问,设置角色和权限防止安全问题发生。
安全设置
在产品的管理 – 安全设置中加强安全访问。
用户登录
- 移除默认admin账户。
- 使用安全访问(HTTPS)
- 使用第三方SSL证书。
- 启用双重身份认证。
- 设置复杂的密码。
- 强化软件库的安全(本地网络共享)
- 限制用户从控制中心卸载代理程序。
- 限制用户关闭代理的服务。
代理和服务器间的通信安全
- 启用局域网和广域网的代理安装通信(HTTPS)
- 启用安全的远程控制和文件传输选项。
- 禁用老版本的TLS。
- 使用安全网关服务器。
- 启用代理和服务器间的可信通信。
- 启用代理和服务器之间基于证书的通信。
模块基本的安全加固方法
补丁管理
- 只为信任的技术员提供Radhat提名机器的root权限访问,防止发送恶意内容。
- 之外信任的技术员提供Linux代理的root权限访问,防止发送不是补丁包的恶意URL。
- 对于从“上传补丁”中上传的文件要进行安全扫描,防止有恶意文件。
操作系统部署
- 不要把以下文件共享给任何人:
1)镜像创建器组件的安装文件。
2)可启动媒体文件。
3)部署密码(在配置部署任务的时候)。
4)镜像文件。
5)用户配置文件备份(USMT)。
把镜像和驱动库设置成有密码保护的共享。
使用目标机器的MAC地址或密码来启动部署。可以避免共享管理凭证。
如果部署后有安装软件的任务,扫描安装文件,防止恶意软件。
如果部署的时候添加用户,设置复制的密码并管理本地用户到各自的目标计算机。