辦公終端從安全上可以分為以下幾類:
未注冊終端:沒有在系統中登記的終端。這是所有終端設備的初始狀態,管理政策上可規定未注冊終端不具有任何權限(也就是說無法用于辦公使用),并體現在訪問控制機制上。
已注冊終端:未注冊終端按照規定的流程,使用規定的注冊工具,在資產庫中登記相應的信息(如設備編號、MAC地址、使用責任人等),變為已注冊終端;管理政策上可限制僅允許公司配發的電腦才可以成功注冊。
不可信終端:是那些之前已經完成注冊登記,但目前無法通過設備認證(如病毒庫過期、存在高危漏洞補丁未修復)、未通過人員認證,或策略檢測不通過的終端;不可信終端通過接入修復區,完成修復后可轉為可信任終端。
可信任終端:通過設備認證、人員認證及安全政策檢測的已注冊終端。設備認證可通過設備證書,或設備ID、MAC地址等進行資產庫驗證;人員認證通過SSO或Windows Active Directory(AD域)實施;安全政策檢查包括系統補丁、病毒庫更新狀態、安裝了規定的軟件、未安裝指定的黑名單軟件等。可信任終端在發現新的風險后,可降級為不可信終端,并因此拒絕接入辦公網絡。
安全準入終端:安全準入是終端安全的基礎所在,可以從開始就拒絕不符合安全策略的終端接入;同時,由于關聯到網絡接入和資源的使用,準入的實現也保證了后續管理的有效。
辦公終端安全保護原則有以下這些:
終端準入控制原則:辦公終端只有安裝了終端管理平臺或者通過身份認證和安全合規性檢測后才可以訪問辦公網絡。
補丁更新原則:辦公終端必須根據公司要求及時更新安裝安全補丁,不限于系統補丁、應用軟件補丁等。
終端防病毒原則:辦公終端必須統一安裝公司統一的防病毒軟件,并統一啟動相應的防病毒策略,禁止用戶自行卸載、修改和禁用防病毒軟件,病毒庫必須及時更新。
注冊表安全保護原則:建議通過對辦公終端設置分發設置,保護注冊表的鍵值,提高系統的防網絡攻擊的能力。
共享安全原則:辦公終端的共享文件夾必須要設置訪問密碼及權限限制,禁止特殊用戶訪問這些文件夾,并且在使用完后及時關閉共享文件夾。
非目標軟件限制原則:辦公軟件需要安裝公司統一的標準化軟件,并且禁止安裝與標準化軟件功能重合的軟件和盜版侵權軟件。
終端端口安全原則:禁止私自安裝掃描軟件或者黑客攻擊工具,在無特殊情況下建議關閉IIS終端等不必要網絡服務。
回答所涉及的環境:聯想天逸510S、Windows 10。
辦公終端從安全上可以分為以下幾類:
未注冊終端:沒有在系統中登記的終端。這是所有終端設備的初始狀態,管理政策上可規定未注冊終端不具有任何權限(也就是說無法用于辦公使用),并體現在訪問控制機制上。
已注冊終端:未注冊終端按照規定的流程,使用規定的注冊工具,在資產庫中登記相應的信息(如設備編號、MAC地址、使用責任人等),變為已注冊終端;管理政策上可限制僅允許公司配發的電腦才可以成功注冊。
不可信終端:是那些之前已經完成注冊登記,但目前無法通過設備認證(如病毒庫過期、存在高危漏洞補丁未修復)、未通過人員認證,或策略檢測不通過的終端;不可信終端通過接入修復區,完成修復后可轉為可信任終端。
可信任終端:通過設備認證、人員認證及安全政策檢測的已注冊終端。設備認證可通過設備證書,或設備ID、MAC地址等進行資產庫驗證;人員認證通過SSO或Windows Active Directory(AD域)實施;安全政策檢查包括系統補丁、病毒庫更新狀態、安裝了規定的軟件、未安裝指定的黑名單軟件等。可信任終端在發現新的風險后,可降級為不可信終端,并因此拒絕接入辦公網絡。
安全準入終端:安全準入是終端安全的基礎所在,可以從開始就拒絕不符合安全策略的終端接入;同時,由于關聯到網絡接入和資源的使用,準入的實現也保證了后續管理的有效。
辦公終端安全保護原則有以下這些:
終端準入控制原則:辦公終端只有安裝了終端管理平臺或者通過身份認證和安全合規性檢測后才可以訪問辦公網絡。
補丁更新原則:辦公終端必須根據公司要求及時更新安裝安全補丁,不限于系統補丁、應用軟件補丁等。
終端防病毒原則:辦公終端必須統一安裝公司統一的防病毒軟件,并統一啟動相應的防病毒策略,禁止用戶自行卸載、修改和禁用防病毒軟件,病毒庫必須及時更新。
注冊表安全保護原則:建議通過對辦公終端設置分發設置,保護注冊表的鍵值,提高系統的防網絡攻擊的能力。
共享安全原則:辦公終端的共享文件夾必須要設置訪問密碼及權限限制,禁止特殊用戶訪問這些文件夾,并且在使用完后及時關閉共享文件夾。
非目標軟件限制原則:辦公軟件需要安裝公司統一的標準化軟件,并且禁止安裝與標準化軟件功能重合的軟件和盜版侵權軟件。
終端端口安全原則:禁止私自安裝掃描軟件或者黑客攻擊工具,在無特殊情況下建議關閉IIS終端等不必要網絡服務。
回答所涉及的環境:聯想天逸510S、Windows 10。