終端的安全防御措施

用戶上網行為管控

隨著網絡的發展，網絡手段進行數據傳輸的渠道越來越多，如PC微信、微博、論壇、郵箱等等。此時就需要在用戶上網的同時，對用戶的行為和流量進行監控。常見的安全設備如上網行為管理系統，通過此系統對敏感網站進行評比，對敏感數據進行攔截，同時對用戶的上網路徑進行審計。

病毒防控

所有終端必須安裝最新版的殺毒軟件，至少windows的客戶端是必須安裝的，并且制定定期更新病毒庫策略，一些嵌入式終端可以忽略。

數據防泄漏

數據防泄漏（DLP）軟件是一套非常成熟的數據安全解決方案，可以從流程上對數據進行分類、識別和管控。DLP分為HDLP（主機DLP）和NDLP（網絡DLP），在項目中，傾向使用HDLP，因其安裝在客戶端對數據的監控粒度更細，審計更清晰，便于追溯。

外設管控

所有辦公終端、生產終端禁止外接USB、串口等設備。可以通過專業的桌面管理軟件進行授權控制，同時對外拷的數據進行審計，如Landesk、SCCM等老牌桌管軟件。

軟件管理

所有辦公終端、生產終端禁止隨意安裝軟件，制定軟件白名單，未在其中的軟件直接拒絕安裝或者運行，防止惡意軟件、木馬等程序被有意無意的調用。一般傳統的桌管軟件均具備此功能。

資產管控

要想管理好終端，就必須對終端資產的分布、狀態了如指掌。業內流行的資產管理軟件很多，均可實現此功能。如SCCM、Landesk桌面管理軟件等。

終端審計

審計功能作為重要的追溯功能在各個系統中被使用，終端安全中審計也發揮著至關重要的作用。利用AD開啟所有辦公終端的Audit功能，針對登陸失敗、成功等關鍵動作進行記錄。

打印管理

在日常的工作中，管理員往往忽略了打印機的功能。根據多年的工作總結，部分核心文檔一般都是通過打印機進行打印流出的。為了避免由此帶來的安全漏洞，建議采用集中打印的模式，禁止零散打印機的使用。利用集中打印的安全策略，對敏感詞匯、非授權內容進行阻攔。同時與AD集成，對打印的作業進行審計。

系統管理

所有辦公終端（Windows系統）必須加入活動目錄，開啟密碼復雜度要求，最小化用戶權限，利用組策略下發終端安全策略，如審計、最小化授權、限制3389登陸等措施。

管理規范

制定各類的終端安全管理規范，用技術與管理結合的方式，規范用戶的使用習慣，了解終端安全的重要性，使用戶警鐘長鳴。

終端安全運營

一個完整的終端安全防御離不開技術與管理，正所謂“三分技術，七分管理”。要保障終端安全，除了有必要的技術手段支持以外，還要考慮組織和管理的因素，也就是人、流程與制度的因素。

回答所涉及的環境：聯想天逸510S、Windows 10。