在当前的
网络环境,不安全的终端,将威胁到整个网络。在中小企业中,端点通常包括PC、
笔记本
电脑、手持设备和其他特殊设备,
服务器或
网关负责集中的安全软件,并且,如果必要的话,也验证了终端
用户登录、发送更新和补丁到终端。终端安全可以被视为一个战略,其安全性是分配给终端用户设备的集中
管理,但必须
执行。端点安全
系统通常
运行在客户端/服务器
模式。
选择端点安全
解决方案:无论您选择什么
工具,您都应该寻求
本地支持Active Directory,并能够支持您所拥有的设备
类型,只有这样才能更容易地实现安全
控制。
第一步是
确认用户或
工作站,一个简单而基本的
方法是在Active Directory中定义以下两个组,一个是工作站(膝上型/
桌面),另两组是安全组(IT
管理员/用户/临时用户)。
当然,管理员可以根据需要定义其他组,以提供更复杂的控制。
然后,对中小企业终端安全项目的实现方式进行了
详细的论述,作为用户,我们需要逐一
检查这些方法,并将其整合成一套
策略,使之能够协同工作,提供最佳的
保护和控制。
记住抵抗
病毒的入侵
1,每周至少做一次扫描,最好是在中午进行。对于一台笔记本电脑,每次
连接到
公司网络时,都要对其进行全面的扫描和实施。
2,当移动设备插入系统时,应该进行完整的扫描。
3,每三小时执行一次防病毒签名的更新。
4,我们需要
配置工作站以导致内部服务器的
硬件或软件问题,从而导致反病毒服务器的失败,我们可以直接从反病毒供应商的公共服务器
下载签名更新。
BYOD可以有更少的控制。
1,公司必须在公司内禁用Wi-Fi。此规则也适用于所有工作站、膝上型电脑和服务器。
2。为了防止公司战略不受控制的通信,
调制解调器、蓝牙和红外线应该被
禁止。
3,有必要在USB密钥禁用U3
功能因为它可以用于假光盘
检测,恶意软件可以自动运行工作站。当
浏览端点上的可移动设备,U3光盘会被误认为是一个真正的光驱。
4。当将
文件写入可移动设备时,您应该审核插入的所有设备并捕获所有活动。这样,您就可以监视信息的提取和监控USB设备的使用。
5,防止从可移动设备和CD或DVD访问任何
可执行文件和
脚本。这可以防止未知漏洞被攻击者利用,从而防止恶意软件的运行。
6。加密在大容量移动存储设备上写入的所有数据(如CD、DVD和USB备份卷)。
寄主IPS与行为保护
1、
键盘记录器防护:大多数恶意软件包括某种形式的键盘记录器引擎,以
恢复密码,信用卡号码和其他个人资料,确保
程序的保护是主机的IP战略的一部分。
2。网络监视:构建一个监视任何试图
访问网络的
应用程序的策略。未经授权的连接有助于检测那些恶意程序。
3、Rootkit保护:使用Windows
驱动程序加载预定义的白名单,你可以
发现看似合法的恶意软件,它可以打败企图侵吞司机的硬件制造商和软件制造商的授权证书和实施邪恶的行为。
4、防止DLL(动态链接库)注:恶意软件最喜欢的技术来防止杀毒产品从清算本身会注入到正在运行的动态链接库。杀毒产品不能
删除或隔离加载动态链接库。在一般
情况下,恶意软件将自己纳入一个系统过程如winlogon.exe或explorer.exe。
5。使用入侵预防或行为保护的
学习模式或测试模式应该是强制性的要求,这可以防止一些似是而非的现象,并帮助提高软件部署时的信任度,特别是在更新或
安装新应用程序时,因为这通常会导致错觉的行为。
缓冲区溢出保护现在是一个强制性的要求。一个很好的例子是微软Windows和Adobe Acrobat几天前的漏洞。要知道,恢复的时间可能长达一个月,和互联网对互联网的使用在几小时内就可以实现。
加强对应用的控制
网络犯罪分子会利用用户的
操作系统,因为
操作系统是
经常改变的,目的是支持法律的应用。因此,管理员必须确保Windows
注册表的安全,只有这样才能防止恶意程序的自动加载。例如,恶意软件可以注入DLL,Windows服务和系统驱动程序。
应该防止应用程序将可执行文件或脚本
复制到网络共享中,这将防止蠕虫在公司网络中传播。
你应该禁用在敏感的应用(如财务软件);
打印屏幕(PRT SCR)和复制/
粘贴功能。
应该加强规则,只允许特定的应用程序将文件存储在远程服务器上。
安全水平不仅取决于当前登录的用户,还可以对用户的连接
位置和连接的环境。如果它是一个笔记本电脑,根据它的位置,应该有三种不同的策略级别:公司内部网络、外部网络的公司,并通过VPN连接到互联网。其他连接类型是可以预防的,如试图通过不安全的Wi-Fi
网络连接到互联网。
确定设备的位置,你需要一个网络接口检测是由该溶液的位置
激活,而且还可以收集设备的IP信息(IP
地址、DNS等),活动
目录信息可以使用本地和网络,确定设备的类型角色,组等。只使用一个服务器来测试该装置的位置是很危险的,因为如果服务器脱机,它将不再得到法律的位置,和所有的工作站不能连接到公司的网络,所以它会按照一个
错误的策略。
重视网络访问控制
为了部署NAC的基本能力,802.1x能够是防止未经授权的工作站,建立与公司网络连接的
核心层。一个基于Windows的环境,这是实现通过活动目录最简单的方法。
在部署802.1X,下一步是实现一个基于网络的NAC方案,如微软的NAP,等等。这一步提供了建立基于工作站的状态VLAN连接必要的机制(无论是感染恶意软件,客户端的系统,等)。
最后,与NAC方案兼容的端点保护技术可以增强NAC的功能,因为端点
代理除了帮助隔离、修复和控制工作站之外,还能为工作站提供深层次的健康。