终端管理
2023-02-14•
围观热度 792•建站知识
终端管理是办公安全中最大的一环,市场上有很多解决方案中,安全公司集中了大量的优势兵力在这个方面,推出了不少商业产品,对于绝大多数企业而言,在这个方面不会跟生产网络一样涉及“自研”这个话题,基本上都是围绕商业产品展开,当然也有极少数例外。
1.补丁管理
补丁管理可能是当下被认为没太多技术含量,但很基础的一环,大多数办公桌面都是以微软的Windows操作系统为主,所以补丁管理多数依靠几个方面:
❑ 微软自身解决方案中的SCCM(WSUS/SMS替代品,支持Linux和OSX),如图12-2所示。
图12-2 SCCM架构
❑ 利用第三方终端管理软件中附带的补丁推送功能。
2.组策略(GPO)
组策略的作用主要在于实施一些“基本的”安全策略。例如允许客户端运行软件的黑白名单、系统配置选项,USB权限管理等。在禁用软件时也有一些技巧,比如禁用QQ,可以禁用它运行所需要的DLL,这样有些黑客的小伎俩就不管用了。
3.终端HIPS(AV)
目前360自产PC端安全卫士、360杀毒,腾讯自产PC管家,百度自产百度杀毒产品,除此之外,其他厂商基本在这个问题上都不具备太多选择能力。卡巴、诺顿、趋势这些都是现成的产品,基本也不定制,再深究其技术也意义不大,因为只是跟提供该产品的乙方安全厂商有关,跟甲方实则无太大关系。甲方唯一要做的就是选型,然后买。
4.网络准入NAC
目前主流的网络准入主要有两种方式:802.1x,基于终端管理软件的C/S模式认证。在实施NAC方案之前,需要在安全域划分时划出guest vlan,没有通过认证的客户端一律丢到guest vlan去。
网络准入认证示意图如图12-4所示。
图12-4 网络准入认证示意图
这种方案是最常见的网络准入,前提是所有的交换机都支持802.1X。但并非所有的客户端设备都支持802.1x,例如打印机,所以802.1x有一个扩展叫MAB(Mac Address Bypass),如果客户端无法提供user/password的认证方式则以设备自身的MAC地址作为认证,这对于有心的攻击者而言就是很好的绕过点,即使那些机器都锁屏,获取那些已通过认证的设备的MAC地址也并非难事。