终端安全系统概述
终端安全管理系统介绍
终端安全管理系统是一种安全解决方案,它要求终端在进入企业网络中必须遵守特定的一组策略,这些策略由管理员灵活设定,旨在维护企业内网安全,以及终端安全,确保企业数据安全,保证企业的正常运作。
终端安全管理的实质就是识别终端安全风险,构建终端风险体系并对终端风险进行终端安全管理,从而降低和避免终端安全风险事件的发生。
为什么需要终端安全管理系统
新的高级恶意软件,杀毒软件无法有效检测。
虚拟化带来新的安全挑战
漏洞防护及运维压力增大
可视化、自动化、统一管控难度大
国家等级保护的要求
常见的终端安全管理厂商
- 天擎终端安全管理系统
- 深信服终端检测响应平台
- 天珣内网安全风险管理与审计系统(启明星辰)
- 绿盟终端检测与响应系统
- 天融信终端威胁防御系统
- ...
天擎终端安全介绍
天擎终端安全管理系统是奇安信公司面向政企单位推出的一体化终端安全产品解决方案。
天擎集防病毒、终端安全管控、终端准入、终端审计、外设管控、EDR等功能于一体。
天擎可以兼容不同操作系统和计算平台,帮助客户实现平台一体化、功能一体化、数据一体化的终端安全立体防护。
核心功能
- 病毒查杀
- 资产管理
- 补丁管理
- 安全运维管控
- 移动存储管控
- 安全网络准入控制
- 安全审计
- 报表管理
产品特点
- 终端安全一体化
- 威胁防御多维化
- 安全管控智能化
- 全面满足合规要求
适用场景
- 勒索病毒防护场景
- 软件供应链安全防护场景
- 终端的合规管理场景
- 高级威胁防护场景
互联网部署
产品架构
- 控制中心控制中心是天擎终端安全管理系统的核心,部署在服务器端,主要包括安全管控和安全事件收集告警两大功能
- 客户端客户端部署在需要被保护的终端或服务器上,执行木马病毒查杀、漏洞修复、安全防护等安全操作。并与安全控制中心通信,提供控制中心管理所需的相关安全告警信息。
天擎终端安全管理系统部署
控制中心支持的系统
Windows 2008 非Server Core版
Windows 2008 R2 非Server Core版
Windows 2012 非Server Core版
Windows 2012 R2 非Server Core版
Windows 2016 老版天擎不支持2016,新版支持
CentOS 7 老版天擎不支持,新版支持
服务器配置最低要求
CPU:4核心
内存:4GB
硬盘:500G
系统:Server 2008
网卡:千兆
终端支持的系统
- Windows个人版系列
- Windows服务器版系列
- Linux服务器版系列
- 国产操作系统系列
部署天擎控制中心
企业需求
- 实现内网终端主机的统一监控,统一管理,提高IT运维内控能力
- 实现内网终端主机的统一体检,统一杀毒,提供企业内网的安全性
- 实现内网终端主机的漏洞检测,补丁修复,提供企业内网防御能力
- 实现内网终端主机的资源管理,资产盘点,保障企业的资产安全
- 实现内网终端主机的准入控制,网络准入、移动U盘管控,保障数据安全
- 实现企业内网的可视化管理,自动化防御,敏捷性监测
- 实现企业内网终端主机的统一日志监控,日志管理
- 满足国家等级保护要求
安装Win-2012系统
- 命名:天擎控制中心
- CPU:4核
- 内存:4G
- 硬盘:500G
- 安装Windows server 2012系统
- 安装Vmware Tools
将360天擎安装包拷贝到Win-server 2012
控制面板-默认程序-设置谷歌浏览器为默认浏览器
登录天擎
默认用户名:admin
首次登录修改密码admin@123
天擎系统基本功能
什么是策略
- 策略是天擎控制中心下发给终端的安全配置
- 分为终端策略、分组策略、基线策略
策略主要包含那些内容
- 安全防护
- 漏洞管理
- 安全检查
- 运维管控
- 审计日志
- 数据采集
策略应用分类
- 有策略模板:先配置模板并发布,再引用模板,然后下发给终端
- 没有策略模板:直接配置策略,选择分组下发
什么是任务
控制中心要下发给终端执行的任务
比如:病毒查杀、比如漏洞扫描等
什么是日志
日志分为两类
- 一类是终端上报给控制中心的数据
- 一类是管理员操作控制中心的记录
什么是分组
- 为了便于管理控制中心,设置了分组的功能
- 主要有终端分组、用户分组、设备分组
如何使用分组
- 通常会根据需求将终端、用户编入不同的分组
- 可以根据部门、业务区域、网段等方式进行分组
- 可以手动划分,也可以根据IP地址段自动划分
终端管理
终端部署
终端部署,客户端电脑访问该链接即可下载安装天擎客户端;
- 可以自定义终端模块
- 可以使用离线包制作工具将软件下载下来
- 可以修改下载时显示的通知
在访问win2008的web网站的时候,可能会访问到win2008的默认网站,关闭默认的IIS服务对应的web网站
找到80端口对应的服务,停止
通过访问win2008的IP地址来访问web首页,如果web页面还是HAHAHA页面,可以使用Ctrl+F5强制刷新客户机的网页
在需要被管理的客户端浏览器访问服务器,下载客户端
- 服务器版本的会少一部分功能
终端管理
病毒查杀任务
全盘扫描及强力查杀
客户端自动执行全盘扫描及强力查杀任务
漏洞扫描及修复
消息通知
客户端查看
分组管理
按同样的方式创建多个组。
自动分组(前提:主机在默认分组)
单点维护
概览信息
资产信息可由管理员输入,但是如果资产较多,工作量较大,因此可以设置“资产”-“资产登记”时客户机自己登记资产信息。
策略
终端密码保护
启用密码保护功能后,终端退出或卸载天擎客户端,都需要输入正确的密码方可执行,确保集中管控覆盖率。
客户端退出卸载天擎需要密码
资产登记
- 让员工自主登记,可视化、高效率的完成资产盘点
- 不允许二次修改登记信息,防止公司资产损失
客户机会弹出“资产自助登记”
病毒查杀
立体防护,保障企业内网安全
下发任务-执行安全体检
硬件
可视化监控硬件配置及状态,保护设备安全和资产安全
软件
可视化监控,发现恶意软件,及时卸载,保护终端安全
操作系统
可视化系统账号管理,防止入侵
启用管理员账号
可视化服务监控,保护终端安全
- 控制中心开启Windows备份服务
- 启动类型设置自动
客户端验证
网络
网络监听
netstat -ano
网络配置
网络共享
网络流量
ARP防欺骗
HOST防欺骗
进程
策略中心
分组策略与基线策略
!终端需要开启继承
分组策略
- 基于分组下发的策略,和单点维护策略配置方式一致
- 任务下发对象是分组(含多台终端)
基线策略
- 基线策略,和单点维护策略配置方式一致
- 任务下发对象是公司所有终端
管控策略
进程组管理
创建进程组
- 按照需求将不同的进程加入不同的组
- 进程有时识别不到(重启天擎控制中心)
策略模板
创建管控模板
- 创建管控模板,分组直接调用模板,统一标准,提升效率
- 先不要发布,配置完成之后再发布
配置白名单进程
配置黑名单进程,保护内网安全
红名单,必须运行的进程
配置网络防护
- 配置黑名单IP地址
- 提高内网安全,有效过滤IP地址,防止来自内网外网的攻击
配置非法外联
- 可以限制和屏蔽有线网卡、无线上网卡、光猫、WIFI、手机热点
- 可以有效保障内网安全,进行精细化准入控制
配置外设使用
- 限制U口、串口、并口、限制存储设备、电脑外设、手机等
- 有效保护内网数据安全,防止信息数据和隐私外泄
配置账号密码策略
- 配置账号密码系统加固策略,防御暴力破解
配置本地安全策略
- 配置本地安全策略,限制终端主机权限,防止被提权
配置控制面板策略
- 配置控制面板策略,限制终端主机权限,防止被提权
配置屏幕保护
- 配置屏幕保护,做系统加固,防止信息泄露
配置浏览器安全
- 配置浏览器安全,有效拦截病毒木马,保护内网安全
杀毒软件检查策略
发布管控模板
运维管控(应用调用管控策略)
被保护的终端主机测试
- 访问jd.com,提示该站点已受控
- 打开组策略受到限制(gpedit.msc)
- 打开注册表没有权限(regedit)
移动存储
设备注册
- 只有注册过的移动存储设备,终端主机才可以识别
- 方便内网主机使用移动存储,有能有效避免信息泄露
设备授权
- 对移动存储设备进行精细化的终端授权
- 对移动存储设备进行细粒化的访问控制
系统管理
系统设置
系统工具
账号管理
日志报表
可视化审计,各类报表均可导出
