办公终端从安全上可以分为哪几类
办公终端从安全上可以分为以下几类:
未注册终端:没有在系统中登记的终端。这是所有终端设备的初始状态,管理政策上可规定未注册终端不具有任何权限(也就是说无法用于办公使用),并体现在访问控制机制上。
已注册终端:未注册终端按照规定的流程,使用规定的注册工具,在资产库中登记相应的信息(如设备编号、MAC地址、使用责任人等),变为已注册终端;管理政策上可限制仅允许公司配发的电脑才可以成功注册。
不可信终端:是那些之前已经完成注册登记,但目前无法通过设备认证(如病毒库过期、存在高危漏洞补丁未修复)、未通过人员认证,或策略检测不通过的终端;不可信终端通过接入修复区,完成修复后可转为可信任终端。
可信任终端:通过设备认证、人员认证及安全政策检测的已注册终端。设备认证可通过设备证书,或设备ID、MAC地址等进行资产库验证;人员认证通过SSO或Windows Active Directory(AD域)实施;安全政策检查包括系统补丁、病毒库更新状态、安装了规定的软件、未安装指定的黑名单软件等。可信任终端在发现新的风险后,可降级为不可信终端,并因此拒绝接入办公网络。
安全准入终端:安全准入是终端安全的基础所在,可以从开始就拒绝不符合安全策略的终端接入;同时,由于关联到网络接入和资源的使用,准入的实现也保证了后续管理的有效。
办公终端安全保护原则有以下这些:
终端准入控制原则:办公终端只有安装了终端管理平台或者通过身份认证和安全合规性检测后才可以访问办公网络。
补丁更新原则:办公终端必须根据公司要求及时更新安装安全补丁,不限于系统补丁、应用软件补丁等。
终端防病毒原则:办公终端必须统一安装公司统一的防病毒软件,并统一启动相应的防病毒策略,禁止用户自行卸载、修改和禁用防病毒软件,病毒库必须及时更新。
注册表安全保护原则:建议通过对办公终端设置分发设置,保护注册表的键值,提高系统的防网络攻击的能力。
共享安全原则:办公终端的共享文件夹必须要设置访问密码及权限限制,禁止特殊用户访问这些文件夹,并且在使用完后及时关闭共享文件夹。
非目标软件限制原则:办公软件需要安装公司统一的标准化软件,并且禁止安装与标准化软件功能重合的软件和盗版侵权软件。
终端端口安全原则:禁止私自安装扫描软件或者黑客攻击工具,在无特殊情况下建议关闭IIS终端等不必要网络服务。