互联网安全中心(CIS)提出了一组关键安全控制(CSC),用于抵御常见攻击,加固组织网络防御系统,是每一个组织确保网络安全的基础。您可以使用Desktop Central实施这些控制,改善组织网络安全状况。
需求编号 | 需求描述 | Desktop Central如何实现这些需求? |
---|---|---|
1.1 |
利用活动发现工具,识别连接到组织网络的设备,并更新硬件资产清单。 |
当有计算机添加到活动目录后,Desktop Central的活动目录(AD)扫描将自动发现计算机,并为其安装代理,执行资产扫描,获取软硬件资产信息。同时支持计划扫描,定期扫描设备并更新资产信息。此外,在检测到特定计算机新增或删除硬件时,通过电子邮件/短信向用户发送即时告警。 |
1.4 |
获取精准的IT资产清单并持续更新,资产清单中应该包含所有可能接触到组织数据的硬件资产,无论是否连接到组织网络。 |
Desktop Central代理在安装到计算机中后,将执行资产扫描,获取软硬件资产信息。同时支持计划扫描,定期扫描设备并更新资产信息。 Desktop Central还可以更新不在组织内网中的漫游设备的资产信息。(注意:需要确保代理可以访问服务器)。 |
1.5 |
硬件资产清单能够记录每个资产的网络地址、硬件地址、机器名称、数据资产所有者和所属部门,无论硬件资产是否已被批准连接到网络。 |
Desktop Central的资产清单和文件扫描功能,能够在数据库中存储资产的详细信息并持续更新。此外,还可以使用自定义列,查看资产的批准状态。 |
1.7 |
利用端口等级访问控制,遵循802.1x标准,对连接到网络的设备进行认证。认证系统应与硬件资产清单数据绑定,仅允许经过授权的设备连接到网络。 |
Desktop Central可为设备配置802.1x设置,管理WiFi、VPN和Ethernet连接。此外,Desktop Central的防火墙配置,能够允许/组织网络中Windows计算机的端口。 DC的DCP选件,能够管理17种设备类型,允许/阻止其连接网络。 |
1.8 |
对连接到组织受信任网络的硬件资产,进行客户端证书验证。 |
Desktop Central可为设备配置客户端证书和认证设置,用于WiFi、VPN和Ethernet设置。配置完成后,客户端证书将自动应用于设备的网络验证。IT管理员还可以管理证书更新,并在资产扫描中查看证书详细信息,以防证书缺失。 |
2.3 |
应用于整个组织的软件资产清单工具,自动存档业务系统中的所有软件。 |
Desktop Central会对网络中的桌面和移动设备进行扫描,并收集软件详细信息。Desktop Central资产清单管理功能可以计划扫描,主动追踪软件,还可以配置电子邮件告警。 |
2.4 |
软件资产清单系统能够记录所有软件的名称、版本、发行商和安装日期,包括组织授权的操作系统。 |
Desktop Central的“资产清单管理”列出了软件详细信息,如名称、版本、发行商和所有软件的安装日期,包括组织授权的操作系统。 |
2.5 |
软硬件资产清单系统结合,统一管理所有设备和相关软件。 |
IT管理员可以使用Desktop Central获取一个网络中所有软件和硬件的详细信息。 Desktop Central能够列出每个被管计算机的全部资产信息。 |
2.6 |
删除未经授权的软件或及时更新资产清单。 |
Desktop Central的“应用程序控制”选件能够将客户不需要的应用程序或可执行文件加入黑名单。详情请参阅“应用程序控制”选件: https://www.manageengine.cn/products/desktop-central/endpoint-security-features.html |
2.7 |
对所有资产执行应用程序白名单功能,只允许授权的软件运行,阻止所有未经授权的软件。 |
Desktop Central的“应用程序控制”选件同时提供白名单功能,仅允许白名单中的应用程序或可执行文件在计算机上运行。详情请参阅“应用程序控制”选件:https://www.manageengine.cn/products/desktop-central/endpoint-security-features.html |
3.1 |
利用最新的符合安全内容自动化协议(SCAP)的漏洞扫描工具,自动扫描所有系统,每周一次或根据需要增加频率,发现所有潜在的漏洞。 |
Desktop Central的“漏洞管理”选件能够对每个终端执行漏洞扫描,识别软件漏洞,并通过零日漏洞缓解功能进行修复。请参阅https://www.manageengine.cn/products/desktop-central/endpoint-security-features.html |
3.2 |
使用每个系统上的本地代理,或配置了提升权限的系统上的远程扫描器,执行授权漏洞扫描。 |
Desktop Central的“漏洞管理”选件能够通过每个计算机上安装的代理为其执行漏洞扫描。请参阅:https://www.manageengine.cn/products/desktop-central/endpoint-security-features.html |
3.4 |
部署自动软件更新工具,及时安装软件厂商发布的最新安全更新。 |
Desktop Central能够定期扫描系统,发现各操作系统缺失的补丁。 Desktop Central提供了自动补丁部署(APD)功能,无需用户干预,自动部署缺失的补丁。点击这里了解支持的补丁列表:https://www.manageengine.cn/products/desktop-central/patch_management_supported_application.html |
3.5 |
部署自动软件更新工具,及时在所有系统上安装第三方软件厂商发布的最新安全更新。 |
除本地应用程序之外,Desktop Central还能识别第三方应用程序的缺失补丁。 Desktop Central提供了自动补丁部署(APD)功能,无需用户干预,自动部署缺失的补丁。点击这里了解支持的补丁列表:https://www.manageengine.cn/products/desktop-central/patch_management_supported_application.html |
3.7 |
根据风险评级对发现的漏洞进行修复优先级排序。 |
Desktop Central的补丁列表,根据漏洞严重程度进行了风险分组,分别为关键、重要、中度和低风险。客户可以据此做出补丁修复优先级排序。 此外,客户还可以在“系统健康策略”设置中配置风险评级流程。 |
4.1 |
使用自动化工具清点所有管理帐户(包括域和本地帐户),仅允许授权的管理账户拥有提升的特权。 |
Desktop Central提供了完整的活动目录(AD)报表和基于用户报表,网络中所有用户和计算机的特权一目了然。 除此以外,IT管理员还能通过数据保护官(DPO)仪表板了解与账户相关的计算机和用户访问情况。 |
4.2 |
在部署新资产之前,更改所有默认密码为管理账户的密码。 |
Desktop Central的“用户管理”配置,允许IT管理员修改密码,并为终端用户配置密码设置。 除此之外,还可以添加、删除或修改Windows用户帐户。 |
4.9 |
系统能够配置为,当管理账户登录失败时,发送日志和告警。 |
Desktop Central提供了登录报表,包括未被使用的用户账户、最近登录的用户账户和上次登录失败的用户账户,IT管理员可以查看登录管理账户成功或失败的详细信息。 |
5.2 |
根据组织批准的配置标准,确保所有系统镜像或模板安全,应用于新建系统部署或修复损坏的现有系统。 |
Desktop Central的“操作系统镜像和部署”,能够创建安全镜像并部署到网络中的Windows机器,镜像存储后只能由Desktop Central代理访问,保证了系统配置的安全性。 |
5.3 |
将主镜像和模板存储在安全配置的服务器上,并使用完整性监视工具进行验证,以确保只允许对镜像进行授权的更改。 |
Desktop Central的操作系统镜像创建并存储后,只能由Desktop Central代理访问,在部署镜像之前还将执行完整性验证,从而确保系统配置的安全性。 |
7.1 |
在组织内部,仅允许使用完全支持的Web浏览器和电子邮件客户端,最好使用厂商发布的最新版本。 |
通过部署Desktop Central中可用的最新补丁,可以确保浏览器安装最新更新。 |
7.2 |
卸载或禁用任何未经授权的浏览器、电子邮件客户端插件或附加组件应用程序。 |
Desktop Central的Browser Security Plus选件能够将浏览器列入黑名单/白名单。详情请参阅:https://www.manageengine.cn/products/desktop-central/endpoint-security-features.html |
7.4 |
实施基于网络的URL过滤器,限制系统连接到未经组织批准的网站,并应用于组织的每一个系统(包括组织内外部)。 |
Desktop Central的Browser Security Plus选件能够根据信任列表的或应用的限制过滤网站(包括组织内外部)。请参阅: https://www.manageengine.cn/products/desktop-central/endpoint-security-features.html |
7.7 |
使用域名系统(DNS)过滤服务,阻止访问已知的恶意域名。 |
Desktop Central的Browser Security Plus选件能够对恶意域名的访问。 |
8.2 |
定期更新杀毒软件的扫描引擎和特征库。 |
Desktop Central的“补丁管理”功能,能够定期更新主流杀毒软件。资产扫描将抓取各种数据,包括Windows机器上的杀毒软件状态。支持的“防病毒定义更新”请参阅: https://www.manageengine.cn/products/desktop-central/antivirus-updates.html |
9.1 |
将活动端口、服务和协议与资产清单中的硬件资产相关联。 |
Desktop Central提供的计算机资产清单中包含了服务的详细信息。在“工具”选项卡中的“系统管理器”,能够远程执行启动、停止、重启服务等操作,还能根据需要设置启动模式,获得最佳性能。 Desktop Central还支持防火墙配置,阻止/取消阻止计算机上的协议和端口。 |
9.2 |
在终端系统上应用基于主机的防火墙或端口过滤工具,采用默认拒绝规则,阻止除允许的服务和端口以外的所有流量。 |
Desktop Central的“防火墙和服务”配置能够创建规则,限制或启用Windows机器上的端口、协议和服务。 |
10.2 |
通过镜像等方式,将组织的所有关键系统作为一个完整的系统进行备份,实现整个系统的快速恢复。 |
Desktop Central的操作系统镜像功能,能够对一台机器进行完整的系统备份,并存储在镜像库中。 |
13.6 |
利用批准的加密机制,保护存储在所有移动设备上的企业数据。 |
Desktop Central的移动设备管理提供了“容器化”功能,能够隔离个人数据和企业数据。容器将企业策略、应用和应用数据封装在企业空间内,区别于个人空间,确保BYOD设备上的个人数据不被访问。 |
13.7 |
根据需要配置系统,允许使用特定USB设备,并保存设备的使用记录。 |
Desktop Central的“设备控制”选件能够阻止/取消阻止终端中所有类型USB设备的使用,并保存USB审计历史记录。请参阅:https://www.manageengine.cn/products/desktop-central/endpoint-security-features.html |
14.6 |
使用文件系统、网络共享、索赔、应用程序或特定于数据库的访问控制列表,保护存储在系统上的所有信息。这些控制确保员工只能访问岗位职责所需要的信息。 |
Desktop Central的“权限管理配置”能够根据岗位职责为员工授予对应的信息访问权限。 |
15.4 |
禁用设备非工作目的的无线访问。 |
Desktop Central的“WiFi配置”能够无缝地启用/禁用计算机中的无线适配器。 |
16.8 |
禁用非工作账户。 |
“用户管理配置”能够从Windows计算机删除/添加本地用户。 |
16.11 |
工作站会话不活动超过一定时间后自动锁定。 |
Desktop Central的“电源管理配置”能够指定计算机在不活动/闲置特定时间后自动进入休眠状态。 |
16.6 |
一份经过认证系统验证的所有帐户的清单。 |
Desktop Central的“资产清单扫描”能够获取计算机中所有用户账户信息。“用户管理配置”可以删除/修改/添加本地用户。 |