CIS安全控制

互联网安全中心(CIS)提出了一组关键安全控制(CSC),用于抵御常见攻击,加固组织网络防御系统,是每一个组织确保网络安全的基础。您可以使用Desktop Central实施这些控制,改善组织网络安全状况。

Desktop Central如何实现这些需求?

需求编号 需求描述 Desktop Central如何实现这些需求?
1.1

利用活动发现工具,识别连接到组织网络的设备,并更新硬件资产清单。

当有计算机添加到活动目录后,Desktop Central的活动目录(AD)扫描将自动发现计算机,并为其安装代理,执行资产扫描,获取软硬件资产信息。同时支持计划扫描,定期扫描设备并更新资产信息。此外,在检测到特定计算机新增或删除硬件时,通过电子邮件/短信向用户发送即时告警。

1.4

获取精准的IT资产清单并持续更新,资产清单中应该包含所有可能接触到组织数据的硬件资产,无论是否连接到组织网络。

Desktop Central代理在安装到计算机中后,将执行资产扫描,获取软硬件资产信息。同时支持计划扫描,定期扫描设备并更新资产信息。

Desktop Central还可以更新不在组织内网中的漫游设备的资产信息。(注意:需要确保代理可以访问服务器)。

1.5

硬件资产清单能够记录每个资产的网络地址、硬件地址、机器名称、数据资产所有者和所属部门,无论硬件资产是否已被批准连接到网络。

Desktop Central的资产清单和文件扫描功能,能够在数据库中存储资产的详细信息并持续更新。此外,还可以使用自定义列,查看资产的批准状态。

1.7

利用端口等级访问控制,遵循802.1x标准,对连接到网络的设备进行认证。认证系统应与硬件资产清单数据绑定,仅允许经过授权的设备连接到网络。

Desktop Central可为设备配置802.1x设置,管理WiFi、VPN和Ethernet连接。此外,Desktop Central的防火墙配置,能够允许/组织网络中Windows计算机的端口。

DC的DCP选件,能够管理17种设备类型,允许/阻止其连接网络。

1.8

对连接到组织受信任网络的硬件资产,进行客户端证书验证。

Desktop Central可为设备配置客户端证书和认证设置,用于WiFi、VPN和Ethernet设置。配置完成后,客户端证书将自动应用于设备的网络验证。IT管理员还可以管理证书更新,并在资产扫描中查看证书详细信息,以防证书缺失。

2.3

应用于整个组织的软件资产清单工具,自动存档业务系统中的所有软件。

Desktop Central会对网络中的桌面和移动设备进行扫描,并收集软件详细信息。Desktop Central资产清单管理功能可以计划扫描,主动追踪软件,还可以配置电子邮件告警。

2.4

软件资产清单系统能够记录所有软件的名称、版本、发行商和安装日期,包括组织授权的操作系统。

Desktop Central的“资产清单管理”列出了软件详细信息,如名称、版本、发行商和所有软件的安装日期,包括组织授权的操作系统。

2.5

软硬件资产清单系统结合,统一管理所有设备和相关软件。

IT管理员可以使用Desktop Central获取一个网络中所有软件和硬件的详细信息。

Desktop Central能够列出每个被管计算机的全部资产信息。

2.6

删除未经授权的软件或及时更新资产清单。

Desktop Central的“应用程序控制”选件能够将客户不需要的应用程序或可执行文件加入黑名单。详情请参阅“应用程序控制”选件: https://www.manageengine.cn/products/desktop-central/endpoint-security-features.html

2.7

对所有资产执行应用程序白名单功能,只允许授权的软件运行,阻止所有未经授权的软件。

Desktop Central的“应用程序控制”选件同时提供白名单功能,仅允许白名单中的应用程序或可执行文件在计算机上运行。详情请参阅“应用程序控制”选件:https://www.manageengine.cn/products/desktop-central/endpoint-security-features.html

3.1

利用最新的符合安全内容自动化协议(SCAP)的漏洞扫描工具,自动扫描所有系统,每周一次或根据需要增加频率,发现所有潜在的漏洞。

Desktop Central的“漏洞管理”选件能够对每个终端执行漏洞扫描,识别软件漏洞,并通过零日漏洞缓解功能进行修复。请参阅https://www.manageengine.cn/products/desktop-central/endpoint-security-features.html

3.2

使用每个系统上的本地代理,或配置了提升权限的系统上的远程扫描器,执行授权漏洞扫描。

Desktop Central的“漏洞管理”选件能够通过每个计算机上安装的代理为其执行漏洞扫描。请参阅:https://www.manageengine.cn/products/desktop-central/endpoint-security-features.html

3.4

部署自动软件更新工具,及时安装软件厂商发布的最新安全更新。

Desktop Central能够定期扫描系统,发现各操作系统缺失的补丁。

Desktop Central提供了自动补丁部署(APD)功能,无需用户干预,自动部署缺失的补丁。点击这里了解支持的补丁列表:https://www.manageengine.cn/products/desktop-central/patch_management_supported_application.html

3.5

部署自动软件更新工具,及时在所有系统上安装第三方软件厂商发布的最新安全更新。

除本地应用程序之外,Desktop Central还能识别第三方应用程序的缺失补丁。

Desktop Central提供了自动补丁部署(APD)功能,无需用户干预,自动部署缺失的补丁。点击这里了解支持的补丁列表:https://www.manageengine.cn/products/desktop-central/patch_management_supported_application.html

3.7

根据风险评级对发现的漏洞进行修复优先级排序。

Desktop Central的补丁列表,根据漏洞严重程度进行了风险分组,分别为关键、重要、中度和低风险。客户可以据此做出补丁修复优先级排序。

此外,客户还可以在“系统健康策略”设置中配置风险评级流程。

4.1

使用自动化工具清点所有管理帐户(包括域和本地帐户),仅允许授权的管理账户拥有提升的特权。

Desktop Central提供了完整的活动目录(AD)报表和基于用户报表,网络中所有用户和计算机的特权一目了然。

除此以外,IT管理员还能通过数据保护官(DPO)仪表板了解与账户相关的计算机和用户访问情况。

4.2

在部署新资产之前,更改所有默认密码为管理账户的密码。

Desktop Central的“用户管理”配置,允许IT管理员修改密码,并为终端用户配置密码设置。

除此之外,还可以添加、删除或修改Windows用户帐户。

4.9

系统能够配置为,当管理账户登录失败时,发送日志和告警。

Desktop Central提供了登录报表,包括未被使用的用户账户、最近登录的用户账户和上次登录失败的用户账户,IT管理员可以查看登录管理账户成功或失败的详细信息。

5.2

根据组织批准的配置标准,确保所有系统镜像或模板安全,应用于新建系统部署或修复损坏的现有系统。

Desktop Central的“操作系统镜像和部署”,能够创建安全镜像并部署到网络中的Windows机器,镜像存储后只能由Desktop Central代理访问,保证了系统配置的安全性。

5.3

将主镜像和模板存储在安全配置的服务器上,并使用完整性监视工具进行验证,以确保只允许对镜像进行授权的更改。

Desktop Central的操作系统镜像创建并存储后,只能由Desktop Central代理访问,在部署镜像之前还将执行完整性验证,从而确保系统配置的安全性。

7.1

在组织内部,仅允许使用完全支持的Web浏览器和电子邮件客户端,最好使用厂商发布的最新版本。

通过部署Desktop Central中可用的最新补丁,可以确保浏览器安装最新更新。

7.2

卸载或禁用任何未经授权的浏览器、电子邮件客户端插件或附加组件应用程序。

Desktop Central的Browser Security Plus选件能够将浏览器列入黑名单/白名单。详情请参阅:https://www.manageengine.cn/products/desktop-central/endpoint-security-features.html

7.4

实施基于网络的URL过滤器,限制系统连接到未经组织批准的网站,并应用于组织的每一个系统(包括组织内外部)。

Desktop Central的Browser Security Plus选件能够根据信任列表的或应用的限制过滤网站(包括组织内外部)。请参阅: https://www.manageengine.cn/products/desktop-central/endpoint-security-features.html

7.7

使用域名系统(DNS)过滤服务,阻止访问已知的恶意域名。

Desktop Central的Browser Security Plus选件能够对恶意域名的访问。

8.2

定期更新杀毒软件的扫描引擎和特征库。

Desktop Central的“补丁管理”功能,能够定期更新主流杀毒软件。资产扫描将抓取各种数据,包括Windows机器上的杀毒软件状态。支持的“防病毒定义更新”请参阅: https://www.manageengine.cn/products/desktop-central/antivirus-updates.html

9.1

将活动端口、服务和协议与资产清单中的硬件资产相关联。

Desktop Central提供的计算机资产清单中包含了服务的详细信息。在“工具”选项卡中的“系统管理器”,能够远程执行启动、停止、重启服务等操作,还能根据需要设置启动模式,获得最佳性能。

Desktop Central还支持防火墙配置,阻止/取消阻止计算机上的协议和端口。

9.2

在终端系统上应用基于主机的防火墙或端口过滤工具,采用默认拒绝规则,阻止除允许的服务和端口以外的所有流量。

Desktop Central的“防火墙和服务”配置能够创建规则,限制或启用Windows机器上的端口、协议和服务。

10.2

通过镜像等方式,将组织的所有关键系统作为一个完整的系统进行备份,实现整个系统的快速恢复。

Desktop Central的操作系统镜像功能,能够对一台机器进行完整的系统备份,并存储在镜像库中。

13.6

利用批准的加密机制,保护存储在所有移动设备上的企业数据。

Desktop Central的移动设备管理提供了“容器化”功能,能够隔离个人数据和企业数据。容器将企业策略、应用和应用数据封装在企业空间内,区别于个人空间,确保BYOD设备上的个人数据不被访问。

13.7

根据需要配置系统,允许使用特定USB设备,并保存设备的使用记录。

Desktop Central的“设备控制”选件能够阻止/取消阻止终端中所有类型USB设备的使用,并保存USB审计历史记录。请参阅:https://www.manageengine.cn/products/desktop-central/endpoint-security-features.html

14.6

使用文件系统、网络共享、索赔、应用程序或特定于数据库的访问控制列表,保护存储在系统上的所有信息。这些控制确保员工只能访问岗位职责所需要的信息。

Desktop Central的“权限管理配置”能够根据岗位职责为员工授予对应的信息访问权限。

15.4

禁用设备非工作目的的无线访问。

Desktop Central的“WiFi配置”能够无缝地启用/禁用计算机中的无线适配器。

16.8

禁用非工作账户。

“用户管理配置”能够从Windows计算机删除/添加本地用户。

16.11

工作站会话不活动超过一定时间后自动锁定。

Desktop Central的“电源管理配置”能够指定计算机在不活动/闲置特定时间后自动进入休眠状态。

16.6

一份经过认证系统验证的所有帐户的清单。

Desktop Central的“资产清单扫描”能够获取计算机中所有用户账户信息。“用户管理配置”可以删除/修改/添加本地用户。

我们的客户