网络终端计算机安全管理培训.ppt

终端安全运行讲义,版本信息： 版本号：1.0.0 更新时间：2008-10-28 编者信息： 房仲阳 中国移动辽宁公司网络部 电话：2208 邮箱： ,培训要求： 该课程主要介绍网络与信息安全基础知识 培训对象： 面向管理层、安全管理人员、安全技术人员、系统维护人员、及普通员工，共5类人员 培训时间： 3小时左右 培训侧重点： 本教材针对5类人员的培训内容并无差别,课程目的,了解windows系统的设计原理 了解终端系统的安全特性 能够对终端系统进行安全配置 授课方式：讲解、演示,目录,终端安全概述 终端系统安全性 终端体系构架 终端安全威胁 终端安全配置 终端安全检查 终端安全加固 终端用户安全职责 终端接入要求 终端标准化的意见和操作建议,终端的定义及分类,什么是终端？,终端，即计算机显示终端，是计算机系统的输入、输出设备。计算机显示终端伴随主机时代的集中处理模式而产生，并随着计算技术的发展而不断发展。迄今为止，计算技术经历了主机时代、PC时代和网络计算时代这三个发展时期，终端与计算技术发展的三个阶段相适应，应用也经历了字符哑终端、图形终端和网络终端这三个形态。,终端的定义及分类,终端的分类,终端的分类：目前常见的客户端设备分为两类：一类是胖客户端，一类是瘦客户端。那么，把以PC为代表的基于开放性工业标准架构、功能比较强大的设备叫做“胖客户端”，其他归入“瘦客户端”。瘦客户机产业的空间和规模也很大，不会亚于PC现在的规模。,终端的定义及分类,技术层面,数据处理模式将从分散走向集中，用户界面将更加人性化，可管理性和安全性也将大大提升；同时，通信和信息处理方式也将全面实现网络化，并可实现前所未有的系统扩展能力和跨平台能力。,终端的定义及分类,应用形态,网络终端设备将不局限在传统的桌面应用环境，随着连接方式的多样化，它既可以作为桌面设备使用，也能够以移动和便携方式使用，终端设备会有多样化的产品形态；此外，随着跨平台能力的扩展，为了满足不同系统应用的需要，网络终端设备也将以众多的面孔出现：Unix终端、Windows终端、Linux终端、Web终端、Java终端等等。,终端的定义及分类,应用领域,字符哑终端和图形终端时代的终端设备只能用于窗口服务行业和柜台业务的局面将一去不复返，网上银行、网上证券、银行低柜业务等非柜台业务将广泛采用网络终端设备，同时网络终端设备的应用领域还将会迅速拓展至电信、电力、税务、教育以及政府等新兴的非金融行业。,终端的定义及分类,终端安全的重要性,1、首先，对于一个网络来说80%以上的安全事件来自于终端。 2、其次，在企业内部至少有90%的员工需要每天使用终端计算机。 3、最后，终端使用者的水平参差不齐。,透过现象看本质,本章回顾,什么是终端 终端安全在网络安全的地位 终端所面临的风险,目录,终端安全概述 终端系统安全性 终端体系构架 终端安全威胁 终端安全配置 终端安全检查 终端安全加固 终端用户安全职责 终端接入要求 终端标准化的意见和操作建议,TCSEC 安全等级,基于C2级标准的安全组件,灵活的访问控制-要求允许对象的属主能够完全控制谁可以访问这个对象及拥有什么样的访问权限。 对象再利用-Windows 很明确地阻止所有的应用程序访问被另一应用程序占用的资源（比如内存或磁盘）。 强制登陆-Windows 用户在能访问任何资源前必须通过登陆来验证他们的身份。因此，缺乏这种强制登陆的NT要想达到C2级标准就必须禁止网络功能。 审计-因为Windows 采用单独地机制来控制对任何资源的访问，所以这种机制可以集中地记录下所有的访问活动。 控制对象的访问-Windows 不允许直接访问系统里的资源。,系统漏洞导致的损失,2004年，Mydoom所造成的经济损失已经达到261亿美元 。 2005年，Nimda电脑病毒在全球各地侵袭了830万部电脑，总共造成5亿9000万美元的损失。 2006年，美国联邦调查局公布报告估计：“僵尸网络”、蠕虫、特洛伊木马等电脑病毒给美国机构每年造成的损失达119亿美元。 2007年熊猫烧香造成巨大损失。 2008年磁碟机造成熊猫烧香10倍损失。,本章回顾,系统安全等级划分的几大标准 windowsXP、windows2003所处的安全等级,目录,终端安全概述 终端系统安全性 终端体系构架 终端安全威胁 终端安全配置 终端安全检查 终端安全加固 终端用户安全职责 终端接入要求 终端标准化的意见和操作建议,Windows系统构架(仅以NT示意) XP VISTA,服务管理器,服务进程,系统支持进程,本地安全验证服务,Windows登录,会话管理器,应用程序,环境子系统,Svchost.exe,Winmgmt.exe,Spooler,Services.exe,任务管理器,Windows浏览器,用户级应用程序,子系统动态链接库,OS/2,POSIX,Win32,系统服务调度进程,核心可调用接口,I/O设备 管理器 设备、文件 驱动程序,对象 管理器,虚拟内存 管理器,进程和 线程管 理器,注册表 配置 管理器,NTdll,dll,Win32 User GDI 图形驱动,HAL（硬件抽象层）,Micro kernel,安全引用 监视器,进程和线程,什么是进程？ 代表了运行程序的一个实例 每一个进程有一个私有的内存地址空间 什么是线程？ 进程内的一个执行上下文 进程内的所有线程共享相同的进程地址空间 每一个进程启动时带有一个主线程 运行程序的“主”函数 可以在同一个进程中创建其他的线程 可以创建额外的进程,系统进程,基本的系统进程 System Idle Process 这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间 smss.exe 会话管理子系统，负责启动用户会话 csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 本地安全身份验证服务器 svchost.exe 包含很多系统服务 SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务) explorer.exe 资源管理器 internat.exe 托盘区的拼音图标,附加的系统进程, mstask.exe 允许程序在指定时间运行。(系统服务) regsvc.exe 允许远程注册表操作。 (系统服务) winmgmt.exe 提供系统管理信息(系统服务)。 inetinfo.exe 通过Internet 信息服务的管理单元提供信息服务连接和管理。(系统服务) tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台。(系统服务) dns.exe 应答对域名系统 (DNS)名称的查询和更新请求。(系统服务) 。,系统进程树,安全的元素,安全标识符 SID：综合计算机名字、当前时间、以及处理当前用户模式线程所花费CPU的时间所建立起来的。一个SID： S-1-5-16349933112989372637-500 访问令牌 访问令牌是由用户的SID、用户所属于组的SID、用户名、用户所在组的组名构成的。 安全描述符 安全描述符是由对象属主的SID、组SID，灵活访问控制列表以及计算机访问控制列表 访问控制列表 包括DACL和SACL，灵活访问控制列表里记录用户和组以及它们的相关权限。系统访问控制列表包含为对象审计的事件。,安全的元素,安全标识符 SID：综合计算机名字、当前时间、以及处理当前用户模式线程所花费CPU的时间所建立起来的。一个SID： S-1-5-16349933112989372637-500 访问令牌 访问令牌是由用户的SID、用户所属于组的SID、用户名、用户所在组的组名构成的。 安全描述符 安全描述符是由对象属主的SID、组SID，灵活访问控制列表以及计算机访问控制列表 访问控制列表 包括DACL和SACL，灵活访问控制列表里记录用户和组以及它们的相关权限。系统访问控制列表包含为对象审计的事件。,S表示该字符串是SID,SID的版本号，对于win2k来说，是1,标志符的颁发机构，对于win2k的帐户，颁发机构就是NT，值是5,表示一系列的子颁发机构,最后一个标志着域内的帐户和组,windowsNT安全模型,Logon process,SAM,User Account Database,Security Policy Database,LSA,Audit log,Win32 subsystem,Security Reference Monitor,User mode,Kernel mode,Security policy,Audit message,Win32 application,windowsNT安全模型,Logon process,SAM,User Account Database,Security Policy Database,LSA,Audit log,Win32 subsystem,Security Reference Monitor,User mode,Kernel mode,Security policy,Audit message,Win32 application,使用户登陆生效 生成安全访问令牌 管理本地安全策略 记录SRM审核消息产生的事件日志,负责SAM数据库的控制与维护,防止大部分用户和进程对对象的直接访问 根据本地安全策略的审核策略生成审核信息,用户登录认证过程,本章回顾,什么是线程？ 什么是进程？ 什么是进程树？,目录,终端安全概述 终端系统安全性 终端体系构架 终端安全威胁 终端安全配置 终端安全检查 终端安全加固 终端用户安全职责 终端接入要求 终端标准化的意见和操作建议,终端安全关注点,终端免疫,终端安全管控,IT支持,资产滥用,终端运行监控,外设硬件滥用,软件安装管理,IP管理、记录表,网络管理、备忘表,桌面合规管理,AV,A-Other,A-SPY,A-Phishing,恶意代码,终端管理的一些必要手段和措施,终端免疫,终端安全管控,IT支持,资产管理,软件分发,终端运行监控,外设管理,软件安装管理,远程维护,IP管理,网络管理,桌面合规管理,AV,A-Other,A-SPY,A-Phishing,恶意代码查杀,内网安全的规划-内网合规,抵御入侵能力 防泄密能力 防病毒能力 防非法接入能力 审计能力 补丁更新能力 IP-MAC-用户绑定能力 ,内网合规实践,基于策略的访问控制 基于网络行为的攻击防护 ARP欺骗主动防御 分布式流量管理 安全状态检测及自动修复,资产管理 外设管理 进程管理 IP管理 补丁分发 软件分发 HOD远程按需支援,移动存储设备认证 文件透明加密与授权 文件授权共享,文件操作审计 文件打印审计 上网行为审计 移动存储审计 异常路由审计 Windows登录审计,网络准入控制 802.1x接入层 EOU汇聚层,应用准入控制 DNS 、Web、Proxy、Email Windows & Linux Server 网管及准入控制,客户端准入控制,五维化终端合规管理模型 打造安全可信的合规内网,本章回顾,终端威胁的类别 抵御威胁的手段 什么是内网合规,目录,终端安全概述 终端系统安全性 终端体系构架 终端安全威胁 终端安全配置 终端安全检查 终端安全加固 终端用户安全职责 终端接入要求 终端标准化的意见和操作建议,安全管理与安全维护,用户管理,保护注册表,数据备份,漏洞与补丁,安全配置程序,安全分析,组策略,安全模板,安全策略,数据安全,IPSEC,EFS,访问控制,TCP/IP,组策略,权限控制,身份认证,证书服务,Kerberos,智能卡,NTLM,SSL/TLS,Win2000基本安全注意事项,Win2000安装配置,建立和选择分区 选择安装目录 不安装多余的组件 停止多余的服务 安装系统补丁,多余的组件,Internt信息服务（IIS）（如不需要） 索引服务 Indexing Service 消息队列服务（MSMQ） 远程安装服务 远程存储服务 终端服务 终端服务授权,关闭不必要的服务,Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Distributed File System: 局域网管理共享文件，不需要禁用 Distributed linktracking client：用于局域网更新连接信息，不需要禁用 Error reporting service：禁止发送错误报告 Microsoft Serch：提供快速的单词搜索，不需要可禁用 NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用 PrintSpooler：如果没有打印机可禁用 Remote Registry：禁止远程修改注册表 Remote Desktop Help Session Manager：禁止远程协助 Workstation 关闭的话远程NET命令列不出用户组,安全管理与安全维护,用户管理,保护注册表,数据备份,漏洞与补丁,安全配置程序,安全分析,组策略,安全模板,安全策略,数据安全,IPSEC,EFS,访问控制,TCP/IP,组策略,权限控制,身份认证,证书服务,Kerberos,智能卡,NTLM,SSL/TLS,Win2000基本安全注意事项,用户身份验证,交互式登录 使用域帐号 使用本地计算机帐户 网络身份验证 NTLM验证 Kerberos V5 安全套接字层/传输层安全（SSL/TLS）,SYSKEY,从NT4 Service Pack 3开始，Microsoft提供了对SAM散列进行进一步加密的方法，称为SYSKEY。 SYSKEY是System KEY的缩写，它生成一个随机的128位密钥，对散列再次进行加密(不是对SAM文件加密，而是对散列)。,SYSKEY,练 习,利用Syskey对系统中的帐号密码文件加密 设定系统的启动密码,安全管理与安全维护,用户管理,保护注册表,数据备份,漏洞与补丁,安全配置程序,安全分析,组策略,安全模板,安全策略,数据安全,IPSEC,EFS,访问控制,TCP/IP,组策略,权限控制,身份认证,证书服务,Kerberos,智能卡,NTLM,SSL/TLS,Win2000基本安全注意事项,访问控制,NTFS与FAT分区文件属性 文件权限 用户权限 权限控制原则 网络访问控制,NTFS与FAT分区权限,FAT32,NTFS,用户权限,Administrators 组 Users 组 Power Users 组 Backup Operators组,权限控制原则和特点,1权限是累计 用户对资源的有效权限是分配给该个人用户帐户和用户所属的组的所有权限的总和。 2拒绝的权限要比允许的权限高 拒绝权限可以覆盖所有其他的权限。甚至作为一个组的成员有权访问文件夹或文件，但是该组被拒绝访问，那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或文件。,有一个文件叫FILE。 USER1用户属于GROUP1组 USER1（读取权限） FILE FILE GROUP1（拒绝） 拒绝访问 那么USER1对FILE的权限将不再是：读取写入，而是无法访问文件FILE。,权限控制原则和特点,3文件权限比文件夹权限高 例如：如果我对文件夹设置了拒绝写入，但是对文件夹里的文件设置为允许写入，我就可以对此文件有写入权限。 4利用用户组来进行权限控制 不同的用户组具有不同的权限，可以把不同的用户划分到不同的组里。 5权限的最小化原则 只给用户真正需要的权限,权限控制原则和特点,网络访问控制,利用IP安全策略实现访问控制,设置IPSec策略，禁止Ping。 设置IPsec策略，关闭135，445端口,安全管理与安全维护,用户管理,保护注册表,数据备份,漏洞与补丁,安全配置程序,安全分析,组策略,安全模板,安全策略,数据安全,IPSEC,EFS,访问控制,TCP/IP,组策略,权限控制,身份认证,证书服务,Kerberos,智能卡,NTLM,SSL/TLS,Win2000基本安全注意事项,EFS加密文件系统,特性：,1、采用单一密钥技术 2、核心文件加密技术仅用于NTFS，使用户在本地计算机上安全存储数据 3、加密用户使用透明，其他用户被拒 4、不能加密压缩的和系统文件，加密后不能被共享、能被删除,建议加密文件夹，不要加密单独的文件,EFS恢复代理,故障恢复代理就是获得授权解密由其他用户加密的数据的管理员 必须进行数据恢复时，恢复代理可以从安全的存储位置获得数据恢复证书导入系统。 默认的超级管理员就是恢复代理 使用条件：当加密密钥丢失,练习,用EFS加密一个文件。,安全管理与安全维护,用户管理,保护注册表,数据备份,漏洞与补丁,安全配置程序,安全分析,组策略,安全模板,安全策略,数据安全,IPSEC,EFS,访问控制,TCP/IP,组策略,权限控制,身份认证,证书服务,Kerberos,智能卡,NTLM,SSL/TLS,Win2000基本安全注意事项,本地安全策略-帐号策略,*在账户策略-密码策略中设定： 密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5次 最长存留期 30天 *在账户策略-账户锁定策略中设定： 账户锁定 3次错误登录 锁定时间 20分钟 复位锁定计数 20分钟,本地安全策略-本地策略,审核策略：决定记录在计算机（成功/失败的尝试）的安全日志上的安全事件。 用户权利分配：决定在计算机上有登录/任务特权的用户或组。 安全选项：启用或禁用计算机的安全设置，例如数据的数字信号、administrator 和guest的帐号名、软驱和光盘的访问、驱动程序的安装以及登录提示。,安全管理与安全维护,用户管理,保护注册表,数据备份,漏洞与补丁,安全配置程序,安全分析,组策略,安全模板,安全策略,数据安全,IPSEC,EFS,访问控制,TCP/IP,组策略,权限控制,身份认证,证书服务,Kerberos,智能卡,NTLM,SSL/TLS,Win2000基本安全注意事项,用户管理,更改超级管理名称 取消guest帐号 合理分配其它用户权限,注册表安全设置,禁止默认网络共享 禁止枚举域内用户,删除默认网络共享,服务器: Key: HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters Name: AutoShareServer Type: DWORD Value: 0 工作站： Key: HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters Name: AutoShareWks Type: DWORD Value: 0,取消默认共享 编辑txt文本内容 net share c$ /del net share d$ /del net share e$ /del net share ADMIN$ /del 改扩展名为.bat 设置开机自启动此批处理文件,删除默认网络共享,禁止枚举用户名和共享,Key:HKLMSYSTEMCurrentControlSetControlLsa Name: RestrictAnonymous Type: REG_DWORD Value: 1,备份和还原数据,将文件备份到文件或磁带 备份“系统状态”数据 使用备份向导备份文件 计划备份,系统文件备份,系统文件备份,系统文件备份,系统文件备份,系统文件备份,系统漏洞及修复,输入法漏洞 空会话漏洞 unicode漏洞 .ida/.idq缓冲区溢出漏洞 .print isapi扩展远程缓冲区溢出 Frontpage 服务器扩展漏洞 sqlserver 空口令 Windows接口远程缓冲区漏洞,安全审核与日志,审计成功：可以确定用户或服务获得访问指定文件、打印机或其他对象的频率 审计失败：警告那些可能发生的安全泄漏,访问文件夹的审核 审核策略 安全事件查看并分析,目录,终端安全概述 终端系统安全性 终端体系构架 终端安全威胁 终端安全配置 终端安全检查 终端安全加固 终端用户安全职责 终端接入要求 终端标准化的意见和操作建议,windowsNT日志,系统日志 跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障。 %systemroot%system32configSysEvent.EVT 应用程序日志 跟踪应用程序关联的事件，比如应用程序产生的象装载 DLL （动态链接库）失败的信息将出现在日志中。 %systemroot%system32configAppEvent.EVT 安全日志 跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意：安全日志的默认状态是关闭的。 %systemroot%system32configSecEvent.EVT,日志,Internet信息服务 FTP日志默认位置： %systemroot%/system32/logfiles/msftpsvc1 默认每天一个日志 Internet 信息服务WWW 日志默认位置： ： %systemroot%/system32/logfiles/w3svc1 ，默认每天一个日志 FTP 日志和WWW 日志文件名通常为ex （年份）（月份）（日期），例如ex001023 就是2000 年10 月23 日产生的日志，用记事本就可直接打开 Scheduler服务日志默认位置： %systemroot%/schedlgu.txt,日志分析,FTP日志分析， 如下例： #Software: Microsoft Internet Information Services 5.0 （微软IIS5.0 ） #Version: 1.0 （版本1.0） #Date: 20001023 03:11:55 （服务启动时间日期） 03:11:55 1USER administator -331 （IP地址为 用户名为administator 试图登录） 03:11:58 1PASS -530 （登录失败） 03:12:04 1USER nt -331 （ IP地址为 用户名为 nt的用户试图登录） 03:12:06 1PASS -530 （登录失败） 03:12:32 1USER administrator -331 （ IP地址为 用户名为administrator 试图登录） 03:12:34 1PASS 230 （登录成功） （登录成功） 03:12:41 1MKD nt 550 （新建目录失败） 03:12:45 1QUIT 550 （退出FTP 程序）,目录,终端安全概述 终端系统安全性 终端体系构架 终端安全威胁 终端安全配置 终端安全检查 终端安全加固 终端用户安全职责 终端接入要求 终端标准化的意见和操作建议,及时打补丁，建议启用微软自动更新功能,终端系统日常安全配置建议,安装杀毒软件并正确的使用杀毒软件，及时升级杀毒软件，开启实时扫描功能，定期杀毒,终端系统日常安全配置建议,安装并启用个人防火墙（可以是windows自带的或杀毒软件自带的）,终端系统日常安全配置建议,显示所有文件及文件扩展名,终端系统日常安全配置建议,关闭自动播放功能,终端系统日常安全配置建议,设置浏览器安全级别,终端系统日常安全配置建议,离开计算机时锁屏 Windows 2000 Ctrl+Alt+Del Windows xp 运行-gpedit.msc 配置启用“总是用经典登录”,终端系统日常安全配置建议,利用目录系统确保终端安全,目录系统是什么 管理中心： 资源整合 安全中心： 集中管理和控制 分层次的权限委派 单一登陆 开放的平台： 与多种应用进行整合 使用目录系统，实现对企业内部大量终端的规范、安全管理；,规范终端管理结构,组策略是什么？,组策略对象使用户可以集中配置大量用户和计算机。 可配置客户端的桌面环境、安全设置以及控制计算机和用户的状态。 减少管理员直接访问每台计算机的时间。 增加管理员的集中控制能力。,安全模板是一组预先配置的安全设置 Windows XP 安全指南模板包括： 两个包含适用于域中所有计算机的设置的域模板 两个包含适用于桌面计算机的设置的模板 两个包含适用于膝上型计算机的设置的模板 每个模板均具有一个企业版和高安全性版 安全模板中的设置可被编辑、保存和导入到 GPO 中,安全模板是什么？,安全设置是什么？,如何应用安全模板和管理模板？,策略驱动的机制，用于标识和控制客户端计算机上的软件 默认的安全级别具有两个选项： 不受限的 可以运行除明确拒绝的软件外的所有软件 不允许的 只能运行明确允许的软件,什么是软件限制策略？,使用组策略编辑器为 域定义策略,通过组策略将策略下载到 计算机,在运行软件时由操作系统实施,1,2,3,软件限制如何工作？,安全威胁和来源 安全原则和体系 终端的安全配置内容 终端安全管理的手段和方法 总结,内容,遵循深层防御模型,应用最低权限、最少连接和最低用户访问 权限的准则,运用监视和审核,培训用户注意安全性问题,从经验中学习,制定和测试事件应对计划和过程,努力实现在设计上安全的系统,安全性最佳做法,创建安全策略和过程文档,订阅安全性警告电子邮件,了解更新管理的最新信息,维护定期备份和还原过程,捕捉攻击者的心思,安全性检查列表,目录,终端安全概述 终端系统安全性 终端体系构架 终端安全威胁 终端安全配置 终端安全检查 终端安全加固 终端用户安全职责 终端接入要求 终端标准化的意见和操作建议,员工安全职责-恶意代码类,员工,AV,A-Other,A-SPY,A-Phishing,系统维护人员,安全技术人员,安全管理人员,管理层,安全项,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,员工安全职责-终端准入,身份认证,终端强制修复,网络准入,客户端准入,应用准入,第三方联动,员工,系统维护人员,安全技术人员,安全管理人员,管理层,安全项,需要关注,无需关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,员工安全职责-终端安全控制,补丁管理,共享控制,ARP欺骗防御,口令控制,安全状态检测,服务控制,进程控制,注册表保护,流量控制,员工,系统维护人员,安全技术人员,安全管理人员,管理层,安全项,需要关注,无需关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,员工安全职责-终端泄密控制,移动存储管理,非法外联监控,文档防泄密,员工,系统维护人员,安全技术人员,安全管理人员,管理层,安全项,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,员工安全职责-审计信息,文件共享审计,上网行为审计,邮件审计,移动存储审计,网络共享审计,打印审计,注册表审计,终端操作审计,员工,系统维护人员,安全技术人员,安全管理人员,管理层,安全项,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,员工安全职责-桌面合规管理,资产管理,软件分发,终端运行监控,外设管理,软件安装管理,远程维护,IP管理,网络管理,员工,系统维护人员,安全技术人员,安全管理人员,管理层,安全项,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,无需关注,无需关注,无需关注,无需关注,无需关注,目录,终端安全概述 终端系统安全性 终端体系构架 终端安全威胁 终端安全配置 终端安全检查 终端安全加固 终端用户安全职责 终端接入要求 终端标准化的意见和操作建议,终端接入-基本合规审核项,终端免疫,终端安全管控,IT支持,资产管理,软件分发,终端运行监控,外设管理,软件安装管理,远程维护,IP管理,网络管理,桌面合规管理,AV,A-Other,A-SPY,A-Phishing,恶意代码查杀,准入流程,IP&MAC比对,合规性比对,用户比对,通过准入,准入