什么是端点安全终结点安全性是保护组织中的终结点免受攻击或漏洞的做法。企业端点可以包括服务器、工作站、移动设备、笔记本电脑和台式机，攻击者通常将这些视为进入网络的入口点。即使是保护不力的最终用户工作站也可能成为武器，因为威胁用户声称非法访问资源并用恶意软件渗透网络。这就是为什么加强组织的端点安全性很重要的原因，最好的方法是使用端点安全工具。部署高效的端点安全解决方案可以抵御针对端点的普遍网络攻击，并简化组织的安全管理。自适应MFA重要吗鉴于当今不断变化的 IT 威胁形势，多重身份验证 （MFA）已成为一种熟悉的安全规范。虽然 MFA 是一种众所周知的方法，但这并不意味着所有组织都知道如何有效地应用它。仅仅拥有 MFA 解决方案是不够的;必须制定详细的策略以充分利用 MFA 设置，以使网络无法穿透。另一个挑战是实施 MFA 解决方案，以加强对 IT 资源的访问，但不影响用户的工作效率。自适应身份验证的工作原理自适应 MFA（也称为基于风险的 MFA）为用户提供身份验证因素，这些身份验证因素在用户每次登录时都会根据基于上下文信息计算出的风险级别进行调整，包括：连续登录失败的次数。请求访问的用户的物理位置（地理位置）。设备的类型。星期几和一天中的时间。IP 地址。向用户显示的身份验证因素基于使用上述上下文因素计算的风险级别。例如，假设用户在度假时尝试在不合时宜的时间登录其工作计算机，由于用户的地理位置和访问时间不同，因此会自动提示他们使用其他身份验证因素来证明其身份。基于用户的 Windows 登录 MFA 的工作原理登录到 Windows 计算机的用户首先使用其 AD 域凭据证明其身份。接下来，他们使用通过短信或电子邮件、生物识别或通过第三方身份验证提供商发送的时间敏感身份验证代码对自己进行身份验证。根据管理员的配置，他们可能需要通过一种或多种方法对自己进行身份验证。最后，用户在成功进行身份验证后登录到他们的 Windows 计算机。受 MFA 保护的端点使用自适应 MFA 保护组织终结点，例如计算机、VPN、OWA、RDP 以及任何基于 RADIUS 或 IIS 的网络终结点。从 19 种不同的身份验证方法中进行选择，供用户验证其身份。使用用户的位置、IP 地址、访问时间和所用设备等条件启用条件访问。根据用户的 OU、组和域成员身份为用户配置不同的 MFA 流。端点 MFA 的特点用于计算机登录的 MFA：使用自适应 MFA（在登录期间根据用户帐户触发）保护对 Windows、Mac 和 Linux 工作站和服务器的登录。基于设备的 MFA：使用自适应 MFA 保护对关键计算机的登录，该 MFA 根据设备的策略设置触发，而不考虑用户登录到计算机。离线 MFA：通过为脱机 Windows 登录启用 MFA，保护脱机远程用户。适用于虚拟服务器的 MFA：加强与组织网络和其他使用 RADIUS 和自适应 MFA 的网络终结点的 VPN 连接。OWA的 MFA：使用自适应 MFA 保护 OWA、Exchange 管理中心 （EAC） 和其他 IIS Web 应用程序登录。适用于 RDP 的 MFA：使用自适应 MFA 保护远程登录到 Windows、Mac 和 Linux 计算机。UAC 的 MFA：使用 Windows 用户帐户控制 （UAC） 凭据提示的自适应 MFA 保护特权系统活动。如何使用 MFA 保护端点安全如何为计算机登录启用 MFA如何为计算机启用基于设备的 MFA如何为 OWA 启用 MFA如何为 RDP 启用 MFA如何为 UAC 启用 MFA如何为计算机登录启用 MFA要为计算机登录启用 MFA，需要为 Windows、macOS 和 Linux 安装 ADSelfService Plus 的登录代理。可以通过两种方式将 MFA 应用于 Windows、macOS 和 Linux 计算机：基于用户的 MFA：保护台式机或笔记本电脑登录，包括对特定用户组使用 MFA 进行的远程桌面登录。基于计算机的 MFA：将 MFA 专门应用于计算机，而不考虑访问它的用户、其注册状态和 ADSelfService Plus 连接。在基于计算机的 MFA 过程中，将提示在基于用户的 MFA 下配置的身份验证器。用户帐户控制 （UAC） 提示、RDP 客户端和服务器身份验证以及系统解锁也可以通过基于计算机的 MFA 进行保护。可以通过两种方式保护 MFA 保护 Windows 计算机：Online MFA：ADSelfService Plus 中的默认或联机 MFA 流程使用 ADSelfService Plus 服务器和用户计算机之间的网络连接，根据在 ADSelfService Plus 服务器中注册的身份验证器数据验证用户的身份。脱机 MFA：为了确保身份安全，即使没有与 ADSelfService Plus 服务器的正确网络连接或通信，脱机 MFA 也会使用 Windows 登录代理安全存储在用户计算机中的身份验证器数据来验证用户身份。脱机 MFA 可用于保护交互式登录、RDP 服务器身份验证和 UAC 提示。如何为计算机启用基于设备的 MFA基于设备或基于计算机的 MFA 通过为登录到设备的每个用户强制实施 MFA 来保护业务关键型计算机。基于计算机的 MFA 如何工作对特定计算机强制实施基于计算机的 MFA 时，尝试访问计算机的任何用户都必须使用 MFA 证明其身份才能成功登录。提示中的 MFA 身份验证器将基于在计算机登录的 MFA 部分中为用户配置的身份验证器。在以下情况下，将不允许用户登录到强制执行基于计算机的 MFA 的计算机：无法访问 ADSelfService Plus 服务器。用户帐户在ADSelfService Plus中受到限制。用户不属于配置了用于计算机登录的 MFA 的任何策略。用户尚未注册在计算机登录 MFA（联机和脱机 MFA）部分中配置的任何身份验证器，无论为用户策略启用了强制注册选项。已超出用户许可证使用限制或尚未购买端点 MFA 加载项。如何为 OWA 启用 MFA使用此设置，可以启用 MFA 网页版 （OWA） 和 Exchange 管理中心登录名，以向 Exchange 环境添加额外的安全层。让我们看看如何使用 ADSelfService Plus 启用 MFA：用户尝试登录到 OWA 或 Exchange 管理中心。系统会要求他们在 OWA 中完成主要身份验证。如果此操作成功，OWA 会将请求传递给 ADSelfService Plus MFA 连接器，该连接器通知 ADSelfService Plus 继续执行其余身份验证因素。如果用户成功完成所有必需的身份验证因素，他们将登录到 OWA 或 Exchange 管理中心。如何为 RDP 启用 MFAADSelfService Plus允许以两种方式配置RDP MFA，即RDP服务器身份验证和RDP客户端身份验证。RDP 服务器身份验证：启用此设置后，与安装了 ADSelfService Plus 登录代理的 Windows 计算机的所有传入远程桌面连接都将使用 MFA 进行身份验证和保护。RDP 客户端身份验证：可以启用此设置，以要求在安装了 ADSelfService Plus 登录代理的计算机上通过 Windows 远程桌面应用程序 （mstsc.exe） 对所有传出远程桌面连接进行 MFA。ADSelfService Plus Windows 登录代理版本 5.10 及更高版本支持此设置。此设置适用于 Windows 7 及更高版本和 Windows Server 2008 及更高版本。若要为 RDP 客户端身份验证启用 MFA，需要满足以下先决条件：需要启用网络级身份验证。可以通过组策略启用网络级身份验证，方法是导航到 Windows 组件>远程桌面服务>远程桌面会话主机>安全性。若要要求对多林 AD 环境中的远程桌面连接进行 MFA，两个域之间必须存在信任关系。可以通过林信任（林级别的信任关系）或通过外部信任（域级别的信任关系）在林之间添加域信任。如何为 UAC 启用 MFA启用此设置后，所有用户帐户控制 （UAC） 凭据提示都需要 MFA，并且用户只有在身份验证成功后才能执行所需的操作。此设置与 Windows 7 及更高版本以及 Windows Server 2008 及更高版本兼容。ADSelfService Plus Windows 登录代理版本 5.10 及更高版本支持此设置。UAC 的 MFA 可以通过 ADSelfService Plus 通过几个简单的步骤启用。导航到 GINA/Mac/Linux （Ctrl+Alt+Del） > GINA/Mac/Linux > > MINA/Mac/Linux 安装>高级计算机 MFA 设置的配置>管理工具。选择“为用户帐户控制启用 MFA”。MFA 保护端点的好处更好的弹性和声誉：防止攻击者利用您的端点，并为您的公司赢得良好的安全声誉。种类繁多的身份验证器：从 ADSelfService Plus 提供的多个身份验证因素中进行选择，以便为您的端点提供 MFA。增强的用户体验：通过根据用户的 OU、组和域成员身份配置 MFA 技术，对具有不同权限的用户使用不同的身份验证方法。遵守监管规范：通过使用 MFA 而不仅仅是密码保护资源，满足 NIST SP 800-63B、GDPR 和 HIPAA 合规性要求。ADSelfService Plus是一种身份安全解决方案，可以结束许多网络攻击，节省 IT 成本，并开启您零信任之旅。借助 ADSelfService Plus，可以保护多种 IT 资源，包括身份、计算机和 VPN，减轻 IT 帮助台的负担。

全面的单点登录解决方案适用于云和本地应用程序的 SSO通过 MFA 保护的 SSO可定制的 SSO 配置适用于云和本地应用程序的 SSO为利用 SAML、OAuth 或 OIDC 协议的云和本地企业应用程序启用 SSO。为常用的预集成企业应用程序配置 SSO，或添加自己的自定义云或使用支持的协议的本地应用程序。为尝试访问企业应用程序的用户支持身份提供程序 （IdP） 和服务提供商 （SP） 启动的 SSO 流。利用用户友好的 SSO 仪表板，用户可以从单个窗格访问其所有应用程序。通过 MFA 保护的 SSO借助自适应 MFA 技术将 SSO 保护到应用程序，并根据用户的位置、IP 地址和设备类型对用户进行身份验证。从 19 种不同的身份验证因素中进行选择，从生物识别技术到 YubiKey。根据用户所属的 OU 和组配置用户必须验证的 MFA 身份验证因素的数量和类型。为用户自定义 MFA 信任设置，并指定浏览器信任和保留信任的天数等选项。可定制的 SSO 配置轻松使用 AD 标识为企业应用程序设置 SSO，从而节省原本用于为用户设置新标识的时间。通过创建基于 AD OU 和组的策略来控制或限制用户对任何特定云应用程序的访问。轻松查看和下载为应用程序设置 SSO 所需的身份提供程序 （IdP） 配置详细信息。为用户提供无密码身份验证功能，方便、安全地登录企业应用程序。使用 AD360实施 SSO 的好处减少密码疲劳：减少用户因必须记住和输入各种企业应用程序的多个密码而导致的密码疲劳。提高安全性：用户通常倾向于选择弱密码，以便于记住多个凭据，这些凭据可以使用蛮力轻松破解。借助 MFA 安全的 SSO，用户无需选择弱密码，并确保更高的安全性。更快的 IT 集成：确保更快地将收购的业务或合作伙伴关系与您组织的现有框架集成。简化的用户体验：使用户能够通过简化的一键式访问来采用更多应用程序。自动访问控制，轻松实现访问管理访问管理 （AM） 侧重于保护标识，以确保正确的用户能够在正确的时间访问正确的资源。借助AD360的自适应MFA，用户可以随时随地安全地访问组织资源。不同的访问控制策略将根据位置、IP 地址、设备和访问时间等各种因素自动应用于用户。用户还可以利用受 MFA 保护的 SSO 使用单个身份安全地访问多个应用程序，而无需多次登录。AD360的增材制造功能还包括权利管理、基于UBA的审计报告、密码管理和业务工作流程。AD360是一款针对AD域全方位管理的综合解决方案，用于管理AD域用户身份、控制对资源的访问、加强安全性和确保合规性。从用户配置、自助密码管理和活动目录变更审计，到企业应用程序的单点登录(SSO)， AD360通过一个简单易用的界面帮助您执行所有IAM任务。

企业网络过滤-网页过滤什么是网页过滤工具Web 过滤工具是一种软件，允许组织限制对 Web 不同方面的访问，例如 URL、Web 应用程序和下载。Web 过滤工具可用于创建强化边界，保护网络免受用户登陆受恶意软件感染的网站或下载恶意文件时出现的意外攻击。Browser Security Plus 的Web 过滤工具还可用于阻止对使用户远离工作的不必要干扰的访问，从而提高工作效率。企业需要网页过滤软件吗Web 过滤软件是 IT 管理员限制对网站和 Web 应用程序的访问的一种方式。由于越来越多的组织采用云优先的方法，浏览器已成为员工日常使用的工具。浏览器现在不仅是通向云的管道，也是通向网络上存在的恶意软件和干扰的管道。为了确保这些浏览器不会被网络犯罪分子利用到目标组织，网络过滤工具成为必要的安全层。如果实施得当，网络过滤软件可以有效地清除任何恶意内容，并确保用户只能访问受信任和授权的网站。谁应该使用网络过滤软件企业—希望阻止员工访问非生产性或未经授权的网站，从而在不影响生产力的情况下提高安全性。教育机构—阻止攻击性和分散注意力的内容，同时确保安全。Browser Security Plus 网络过滤工具的特点使用 Browser Security Plus 的网络过滤软件根据标准限制下载路过式下载是传播恶意软件的流行手段。毫无戒心的用户在登陆恶意网站时会感染恶意软件。这可以通过限制来自不受信任的网站的下载来防止。借助 Browser Security Plus 的网络过滤功能，IT 管理员可以精确控制其网络中发生的下载。他们可以限制从不受信任的网站下载特定文件类型。基于时间的 Web 过滤工具控件Browser Security Plus 的网络过滤功能允许 IT 管理员针对特定时间执行 URL 过滤和下载限制。浏览器不仅成为通向云的渠道，而且成为通向网络上无数干扰因素的渠道。为确保用户不会受到此类干扰，IT 管理员可以限制用户仅在办公时间访问授权网站。或者，他们可以在办公时间限制诸如社交媒体网站或流行游戏网站之类的干扰。这些方法中的任何一种都可以帮助提高用户的生产力。一键限制恶意网站借助 Browser Security Plus 的 Web 过滤工具，IT 管理员可以对端点实施安全浏览策略，确保用户在浏览 Web 时不会登陆恶意网站。基于 Web 的管理控制台Browser Security Plus 的基于 Web 的管理控制台允许 IT 管理员从任何地方登录产品，并在需要时将 Web 过滤策略应用于用户。保护远程工作者COVID 19 大流行加快了跨组织采用远程工作的速度。Browser Security Plus 的 Web 过滤工具功能可确保用户无法规避 IT 管理员实施的限制，无论他们身在何处。网络过滤工具如何工作网络上充斥着恶意软件和其他攻击媒介，它们正等待着利用用户的失误和分心。在浏览网页时，用户有时会意外登陆被恶意软件感染的恶意网站，从而导致敏感的企业数据泄露。借助 Browser Security Plus 的网络活动跟踪功能，IT 管理员可以很好地了解哪些网站是不必要的并且需要被阻止。根据这些见解，他们可以使用企业URL 过滤功能来拒绝/允许访问网站和 Web 应用程序。如何阻止企业网络中的网站IT 管理员可以拒绝访问组织中不需要的网站。这可以防止用户访问组织中不受信任/未授权的网站。IT 管理员可以使用社交媒体、视频流、生产力、业务等类别为站点定义组。可以阻止社交媒体和视频流等组，以确保用户的生产力不会下降。请按照以下步骤阻止您网络中的网站。第 1 步：导航到策略，然后单击 Web 过滤工具。第 2 步：单击创建策略并命名策略。第3步：点击选择动作对应的块。第 4 步：输入您要阻止的网站或网站组。第 5 步：保存并发布规则。如何允许企业网络中的网页借助白名单 URL 功能，用户将只能访问那些被 IT 管理员列入白名单的 URL，从而使用户无法访问剩余的 URL。此功能仅允许访问对业务绝对必要的站点。例如，将网站组（如生产力和业务）列入白名单可确保用户只能访问生产力和业务组中定义的网站，同时限制对任何其他网站的访问。按照上面的步骤 1 和 2。第 3 步：点击选择动作对应的允许。第 4 步：输入您要阻止的网站或网站组。第 5 步：保存并发布规则。企业网络过滤-URL过滤URL 过滤功能允许 IT 管理员限制用户访问未经授权的网站和 Web 应用程序。URL 过滤工具通过将用户在搜索引擎中输入的 URL 与 IT 管理员定义的允许或拒绝列表进行比较来工作。根据定义的策略，将允许或拒绝 URL。URL 过滤是一种安全措施，可防止用户登陆可能是恶意的未经授权的网站。借助 Browser Security Plus 的 URL 过滤，他们可以根据要求实施限制。URL 过滤不仅可以通过让用户远离非生产性网站来提高用户的工作效率，还可以通过防止员工登陆包含恶意软件的有害网站来确保安全。需要 URL 过滤工具在当今员工可以在任何地方工作的商业世界中，对限制的需求已经增加。无论员工身在何处，确保企业数据安全的责任都在于 IT 管理员。为了做到这一点，他们应该通过实施限制来确保安全，比如只允许用户访问那些工作所需的网站和 Web 应用程序。这将防止他们偶然发现恶意网站和干扰。URL 过滤不仅可以提高生产力，还可以确保安全性。企业中的高效 URL 过滤URL 过滤以允许特定网站IT 管理员可以只允许访问他们希望用户在其公司端点上访问的网站。借助 Browser Security Plus 的 URL 过滤软件，IT 管理员可以选择他们希望员工访问的特定网站。可以完全阻止对任何其他网站的访问。URL过滤以阻止网站当 IT 管理员想要限制对特定网站和 Web 应用程序的访问时，他们可以创建阻止列表并限制对未经授权的网站的访问。当目标是通过阻止对游戏和社交媒体网站的访问来提高生产力时，可以选择此选项，同时仍然提供使用浏览器来满足他们的需求的灵活性。URL 过滤工具如何工作IT 管理员可以使用 Browser Security Plus 的 URL 过滤功能定义他们需要阻止或允许的网站列表。请按照以下步骤在您的组织中阻止 URL。打开 Browser Security Plus 控制台。导航到策略并单击浏览器自定义。选择您希望允许/阻止 URL 的浏览器。单击 URL 访问。选择您要执行的操作。输入网站或选择您希望允许/限制的网站组。保存并发布策略。部署到目标计算机。Browser Security Plus URL 过滤Browser Security Plus 提供 Web 过滤工具，IT 管理员可以使用它来阻止用户访问网站并控制用户可以从哪里下载文件。使用 Web 过滤功能，IT 管理员可以选择阻止对特定网站的访问，或者仅阻止来自网站的下载，或者他们也可以选择限制仅来自未经授权的用户访问的网站的下载。URL 过滤是 IT 管理员可以使用 Browser Security Plus 的 Web 过滤工具限制对特定网站的访问的功能。Browser Security Plus URL 过滤的主要功能用户无法绕过 IT 管理员施加的 URL 过滤限制。对端点有效，无论其位置如何。易于使用和部署给用户。节省带宽。Browser Security Plus 的 url 过滤功能允许 IT 管理员针对特定时间执行 URL 过滤。借助此功能，IT 管理员可以仅在办公时间限制用户访问授权网站。或者，他们可以在办公时间限制诸如社交媒体网站或流行游戏网站之类的干扰。这些方法中的任何一种都可以帮助提高用户的工作效率。

如今，企业用户被创建、管理和更新无数用户名和密码的永无止境的任务所困扰，导致忘记密码、帮助台票证过载以及创建易受攻击的密码。ADSelfService Plus 通过自助密码管理、高级密码策略、密码同步和密码过期通知使您的 IT 管理员和最终用户受益。密码管理和密码安全自助密码重置和帐户解锁基于 Web 的域密码更改精细的密码策略实施器实时密码同步器密码过期通知程序自助密码重置和帐户解锁允许用户在安全 MFA 验证后重置密码并解锁 AD、Microsoft 365 和其他企业应用程序的帐户。从桌面登录屏幕和移动设备（默认的基于 Web 的门户除外）启用密码重置，并通过 VPN 更新远程用户的缓存凭据。基于 Web 的域密码更改为远程或漫游用户提供基于 Web 的安全门户，以更改其 AD 密码。允许仅限 VPN 或 OWA 的用户使用 ADSelfService Plus 移动应用程序更改其密码，甚至可以通过其移动设备。精细的密码策略实施器对内置 AD 密码策略强制实施自定义密码策略，该策略具有高级密码策略控制，例如用于阻止字典单词、回文、模式和泄露密码的选项。实时密码同步器通过使用密码同步代理在所有连接的应用程序（如 Microsoft 365 和 Google 工作区）中同步 AD 用户密码来维护单个标识。密码过期通知程序梳理 AD 以查找密码即将过期的用户帐户，并通过自定义短信、电子邮件和推送通知通知用户。通知用户其帐户状态以及密码过期详细信息。自助密码管理的优势提高投资回报率和员工生产力：部署 ADSelfService Plus 后，与密码相关的票证、帮助台成本和投资回报率大幅降低，为用户提供自助服务选项以保持一致的生产力。简化审核和跟踪：通过多个综合报告，让管理员全面了解用户的密码状态，并使数据收集变得容易，以便进行法律审计。增强的用户体验：在自助密码重置和密码更改操作期间向用户显示配置的密码策略，使该过程轻松进行。使用密码强度分析器向用户指示所选密码的强度。灵活性和安全性：根据用户的角色和对敏感数据的访问级别，为组织中不同类型的用户创建不同的策略。确保用户创建不受网络攻击的强密码。24/7 全天候可用性：允许用户随时随地从浏览器或手机更改密码。满足法规遵从性标准：确保您的组织符合法规遵从性标准，如 PCI DSS、SOX、CJIS、NIST SP 800-63B 和 HIPAA 合规性要求。企业单点登录（SSO）随着组织成群结队地采用云应用程序，用户必须在一天中输入更多密码才能访问这些应用程序并完成他们的工作。为了进行有效的用户标识管理，组织应采用高效且安全的方法来管理用户的密码。ADSelfService Plus 提供企业单点登录 （SSO），使用户只需一组凭据即可无缝、一键式访问所有支持 SAML、OAuth 和 OIDC 的云应用程序。简化对企业应用程序的访问全面的单点登录解决方案使用 MFA 保护的云应用无密码身份验证使用现有 AD 标识基于策略的访问控制、由 IdP 和 SP 启动的 SSO 流全面的单点登录解决方案支持SSO：启用了 SAML 的应用程序。支持 OAuth 和 OpenID Connect 的应用程序。自定义应用程序。使用 MFA 保护的云应用ADSelfService Plus 通过单独的、可自定义的 MFA 设置保护对云应用程序的访问。交互式应用程序仪表板允许 IT 管理员轻松选择要为其启用 SSO 的应用程序。无密码身份验证当您在 ADSelfService Plus 中为企业应用程序启用 SSO 时，您可以允许用户在没有密码的情况下访问企业应用程序。用户使用比密码更强的因素进行身份验证，例如生物识别或 Google 身份验证器，以增强安全性。使用现有 AD 标识借助 ADSelfService Plus，您可以轻松地使用 Active Directory 身份为云应用程序设置企业单点登录。 ADSelfService Plus 利用用户在 Windows AD 中的现有身份进行身份验证，从而节省了原本用于为用户设置新身份的时间，并消除了对密码保管工具存储其他密码的任何依赖。基于策略的访问控制通过基于 AD OU 和组创建策略，控制谁访问哪些云应用程序。您可以创建多个策略，并将对关键业务应用程序的访问限制为仅需要它们的用户。由 IdP 和 SP 启动的 SSO 流登录到 ADSelfService Plus，转到“应用程序”选项卡，然后单击应用程序以访问它（IdP 发起的流）。或者，转到应用程序的登录页面，重定向到 ADSelfService Plus，并在身份验证过程成功完成（SP 启动的流程）后访问应用程序。实施 SSO 的好处更快的 IT 集成：确保更快地将收购的业务或合作伙伴关系与您组织的现有框架集成。降低成本：通过使用户只需登录到一个门户即可访问其所有应用程序，降低与密码重置票证相关的成本。简化的用户体验：使用户能够通过简化的一键式访问来采用更多应用程序。ADSelfService Plus 身份安全解决方案，可以结束许多网络攻击，节省 IT 成本，并开启您的零信任之旅。借助 ADSelfService Plus，您可以保护多种 IT 资源，包括身份、计算机和 VPN，减轻 IT 帮助台的负担，为用户提供自助服务功能，并获得对分布在本地、云和混合环境中的身份的 360 度可见性和控制。

远程工作支持的优势未更改的企业访问：远程工作支持开辟了访问企业网络和资源以及其中保存的数据的替代方法。应采取必要措施，确保它们保持完整，不受远程破坏企图的影响。提高工作效率：理想情况下，远程工作支持可提高用户的工作效率，用户工作流和对资源的访问不受干扰。降低成本：组织资源的消耗和相关成本减少了，如果启用远程工作未按计划进行，组织可能会面临大量帮助台工单，其成本可能会增加。什么是脱机 MFA，为什么需要它通常，要使 MFA 正常运行，用户的设备必须连接到互联网或与 MFA 服务器相同的网络才能传达身份验证信息。但是，由于不可预见的情况，有时可能会断开与 MFA 服务器的连接，从而使用户脱机。在这种情况下，绕过 MFA 或阻止访问都是不明智的选择。脱机 MFA 弥合了差距，允许管理员为用户强制实施 MFA，即使他们无法访问 MFA 服务器也是如此。这样，用户的脱机状态就不必限制组织的网络安全。Windows 登录的脱机 MFAADSelfService Plus 支持用于 Windows 机器登录的离线 MFA，管理员可以配置一个或多个 MFA 因素供用户进行身份验证。用户需要在联机时在各自的身份验证器中注册自己，以便在脱机时可以执行 MFA。脱机 MFA 在以下两种情况下都有效：用户具有互联网连接，但未连接到 MFA 服务器。用户未连接到互联网或 MFA 服务器。适用于 Windows 登录的脱机 MFA 的工作原理启用脱机 MFA 最初会提示用户注册其管理员配置的身份验证器，这发生在用户连接到 ADSelfService Plus 服务器时（即，当他们在线时）执行的计算机登录尝试期间。管理员可以让用户选择在特定设备上注册脱机 MFA 身份验证器，或者，管理员可以在用户登录时强制用户注册。注意：选择跳过 MFA 注册的用户将无法在登录期间通过 MFA 证明其身份，根据启用管理员的配置，将绕过他们的 MFA，或者他们无法访问其计算机。用户成功注册脱机 MFA 后，验证其身份所需的身份验证数据将存储在该特定设备上的本地。当用户在未连接到 ADSelfService Plus 服务器时尝试计算机登录时，他们将能够使用注册的身份验证器验证其身份并访问计算机。如果不希望用户长时间通过离线 MFA 登录，管理员可以限制离线 MFA 尝试的次数，一旦达到限制，用户必须连接到ADSelfService Plus并至少验证一次其身份。脱机 MFA 支持的身份验证器ADSelfService Plus 支持以下用于脱机 MFA 的身份验证器：谷歌身份验证器Microsoft身份验证器Zoho OneAuth的TOTP身份验证器自定义 TOTP 身份验证器脱机 MFA 的优势确保远程和出差员工的安全：无论用户是远程工作还是遇到连接问题，用户的计算机都受到 MFA 的保护。使用预定义的报告跟踪注册：生成已注册离线 MFA 的用户的可读合并报告以及时间戳，并在必要时取消注册用户。注册多个设备：允许用户在多台设备上注册脱机 MFA。ADSelfService Plus 是一种身份安全解决方案，可以结束许多网络攻击，节省 IT 成本，可以保护多种 IT 资源，包括身份、计算机和 VPN，减轻 IT 帮助台的负担，为用户提供自助服务功能，并获得对分布在本地、云和混合环境中的身份的 360 度可见性和控制。

什么是威胁情报威胁情报是网络安全的关键组成部分，可为潜在的恶意来源提供有价值的见解，这些知识可帮助组织主动识别和防止网络攻击，通过利用 STIX/TAXII 等威胁源，组织可以检测其网络中的潜在攻击，从而促进快速检测和跟踪目标攻击。威胁情报对于主动防御、有效事件响应、风险管理、态势感知、协作和合规性至关重要，它使组织能够领先于威胁，做出明智的决策，并加强其整体网络安全态势。威胁情报类型三种类型的威胁情报数据是：战略情报：它通过提供对威胁参与者的长期趋势、动机和目标的高级见解，帮助组织进行战略规划和决策。运营情报：它提供有关持续威胁、漏洞和主动攻击活动的实时信息，有助于快速检测和响应安全威胁。战术情报：它侧重于威胁参与者使用的特定工具、技术和过程（TTP），帮助安全管理员制定有效的对策并增强防御能力。威胁情报的阶段威胁情报生命周期包括六个阶段：规划和方向：定义威胁情报计划的目标、资源和范围。收集：从各种来源收集相关数据，例如开源情报、供应商和威胁源。加工：组织和分析收集的数据以获得有价值的见解。分析：通过模式识别和指示器识别，了解威胁、其影响以及威胁参与者采用的策略。传播：与相关利益相关者分发情报，以指导决策并促使采取适当行动。反馈和改进：收集反馈，评估计划的有效性，并使用见解来改进未来的工作。威胁情报平台Log360威胁情报平台用于更快检测和解决安全威胁，借助内置的威胁检测模块和高级威胁分析插件，管理员可以阻止恶意来源、防止数据泄露、拦截恶意站点访问。该集成平台结合了开源和商业威胁源，可减少误报，加快威胁检测速度，并帮助对关键安全威胁进行分类。发现和缓解访问列入黑名单和有风险的 URL 和域的用户。恶意 IP 试图访问企业的关键资源。深入了解试图入侵的恶意行为者的地理位置。攻击技巧。威胁情报解决方案可以解决的安全用例尽早阻止攻击尝试防止数据泄露安全警报减少误报尽早阻止攻击尝试利用面向公众的机器和已知漏洞仍然是黑客入侵网络的一种方法，借助 Log360 的预配置威胁警报，企业不仅可以阻止来自恶意来源的通信，还可以自动触发工作流以将列入黑名单的 IP 添加到防火墙并永久阻止它们。防止数据泄露如果攻击者使用被盗凭据或任何其他方式侵入网络并试图勒索敏感数据并将其发送到其命令和控制服务器，Log360 的威胁情报解决方案可以立即检测并停止此类通信，检查所有出站通信;提醒相关分析师与恶意 IP、域或 URL 的通信，并立即终止连接。安全警报检测哪个安全警报对企业构成的最大风险对于每个安全专业人员来说都是一项具有挑战性的任务，Log360 的高级威胁分析模块可识别威胁和攻击类型，包括恶意软件、网络钓鱼和其他已知攻击。还可以在事件调查模块中利用这些见解来更好地证实威胁并确定其解决的优先级。减少误报Log360 时事件响应系统，例如尝试远程登录关键服务器的 IP 的信誉得分，或尝试远程连接到 VPN 的 IP 的地理位置。这样可以提高对网络行为的可见性，并有助于将可疑活动与合法活动区分开来。

MDM或移动设备管理是一种软件应用程序，用于管理企业中的终端，如笔记本电脑、智能手机、平板电脑等。随着越来越多的员工使用这些设备，各种形式和规模的企业现在都转向移动设备管理，以增强数据安全性并提高生产力。MDM是什么意思移动设备管理（MDM）是管理移动设备的所有内容的过程。MDM包括存储有关移动设备的基本信息、决定设备上可以存在哪些应用、定位设备，以及在设备丢失或被盗时保护设备。许多企业使用第三方移动设备管理软件（如Mobile Device Manager Plus）来管理移动设备。移动设备管理已扩展为企业移动管理（EMM）。移动设备现在具备比以往更多的功能，这使得许多企业采用了纯移动或移动优先的劳动力。在这些类型的环境中，个人和企业拥有的移动设备都是用于访问企业数据或与企业数据交互的主要设备。随着许多企业转向基于云的基础架构，移动设备的易用性为移动设备取代传统台式机做出了贡献。移动设备本质上是便携式的，确保工作可以在任何地方完成，包括在家里，甚至在上下班途中。虽然移动设备的便携性可以提供许多优势，但移动设备也有其自身的一系列问题，例如未经授权的数据访问和数据泄漏，这凸显了管理这些设备的重要性。然而，多种制造商、操作系统（OS）和设备类型使得管理移动设备变得更加困难。如果您希望利用便携性来提高工作效率，而又不影响安全性，那么您需要建立一个适当的移动设备管理系统，以简化管理移动设备的难题。对于将要管理移动设备的系统管理员来说，好的MDM应用程序可以带来很大的不同。MDM解决方案通过在一个位置编译您需要的所有内容，轻松高效地管理企业中所有不同类型的设备。它使您可以管理移动设备上正在安装或删除的应用程序、在设备上配置基本设置，以及设置将用于特定目的的设备，如POS机。为什么移动设备管理（MDM）很重要移动设备管理（MDM）对于致力于提升专业度的企业非常重要。易于部署MDM解决方案可以部署在本地或私有云或公共云环境中，企业可以根据其特定业务需求选择部署方式。高效的集成许多MDM解决方案可与服务台工单软件、应用程序开发工具和其他业务解决方案无缝集成。管理多种设备类型简化的移动设备管理需要管理多种操作系统，如iOS、Android、Windows、macOS、tvOS和Chrome OS，以及多种设备类型，如平板电脑、笔记本电脑和智能手机。移动设备管理（MDM）软件如何工作移动设备管理（MDM）使用客户端 - 服务器架构，设备充当客户端，而MDM服务器远程推送配置、应用和管理设备的策略（OTA）。IT管理员可以通过MDM服务器远程管理笔记本电脑、平板电脑和移动电话等移动终端。它利用可用的通知服务来联系托管设备。使用MDM解决方案的优势省时的自动化通过自动执行重复性任务（如在设备上配置Wi-Fi设置或要求用户安装某些应用程序）来节省时间。提高效率为您的企业配置定制的策略，以提高工作流效率。提高生产力利用多种策略组合，例如在工作时间将非企业应用程序列入黑名单，以确保员工更注重生产力。实现合规只需点击几下，即可满足GDPR、HIPAA、ISO、PCI和CJIS等复杂的合规标准。增强安全性保护移动设备上的企业数据，防止其在第三方服务上共享或保存。远程管理无需用户干预即可管理无线设备（OTA）并且不会影响工作效率。MDM行业用例医疗保健随着大多数医疗保健组织转向电子健康记录（EHR），移动设备的使用在医疗保健领域比以往更受欢迎。但是，确保存储在移动设备上的个人健康信息（PHI）是安全的，并且符合HIPAA等监管标准可能是一项挑战。MDM解决方案可以帮助您满足合规性标准，同时确保PHI保持安全，防止未经授权的访问。交通运输现在很多企业都欢迎移动性，一个可以从MDM的优势中获益的市场就是交通运输业。MDM可以使企业跟踪货运和车辆位置，并维护所经路线的历史记录。它还允许您将企业设备锁定到特定的应用程序和（或）设置，以防止设备滥用并确保最高的效率。教育向数字时代的过渡对教育部门的影响最大。随着越来越多的学校采用基于平板电脑的教学方法，管理这些设备以确保它们仅用于学习是至关重要的。细粒度限制使您可以禁用相机等基本设备功能，并限制对某些网站的访问。零售得益于数字标牌、mPOS和自助结账功能，移动设备已经在零售行业占据了一席之地。零售行业的一些企业使用专为满足特定需求而构建的移动设备，而其他企业则在手机和平板电脑等更标准的设备上使用内部应用程序和某些策略的组合。可以使用MDM解决方案管理专用设备（如坚固设备）和标准移动设备（如智能手机）。服务随着服务行业中的大多数企业倾向于纯移动或移动优先的劳动力，移动设备（尤其是员工拥有的设备）的使用比以往任何时候都要多。MDM解决方案可帮助您无缝管理个人设备（BYOD管理）和内部应用程序，同时确保这些设备符合您企业的安全标准。可以提供帮助的MDM解决方案Mobile Device Manager Plus是可以满足任何企业移动设备管理需求的解决方案。让我们来看看Mobile Device Manager Plus提供的一些功能：更快的入门Mobile Device Manager Plus支持多种登记方式，无论设备是在用户手上还是仍然在存储库中。借助Mobile Device Manager Plus，您可以快速轻松地批量加载设备，无需用户操作。了解有关Mobile Device Manager Plus的登记方式的更多信息。它还有助于BYOD移动设备管理，即针对个人设备的移动设备管理，您可以管理工作区，同时对个人空间没有任何限制，从而既确保了企业数据安全又不会影响用户隐私。高效的应用管理静默安装购买的和内部的应用程序，预定义应用程序权限并设置OTA，以确保它们在安装后立即可用。除静默安装外，您还可以远程删除或更新应用程序，而无需任何用户干预。此外，Mobile Device Manager Plus还可以帮助您维护付费应用程序的许可。详细了解应用管理。无缝的策略管理通过远程预配置Wi-Fi、电子邮件等基本设置，确保设备在交付给员工时即可使用。任何配置更新也可以通过OTA进行。使用Mobile Device Manager Plus，您可以通过控制设备的所有企业相关内容轻松管理BYOD环境，同时保留个人数据，以实现安全性和私密性之间的良好平衡。详细了解政策管理。强大的安全管理Mobile Device Manager Plus为您提供了一系列移动安全选项 – 无论是主动的还是被动的。除了粒度限制之外，您还可以确保只有Mobile Device Manager Plus管理的设备才能访问公司Exchange服务器。通过对企业文档进行沙箱化处理，可以确保试图访问企业数据的移动设备只能使用设备上的MDM代理应用程序（ManageEngine MDM）来执行此操作，从而防止未经授权的访问。您还可以创建地理围栏策略，以确保企业设备不会离开现场。如果设备被盗或丢失，您可以使用丢失模式保护设备并执行安全命令来锁定或擦除设备。全面的部署后管理除简单的设备部署外，Mobile Device Manager Plus还提供多种设置来维护已部署的设备，包括定期扫描设备以更新设备清单、远程故障排除，以及计划和自动安装操作系统更新以确保在每个设备上运行最安全的操作系统版本。

大流行后的工作场所在很大程度上转向远程优先或混合安排，员工使用各种个人设备连接到公司网络。不良的网络卫生实践、缺乏足够的网络安全措施以及个人设备的广泛使用都导致全球网络攻击和数据泄露事件增加。随着网络攻击的不断增加，由此所造成的经济损失也成倍增加。这些攻击不仅会导致数据泄露，还会使企业组织受到监管行动，并经常导致客户之间失去信任并损害企业组织的声誉。如果发生网络攻击，公司可能需要向其客户、第三方协会或政府监管机构支付数百万美元的赔偿金。为了帮助他们解决这个问题，公司开始选择网络保险作为获得网络风险保险的一种方式。网络保险单可以承保各种损失，例如数据丢失、数据勒索、数据盗窃或黑客攻击造成的损失。但是，每份保单承保范围的细节可能会因网络保险的类型和质量而异。网络保险政策往往附带一个专门针对事件响应、法律咨询、IT 取证、消费者通知和按需呼叫中心的项目列表。网络保险还通过支付数字取证调查费用或提供可以帮助控制损害的网络安全专家来帮助处理事件发生后的事宜。在当今日益危险的网络威胁环境中，良好的网络安全策略和网络责任保险似乎是必不可少的，但最近的一项调查显示，只有50%的公司拥有网络保险政策。任何管理和创建数据（包括客户信息（如姓名、联系信息、信用卡号和其他个人身份信息）的企业组织都可能从购买网络保险单中受益。为什么选择网络保险？任何企业组织都不能幸免于网络攻击。尽管许多大型企业正受到网络攻击的削弱，但中小企业应该对考虑网络保险更加敏感，因为他们没有预算来对抗或补救攻击。网络保险行业也在不断发展，网络保险公司定期更新其标准，并设定哪些安全功能是公司有资格获得网络保险的标准要求。网络保险政策的演变：勒索软件的意外后果网络保险行业正在蓬勃发展，预计到 2026 年将达到 250 亿美元。黑客现在寻找数据室来确定公司拥有多少网络保险，然后要求与保单限额相匹配的金额。此类攻击正在推动保险公司提出严格的承保准则。改善企业组织的网络安全状况正在成为获得网络保险的强制性要求。没有网络保险，因为Medibank漏洞袭击了400万客户网络黑客获得了Medibank的客户群，包括客户个人数据，健康索赔数据和超过390万客户的国际学生单位。Medibank没有网络保险，此事件可能导致估计成本在2500万至3500万美元之间，不包括补救或法律费用。这些数字给那些应该积极考虑为其企业组织提供网络保险的公司敲响了警钟。保费上涨，网络保险范围更受限制，给企业带来巨大风险对网络保险的高需求，加上日益复杂的网络攻击，促使网络保险公司大幅增加其保费成本。与 2021 年第四季度相比，2022 年第一季度的保费也平均增长了 28%。保险公司对承保对象和内容也变得更加挑剔。承销商提出了更严格的要求，例如强制实施网络安全协议，例如多因素身份验证、自动软件更新和员工培训。NIST隐私框架为网络保险设定新标准如果客户歪曲保单规定的安全措施，保险公司可以拒绝客户成本保险。这就是NIST网络安全框架介入的地方，它概述了一组核心功能，可帮助企业组织加强对网络攻击的防御并降低风险评分，确保保险资格。许多网络威胁的危险之处在于它们只有在发生后才会被检测到。所有企业组织，尤其是中小型企业，都应认真考虑为其企业提供网络保险。除了保险，强大的网络安全策略和事件响应策略在当前的威胁环境中也很重要。

固件漏洞可能会使您的企业和客户的敏感数据面临风险，导致黑客容易进入、销售额下降、声誉损失和处罚。为了避免这些事故，识别这些固件漏洞并定期采取纠正措施非常重要。使用 Network Configuration Manager，你现在可以识别网络设备中的潜在固件安全漏洞并采取措施。 Network Configuration Manager 充当固件漏洞扫描程序，并通过获取固件漏洞数据并将其与当前在基础结构中管理的网络设备相关联，根据 NIST 漏洞管理（美国国家标准与技术研究院）工作。目前，Network Configuration Manager 可帮助管理下表中供应商的固件漏洞。查看网络中的固件漏洞Network Configuration Manager 通过在“固件漏洞”页中扫描网络中的固件漏洞来提供有关所有漏洞的信息。您将能够通过三种方式查看漏洞。设备固件漏洞管理 - 所有漏洞在“所有漏洞”选项卡下，您将能够查看网络中符合NIST漏洞管理的所有CVE ID/漏洞。单击 CVE ID 后，您将能够查看与该 CVE ID 关联的所有设备。这为您提供了完整的设备固件漏洞管理。漏洞利用状态：您可以选择查看所有 CVE ID，也可以选择查看具有可用漏洞利用信息的 ID。当你将“漏洞利用状态”指定为“利用”时，Network Configuration Manager 仅显示CVE ID，其中包含由首次报告漏洞的用户提供的有关如何破解/进入网络的信息。这些漏洞是严重的，必须优先于其他漏洞。请求更新：有时，你可能知道与特定供应商对应的某些漏洞，但这些漏洞可能未在 Network Configuration Manager 中列出。在这种情况下，您可以向我们发送供应商名称、操作系统类型和未列出漏洞的设备的操作系统版本。一旦您更新我们，我们将自动获取和更新报告的供应商/操作系统版本/操作系统类型的漏洞数据。搜索/筛选：Network Configuration Manager 允许你在“搜索 CVE”搜索框中搜索 CVE ID，这有助于你显示与搜索的 CVE 关联的漏洞。此外，您还可以根据严重性和漏洞利用可用性筛选搜索。发现的漏洞：在“发现的漏洞”下，您可以查看特定时间段内发现的漏洞总数。设备固件漏洞管理中的暴露设备在“公开的设备”选项卡下，你可以有一个基于设备的漏洞视图，其中 Network Configuration Manager 列出了具有固件漏洞的设备。向下钻取时，您将能够看到该特定设备的所有CVE ID（漏洞）。这有助于您了解网络中存在漏洞的设备数量。版本分发在“版本分发”选项卡下，Network Configuration Manager 列出了环境中所有受影响的版本。所有固件安全漏洞将根据其所属的固件版本进行分组，并显示这些版本。向下钻取时，您将能够查看属于同一版本的所有设备及其 CVE ID。查看 CVE ID 详细信息并采取补救措施通过单击CVE ID，您可以获得有关设备固件漏洞管理的深入信息发布/修改日期：在CVE详情页面，您可以查看CVE ID的发布日期和上次修改日期。漏洞摘要：您还可以查看摘要，其中显示了有关漏洞是什么以及首先在哪个设备上报告漏洞的信息。参考网址：您还可以查看引用 URL，其中提供了用于修复的漏洞补丁。漏洞状态：您可以看到一个状态栏，其中包含用于标记漏洞状态的选项。您可以随时编辑此状态。固件漏洞进行分类Network Configuration Manager 根据“基本分数”对漏洞的严重性进行分类，“基本分数”是根据利用能力指标（攻击、复杂性和身份验证）和影响指标（机密性、完整性和可用性）等几个指标计算得出的。以下是严重性分类方式的拆分：基本得分 9.0 - 10 - 严重基本得分 7.0 - 8.9 - 重要基本得分 4.0 - 6.9 - 中等基本得分 0 - 3.9 - 低固件漏洞数据库同步来自 NIST 漏洞管理的固件漏洞数据可以与 Network Configuration Manager 的数据库同步。用户可以设置计划时间，以便每天同步数据。设置计划时间后，漏洞数据的同步会在计划的确切时间自动进行。Network Configuration Manager 还允许您根据自己的方便编辑/更改计划的时间。如果未设置计划时间，则默认情况下每晚凌晨 2 点进行同步。如果您希望立即更新NCM UI中的漏洞数据，而不是计划的时间，则可以提供“立即更新”选项。当给出“立即更新”时，最新的固件安全漏洞数据将在 Network Configuration Manager 的数据库中更新。封闭网络的漏洞数据库同步如果您的网络已关闭，您将无法使用固件漏洞扫描和来自 NIST 漏洞管理的数据自动更新漏洞数据库。在这种情况下，您可以手动导入漏洞数据。下载固件漏洞数据。开发了“校验和”功能来验证文件的真实性和完整性。请在 Network Configuration Manager UI 中提供的输入框中输入下面给出的校验和。导入下载的文件。导入新文件后，以前的转储将被删除并替换为最新数据。注意：客户修改导入的转储可能会导致 Network Configuration Manager 中存在的漏洞转储损坏。固件漏洞报告充当固件漏洞扫描程序的 Network Configuration Manager 提供固件漏洞报告，以帮助你清楚地了解受影响的设备、其状态和漏洞修正。您可以以PDF和CSV文件的形式导出固件漏洞报告。您还可以通过电子邮件将固件漏洞报告发送到您的邮件地址。使用“高级 CVE 搜索”，您可以通过使用供应商名称、CVE ID、设备操作系统编号、版本或型号进行搜索来全局搜索所有漏洞。例如：如果您搜索“Cisco IOS 7000”，将列出该特定型号中存在的所有固件安全漏洞。进一步单击它后，您将能够看到与特定CVE ID对应的漏洞的所有详细信息。Network Configuration Manager 可帮助您实现深入的固件漏洞扫描和管理。

什么是勒索软件勒索软件又称勒索病毒，是一种特殊的恶意软件，又被归类为“阻断访问式攻击”（denial-of-access attack），与其他病毒最大的不同在于攻击方法以及中毒方式。攻击方法：攻击它采用技术手段限制受害者访问系统或系统内的数据（如文档、邮件、数据库、源代码等），并以此要挟受害者。受害者需要支付一定数量的赎金，才有可能重新取得数据控制权，以此来达到勒索的目的。中毒方式：勒索软件一般通过木马病毒的形式传播，将自身掩盖为看似无害的文件，通常假冒普通电子邮件等社会工程学方法欺骗受害者点击链接下载，但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在互联网的电脑间传播。任何组织和个人都可能成为勒索软件攻击的目标，网络犯罪分子可能无差别攻击，也可能针对更有价值的组织，如政府机构、医院等更有意愿支付赎金的组织，拥有敏感数据的机构。勒索软件不仅影响组织的正常运行，导致业务停滞或中断，还可能会泄露商业秘密，影响企业形象。勒索软件的类型根据勒索软件所使用的勒索方式，主要分为以下三类：影响用户系统的正常使用：比如 PC Cyborg、QiaoZhaz（Trojan/Win32.QiaoZhaz）等，会采用锁定系统屏幕等方式，迫使系统用户付款，以换取对系统的正常使用。恐吓用户：比如 FakeAV（Trojan[Ransom]/Win32.FakeAV）等，会伪装成反病毒软件，谎称在用户的系统中发现病毒，诱骗用户付款购买其“反病毒软件”。又如Reveton（Trojan[Ransom]/Win32.Foreign），会根据用户所处地域不同而伪装成用户所在地的执法机构，声称用户触犯法律，迫使用户支付赎金。绑架用户数据：这是近期比较常见的一种勒索方式，最典型的是CTB-Locker家族（Trojan[Ransom]/Win32.CTBLocker），采用高强度的加密算法，加密用户文档，只有在用户支付赎金后，才提供解密文档的方法 。勒索软件检测工具的优势使用 DataSecurity Plus 的勒索软件检测和响应功能，发现并遏制勒索软件攻击。检测勒索软件指标应对攻击检测勒索软件指标检测勒索软件入侵：在勒索软件攻击开始时检测它，审核文件服务器是否存在文件重命名和删除事件的突然激增，这通常是勒索软件攻击的前奏。接收即时通知：通过设置实时警报和威胁响应来确定勒索软件检测的优先级，一旦发生可疑文件更改，立即收到通知。阻止勒索软件的传播：快速阻止勒索软件感染滚雪球般地演变成大规模数据泄露，关闭受感染的设备以隔离它们并减轻损害。应对攻击隔离损坏的设备：通过使用自动化的预定义威胁响应机制，将勒索软件攻击的影响降至最低，断开受感染用户帐户的会话，以阻止勒索软件的进一步传播。识别勒索软件损坏的文件：使用内置威胁库发现已知勒索软件变种（如 Petya、Locky 等）的攻击，通过永久删除这些勒索软件加密文件来保护您的数据。保留数据以供调查：生成审计跟踪，以促进调查并保存法律证据，保留和分析审计数据，以预测和阻止未来的威胁。防范勒索软件的最佳实践备份文件：处理勒索软件攻击的最有效方法是使用 3-2-1 备份规则，在两种不同的存储类型上保留至少三个不同版本的数据，至少有一个异地。培训最终用户：定期培训员工如何识别和避免常见的勒索软件陷阱，例如恶意广告、网络钓鱼电子邮件等。修补漏洞：通过定期更新操作系统、浏览器和其他应用程序中的漏洞来减少它们。使用入侵检测系统：使用持续监控实时检测异常或恶意活动的迹象，在早期阶段切断勒索软件攻击。使用电子邮件过滤：阻止恶意可执行文件、垃圾邮件、网络钓鱼电子邮件和已知勒索软件使用的其他方法。将应用程序列入白名单：将可接受的软件添加到白名单中，并阻止未经授权的程序运行。提供尽可能少的特权：使用强大的访问管理来限制不必要的访问，并减少恶意软件进入组织的访问点数量。逻辑上独立的网络：通过根据任务或部门分离网络，在发生勒索软件攻击时减少数据丢失。如何检测勒索软件在短时间内多次修改文件和加密证据是勒索软件的两个明显迹象。使用一些简单的模式，DataSecurity Plus可以及早检测到这些勒索软件的迹象，并在攻击发生时识别它们。可以按照以下步骤配置自动威胁响应机制，以便在勒索软件攻击开始时立即关闭任何勒索软件攻击。1、运行数据安全Plus导航到“警报”选项卡2、单击页面右上角的新建警报配置文件。3、命名警报配置文件并包含适当的描述（例如，“潜在的勒索软件攻击”）。4、在严重性选项卡中，选择严重。5、打开阈值限制部分并指定要监控的事件数（例如，“一分钟内修改 100 次文件”）*。6、导航到条件部分，并在选项卡下添加以下筛选器：行动：创建、修改、重命名和文件扩展名更改监控：All显示器类型：文件和文件夹文件类型：All用户：All7、使用“排除”选项卡可忽略单个文件、组织特定的文件类型和文件夹，以进行选择性监视并防止误报检测。并减少误报。8、导航到电子邮件通知并指定要向其发送警报的一个或多个电子邮件地址。将电子邮件优先级设置为高。9、在“执行命令”文本框中，运行默认脚本（例如，“{install_location} \bin \alertScripts \triggershutdown.bat %server_name%”），以关闭受感染的系统。注意：您还可以执行禁用用户帐户、禁用网络的其他脚本，或者根据组织需求定制的自己的脚本之一。10、要保存配置的警报，请单击保存。现在，已成功将 DataSecurity Plus 配置为检测并响应在一分钟内检测到 100 多个文件事件（如创建、修改和重命名）的方案。*阈值限制将根据服务器大小、用户数量和使用级别而有所不同。勒索软件检测工具问题解答Q：当检测到勒索软件攻击时，可以自动断开用户的会话吗？A：DataSecurity Plus允许执行自己的脚本以执行根据组织需求定制的操作（例如，断开用户会话，锁定用户帐户或关闭系统）。Q：可以检测到未来的勒索软件攻击吗？A：DataSecurity Plus可以及时识别所有勒索软件攻击并生成基于阈值的告警，这些告警在定义的时间跨度内发生一定数量的受监控事件时触发。Q：可以阻止像WannaCry和Petya这样的已知勒索软件感染整个网络吗？A：许多勒索软件变体在加密数据时使用特定的文件扩展名，DataSecurity Plus使用这些恶意文件扩展来识别已知的勒索软件变体并立即阻止它们。Q：如果勒索软件感染了网络，可以确定攻击的起始位置吗？A：DataSecurity Plus能识别攻击开始的机器的客户端IP，可以使用此信息和其他信息执行根本原因分析。Q：刚刚提醒已检测到可能的勒索软件活动，该怎么办？A：如果是这种情况，那么DataSecurity Plus应该已经关闭了可能受感染的系统。从这里开始，您应该分析审计数据，以确定它是哪种勒索软件变体，并从那里开始规划您的策略。DataSecurity Plus数据可见性和数据泄漏防护组件，可帮助企业抵御内部威胁、防止数据丢失并满足合规性要求。

强化远程企业端点Nuspire的一份报告显示，利用Fortinet的SSL-VPN和Pulse Connect Secure VPN漏洞的VPN攻击在2021年增加了近2，000%。使用这些攻击，受害者会泄露信息并在许多企业组织中部署勒索软件。必须建立适当的身份验证系统来保护对网络的访问。远程登录过程需要与本地登录过程一样安全（即使不能更安全）。实施 MFA 并确保所有可能的入口点都受到保护也是关键。例如，在保护远程桌面登录时，必须针对来自目标计算机和面向这些计算机的远程登录尝试升级身份验证。此外，选择生物识别和硬件密钥等高级身份验证器可确保严格而方便的身份验证过程。优化远程密码管理用户体验是提高生产力的关键。在办公室外工作时，员工在访问公司资源时可能会遇到问题。如果不直接访问帮助台，与密码相关的事件（如忘记密码和锁定）可能会干扰远程员工的工作流程。使远程用户能够从其设备重置或更改其密码有助于确保安全性，而不会影响工作效率。自动电子邮件或短信通知系统可确保即使是无法接收域通知的 VPN 用户也能随时了解即将到期的密码。具有缓存凭据更新功能的自助式密码重置解决方案可帮助远程用户在不中断其工作流的情况下管理其密码。我们为您的远程工作需求提供解决方案涵盖所有这些基础的细粒度整体解决方案有助于创建成功的远程工作模式。 ADSelfService Plus 勾选了远程工作启用的所有框。它为 VPN、RDP 和 OWA 登录提供三级 MFA；从移动设备进行自助密码管理；远程缓存凭据更新；和密码过期通知。

什么是端点安全端点安全或端点保护涉及保护台式机、笔记本电脑、平板电脑等端点，以防止企业网络中网络攻击的任何入口点。无论规模大小，组织都有端点，传统的防病毒解决方案无法满足处理新的和不断发展的恶意网络威胁的要求。因此，端点安全管理是任何组织的重要组成部分。借助端点安全解决方案，企业网络安全得到加强，该解决方案可立即预防、识别和纠正网络威胁。端点保护如何工作企业定期更新其端点（笔记本电脑、台式机、智能手机、平板电脑等），以修补任何漏洞并简化此过程，他们使用端点安全软件。当远程最终用户尝试访问网络关键资源时，简单的SSL VPN是不够的。用于监视活动的客户端可以很好地提供端点安全的功能。从而进一步增加了端点安全的重要性。通常，端点安全软件使用代理-服务器通信模型运行。代理应用程序安装在所有端点上，它会定期收集数据并将其更新到集中托管的服务器，例如未修补的漏洞、缺少的补丁等。系统管理员可以全面了解所有端点的系统运行状况，并从中心位置管理特定端点，例如配置策略设置、阻止某些网站等。端点安全软件可以满足安全要求，但是，管理员越来越多地使用统一端点管理和安全解决方案从单个控制台管理其所有端点。端点安全和网络安全有什么区别一方面，网络安全保护着企业的整个网络。它可以通过多种方式完成，例如，实施DNS保护，加密所有通信，将蜜罐服务器托管为诱饵等。另一方面，端点安全保护每个端点。例如，部署安全配置、检查许可证合规性等。端点安全和防病毒有什么区别虽然防病毒软件有助于消除系统中已经存在的病毒和其他恶意软件，但端点安全软件将保护网络中的漏洞点，并帮助修补各种系统，以防止任何可能导致安全漏洞的路径。因此，端点保护软件专注于保护，而防病毒软件则消除了现有威胁。企业和客户端点安全之间的区别面向消费者的端点安全解决方案可满足家庭设备的需求，而面向企业的端点安全解决方案可满足组织的需求。前者通常比后者具有更少的功能。企业端点安全是所有企业都必须考虑的，因为所有敏感数据都存储在易受网络攻击的端点上。最近，数据泄露变得非常普遍，未受保护的端点很容易成为目标。端点保护工具可增强组织的整体网络卫生，并保护端点和企业免受网络攻击和数据泄露。企业端点安全经过精心设计，几乎可以满足任何管理需求，例如修补、漏洞检测、软件清单警报等。端点安全软件需要的功能保护设备，尤其是 USB 端口报告生成基于设备和基于用户的安全策略应用程序控制远程补丁安装可快速修复关键漏洞强大的加密算法，实现安全通信接收有关配置安全性/状态的通知浏览器管理阻止对邮件服务器、文件服务器和协作服务器的威胁双因素身份验证Endpoint Central 端点安全平台Endpoint Central是 ManageEngine 提供的统一端点管理解决方案，可帮助全面满足 IT 管理员的需求。它支持Windows，Mac，Linux，tvOS，Android，iOS和Chrome设备。在任何组织中，端点保护都起着至关重要的作用，端点会带来威胁，尤其是在已实施自带设备 （BYOD） 策略的组织中。以下是Endpoint Central中提供的一些端点中心功能，管理员可以使用这些功能来改善端点保护并更好地保护其网络：通过关键威胁评估和全面的补丁管理，保护您的网络免受零日漏洞的侵害减少由于默认和安全配置不佳而导致的攻击面全面了解适用于网络中系统的 CIS 基准及其合规性状态通过跟踪网络中使用的插件、附加组件和扩展程序，保护您的浏览器免受恶意攻击仅允许访问受信任或授权的网站，同时遵守浏览器安全法规通过监控和限制 USB 和其他外围设备的使用，避免数据泄露、数据盗窃和内部攻击通过镜像数据和跟踪文件传输来保护敏感信息监视并确保通过 BitLocker 加密设备传输数据通过将高风险应用程序列入黑名单来提高生产力并阻止它们。通过创建应用程序白名单仅允许受信任的应用程序利用端点权限管理确保应用程序级安全性Endpoint Central旨在通过其最新的Endpoint Security插件弥合端点管理和安全性之间的差距。此附加组件侧重于主动保护端点安全的各个方面，这些方面经常被传统的防病毒和其他外围安全解决方案所忽视。Endpoint Central 端点安全功能漏洞管理和合规性定期扫描所有托管端点以查找已知漏洞、威胁和默认/不良配置错误，以通过我们全面的漏洞评估和缓解功能密封网络攻击的入口点漏洞评估：识别和评估遍布网络的大量漏洞的真实风险安全配置管理：跟踪配置偏差并部署安全配置以消除安全漏洞CIS 合规性：根据 75+ CIS 基准审核和维护您的系统，即时识别违规行为，并查看详细的补救见解零日漏洞缓解：使用预先构建的、经过测试的脚本识别和缓解零日漏洞Web 服务器强化：检测并修复过期的 SSL、不适当的 Web 根目录访问和其他 Web 服务器缺陷高风险软件审核：分析和卸载不安全、未经授权且不受供应商支持的软件防病毒审核：获取有关防病毒软件不存在、处于非活动状态且不是最新的系统的信息端口审核：监视正在使用的端口和其中运行的进程，并识别可能被恶意软件或未知应用程序激活的意外端口浏览器安全浏览器可能是最容易被忽视的端点，也是恶意软件最常见的入口点。使用我们的浏览器安全包容性功能集，监控和实施组织中使用的浏览器安全措施。附加组件控制和管理：对浏览器扩展和插件的安装和使用进行控制Web 过滤器：通过提供或拒绝对特定网站的访问来控制对互联网的访问下载过滤器：限制从未经授权的网站下载文件并确保安全浏览浏览器路由：在现代浏览器中打开时，自动将旧版 Web 应用程序定向到旧版浏览器Java 规则管理器：根据需求将特定的 Java 版本分配给 Web 应用程序浏览器自定义：管理书签、设置默认浏览器、配置策略以增强浏览器安全性，以及定制浏览器设置以满足组织要求浏览器锁定：对 IT 批准的网站和企业 Web 应用程序实施展台模式浏览器合规性：发现计算机与安全配置的合规性状态，并实现 100% 合规性应用控制未经授权的应用程序会对组织的安全性和生产力构成风险？使用我们全面的功能集，通过将应用程序列入黑名单、白名单或灰名单来轻松控制应用程序。应用程序白名单：通过以应用程序控制规则的形式指定先决条件来自动创建白名单应用程序黑名单：通过阻止非业务应用程序和恶意可执行文件来遏制非生产力并限制网络攻击风险灵活性调节器：调节在实施应用程序控制策略期间首选的灵活性级别终结点权限管理：通过分配基于需求的特定于应用程序的特权访问权限来防止权限提升攻击设备控制告别网络中的杂散 USB。使用我们精心策划的设备控制功能，规范和限制组织中的外围设备，并密切监控进出网络的文件传输。设备和端口控制：控制所有端口和连接的可移动设备，阻止对数据的未经授权的访问，并有效监控所有设备和文件操作文件访问控制：通过严格的基于角色的访问控制策略防止数据丢失 - 设置只读权限，阻止从设备复制数据并执行更多操作文件传输控制：遏制前所未有的数据传输 - 通过设置可从计算机传输的最大文件大小和文件类型来限制文件传输受信任设备列表：通过将设备添加到受信任设备列表，为设备创建访问计算机的独占访问权限临时访问：为设备创建安全的临时访问权限，以便在设备想要访问想要访问的内容时访问您的计算机文件重影：通过在受密码保护的共享中创建和存储镜像副本，有效地保护数据传输操作中涉及的文件文件跟踪：实时监控文件操作，记录重要细节，如文件名和位置以及所涉及的计算机、设备和用户BitLocker管理仅在 BitLocker 加密设备中启用数据存储，以保护敏感/公司数据免遭盗窃，监视所有托管设备中的 BitLocker 加密和 TPM 状态。反勒索软件保护您的端点免受勒索软件攻击。行为检测：基于机器学习的行为分析，准确检测勒索软件攻击事件响应：全面了解攻击的根本原因，同时提供即时事件响应 ，并防止将来发生类似的攻击恢复和回滚：通过微软VSS的专利恢复过程一键回滚受感染的文件端点 DLP利用高级数据丢失防护策略，保护您的企业关键数据免遭泄露和盗窃。强大的数据分类：从大量杂项企业数据中对敏感数据进行分类完整的云上传保护：限制私有云存储上传，并将上传限制在企业批准的云应用程序中安全的电子邮件协作：允许在受信任的域内进行电子邮件交换，以确保安全通信严格的外围设备控制：阻止通过未经授权的USB设备传输敏感数据，还控制允许设备的下载和打印限制即时警报和广泛的审计：全面的报告和即时警报，可跟踪并及时了解您的网络性能下面列出了Endpoint Central有助于保护端点的其他功能：适用于 Windows 10 设备的现代管理功能：公司数据抹除 - 如果需要，抹除所有公司数据完全抹除 - 远程执行完全抹除以完全擦除设备中的所有数据地理跟踪 - 随时了解设备的实时位置在 KIOSK 模式下设置设备 - 允许用户在设备中仅使用一组特定的应用程序设备注册 - 设备可以使用任何新式注册技术进行注册，例如电子邮件注册、自助注册等自动补丁管理：自动修补您的设备配置：此模块有助于保护您的 USB 设备、阻止某些网站、配置防火墙、执行自定义脚本等软件部署：无论是许可软件还是开源软件，都可以从中心位置通过网络轻松安装所需的软件库存管理：跟踪所有软件许可证、硬件保修信息，并监控组织中各个系统的不同软件的使用情况远程控制：远程连接到桌面并解决问题。多个技术人员可以加入远程桌面连接以高效协作。使用此功能，技术人员还可以连接到具有多个显示器的计算机操作系统部署：管理员可以自动执行操作系统映像并将操作系统部署到工作站，以实现无缝操作系统迁移移动设备管理：电子邮件管理、内容管理、配置文件管理、容器化等功能可用于管理在安卓、iOS、Windows 等操作系统平台上运行的不同设备端点安全最佳实践端点安全管理是为保护组织中的各个端点免受外部实体（恶意或其他实体）破坏而采取的实践和措施的集合。随着端点数量和多样性的增加;网络攻击也带来了比以往更大的危险。因此，端点安全管理对于管理员来说可能是一项繁忙的任务。最重要的是，管理员可能还有其他紧急要求需要解决，这可能会占用他们相当多的时间。因此，建议对网络中的设备执行标准的例行检查，强烈建议使用一个端点安全平台来全面了解网络，从而改善端点保护。以下是端点安全清单，可帮助管理员更好地保护其设备免受安全威胁：建议启用基本安全外围，例如为网络配置防火墙设置以过滤网络流量、设备身份验证等定期扫描网络中的设备以查找漏洞，并使用最新补丁更新它们。这种做法将保护设备免受大多数安全威胁可以实现多重身份验证来对用户进行身份验证经常对员工进行有关整个组织实施的安全措施的教育必须强制实施严格的 VPN 访问策略才能连接到组织的网络定期收集有关 IT 硬件保修到期日期的信息。扫描系统以查找未授权软件的使用情况阻止可能导致生产力停机或/和可能导致带宽阻塞的应用程序。例如：游戏、通过种子下载等因此，管理员可以实施这些端点安全和管理实践，以确保其端点安全。

发现 SSH 密钥和服务器各种规模的企业都喜欢遵循自动发现过程来跟踪所有现有资源，不留下任何未识别的密钥，以免它们落入恶意攻击者的手中。Key Manager Plus会自动发现异构环境中的所有现有服务器和密钥，为您提供所有已识别资源的有组织的清单。发现和导入的资源会立即在集中式存储库中更新。自动发现所有活动资源Key Manager Plus 使您能够灵活地自动从不同位置发现多个资源，以及批量导入资源列表。它支持按需、计划和定期发现过程，为您提供每个已执行发现的详细概述。获取与最新添加的库存同步发现资源后，需要定期同步资源，以便您维护更新的清单。发现后，Key Manager Plus 会自动列出驻留在发现的服务器中的所有用户帐户和密钥。此列表可以按需更新，以包括最近添加的用户帐户和密钥。访问和管理数据中心资源当数据中心限制通过SSH直接访问远程设备时，可以通过一个或多个登陆服务器连接远程设备。配置完成后，Key Manager Plus 会自动通过登陆服务器执行多个无忧跃点以到达目标设备，无需为每个跃点提供凭据。整合、存储和管理对 SSH 资源的访问随着组织的发展，其SSH密钥呈指数级增长是很自然的。集中式密钥清单有助于控制所有已部署的密钥，并防止随意管理。Key Manager Plus 通过精细的访问控制工作流将发现、导入和创建的所有资源整合到一个中央清单中。由于加密的私钥和密码短语存储在此中央存储库中，因此管理员只能通过 Key Manager Plus 访问服务器，从而使其成为专用 SSH 密钥网关。此外，如果需要，它可以限制某些用户，从而对用户进行身份验证以进行远程访问。全面了解所有密钥孤立的流程可能很麻烦，并可能导致安全风险。即使一个密钥被泄露，它也使攻击者能够破坏整个网络。使用Key Manager Plus，您可以从统一平台轻松访问所有密钥并对其执行所需的操作。识别每个密钥的所有权和状态，查看每个密钥的历史记录，导入和导出密钥和凭据 - 所有这些都可以从一个位置完成。遏制孤立密钥的风险当用户离开组织而不取消关联相关密钥时，将保留孤立密钥。此外，如果用户在其特权访问停止后仍有权访问敏感密钥，则会导致密钥滥用。Key Manager Plus 会在删除用户帐户时自动解除密钥关联，从而及时处理它。使用其密钥-用户帐户关系映射，它可以轻松识别和删除网络中未使用的密钥。掌握用户活动管理员需要能够快速检测异常并采取适当的补救措施，以远离密钥泄露的风险。Key Manager Plus跟踪每个用户的活动，并记录他们的踪迹以及时间戳。它还具有用于密钥轮换、密钥关联、发现和计划操作的专用审核页面，以捕获所执行活动的每个细节。简化 SSH 密钥的创建和部署随着更多资源被添加到组织的网络中，与其关联的 SSH 密钥数量会显著增加。通常，密钥受到孤立的管理，无法提供对其生命周期的整体可见性。这可能会导致 IT 管理员失去对创建的密钥的跟踪，从而使 SSH 环境面临安全漏洞。Key Manager Plus 跟踪新创建的密钥，并将现有密钥维护在一个统一的清单中。它自动执行创建、关联和部署操作。根据指定的算法，它允许您使用强密码短语创建新的加密密钥对，这些密钥可以与所需的用户帐户相关联。实施访问控制如果没有集中控制，任何用户都可以创建和复制密钥，从而导致密钥蔓延。Key Manager Plus 仅允许授权管理员执行高度敏感的密钥操作（如创建和关联）的一次性设置，从而提供额外的限制层。设置组织范围的策略如果没有持续的监控，许多密钥可能会混乱地散布在网络中。要启用重新开始，需要完全擦除这些键。使用 Key Manager Plus，您可以覆盖所有现有密钥，从而完全生成新的密钥关联，也可以保持当前密钥关联不受干扰，只附加新密钥。轻松执行批量操作对数千个密钥手动执行密钥管理操作是一个繁琐的过程。Key Manager Plus 允许您创建大量密钥组，并快速批量执行操作。借助其组管理功能，您可以通过几个快速步骤关联、创建和部署多个密钥。安全地将密钥推送到远程服务器当多个远程服务器需要访问私钥时，手动将它们预配到每个服务器可能非常耗时且容易产生风险。Key Manager Plus 通过将私钥从中央存储库直接推送到远程服务器和用户帐户来自动执行此过程，从而防止潜在的停机。自动轮换 SSH 密钥随着密钥的激增，IT 管理员越来越难以跟踪每个现有密钥的用途。因此，他们可能会避免轮换他们不确定其状态的密钥。如果 SSH 密钥长时间保持静态，只会增加它们被泄露的机会。密钥管理器 Plus 通过定期自动轮换密钥来增强密钥的安全性。保持一致的旋转周期由于 SSH 密钥没有到期日期，因此最佳做法是定期轮换它们以防止滥用。Key Manager Plus 支持系统地轮换密钥：您只需单击一下即可执行按需轮换，也可以安排定期自动轮换密钥。有效地分组轮换多个密钥手动轮换数千个密钥及其随附的密码短语很麻烦。Key Manager Plus 允许您形成多组密钥并对其执行批量轮换，从而帮助您在涉及大量密钥时节省时间。每次轮换后，每个私钥都会使用新的密码进行加密。获取有关静态密钥的通知在每次轮换期间，将生成一对新的私钥和公钥，以便更新和维护密钥。密钥存在的时间越长而没有轮换，它们构成的威胁就越大。Key Manager Plus 具有专用的仪表板小部件，可通知您长时间未轮换的密钥。它还允许您配置密钥保持未轮换状态的最大天数，之后将及时通知您。安全访问远程资源连接到远程服务器涉及在每次需要建立连接时向远程访问工具提供私钥。Key Manager Plus 消除了对外部工具的需求，因为它负责自动颁发密钥以访问远程服务器。与远程服务器建立连接后，用户可以通过执行命令根据需要对任何文件执行操作。需要规范对这些文件的访问，以便只有授权的管理员才能读取和写入文件。当有权访问系统公钥的任何人都可以查看和编辑其文件时，这会增加安全泄露的机会。Key Manager Plus 通过一系列安全功能精确地解决了这些问题，以自动化远程操作并限制对远程系统的访问。直接与远程服务器连接手动连接到多个远程系统需要在每次尝试打开安全外壳时提供密钥和密码短语。Key Manager Plus 只需单击一下即可自动执行远程连接、提供凭据并启动终端。记录每个会话，以便管理员可以跟踪执行的命令。通过多层安全保护密钥在与远程系统的终端会话期间，用户可以通过发出敏感命令来提取机密信息。使用 Key Manager Plus，您可以为用户设置限制，以便他们只能执行特定命令，这些命令将在与主机建立连接时自动执行。此外，为了防止拥有密钥的任何人访问资源，Key Manager Plus 仅允许访问来自用户定义的 IP 地址的密钥。这增加了额外的安全层，从而阻止了被盗密钥的访问。限制对authorized_keys文件的访问驻留在系统中的authorized_keys文件由有权访问该系统的公共 SSH 密钥列表组成。这是一个至关重要的配置文件，需要限制其访问，以防止创建到关键系统的未经请求的SSH路径。Key Manager Plus 可自动执行维护，仅允许授权管理员访问和编辑文件。安全传输文件使用安全复制协议传输的文件通过 SSH 隧道完成。当使用 SSH 密钥进一步验证此传输时，您可以确保发送和接收的文件的安全性是原来的两倍。使用密钥管理器增强版，您可以安全地将文件传输到远程系统。

什么是数据丢失防护数据丢失防护 （DLP） 是保护数据不落入坏人之手的做法。如今，数据传输的主要问题是使大量数据容易受到未经授权的传输。通过设置足够的安全边界，您可以控制数据在网络中的移动。由于您的数据非常有价值，因此您需要专注于在设备控制解决方案的帮助下仅允许相关且有限的传输。Device Control Plus 是一种强大的文件传输管理 DLP 解决方案，可遏制不必要的数据传输，从而消除数据丢失和数据盗窃。文件访问控制数据是组织内最大的资产之一，因此必须只有经过最彻底审查的用户才能访问存储信息的文件。借助Device Control Plus，管理员可以有效地阻止所有恶意参与者，并仅将文件访问权限分配给他们信任的用户。此外，管理员可以向这些授权人员提供不同级别的设备访问权限。根据用户的可信度和目的，可以允许他们简单地查看或传输特定数量的数据。为什么需要文件访问控制文件访问控制机制对于防止可能导致入侵者完全控制网络的漏洞是必要的。让我们看一个以“读两次”为特色的示例！攻击，通过非法使用 USB 设备发生。在这种攻击中，一旦受感染的大规模可移动媒体设备连接到计算机，它就可以更改该系统的文件内容并劫持对该系统整个数据存储器的控制。对于此类情况，文件访问控制也是一种有效的方法，可确保及时检测并阻止任何未经授权的可移动媒体设备以及试图访问您的系统的恶意用户。文件访问控制有什么好处创建系统、可重复的权限分配运营效率防止潜在的数据泄露创建系统、可重复的权限分配为文件访问控制创建策略是一个快速而简单的过程。可以为每种类型的员工层创建文件访问策略的常规模板。这是实现基于角色的访问控制 （RBAC） 的步骤之一，RBAC 是一种根据用户角色和任务分配用户访问权限的技术，可以使用 Device Control Plus 来完成。每当引入新用户时，都可以轻松地将其计算机添加到自定义组，并且可以复制策略模板，根据其特定要求进行修改，然后轻松部署策略模板。此方法可确保为每个用户遵循清晰简洁的文件访问安全协议。运营效率由于组织成员可以不断获取新信息并执行多种职责，因此应调整文件访问权限以匹配其新的数据访问要求。Device Control Plus 确保及时满足每个人的需求，因为在必要时始终可以在几分钟内编辑权限。防止潜在的数据泄露借助 Device Control Plus，大多数用户可以轻松地获得只读访问权限，而更高的权限（例如在设备中创建文件）可以临时临时授予。对于具有更高访问级别的策略，可以将其授予一些高度信任的用户，例如管理员和领导人员。通过根据用户的信誉和任务授予权限，可以巧妙地避免由于权限提升场景而导致的内部攻击。使用 Device Control Plus 实现文件访问控制组织内的信息通常分为不同程度的敏感度。虽然某些数据可以出于销售和广告等目的公开提供，但大多数其他信息通常在公司托管的硬件据点（例如高度保护的服务器）中私有化和保护。管理员可以利用 Device Control Plus 来实施文件访问系统，该系统为选定数量的已验证用户提供独占权限，以便他们可以查看或复制相关的机密信息，例如知识产权、商标以及个人和公司相关的客户配置文件。只读文件访问在 USB 设备中创建文件以及后续修改从 USB 设备到计算机的文件移动只读文件访问此文件访问权限是最基本的访问级别，建议普通员工使用。只读选项仍允许团队成员在不更改数据或其位置的情况下获取所需的知识。通过分配文件访问权限以构成只读文件系统，管理员可以维护有条理的文件结构，同时确保重要信息保持不变。这还可以防止数据泄露，以及因重新定位合法数据并将其与恶意信息（如跨站点脚本）穿插在一起而产生的攻击。在 USB 设备中创建文件，并对复制的文件进行后续修改如果启用了文件创建选项，设备可以从计算机中提取数据并将其传输到其外围设备。如果需要，用户还可以修改设备中的数据。请放心，原始数据仍可以通过文件重影保留，文件重影是一种安全功能，可生成传输数据的副本，然后将其存储在受保护的网络共享中。从 USB 设备到计算机的文件移动在 Device Control Plus 的文件系统权限中，还有一个设置，用于启用文件从设备移动到计算机。此选项应仅允许高度受信任的用户使用;否则，恶意脚本和恶意软件可能会被谨慎地隧道传输到计算机中。这可能会对硬件和软件产生负面影响，进而阻碍机器的正常运行。文件传输限制防止数据丢失Device Control Plus根据指定的文件大小和文件类型管理每次传输。在控制台中，您可以导航到策略>新建。然后，您可以选择设备类型并开始在文件访问设置下配置数据传输限制。您将能够利用以下功能：允许基于文件大小的文件传输根据文件类型限制文件传输设置可以传输的文件扩展名主动监控对文件执行的操作允许基于文件大小的文件传输随着业务的增长，您的数据也会随之增长。由于您的系统中包含如此丰富的数据，因此设置数据传输的界限至关重要。设置可以传输文件的最大大小;通过这样做，您可以防止前所未有的数据丢失，因为用户无法创建大于设置限制的文件或在连接的可移动存储设备上传输它们。如果最终用户尝试执行此类操作，他们将收到拒绝访问的通知。根据文件类型限制文件传输你怎么知道一个心怀不满的员工是否试图复制一些业务敏感的 EXE、BAT 文件或 XML 来谋取利益？Device Control Plus的文件传输限制允许您决定哪些文件可以传输，哪些文件应该被锁定。设置可以传输的文件扩展名根据业务和您处理的数据类型，您只需单击几下即可指定您认为可以安全传输的扩展程序。主动监控对文件执行的操作每次设备尝试访问您的文件（例如复制未经授权的文件或传输大于设置限制的数据）时，其操作都会更新。查看仪表板可以让您了解经常传输的活动文件扩展名。使用此信息来确定对文件执行的每个操作。由于专用网络中蕴藏着大量敏感、机密信息，因此必须形成一种有条不紊的方法来授予文件访问权限。文件访问控制是分配或限制用户对某些文件的访问权限的技术。它确保为授权用户提供足够的信息，但保护免受恶意入侵者试图发起基于文件的攻击或煽动数据泄露事件的侵害。Device Control Plus是一个全面的数据丢失防护解决方案，可帮助您控制、阻止和监视USB及外围设备未经授权的访问敏感数据。

发现 SSH 密钥和服务器各种规模的企业都喜欢遵循自动发现过程来跟踪所有现有资源，不留下任何未识别的密钥，以免它们落入恶意攻击者的手中。Key Manager Plus会自动发现异构环境中的所有现有服务器和密钥，为您提供所有已识别资源的有组织的清单。发现和导入的资源会立即在集中式存储库中更新。自动发现所有活动资源Key Manager Plus 使您能够灵活地自动从不同位置发现多个资源，以及批量导入资源列表。它支持按需、计划和定期发现过程，为您提供每个已执行发现的详细概述。获取与最新添加的库存同步发现资源后，需要定期同步资源，以便您维护更新的清单。发现后，Key Manager Plus 会自动列出驻留在发现的服务器中的所有用户帐户和密钥。此列表可以按需更新，以包括最近添加的用户帐户和密钥。访问和管理数据中心资源当数据中心限制通过SSH直接访问远程设备时，可以通过一个或多个登陆服务器连接远程设备。配置完成后，Key Manager Plus 会自动通过登陆服务器执行多个无忧跃点以到达目标设备，无需为每个跃点提供凭据。整合、存储和管理对 SSH 资源的访问随着组织的发展，其SSH密钥呈指数级增长是很自然的。集中式密钥清单有助于控制所有已部署的密钥，并防止随意管理。Key Manager Plus 通过精细的访问控制工作流将发现、导入和创建的所有资源整合到一个中央清单中。由于加密的私钥和密码短语存储在此中央存储库中，因此管理员只能通过 Key Manager Plus 访问服务器，从而使其成为专用 SSH 密钥网关。此外，如果需要，它可以限制某些用户，从而对用户进行身份验证以进行远程访问。全面了解所有密钥孤立的流程可能很麻烦，并可能导致安全风险。即使一个密钥被泄露，它也使攻击者能够破坏整个网络。使用Key Manager Plus，您可以从统一平台轻松访问所有密钥并对其执行所需的操作。识别每个密钥的所有权和状态，查看每个密钥的历史记录，导入和导出密钥和凭据 - 所有这些都可以从一个位置完成。遏制孤立密钥的风险当用户离开组织而不取消关联相关密钥时，将保留孤立密钥。此外，如果用户在其特权访问停止后仍有权访问敏感密钥，则会导致密钥滥用。Key Manager Plus 会在删除用户帐户时自动解除密钥关联，从而及时处理它。使用其密钥-用户帐户关系映射，它可以轻松识别和删除网络中未使用的密钥。掌握用户活动管理员需要能够快速检测异常并采取适当的补救措施，以远离密钥泄露的风险。Key Manager Plus跟踪每个用户的活动，并记录他们的踪迹以及时间戳。它还具有用于密钥轮换、密钥关联、发现和计划操作的专用审核页面，以捕获所执行活动的每个细节。简化 SSH 密钥的创建和部署随着更多资源被添加到组织的网络中，与其关联的 SSH 密钥数量会显著增加。通常，密钥受到孤立的管理，无法提供对其生命周期的整体可见性。这可能会导致 IT 管理员失去对创建的密钥的跟踪，从而使 SSH 环境面临安全漏洞。Key Manager Plus 跟踪新创建的密钥，并将现有密钥维护在一个统一的清单中。它自动执行创建、关联和部署操作。根据指定的算法，它允许您使用强密码短语创建新的加密密钥对，这些密钥可以与所需的用户帐户相关联。实施访问控制如果没有集中控制，任何用户都可以创建和复制密钥，从而导致密钥蔓延。Key Manager Plus 仅允许授权管理员执行高度敏感的密钥操作（如创建和关联）的一次性设置，从而提供额外的限制层。设置组织范围的策略如果没有持续的监控，许多密钥可能会混乱地散布在网络中。要启用重新开始，需要完全擦除这些键。使用 Key Manager Plus，您可以覆盖所有现有密钥，从而完全生成新的密钥关联，也可以保持当前密钥关联不受干扰，只附加新密钥。轻松执行批量操作对数千个密钥手动执行密钥管理操作是一个繁琐的过程。Key Manager Plus 允许您创建大量密钥组，并快速批量执行操作。借助其组管理功能，您可以通过几个快速步骤关联、创建和部署多个密钥。安全地将密钥推送到远程服务器当多个远程服务器需要访问私钥时，手动将它们预配到每个服务器可能非常耗时且容易产生风险。Key Manager Plus 通过将私钥从中央存储库直接推送到远程服务器和用户帐户来自动执行此过程，从而防止潜在的停机。自动轮换 SSH 密钥随着密钥的激增，IT 管理员越来越难以跟踪每个现有密钥的用途。因此，他们可能会避免轮换他们不确定其状态的密钥。如果 SSH 密钥长时间保持静态，只会增加它们被泄露的机会。密钥管理器 Plus 通过定期自动轮换密钥来增强密钥的安全性。保持一致的旋转周期由于 SSH 密钥没有到期日期，因此最佳做法是定期轮换它们以防止滥用。Key Manager Plus 支持系统地轮换密钥：您只需单击一下即可执行按需轮换，也可以安排定期自动轮换密钥。有效地分组轮换多个密钥手动轮换数千个密钥及其随附的密码短语很麻烦。Key Manager Plus 允许您形成多组密钥并对其执行批量轮换，从而帮助您在涉及大量密钥时节省时间。每次轮换后，每个私钥都会使用新的密码进行加密。获取有关静态密钥的通知在每次轮换期间，将生成一对新的私钥和公钥，以便更新和维护密钥。密钥存在的时间越长而没有轮换，它们构成的威胁就越大。Key Manager Plus 具有专用的仪表板小部件，可通知您长时间未轮换的密钥。它还允许您配置密钥保持未轮换状态的最大天数，之后将及时通知您。安全访问远程资源连接到远程服务器涉及在每次需要建立连接时向远程访问工具提供私钥。Key Manager Plus 消除了对外部工具的需求，因为它负责自动颁发密钥以访问远程服务器。与远程服务器建立连接后，用户可以通过执行命令根据需要对任何文件执行操作。需要规范对这些文件的访问，以便只有授权的管理员才能读取和写入文件。当有权访问系统公钥的任何人都可以查看和编辑其文件时，这会增加安全泄露的机会。Key Manager Plus 通过一系列安全功能精确地解决了这些问题，以自动化远程操作并限制对远程系统的访问。直接与远程服务器连接手动连接到多个远程系统需要在每次尝试打开安全外壳时提供密钥和密码短语。Key Manager Plus 只需单击一下即可自动执行远程连接、提供凭据并启动终端。记录每个会话，以便管理员可以跟踪执行的命令。通过多层安全保护密钥在与远程系统的终端会话期间，用户可以通过发出敏感命令来提取机密信息。使用 Key Manager Plus，您可以为用户设置限制，以便他们只能执行特定命令，这些命令将在与主机建立连接时自动执行。此外，为了防止拥有密钥的任何人访问资源，Key Manager Plus 仅允许访问来自用户定义的 IP 地址的密钥。这增加了额外的安全层，从而阻止了被盗密钥的访问。限制对authorized_keys文件的访问驻留在系统中的authorized_keys文件由有权访问该系统的公共 SSH 密钥列表组成。这是一个至关重要的配置文件，需要限制其访问，以防止创建到关键系统的未经请求的SSH路径。Key Manager Plus 可自动执行维护，仅允许授权管理员访问和编辑文件。安全传输文件使用安全复制协议传输的文件通过 SSH 隧道完成。当使用 SSH 密钥进一步验证此传输时，您可以确保发送和接收的文件的安全性是原来的两倍。使用密钥管理器增强版，您可以安全地将文件传输到远程系统。

由于远程用户更容易受到网络攻击，因此需要实施严格的安全措施，例如多因素身份验证 （MFA） 以防止数据泄露。但是，应用严格的组织范围的访问策略（如 MFA）可能会对用户体验产生不利影响。ADSelfService Plus的条件访问功能有助于实现这一目标。这有助于组织：在没有 IT 管理员干预的情况下实施访问控制在不影响用户体验的情况下改善组织的安全状况什么是条件访问条件访问实现一组规则，用于分析各种风险因素（如 IP 地址、访问时间、设备和用户的地理位置），以强制实施自动访问控制决策。这些决策是根据用户风险因素实时实施的，以避免在无风险场景中实施不必要的严格安全措施，这可确保在不影响安全性的情况下增强用户体验。可以使用条件访问应用的一些常见方案和相应的安全措施包括：强制特权用户进行多重验证。强制所有员工对业务关键型应用程序的异地访问 MFA。阻止对高风险操作的访问，例如来自不受信任的 IP 或未知设备的密码重置请求。条件访问策略的工作原理是什么在了解条件访问的工作原理之前，让我们看一下构建条件访问规则的基础知识：1、条件这包括可能决定或破坏组织安全性的因素列表。ADSelfService Plus使管理员能够根据以下风险因素配置条件：IP 地址（受信任和不受信任）设备（设备类型和平台）营业时间（营业时间和非营业时间）地理位置（基于请求来源）2、标准配置条件后，可以使用 AND、OR 或 NOT 等运算符设计条件。正是此标准与访问策略相关联。3、访问策略该条件与预配置的访问策略相关联，在 ADSelfService Plus 中称为自助服务策略。IT 管理员可以创建自助服务策略，并为属于特定域、组织单位 （OU） 和组的用户启用特定功能。生成条件访问规则后，将发生以下情况：1、用户尝试登录到其计算机，或者在登录后尝试访问应用程序或 ADSelfService Plus 中的自助服务功能之一。2、根据预定义的条件，分析用户 IP 地址、访问时间和地理位置等风险因素。3、如果数据满足条件，则会将用户分配到启用以下操作之一的自助服务策略：对域帐户和功能的完全访问权限使用 MFA 进行安全访问对某些功能的访问受限对特定功能的访问受限4、如果用户不满足任何配置的条件访问规则，将根据用户的组或 OU 应用自助服务策略。说明条件访问策略工作原理的用例用例 1：需要使用 MFA 保护对组织活动目录 （AD） 域的远程登录在示例中，假设本地用户占组织劳动力的 50%。另外 20% 是远程用户，其余 30% 是根据需要在远程和本地工作模型之间交替的用户，必须对远程登录的用户强制实施 MFA。利用此方案的条件访问涉及：1、实施启用终结点 MFA 的自助服务策略。2、配置两个条件：IP 地址：提供受信任 IP 地址的列表。位置：选择组织场所之外的位置。3、创建以下条件：(不受信任的 IP 地址）和选定的位置4、该条件与自助服务策略相关联。下面是此条件访问策略的工作方式：当用户尝试登录到计算机时，将分析用户的 IP 地址和地理位置，如果它不是受信任的 IP 地址和选定的地理位置，则满足条件，并向用户分配强制实施终结点 MFA 的自助服务策略。如果不满足条件，则会分配适用于用户的任何其他自助服务策略。用例 2：仅允许具有已加入域的计算机的用户使用 SSO 访问企业应用程序企业应用程序通常用于处理和存储敏感的用户数据，由于这些应用程序中的大多数现在都部署在云中，并且部署在网络的安全边界之外，因此它们是网络攻击者最喜欢的目标。他们使用网络钓鱼和其他攻击技术来访问应用程序并远程泄露数据。使用条件访问，可以仅允许具有已加入域的计算机的用户访问包含敏感数据的重要应用程序，管理员可以更进一步，仅允许受信任的 IP 地址列表访问关键应用程序，确保攻击者无法访问这些应用程序，即使他们窃取了用户的凭据。下面是为此方案配置条件访问规则的示例：1、配置为所需应用程序启用 SSO 的自助服务策略。2、配置两个条件：基于 IP 地址：提供受信任 IP 地址的列表。基于设备：选择所有加入域的计算机对象。3、创建以下条件：受信任的 IP 地址和选定的计算机对象。4、将条件与创建的自助服务策略相关联。下面是此条件访问规则的工作原理：当用户尝试通过 SSO 登录企业应用程序时，将分析设备 IP 地址和类型，如果它是受信任的 IP 地址，并且计算机对象属于 AD 域，则满足创建的条件。然后，将与条件关联的自助服务策略分配给用户，这使用户能够使用 SSO 访问企业应用程序。启用条件访问的好处使用 20 多个高级身份验证因素实施 MFA从单个控制台适度访问计算机、VPN、RDP、OWA 和 Exchange 管理中心为组织中的不同部门启用精细的条件访问策略ADSelfService Plus 是一种身份安全解决方案，可以结束许多网络攻击，节省 IT 成本，可以保护多种 IT 资源，包括身份、计算机和 VPN，减轻 IT 帮助台的负担，为用户提供自助服务功能，并获得对分布在本地、云和混合环境中的身份的 360 度可见性和控制。

流氓设备简介流氓设备本质上是恶意的。它们存在的唯一目的是窃取敏感信息，如信用卡号、密码等。它们会损害您的网络，并在此过程中损害您公司的声誉。在极少数情况下，如果您的公司没有流氓设备检测工具，恶意设备甚至会永久损坏系统。流氓设备的类型恶意设备可以是无线接入点（有时称为恶意 AP）或最终用户计算机（恶意对等方）。如果保持连接状态，任一类型的恶意设备都可能构成安全威胁。恶意AP可以进一步分为网络机器人（机器人）和嗅探器：机器人是执行重复性任务的系统。恶意机器人可用于在网络上发送垃圾邮件或造成拒绝服务 （DoS）。机器人也可以组成僵尸的集合，并用于执行更强大的攻击。嗅探器是一种窃听器，它被动地坐在网络上并秘密检查流量。嗅探器可能被恶意用于侦察有价值的数据。恶意设备与您的网络连接的方式防止恶意接入点和未经授权的设备连接到您的网络的最佳方法是仔细检查加入您网络的每台设备是否构成潜在威胁。恶意设备可以通过多种方式连接到您的网络，包括：员工拥有的设备：BYOD 策略对员工来说可能很方便，但对网络安全来说却是一场噩梦。非托管 BYOD 策略很容易变成恶意设备的导线。这些设备一旦离开办公室，也有可能丢失或被盗。第三方供应商：第三方供应商通常可以访问其客户公司的敏感信息或数据。如果您是第三方供应商的客户，并且他们不监控其网络，则流氓设备可能能够通过该第三方供应商的系统访问您的信息。影子 IT：影子 IT 是指在企业中未经授权使用 IT 资产，包括在效率低下的 IT 系统周围工作的员工。影子 IT 系统可能更容易受到恶意设备的攻击，因为它们不受 IT 部门的主动保护。缺乏设备可见性：缺乏设备可见性是公司可能面临的有关流氓设备访问的最大问题。如果您不知道网络上的内容，则无法判断网络安全是否受到威胁。检测和防止流氓设备无线网络本质上不如有线网络安全。对于传统（非无线）网络，数据通过物理和连续监控的电路流动。另一方面，在无线网络中，数据是使用无线电信号传输的。由于您的 IP 网络旨在提供分布式访问，因此它是多孔的，旨在由许多类型的设备访问。因此，IT 管理员的目标应该是将访问权限限制为仅授权设备。控制哪些设备可以连接到您的网络对于确保公司资产和数据的隐私和完整性至关重要。对于恶意网络设备检测，网络必须至少具有三个要素。定期扫描：防止流氓设备不受限制地访问网络的一种流行方法是每天、每周或每月扫描办公室中的无线设备。持续监测：如果您定期扫描办公室，您可能会发现许多属于您的公司、邻居和客人的无线设备。每次完成扫描时，都会找到新的设备集。持续监控您的网络允许您维护已知设备的列表，以便您可以知道何时出现新设备。即时警报：如果在网络中发现新设备或设备状态突然更改，则需要立即通知 IT 工程师。这就是为什么您需要在网络中使用全面的警报系统，尤其是在其中包含大量设备的情况下。OpUtils - 检测流氓软件为避免安全漏洞并保护您的组织免受可能使企业付出一切代价的普遍流氓设备的侵害，请尝试使用OpUtils。通过强大的交换机端口管理功能帮助进行恶意检测和恶意预防，以便您可以控制连接到网络的人员和内容。通过对用户名、IP 地址、主机名和 MAC 地址的简单搜索，快速查找计算机或用户，并追踪丢失或流氓设备。提供设备上次已知位置的历史数据。立即关闭端口、缓解威胁并缓解网络性能问题。所有这些都可以通过简单的点击式Web界面完成，OpUtils（流氓系统检测软件），它将不断检测并警告对您的网络的任何威胁。

电子邮件仍然是当今最重要的通信模式之一。许多企业喜欢使用电子邮件进行官方沟通，因为它快速、可靠且非常简单。电子邮件通信的广泛使用为IT管理员带来了大量的管理问题，例如为员工设备配置电子邮件账户以及保护电子邮件中包含的企业机密数据，包括所有附件。企业需要一种方法来保护电子邮件安全、防止数据泄露。什么是手机邮箱管理电子邮件是组织内正式沟通的主要方式。为了让移动员工保持联系并提高工作效率，他们必须能够在移动设备上访问公司邮箱。通过移动电子邮件管理，IT 管理员可以促进在员工的智能手机、平板电脑和笔记本电脑上安全访问企业电子邮件，保护关键业务文件免受潜在安全威胁。为什么要管理企业移动邮箱移动设备在工作场所的广泛使用要求企业电子邮件可以在这些设备上访问。但是，移动访问可能会对企业数据构成安全威胁。员工可能会使用不受信任的设备、未经批准的应用程序或不安全的 Wi-Fi 连接来访问他们的邮箱，或者他们可能会无意中共享敏感的公司电子邮件附件，从而导致公司数据泄露给未经授权的第三方。除此之外，电子邮件本身可能包含恶意软件或其他威胁设备上企业数据机密性的隐藏威胁。为了应对这些安全风险，企业移动电子邮件需要由 IT 团队进行管理。企业移动邮箱管理面临哪些挑战由于组织中使用了各种设备类型和平台，因此很难只允许受信任的移动设备访问企业电子邮件。为了保护传输中的企业数据免受安全风险的影响，IT 管理员必须确保在这些设备上访问电子邮件时使用安全的通信协议。自动备份到第三方云服务器以及使用未经批准的应用程序查看公司电子邮件和附件，使未经授权的应用程序提供商和云服务可以访问敏感的公司数据。在 BYOD 环境中，确保安全变得更加复杂，因为离开组织的员工仍然可以将公司电子邮件附件下载到他们的个人设备上。此外，如果设备丢失或被盗，其上的公司数据就有落入坏人之手的风险。这些挑战可以通过使用移动电子邮件管理工具来管理和保护企业移动电子邮件来克服。移动电子邮件管理工具的主要功能移动电子邮件管理工具和服务通过以下方式简化企业电子邮件管理：在员工设备上批量和无线配置企业电子邮件确保只有受信任的设备和批准的应用程序可以用于访问公司邮箱限制与未经授权的设备、用户和应用程序共享电子邮件数据当用户访问他们的邮箱时强制使用安全协议在 BYOD 上虚拟容器化企业工作区和电子邮件使用 Mobile Device Manager Plus 进行移动电子邮件管理Mobile Device Manager Plus 是一个综合性的 MDM 工具，它还具有企业和企业电子邮件管理功能，使其可以用作电子邮件管理软件。使用 Mobile Device Manager Plus 进行移动电子邮件管理，IT 管理员可以通过单个控制台远程预配置和保护跨各种平台的设备上的企业电子邮件。通过强制执行安全通信协议、应用 DLP 策略和分发受信任的应用程序来查看电子邮件附件，从而消除对第三方应用程序的需求，可以最大限度地减少数据泄露的可能性。通过限制 HTML 的使用，可以保护设备数据免受电子邮件中隐藏的病毒或恶意软件的侵害。使用此 MDM 工具，IT 管理员甚至可以确保只有合规、受信任的设备才能访问公司资源，例如 Exchange 服务器。Mobile Device Manager Plus 在 BYOD 环境中保护企业移动电子邮件在 BYOD 环境中，确保企业数据安全和侵犯用户隐私之间的界限可能很棘手。但是，使用 Mobile Device Manager Plus，IT 管理员可以在 BYOD 上创建一个虚拟容器来存储公司数据。他们只控制工作容器以确保用户隐私。员工将能够在此容器中安全地访问其企业电子邮件，防止企业邮箱和个人邮箱混合以及未经授权共享企业电子邮件内容。如果员工离开组织，或者他们的设备遭到入侵，则可以专门远程擦除此容器，从而使 IT 管理员可以放心，设备上没有任何敏感的公司数据或电子邮件附件。管理和保护敏感的业务电子邮件数据无线配置电子邮件帐户通过从目录服务或Mobile Device Manager Plus 服务器动态加载用户名等变量来扩展您的电子邮件配置。保护电子邮件数据执行数据丢失防护 (DLP) 策略，例如限制复制和粘贴、屏幕截图、共享附件和添加个人帐户。启用 Exchange ActiveSync允许用户访问存储在 Exchange 服务器上的公司数据，例如电子邮件、联系人、日历和任务，即使他们处于脱机状态。强制条件访问审核对您的 Exchange 和 Microsoft 365 邮件服务器的访问并限制对非托管设备的访问。安全的电子邮件附件使用内置的电子邮件附件查看器打开附件，如果需要，只允许批准的应用程序打开它们。启用默认签名设计和管理整个组织的标准自定义签名或为不同部门自定义电子邮件签名。主动管理设备上的联系人让用户访问带有联系信息的 vCard，将它们保存到他们的设备，并通过 CardDAV 同步定期同步它们。同步日历和预定事件允许使用 CalDAV 同步访问订阅的日历，以确保员工不会错过任何预定的活动。撤销帐户访问权限远程擦除丢失、被盗、越狱、root 和退役设备中的电子邮件配置。制定电子邮件威胁预防和响应框架自定义电子邮件客户端应用程序通过预配置各种电子邮件客户端（包括 Outlook、Gmail、Apple Mail、Samsung Email 和 Zoho Mail）的帐户类型、域名和首选身份验证方法等参数，远程预定义权限和自定义功能。还要确保从一开始就实施设备访问策略和数据共享限制。安全的电子邮件通信电子邮件通信主要使用电子邮件配置标准（如POP或IMAP）来检索电子邮件，这通常涉及以纯文本形式传输电子邮件内容，可能会使机密数据容易受到窃听攻击和其他网络攻击。解决方案是使用SSL/TLS连接，以确保电子邮件流量在传输过程中加密且安全。除了通过S/MIME提供额外的加密层（保留消息完整性并增强数据隐私性）之外，MDM还使您可以通过启用SSL/TLS连接或为Android、iOS和Windows使用SSL证书为电子邮件建立安全的通信通道。此外，可以为iOS和Windows设备配置strong>简单证书注册协议(SCEP)，使用证书保护电子邮件安全性。保护电子邮件附件电子邮件附件通常包括包含敏感数据的重要文档。下载这些附件后，可以使用任何非托管应用程序打开这些附件并与其他设备共享，甚至备份到第三方云服务上，从而导致数据泄露。ManageEngine MDM应用程序的内置文档查看器可以确保安全查看并存储作为附件收到的重要文件。由于将文档共享给其他设备或云服务受到限制，因此企业数据完全被沙箱化，从而防止了安全漏洞。或者，可以使用企业批准的其他文档查看器访问这些文档。实施基于设备的访问控制自动授予企业应用程序和邮箱对托管设备的访问权限，同时防止非托管设备访问 Exchange、Microsoft 365、Google Workspace 和 Zoho Workplace。提供访问宽限期，在此期间用户可以轻松注册他们的设备。指定条件访问策略的目标用户，例如所有现场员工或合同员工。配置电子邮件功能通过高级安全限制消除电子邮件安全等式中的人为错误，例如阻止未经批准的电子邮件应用程序、阻止导出到其他电子邮件帐户以及限制电子邮件转发。防止使用 HTML 格式，该格式可能以隐藏病毒和其他恶意软件的形式对设备构成威胁。保护对Exchange的访问许多企业使用Exchange Server来管理业务电子邮件，这是Exchange经常面临安全威胁的主要原因之一。尽管他们竭尽全力使用防火墙配置和其他安全工具限制对Exchange的访问，但许多企业并未意识到他们可以在设备级别控制Exchange Server访问。为了帮助您更好地保护企业的Exchange环境，MDM使您可以限制非托管设备对Exchange Server的访问。启用无密码身份验证通过单点登录提供安全、顺畅的登录体验。允许用户只需登录一次即可访问所有必需的 Web 服务和应用程序，包括电子邮件客户端应用程序，从而消除密码疲劳。此外，根据您组织的要求，利用基于证书的身份验证来确保用户无需登录一次，有效地使用零登录方法。为电子邮件和附件创建沙箱将工作空间容器化，并将公司电子邮件访问权限限制为仅限个人设备上的托管应用程序。使用内置文档查看器安全地查看和组织您的电子邮件附件。禁用与云服务和非工作应用程序的数据同步，以防止电子邮件内容无意中存储在不受信任的第三方服务器上。配置邮件限制许多发件人使用HTML来添加图形和电子邮件链接，这些HTML电子邮件以隐藏的病毒和其他可能自动下载的恶意软件的形式对设备构成潜在威胁。通过使用MDM，管理员可以完全限制在电子邮件中使用HTML格式而只使用纯文本，从而消除这种威胁。电子邮件自动转发是管理员需要处理的另一个重要的安全问题。如果员工启用了将电子邮件转发到外部地址离开了公司，则属于企业的敏感数据就可能会丢失。当关键信息通过电子邮件泄露给未经授权的第三方时，情况会变得更加严重。防止这种情况的一种可行方法是使用MDM来限制电子邮件的转发。MDM还使您可以管理电子邮件地址与第三方云服务的同步、非电子邮件应用中邮件账户的使用、电子邮件通知等。

供应链攻击是一种面向软件开发人员和供应商的新兴威胁，目标是通过感染合法应用分发恶意软件来访问源代码、构建过程或更新机制。供应链攻击是威胁行为者通过利用软件供应链中的漏洞进入组织网络的一种网络攻击，供应链攻击的目标可以是软件开发过程中的源代码、编译器、软件库、第三方组件等，也可以是硬件设备、网络设备、供应商提供的服务等。攻击者可以通过篡改软件代码或插入恶意代码来实现数据窃取、远程控制、拒绝服务等攻击行为。供应链攻击的来源供应链攻击源自各种来源，大致可分为三大类。第三方软件开源软件国外软件第三方软件商业软件供应商和外部业务合作伙伴是无法渗透到具有安全意识的公司的对手的潜在目标，通过将恶意代码安装到第三方软件中，攻击者可以轻松访问客户的网络并访问内部数据。例如，组织依靠安全解决方案提供商的渗透测试工具进行安全测试，而这些工具本身可以用作恶意软件的载体来破坏组织的安全性。由于第三方软件在供应链攻击中占主导地位，这些攻击也被称为第三方攻击。开源软件并非所有软件都是从头开始编写的，大多数企业依靠开源软件来开发其专有代码，一些开源社区为所有用户（包括潜在的对手）提供免费访问。这为威胁行为者提供了在现有开源软件中引入恶意脚本和创建漏洞的轻松访问。当合法用户在其脚本中部署此类被篡改的源代码时，感染会传播到他们的软件并破坏其网络中易受攻击的资源。国外软件一些国家/地区批准将恶意组件部署到其他国家/地区购买的合法供应商软件中，这种类型的供应链攻击是一种手段网络恐怖主义，会造成巨大威胁。供应链攻击的类型跳岛攻击恶意软件攻击预安装恶意软件攻击代码注入攻击Magecart 攻击被盗代码签名证书攻击水坑攻击加密劫持跳岛攻击跳岛攻击是第三方攻击的一种形式，即对手通过迂回路线攻击具有复杂网络安全的高端目标。由于攻击者无法克服目标严密的安全防御，他们就会利用其软件供应链中的薄弱环节。他们伤害目标供应链中脆弱的供应商和第三方，以获得对目标网络的初始访问权限并破坏资源。在某种程度上，对手从一个组织跳到另一个组织，所以这种攻击被称为跳岛攻击。恶意软件攻击在这种类型的攻击中，威胁参与者通过利用其软件产品中的漏洞直接针对受害组织,通过在软件的构建周期中引入恶意软件，攻击者在下游供应链中打开后门，并且所有下载该产品的目标组织的客户都成为攻击者的牺牲品。预安装恶意软件攻击这也是一种第三方攻击，攻击者在第三方的网络设备或其他电子设备上安装恶意软件，对目标组织造成困扰,受害的第三方和目标都不知道这种渗透，直到恶意软件慢慢地悄悄地接管了目标的网络。代码注入攻击代码注入是一种针对开源代码存储库和库的开源攻击形式，通过将恶意代码注入代码库和存储库，攻击者将访问此类存储库的所有合法用户作为目标。在用户设备上自动执行代码的 JavaScript 库是攻击者的主要目标之一。Magecart 攻击Magecart攻击，也称为表单劫持，是一种代码注入攻击，主要针对处理支付方式的第三方。在这种攻击中，黑客将恶意代码注入 JavaScript 代码以接管网站并从用户填写的结帐表单中略过敏感的财务详细信息。被盗代码签名证书攻击代码签名证书用于评估软件产品的真实性和完整性，威胁行为者通过破坏合法所有者的私钥来窃取此类证书，然后，攻击者分发带有恶意软件的软件以及被盗的代码签名证书，以引诱用户下载恶意软件。水坑攻击流量大的网站是这类供应链攻击的主要目标，网站是供应链的最后一个窗口，是安装和下载软件产品的媒介。通过识别网站架构中的漏洞并嵌入恶意链接，攻击者引诱最终用户打开后门进行恶意执行。这种攻击的命名参考了隐藏在水坑(网站漏洞)附近的捕食者(攻击者)，以便在适当的时候扑向猎物(受害者)。加密劫持加密劫持是另一种形式的供应链攻击，攻击者利用用户的计算资源来挖掘加密货币，大多数加密劫持攻击都是使用受感染的网站进行的，攻击者通过在网站架构的HTML代码中注入恶意命令来破坏网站。每当用户打开这样的网站，挖矿程序就会自动执行，用户的资源就会在用户不知情的情况下耗尽。如何检测和预防供应链攻击精心规划的产品开发流程，也可以称为软件开发生命周期（SDLC），是保护供应链的首要步骤。让我们深入了解 SDLC 的不同阶段，并揭示在每个阶段检测和防止供应链攻击的不同技术。规划阶段防御设计阶段防御实施阶段防御测试阶段防御部署阶段防御维护阶段防御规划阶段防御这是 SDLC 的第一阶段，是建立用于开发软件的基础设施的阶段。在这个阶段，组织主要关注资源的可用性、采购和分配。在此阶段防御供应链攻击的一些最佳实践包括：创建一个软件物料清单，这是 SDLC 中涉及的所有资源和流程的记录，用于跟踪流程中的所有活动。实现零信任模型验证 SDLC 中涉及的所有依赖项和第三方。使用全面的威胁建模识别基础结构所有组件中可能阻碍 SDLC 的威胁和漏洞。对 SDLC 中的已知威胁和漏洞进行分类，以制定适当的计划事件响应来抵消它们。设计阶段防御设计是产品开始成形的阶段，它涉及开发原型的一套单独的程序。阶段产品所需的软件依赖关系也在此阶段确定。简单地说，这是挑选和集成能够满足最终产品目的的合适第三方解决方案的阶段。一些值得注意的实践可以捍卫这一阶段的SDLC：建立一个验证过程来评估供应商组织的安全状态。评估供应商产品的风险水平和可信度。执行网络分段，以限制第三方访问内部资源的半径。对所有第三方实施最小特权原则，使其只能执行允许的操作。实施阶段防御实施阶段是执行阶段，DevOps团队由软件开发人员和IT操作员组成，在此过程中发挥着至关重要的作用。在此阶段，软件使用代码进行编程，此代码可以是专有的，也可以是开源的。此外，此过程还可以依赖于第三方编码平台来运行和执行代码。因此，这个阶段涉及大量的内部和外部合作。在 SDLC 的这一阶段，防御供应链攻击的最佳实践包括：部署强代码完整性策略限制未经授权执行代码依赖项。评估开源代码内联沙盒过滤掉未知威胁和漏洞的工具。用客户端保护工具，同时利用第三方服务提供商提供的服务。审计影子 IT 基础设施，这涉及 DevOps 团队在未经 IT 部门批准的情况下使用的未经授权的资源。测试阶段防御测试阶段确保了所开发软件的质量，在这里，代码被执行并检查是否存在错误、故障和漏洞，此阶段还涉及渗透测试和沙盒的第三方协作。在此阶段防止供应链攻击的一些最佳实践包括：创建内部渗透测试避免依赖第三方工具的工具。识别并缓解所有漏洞以防止零日漏洞和漏洞利用。部署阶段防御部署是使用代码签名证书对测试的软件进行验证和证明的阶段，并通过网站将其作为软件包或服务提供给最终用户。此阶段对于保护至关重要，因为攻击者可能会窃取代码签名证书以创建虚假身份并引诱用户下载恶意软件，或者他们可能会利用网站 JavaScript 中的漏洞嵌入恶意代码。在此阶段防御供应链攻击的一些值得注意的步骤是：实施改善，这是软件部署管道中的持续开发和改进。整合安全团队与开发团队一起保护代码签名证书和 JavaScript 存储库。实现服务器端保护检查所有下载请求和网站流量的解决方案。维护阶段防御这是 SDLC 的最后阶段，其重点是产品在部署后的无缝和高效运行，这是产品不断改进以满足最终用户要求的阶段。它涉及频繁的错误修复、软件更新和漏洞补丁。虽然此阶段标志着 SDLC 的结束，但如果不定期使用更新和修复，它也可能标志着重大安全漏洞的开始。在 SDLC 的这一阶段，保护供应链的一些做法包括：建立一个有效的软件资产清单跟踪软件的所有更新和升级。实现安全的工作流程定期应用安全补丁和软件更新。使用多因素身份验证限制对软件内部版本、代码存储库和库的未经授权的访问。Log360 是统一 SIEM 解决方案，由不同的模块组成，可帮助您保护网络。尽管网络安全很复杂，但供应链攻击仍能够对您的网络造成有害影响，它残酷地利用了各种依赖关系之间的相互信任，而这些依赖关系在 SDLC 中是必不可少的。因此，通过在 SDLC 的每个阶段实施上述最佳实践来防范供应链攻击。

什么是数据复制数据复制是制作数据的多个副本并将其存储在不同位置的过程，用于备份目的、容错和提高它们在网络中的整体可访问性。与数据镜像类似，数据复制可以应用于单个计算机和服务器。复制的数据可以存储在同一系统、现场和非现场主机以及基于云的主机中。当今常见的数据库技术要么具有内置功能，要么使用第三方工具完成数据复制。虽然 Oracle 数据库和 Microsoft SQL 积极支持数据复制，但某些传统技术可能不包含开箱即用的此功能。数据复制可以是同步的，这意味着对原始数据所做的任何更改都将被复制，也可以是异步的，这意味着仅在将 Commit 语句传递到数据库时启动复制。数据复制的好处尽管数据复制在成本、计算和存储要求方面可能要求很高，但企业广泛使用这种数据库管理技术来实现以下一个或多个目标：提高数据的可用性提高数据访问速度增强服务器性能完成灾难恢复提高数据的可用性当特定系统由于恶意软件或硬件组件故障而遇到技术故障时，仍然可以从其他站点或节点访问数据。数据复制通过在网络中的多个节点上存储数据来增强系统的弹性和可靠性。提高数据访问速度在有多个分支机构分布在全球的组织中，用户在将数据从一个国家/地区访问到另一个国家/地区时可能会遇到一些延迟。将副本放在本地服务器上可为用户提供更快的数据访问和查询执行时间。增强服务器性能数据库复制通过将主服务器上分散在分布式系统中的其他节点上，有效地减少了主服务器上的负载，从而提高了网络性能。通过将所有读取操作路由到副本数据库，IT 管理员可以保存主服务器，以便执行需要更多处理能力的写入操作。完成灾难恢复由于数据泄露或硬件故障，企业通常容易受到数据丢失的影响。在这样的灾难中，员工的宝贵数据以及客户信息可能会受到损害。数据复制通过在监控良好的位置维护准确的备份，有助于恢复丢失或损坏的数据，从而有助于增强数据保护。数据复制如何工作现代应用程序在后端使用分布式数据库，其中数据使用系统集群进行存储和处理，而不是依赖于一个特定的系统。让我们假设应用程序的用户希望将一段数据写入数据库。这些数据被拆分为多个片段，每个片段存储在分布式系统中的不同节点上。数据库技术还负责在用户想要检索或读取数据时收集和整合不同的片段。在这种安排中，单个系统故障可能会禁止检索整个数据。这是数据复制节省时间的地方。数据复制技术可以在每个节点上存储多个片段，以简化整个网络的读写操作。数据复制工具可确保在发生系统故障时，仍然可以从分布式系统中的其他节点合并完整的数据。数据复制的类型根据所使用的数据复制工具，当今企业采用多种类型的复制。一些流行的复制模式如下：全表复制事务复制快照复制合并复制基于密钥的增量复制全表复制全表复制意味着复制整个数据。这包括从源复制到目标的新数据、更新数据以及现有数据。这种复制方法通常与较高的成本相关，因为处理能力和网络带宽要求很高。但是，在恢复硬删除的数据以及没有复制密钥的数据时，全表复制可能很有用 。事务复制在此方法中，数据复制软件制作从源到目的地的完整数据初始副本，然后订阅者数据库在修改数据时接收更新。这是更有效的复制模式，因为每次更改数据时复制的行更少。事务复制通常存在于服务器到服务器环境中。快照复制在快照复制中，数据将完全按照在任何给定时间显示的方式进行复制。与其他方法不同，快照复制不注意对数据所做的更改。当对数据所做的更改往往不频繁时，使用此复制模式;例如，在发布者和订阅者之间执行初始同步。合并复制这种类型的复制常见于服务器到客户端环境中，允许发布者和订阅服务器动态更改数据。在合并复制中，来自两个或多个数据库的数据组合成一个数据库，从而增加了使用此技术的复杂性。基于密钥的增量复制也称为基于键的增量数据捕获，此技术仅复制自上次更新以来更改的数据。可以将键视为数据库中存在的触发数据复制的元素。由于每次更新期间仅复制几行，因此成本非常低。但是，缺点在于此复制模式不能用于恢复硬删除的数据，因为键值也会与记录一起删除。数据库管理系统中的数据复制DBMS（分发服务器）中的数据复制可以使用合适的复制方案进行。广泛采用的复制方案如下：完整数据复制部分数据复制无复制完整数据复制完全复制意味着在分布式系统的每个站点复制完整的数据库。该方案最大限度地提高了广域网的数据可用性和冗余。例如，如果欧洲或北美服务器遇到技术困难，则跨国网络中的用户可以从亚洲服务器访问完整的数据库。完全复制还有助于更快地执行全局查询，因为可以从任何本地服务器获取结果。完全复制的缺点是更新过程往往较慢。这使得在每个位置保持数据的最新副本变得非常具有挑战性。部分数据复制当根据每个位置的数据重要性仅复制数据库的某些片段时，将发生部分复制。在这里，副本数的范围可以从分布式系统中的节点总数。在企业环境中，此复制模式对于销售和营销团队的成员非常有用，其中部分数据库存储在个人计算机上并定期与主服务器同步。无复制在这种复制模式下，分布式系统的每个站点上仅存在一个片段。虽然没有复制可以归因于数据恢复的便利性，但它可能会对查询的执行速度产生不利影响，因为多个用户访问同一服务器。与其他复制方案相比，DBMS 中没有数据复制提供较差的数据可用性。使用 Device Control Plus 防止数据丢失Device Control Plus 安全解决方案，可防止可移动设备（如 U 盘或拇指驱动器）未经授权访问分布式系统中的节点。可移动存储设备对组织中的数据安全以及客户和员工个人信息的隐私始终存在威胁。此外，生产环境中的关键系统会受到内部攻击，以获取个人或专业利益。每当文件被修改或复制到 USB 设备时，Device Control Plus 都会将原始文件复制到受密码保护的网络共享，以便在发生数据泄露时轻松恢复。Device Control Plus 带有内置的文件阴影功能，可保护整个网络中的重要数据。选择端点以启用文件复制、设置文件大小和文件扩展名限制、配置远程共享路径，即可保护您的业务免受数据丢失风险。

什么是零信任零信任是一种安全思维方式，表示组织不应自动信任其边界内外的任何内容。在授予访问权限之前，必须验证任何尝试连接的实体。零信任安全策略围绕最低特权访问控制和严格的用户身份验证，因为假设不信任任何人。若要实现这些原则，组织需要为用户部署具有自适应身份验证和严格信任策略的多重身份验证 （MFA） 解决方案。ADSelfService Plus 是一个全面的标识安全解决方案，可帮助组织通过 MFA、条件访问、无密码身份验证和可自定义的信任策略设置等高级功能实现零信任。实施零信任不仅有助于企业在身份安全方面表现出色，还可以为员工创建更简单的网络基础结构和更好的用户体验。创建零信任环境MFA企业单点登录 （SSO）条件访问MFAMFA 使用 MFA 强化网络中的组织资源，如终结点、VPN 和 OWA 登录名，MFA 有 19 种不同的身份验证方法可供选择。使用组织中不同组或部门的不同 MFA 流微调访问权限。自适应身份验证自适应 MFA（也称为基于风险的 MFA）为用户提供身份验证因素，这些身份验证因素在用户每次登录时都会根据基于上下文信息计算出的风险级别进行调整。连续登录失败的次数，包括：请求访问的用户的物理位置（地理位置）。设备的类型。星期几和一天中的时间。IP 地址。向用户显示的身份验证因素基于使用上述上下文因素计算的风险级别。例如，假设用户在度假时尝试在不合时宜的时间登录其工作计算机。由于用户的地理位置和访问时间不同，因此会自动提示他们使用其他身份验证因素来证明其身份。有时，当检查用户的登录条件且未检测到风险时，可以为用户绕过 MFA 过程。有时，如果用户的活动看起来可疑，也可以拒绝他们访问请求的资源。企业单点登录 （SSO）随着组织成群结队地采用云应用程序，用户必须在一天中输入更多密码才能访问这些应用程序并完成他们的工作。为了进行有效的用户标识管理，组织应采用高效且安全的方法来管理用户的密码。ADSelfService Plus 提供企业单点登录 （SSO），使用户只需一组凭据即可无缝、一键式访问所有支持 SAML、OAuth 和 OIDC 的云应用程序。使用自适应 MFA 技术保护 SSO，该技术因 OU 和组而异。支持SSO：启用了 SAML 的应用程序。支持 OAuth 和 OpenID Connect 的应用程序。自定义应用程序。条件访问条件访问实现一组规则，用于分析各种风险因素（如 IP 地址、访问时间、设备和用户的地理位置），以强制实施自动访问控制决策。这些决策是根据用户风险因素实时实施的，以避免在无风险场景中实施不必要的严格安全措施。这可确保在不影响安全性的情况下增强用户体验。可以使用条件访问应用的一些常见方案和相应的安全措施包括：强制特权用户进行多重验证。强制所有员工对业务关键型应用程序的异地访问 MFA。阻止对高风险操作的访问，例如来自不受信任的 IP 或未知设备的密码重置请求。使用条件 MFA 保护用户对 IT 资源（如应用程序和端点）的访问。预配置用户位置、IP 地址、访问时间和用于为不同访问场景提供不同类型的 MFA 方法的设备等条件。实施零信任的好处多个资源的安全性：使用 MFA 保护网络中的所有资源，包括访问VPN、OWA 登录、企业应用程序和计算机。无密码身份验证：通过自适应身份验证使泄露的密码无能为力，启用无密码身份验证并消除所有密码管理麻烦。与 IAM 工具的集成：通过与 IAM 解决方案（如 ADManager Plus 和 AD360）集成，更好地实施零信任网络访问，这些解决方案提供 UBA 驱动的变更审计和基于审批的工作流等功能。增强的用户体验：确保用户在顺利简单的自适应身份验证过程的帮助下访问必要的组织资源时体验到不受阻碍的工作效率。ADSelfService Plus 是一种身份安全解决方案，可以结束许多网络威胁，节省 IT 成本，并开启零信任安全。减轻 IT 帮助台的负担，为用户提供自助服务功能。

企业有责任妥善存储和共享信息。过去的可怕事件，如雅虎的大规模数据泄露导致数百万用户的敏感信息被泄露，突显了为什么企业主如此担心其组织中的数据安全。数据泄露不仅会使用户的隐私受到威胁，而且还会对公司的财务和声誉产生不可逆转的影响。这就是为什么企业需要遵守GDPR，PCI DSS和HIPAA等合规性要求，以确保其数据安全。密码安全最佳实践数据合规性法规会定期修订，从密码破解专家、黑客行为和以前的违规行为中获取见解。以下是法规对密码安全最佳实践的规定：如何实现密码安全性和合规性密码策略实施器允许强制实施与内置 AD 密码策略集成的自定义密码策略。帮助强制实施限制字典单词、模式和回文等要求，并规定必须使用的特殊字符、数字字符和 Unicode 字符的数量。访问策略允许您在给定域中定义任意数量的自助服务策略。提供用于限制身份验证尝试失败次数、限制自助密码重置频率、在登录期间启用 CAPTCHA 代码验证、分析密码强度等的选项。MFA为基于云的和本地的应用程序访问以及终结点提供 MFA 支持。提供大约 20 种身份验证因素，包括生物识别、双核安全、TOTP、YubiKey 和智能卡。确保密码合规性的好处符合监管标准：确保您的组织符合 NIST SP 800-63B、PCI DSS、Essential Eight、CJIS、SOX、GDPR 和 HIPAA 合规性要求。简化的审核和跟踪：通过多个综合报告，让管理员全面了解其用户的密码和帐户状态，并使数据收集变得容易，以便进行法律审计。灵活性和安全性：根据用户的角色和对敏感数据的访问级别，为组织中不同类型的用户创建不同的策略。确保用户创建不受网络攻击的强密码。控制和一致性：通过基于审批的自助服务，管理员可以控制用户的自助服务操作，并确保以安全、一致的方式处理这些操作。ADSelfService Plus是一种身份安全解决方案，可以结束许多网络攻击，节省 IT 成本。借助 ADSelfService Plus，管理员可以保护多种 IT 资源，包括身份、计算机和 VPN，减轻 IT 帮助台的负担，为用户提供自助服务功能，并获得对分布在本地、云和混合环境中的身份的 360 度可见性和控制。

现代工作环境 — IT 挑战由于需要考虑的因素特别多，因此在允许用户访问所需资源时，确保组织数据受到保护是一项 IT 挑战。远程用户容易受到网络攻击，因此需要采取严格的安全措施，例如 MFA。但是，虽然严格的 MFA 策略有助于保护远程登录，但对于本地用户来说，它们可能会带来不必要的麻烦。解决此问题的最有效方法是在整个组织中应用条件访问规则。什么是条件访问条件访问是基于上下文的网络访问规则的应用，这些规则根据传入连接是否满足某些条件来增加或减少严格的安全检查，例如：IP 地址：每次尝试访问企业组织的资源时，都会对未知设备强制执行 MFA检查，而企业组织网络上的公司颁发的（已知）设备可以配置为仅在设备登录期间进行 MFA 检查。设备：根据客户端的设备类型和平台限制对公司资源的访问，确保仅查看兼容和授权的资源。例如，关键资源只能从某些公司设备访问。营业时间：通过将网络访问限制为用户的工作时间来增强安全性。根据营业时间和非营业时间提供对网络的访问。地理位置：用户的地理位置用于确定他们有权访问的公司资源。这通过限制用户对地理上与他们无关的网络部分的可访问性来提高安全性。安全配置自动化的条件访问决策减少了在无风险情况下对安全措施的需求，从而确保增强的用户体验。但是，如果未正确配置用于保护资源的安全设置，则可能会出现以下问题：在无风险环境中重复进行 MFA 检查会导致员工体验下降由于资源不可访问，IT 帮助台会遇到大量支持票证当未知设备访问网络时，安全警告会触发大量电子邮件配置错误的安全设置会使网络容易受到攻击者的攻击。事实上，这是全球数据泄露成本上升的主要原因，并且在最近两份OWASP十大报告中排名很高面对这些问题，ADSelfService Plus等身份安全解决方案就有了用武之地。通过 ADSelfService Plus 改善员工体验ADSelfService Plus 通过确保企业组织资源受到 MFA 的保护，简化了 IT 管理员的任务。基于上下文的规则可用于通过用户友好且直观的界面在访问点对员工进行身份验证。使用 ADSelfService Plus 的条件访问功能，管理员可以：无需实时 IT 干预即可控制对公司资源的访问在不降低员工体验的情况下提升企业组织的安全态势对于终端用户，ADSelfService Plus使他们能够自行重置密码或解锁帐户，而无需IT帮助台的帮助。简化您的 IT 基础架构以保持更一致、更流畅的员工体验并不需要太多时间。

典型的企业网络安全基础设施由传统防火墙、下一代防火墙（NGFWs）、虚拟专用网络（vpn）和来自多个供应商的代理服务器组成。网络安全管理，特别是防火墙安全管理是特别棘手的，因为每个供应商的能力和技术差异很大。然而，市场上有许多防火墙管理解决方案。作为安全管理员，您需要一个智能防火墙管理软件，该软件可以帮助管理来自不同供应商的防火墙规则、配置和日志。防火墙管理工具Firewall Analyzer防火墙分析器是策略管理和配置监控软件。本系统提供了基于SSH和应用程序接口（SSH）和应用程序接口（SSH）和基于命令行和应用程序接口的安全性分析。它还可以帮助安全管理员跟踪策略更改、优化防火墙性能和维护法规遵从性标准。让我们仔细看看这个智能防火墙管理解决方案所提供的功能。防火墙策略管理Firewall Analyzer的策略管理模块帮助您：获得整个规则集的可见性在防火墙中检测并记录冗余、泛化、关联、阴影和分组的异常情况了解如何通过更改规则顺序来提高性能自动化防火墙规则管理确定新规则是否会对现有规则集产生负面影响有了这些能力（防火墙管理策略），安全管理员可以完全控制他们的防火墙策略，这有助于优化政策防火墙配置监控Firewall Analyzer从防火墙设备获取配置更改并生成变更管理报告帮助你找出谁做了什么改变，什么时候，为什么。防火墙分析器还会在发生更改时向您的手机发送实时警报。此报告确保定期捕获防火墙中的所有配置和后续更改，并将其存储在数据库中。防火墙日志分析Firewall Analyzer生成日志报告并提供安全和流量分析。使用防火墙软件，您可以：识别安全性攻击、病毒和其他安全措施网络异常监视和跟踪网络中的内部威胁进行取证找出威胁看看你的网络上是否有病毒感染使用高级搜索功能从原始防火墙日志轻松挖掘安全事件使用详细的流量分析使用VPN的使用及发展趋势报告根据您的要求自定义防火墙报告跟踪您的代理使用防火墙安全合规管理Firewall Analyzer生成现成的合规性报告对于以下行业标准：支付卡行业数据安全标准（PCI DSS）ISO 27001:2013NIST Special Publication 800-53NERC的关键基础设施保护（CIP）标准SAN Institutes的防火墙检查表通过这些报告，您可以跟踪防火墙设备上配置的符合性状态。防火墙报警管理Firewall Analyzer生成警报当超过设置的阈值时自动通知网络管理员。生成的任何警报都会记录在产品界面中。这些警报可以通过电子邮件和短信实时发送。警报还可以触发脚本，以便在检测到攻击时自动响应事件。分布式防火墙管理Firewall Analyzer通过其分布式监控功能，满足了大型企业和托管安全服务提供商（MSSP）的防火墙管理需求。Firewall Analyzer的企业版是一个可扩展的解决方案，可以从一个中心位置（集中式防火墙管理）监视全球多个防火墙。这有助于需要从一个位置管理所有网络安全设备的大型企业的安全管理员。多供应商支持Firewall Analyzer的主要优点之一是它能够处理不同的防火墙供应商。Firewall Analyzer可以管理规则并监视以下供应商的配置：CiscoPalo AltoCheck PointWatchguard管理防火墙防火墙管理是有效管理防火墙规则、配置、日志和警报的过程。因此，最大限度地利用现有的网络安全基础设施。

什么是移动应用管理(MAM)移动应用程序管理(MAM)或移动应用程序管理，是指对整个应用程序生命周期的管理。从应用程序的安装、删除、更新等，到管理应用程序的许可证、权限、配置等，它还包括定义应用程序的政策，包括与应用程序及其工作数据相关的限制。为什么移动应用管理(MAM)很重要随着企业越来越推崇营造员工使用自己的设备办公或者鼓励员工自带设备办公的办公环境，应用程序在这类企业中的使用率呈指数倍增长。IT管理员的职责是管理移动应用程序 - 通过在设备上安装所有必需的应用程序，确保企业的设备为企业使用做好了准备，而且这些设备运行的是最新版本。因此，对于IT管理员来说，无论组织大小，管理移动应用程序都是一项繁琐且耗时的任务。这就是移动应用程序管理(MAM)软件出现的原因，它为管理企业中的应用程序提供了一个有效的解决方案。由于其远程管理能力，移动应用管理解决方案能解决任何应用管理问题，确保IT管理员使用正确的移动应用管理工具管理各种终端上的应用程序。移动应用程序管理与移动设备管理移动设备管理(MDM)主要处理在静止、使用和传输三个阶段主动保护设备和数据。移动应用程序管理(MAM)主要处理应用程序和应用程序使用的数据。随着这两种技术的发展，它们逐渐演变为EMM，从而使MDM解决方案具有更广泛的移动应用程序管理功能。移动应用管理(MAM)软件是如何工作的移动应用程序管理(MAM)允许IT管理员远程管理移动应用程序 - 从设备上已经存在的应用程序到即将安装的新应用程序，IT管理员可以通过移动应用程序管理软件远程对它们进行管理。IT管理员可以为每个应用程序配置策略，包括应用程序所处理的数据。此外，还可以获得访问公司数据的所有设备上的所有应用程序的列表，这些应用程序可以用于审计目的。如何管理IOS上的应用除了Android, IOS是另一个广泛应用于企业的操作系统，无论是Ipad还是Iphone。为了确保应用程序的无缝管理，可以利用Apple Business Manager (ABM)，它是苹果之前的两个项目，Apple Device Enrollment Program (DEP)和Apple Volume Purchase Program (VPP)的结合。使用Apple Business Manager (ABM)注册设备可以确保设备受到监督，这有助于更好地利用ABM功能，如静默应用程序安装、许可管理等。如何管理Android上的应用程序另一种广泛应用于企业的主要操作系统Android也有类似于苹果的无缝管理Android应用程序的程序。谷歌Play for Work类似于Apple Business Manager，具有广泛的应用管理功能，如静默应用安装、审批应用在设备上安装等。移动应用管理(MAM)软件的好处：一次性设置管理是完全远程的，不需要拥有设备需要最少的管理干预和零用户操作移动应用程序管理(MAM)解决方案-Mobile Device Manager PlusMDM的移动应用程序管理完全简化了安装、管理和删除应用程序的过程。以下是MDM支持的功能介绍，以简化IT管理员的移动应用管理的工作量：构建自己的企业应用程序目录创建自己的应用程序目录，只包含组织批准的应用程序。这些应用程序可以是商店应用程序(供公众在互联网上下载)，也可以是企业应用程序(专门为满足企业需要而开发的内部应用程序)。只有这些应用程序被允许安装在设备上，从而减少未经批准的应用程序的安装。App自助服务门户由于每个部门都需要自己的应用程序列表，并不是所有员工都需要部门可用的所有应用程序。在这样的场景中，使用所有应用程序设置自助服务门户，并允许员工选择和安装他们需要的应用程序。工作地点的应用部署很多公司对属于特定部门的员工要求必须使用相同的应用程序。将这些员工的设备分组确保所有之前与组相关的应用都能自动分发到添加到组中的任何设备上，从而在部门层面实现应用分发过程的自动化。静默安装/更新/删除应用程序移动应用程序管理的一个主要要求是确保企业应用程序在没有用户干预的情况下安装和最小的管理操作。MDM集成了IOS下的Apple Business Manager(之前称为Apple Volume Purchase Program)，Android下的Google Play (之前称为Play for Work)，Windows下的Windows Business Store。除此之外，你还可以在Windows笔记本上安装MSI应用程序。应用黑名单作为一个主要处理公司设备的企业，它不希望在设备上安装未经批准的应用程序。这些应用程序可以是非工作应用程序，这可能会导致生产力的损失，或者最糟糕的是恶意应用程序试图访问机密数据。App blacklist允许预定义App列表，如果之前在托管设备上安装了这个列表，它就会被删除，而且还会阻止后续的安装。这些应用程序可以是预装在设备上的，也可以是用户自己安装的。App配置和权限某些应用程序在使用前需要配置大量的设置，理想情况是IT管理员进行配置。但是，重复配置它对于管理员来说是一项繁琐且耗时的任务。MDM允许预先配置应用程序的基本设置(支持iOS、Android和Windows)，确保应用程序可以在安装时使用，而不需要任何用户干预。此外，您还可以预定义应用程序权限，确保用户不能修改企业启用/禁用的权限。App-based限制在设备上安装了应用程序后，下一步就是在设备上配置限制，以避免未经授权的应用程序访问正在被使用的应用程序上公司数据。MDM允许您限制已批准的应用程序与未批准的应用程序之间的数据共享，反之亦然。你还可以设置限制来阻止用户卸载应用程序，安装未经批准的应用程序，你甚至可以禁用Play Store / App Store / Business Store。App-specific政策从使用Kiosk模式的锁定设备到特定应用程序，到拥有应用程序专用虚拟专用网(VPN)，对特定应用程序政策的需求日益迫切。使用MDM，不仅可以将设备锁定在一组特定的企业应用程序上，还可以预先配置设备设置，并防止用户修改设备设置。此外，您还可以为企业应用程序配置单点登录选项。此外，你还可以使用网页快捷方式(或网页剪辑)将你的网页应用程序转换成外观传统的移动应用程序。App-based报告由于应用程序是移动优先劳动力的基础，基于应用程序的报告为IT管理员提供了细颗粒度的细节，比如设备上的应用程序，设备上的应用程序被列入黑名单等等。MDM将这些报告作为开箱即用的报告，可以安排时间并通过电子邮件发送。集成MDM与Zoho Creator集成，Zoho Creator是一种低代码的应用程序开发软件，它允许您创建web应用程序，这些web应用程序可以被制作成Android/IOS应用程序，然后使用MDM将这些应用程序共享给设备。Play Store布局定制建立了一个只包含组织批准的应用程序的应用程序目录后，您还可以确保正在安装的应用程序所在的Play Store是根据组织的需要定制的。这确保了在Play Store中更容易找到，以便安装组织批准的应用程序。

在任何企业中，特权用户都可以不受任何限制的访问IT基础架构中广泛的关键任务系统和数据。尽管如今许多网络攻击都可以联系到这种无限访问的滥用（无论是由内部的恶意特权人员或或是外部的参与者），但是仍旧存在大量企业机构的安全程序采用脆弱、肤浅的特权控制措施。这也就是特权访问管理（PAM）所应发挥作用的地方。PAM是一组保护、控制及监控企业关键系统上特权活动和会话的策略，而不影响业务生产率。这里我们分享一些实用的技巧，帮助您设计、构建和开发一套强大的防御机制来防止滥用特权。1、创建对网络中所有特权访问的可见性发现并识别在IT基础架构中散布的所有特权账户、密钥、证书和敏感文档，将它们统一存放在一个中心位置。围绕谁可以访问它们，以及访问多长时间，来设置权限和策略。通过这种方式，构建对关键数据所有权访问的可见性和控制，尤其是针对长期被遗忘或废弃的特权账户，避免为恶意行为人员提供高风险的后门。2、为特权访问构建多层安全保护构建多因素认证来确认这些执行特权活动的人员身份信息。进一步的安全措施，设置审批流程，控制对关键系统的访问，并设定时间以自动回收和重置访问凭证。通过这种强访问控制过程，攻击者就很难蒙混过关，提升权限在网络中肆意破坏，阻止业务运营。3、采用更简便、快捷的工作流来提升业务生产力支持用户通过一条安全的路径来远程访问关键的系统，而无需修改防火墙策略、连接VPN或记录大量复杂的密码。使用单点登录，使用户能够在混合环境中自动登录远程系统和应用。此类做法能够防止未知源的恶意访问，同时加快操作速度、提升生产力、加快价值的实现时间。4、通过消除硬编码的凭证来进一步压缩攻击面在您的DevOps环境中识别缺省的、硬编码的凭证，将它们存放在统一的位置。并强制通过API以及自动化脚本来从中心密码库获取所需的凭证，防止高风险密码的泄露。实施密码安全的最佳实践，例如定期轮换密码、增强复杂度，以大幅减少凭证盗取攻击以及利用漏洞的机会。5、增强特权会话的监督和问责记录每个特权用户的会话，并将它们作为视频存在安全、加密的数据库中，以供将来审阅。利用影射特权会话，实时监控特权会话，以及时发现并制止可以会话，并有效调查有风险的会话。拥有对受信的内部特权人员，以及第三方供应商所发起的特权会话的完整、细粒度的记录，有助于轻松治理和更好的对特权会话活动追责。6、随时证明符合法规与安全策略在清晰明确、可下载的审计追踪和报告中，捕获所有涉及特权凭证和访问的事件。许多合规性标准与行业法规，如SOX、HIPAA和PCI DSS，都明确了追踪与监控所有对您的关键系统访问的要求。通过审计和合规性管理的中心联系点，您可以轻松向审计员以及法证调查员证明所有的安全控制措施都已到位。7、集成先进技术，制定更好的业务决策采用AI与机器学习驱动的监控能力，持续检测异常和可能有害的特权活动，并自动启动缓解控制以防止出现破坏。与SIEM和扫描工具的集成，有助于识别漏洞并及时出台治理措施。将ITSM纳入组合，简化特权访问的请求，提高变更和资产管理的效率。将特权访问数据与上述所有的功能关联和同步，并通过中心控制台编排他们的工作流程。这样，您可以在整个基础架构中实施特权访问安全，获得增强的态势感知能力，减少组织孤岛。ManageEngine PAM360是一个综合的特权访问管理解决方案，可支持企业针对其整个IT基础架构中的用户、系统及应用的管理访问和权限，实施严格的控制和治理。ManageEngine PAM360有助于现代企业应对不断变化的PAM需求，已连续两年入选Gartner 特权访问管理魔力象限。

有密码的地方就有密码攻击密码在身份安全中至关重要，也容易受到许多安全攻击。当不怀好意的人试图通过恶意破解、猜测或窃取密码来非法访问受密码保护的资源时，就会发生密码攻击。黑客能掌握各种类型的密码攻击，所以保护密码免受攻击可不是开玩笑的。《数据管理通讯》关于数据泄露的博客指出，黑客平均每秒窃取75条记录。以下是一些流行的密码攻击：网络钓鱼：攻击者发送欺诈性电子邮件或消息，诱使用户单击伪装的恶意链接来提取密码。暴力攻击：这种攻击方法的特点是威胁参与者尝试多个密码来获取对资源的访问权限。密码猜测、密码喷洒、字典攻击和撞库是一些常见的类型。键盘记录器攻击：攻击者使用键盘记录器恶意软件来跟踪用户的所有击键以获取其密码。中间人攻击：顾名思义，在这种攻击中，黑客将自己定位在用户和用户尝试访问的网站之间。他们将自己伪装成合法网站，并将用户重定向到欺诈网站，用户被诱骗提供敏感信息。社会工程攻击：在这种攻击中，黑客在心理上操纵用户致使其泄露敏感信息。他们试图通过短信、电子邮件或基于呼叫的直接交互在用户中创造一种好奇心、恐惧感或紧迫感。网络钓鱼也是一种社会工程攻击。增强密码安全性的力量掌握在您的手中通过采取正确的措施，您可以获得无可挑剔的密码强度和出色的安全态势。这些安全措施可抵御密码攻击：强密码策略：在组织中实施强密码策略可帮助员工选择满足各种合规性法规的强密码要求的密码。MFA：强制使用密码进行 MFA 可确保攻击者无法访问资源，即使他们窃取或破解了密码也是如此。员工意识：教育员工有关密码攻击和密码强度的知识是帮助他们设置强密码的关键，并避免设置不充分、容易被黑客入侵的密码，如“123456”和“Qwerty123”。ADSelfService Plus可以帮助改善公司的密码配置文件ADSelfService Plus 是一种身份安全和零信任解决方案，可帮助您的企业组织实施强大的自定义密码策略、自适应MFA、自助密码管理等等。ADSelfService Plus的密码策略实施器允许您强制执行自定义密码要求，例如强制要求特殊字符的数量，限制用户名或以前密码的连续字符，以及限制自定义字典单词和模式。密码强度分析器通过在创建过程中显示密码强度来帮助用户创建安全密码。ADSelfService Plus 还提供基于上下文的 MFA，具有19 种不同的身份验证因素来保护用户身份。部署 ADSelfService Plus 可帮助您的组织遵守密码和数据合规性标准，如NIST SP 800-63B、GDPR、PCI DSS 和SOX。

随着企业中特权帐户的激增，必须保护的密码数量也大幅增长。跟踪所有这些密码是一项艰巨的任务，为避免敏感密码管理不善，管理员需要在集中式存储库下清点属于所有部门的密码，并管理对它们的直接控制。部署PMP的好处PMP是一个安全的保管库，用于存储和管理共享的敏感信息，如企业的密码，文档和数字身份。部署PMP的好处包括：通过部署用于密码存储和访问的安全集中式保管库来消除密码疲劳和安全漏洞通过自动执行关键系统中所需的频繁密码更改，将 IT 生产力提高数倍通过审批工作流程和密码访问实时警报提供预防性和检测性安全控制满足安全审计和法规遵从性要求，如 SOX、HIPAA 和 PCI使用PMP进行企业特权密码管理发现、存储和组织：在集中式保管库中存储和组织所有特权身份。安全共享：根据需要安全地与团队成员共享管理密码。自动复位：自动重置服务器、数据库、网络设备和其他资源的密码。控制访问：根据角色和工作职责控制对 IT 资源和应用程序的访问。启动直接连接：启动与远程 IT 资源、网站和应用程序的直接连接。视频录制和审计：视频记录和审核所有特权访问，获取所有操作的完整记录。密码存储、管理和工作流程集中式密码存储库：将所有企业密码（特权帐户、共享帐户、Firecall 帐户和其他密码）存储在安全的集中式存储库中。共享管理密码管理：安全地管理共享帐户，例如Windows上的“管理员”，Unix/Linux上的“root”，思科上的“enable”，SQL上的“sa”等。密码访问控制工作流：用于密码检索的请求释放控件。关于授予限时访问、独占特权和并发控制的规定。密码共享、用户配置和管理密码所有权和共享：明确定义的存储在集中式保管库中的密码的所有权。根据需要提供选择性共享密码。活动目录 / LDAP 集成：从Windows Active Directory或LDAP导入用户/用户组，并利用身份验证机制。基于角色的访问控制：对管理存储在PMP中的资源和密码的细粒度限制。限制是根据预定义的用户角色强制执行的。远程密码重置自动密码重置：根据需要从PMP网页界面重置远程资源的密码，或通过计划任务自动重置。强制实施密码策略：通过创建和强制实施密码策略，确保使用强密码和定期重置。广泛的目标系统：支持开箱即用的各种目标系统、数据库、网络设备，用于访问控制和自动密码重置。应用程序密码管理：任何应用程序或脚本都可以查询PMP并检索密码以与其他应用程序或数据库连接，从而消除了硬编码密码。Windows服务帐户管理：自动识别和重置与域帐户关联的服务帐户的密码。密码重置后自定义脚本执行：自动执行自定义脚本的选项，以便在密码重置操作后执行任何后续操作。特权会话管理、远程访问和自动登录一流的远程登录：用户可以从浏览器启动高度安全，可靠和完全模拟的Windows RDP，SSH和Telnet会话，而无需任何插件或代理软件。特权会话录制：从PMP启动的特权会话可以完全视频录制，存档和播放以进行取证审计。自动登录目标系统、网站：直接从PMP网页界面自动登录目标系统、网站和应用程序，无需复制和粘贴密码。审计、合规和报告全面的审计跟踪和报告：完整记录密码访问的“谁”、“什么”和“何时”。有关企业中整个密码管理方案的直观报告。实时通知，SIEM 集成：发生各种密码事件时发出实时警报，支持与安全信息和事件管理 （SIEM） 解决方案集成。PCI DSS 合规性报告：根据PCI-DSS的要求报告有关使用和管理特权密码的违规行为。企业安全准备安全可靠：所有密码和敏感数据均使用AES 256位加密进行加密。双重加密，提高安全性。可以配置为在符合 FIPS 140-2 的模式下运行。双因素身份验证：对登录PMP强制执行两个连续的身份验证阶段。通常的身份验证是第一阶段。为第二阶段提供了各种选择。移动访问：随时随地检索密码并批准请求，提供安全的脱机访问。灾难恢复和高可用性实时备份：为灾难恢复提供整个数据库的定时备份和实时备份。高可用性架构：通过部署冗余服务器和数据库实例，不间断地访问企业密码。安全的离线访问：即使没有互联网连接，也可以检索密码。离线副本与在线版本一样安全。移动应用程序中也提供离线访问。PMP可以解决哪些问题管理/特权密码在企业中确实很多。服务器、数据库、交换机、路由器、防火墙和任何其他硬件或软件可能具有同样大量的管理密码。这些密码 不安全地存储在电子表格、文本文件甚至打印输出中，并由一组管理员共享。这种传统做法带来了许多问题，例如：密码存储不安全，引发安全威胁不受控制的超级用户权限没有基于角色的访问控制;内部控制变得脆弱缺乏对行动的问责制没有规定强制实施标准密码实践/策无集中控制PMP（Password Manager Pro）通过提供一个安全的系统来存储，管理和共享密码，从而解决了所有这些问题。

深入学习企业文件数据泄露防护、网络保险重要性、固件漏洞管理、分布式系统数据复制、流氓设备检测、身份安全、远程工作模式构建、密码攻击防备以及企业网络过滤。全方位提升网络安全知识，确保业务稳健与员工体验。

什么是勒索软件勒索软件又称勒索病毒，是一种特殊的恶意软件，又被归类为“阻断访问式攻击”（denial-of-access attack），与其他病毒最大的不同在于攻击方法以及中毒方式。攻击方法：攻击它采用技术手段限制受害者访问系统或系统内的数据（如文档、邮件、数据库、源代码等），并以此要挟受害者。受害者需要支付一定数量的赎金，才有可能重新取得数据控制权，以此来达到勒索的目的。中毒方式：勒索软件一般通过木马病毒的形式传播，将自身掩盖为看似无害的文件，通常假冒普通电子邮件等社会工程学方法欺骗受害者点击链接下载，但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在互联网的电脑间传播。任何组织和个人都可能成为勒索软件攻击的目标，网络犯罪分子可能无差别攻击，也可能针对更有价值的组织，如政府机构、医院等更有意愿支付赎金的组织，拥有敏感数据的机构。勒索软件不仅影响组织的正常运行，导致业务停滞或中断，还可能会泄露商业秘密，影响企业形象。 勒索软件的类型根据勒索软件所使用的勒索方式，主要分为以下三类： 影响用户系统的正常使用：比如 PC Cyborg、QiaoZhaz（Trojan/Win32.QiaoZhaz）等，会采用锁定系统屏幕等方式，迫使系统用户付款，以换取对系统的正常使用。恐吓用户：比如 FakeAV（Trojan[Ransom]/Win32.FakeAV）等，会伪装成反病毒软件，谎称在用户的系统中发现病毒，诱骗用户付款购买其“反病毒软件”。又如Reveton（Trojan[Ransom]/Win32.Foreign），会根据用户所处地域不同而伪装成用户所在地的执法机构，声称用户触犯法律，迫使用户支付赎金。绑架用户数据：这是近期比较常见的一种勒索方式，最典型的是CTB-Locker家族（Trojan[Ransom]/Win32.CTBLocker），采用高强度的加密算法，加密用户文档，只有在用户支付赎金后，才提供解密文档的方法 。勒索软件检测工具的优势使用 DataSecurity Plus 的勒索软件检测和响应功能，发现并遏制勒索软件攻击。 检测勒索软件指标应对攻击检测勒索软件指标检测勒索软件入侵：在勒索软件攻击开始时检测它，审核文件服务器是否存在文件重命名和删除事件的突然激增，这通常是勒索软件攻击的前奏。接收即时通知：通过设置实时警报和威胁响应来确定勒索软件检测的优先级，一旦发生可疑文件更改，立即收到通知。阻止勒索软件的传播：快速阻止勒索软件感染滚雪球般地演变成大规模数据泄露，关闭受感染的设备以隔离它们并减轻损害。应对攻击隔离损坏的设备：通过使用自动化的预定义威胁响应机制，将勒索软件攻击的影响降至最低，断开受感染用户帐户的会话，以阻止勒索软件的进一步传播。识别勒索软件损坏的文件：使用内置威胁库发现已知勒索软件变种（如 Petya、Locky 等）的攻击，通过永久删除这些勒索软件加密文件来保护您的数据。保留数据以供调查：生成审计跟踪，以促进调查并保存法律证据，保留和分析审计数据，以预测和阻止未来的威胁。防范勒索软件的最佳实践备份文件：处理勒索软件攻击的最有效方法是使用 3-2-1 备份规则，在两种不同的存储类型上保留至少三个不同版本的数据，至少有一个异地。培训最终用户：定期培训员工如何识别和避免常见的勒索软件陷阱，例如恶意广告、网络钓鱼电子邮件等。修补漏洞：通过定期更新操作系统、浏览器和其他应用程序中的漏洞来减少它们。使用入侵检测系统：使用持续监控实时检测异常或恶意活动的迹象，在早期阶段切断勒索软件攻击。使用电子邮件过滤：阻止恶意可执行文件、垃圾邮件、网络钓鱼电子邮件和已知勒索软件使用的其他方法。将应用程序列入白名单：将可接受的软件添加到白名单中，并阻止未经授权的程序运行。提供尽可能少的特权：使用强大的访问管理来限制不必要的访问，并减少恶意软件进入组织的访问点数量。逻辑上独立的网络：通过根据任务或部门分离网络，在发生勒索软件攻击时减少数据丢失。如何检测勒索软件在短时间内多次修改文件和加密证据是勒索软件的两个明显迹象。使用一些简单的模式，DataSecurity Plus可以及早检测到这些勒索软件的迹象，并在攻击发生时识别它们。可以按照以下步骤配置自动威胁响应机制，以便在勒索软件攻击开始时立即关闭任何勒索软件攻击。1、运行数据安全Plus导航到“警报”选项卡 2、单击页面右上角的新建警报配置文件。 3、命名警报配置文件并包含适当的描述（例如，“潜在的勒索软件攻击”）。 4、在严重性选项卡中，选择严重。 5、打开阈值限制部分并指定要监控的事件数（例如，“一分钟内修改 100 次文件”）*。 6、导航到条件部分，并在选项卡下添加以下筛选器： 行动：创建、修改、重命名和文件扩展名更改监控：All显示器类型：文件和文件夹文件类型：All用户：All7、使用“排除”选项卡可忽略单个文件、组织特定的文件类型和文件夹，以进行选择性监视并防止误报检测。并减少误报。 8、导航到电子邮件通知并指定要向其发送警报的一个或多个电子邮件地址。将电子邮件优先级设置为高。 9、在“执行命令”文本框中，运行默认脚本（例如，“{install_location} \bin \alertScripts \triggershutdown.bat %server_name%”），以关闭受感染的系统。 注意：您还可以执行禁用用户帐户、禁用网络的其他脚本，或者根据组织需求定制的自己的脚本之一。 10、要保存配置的警报，请单击保存。 现在，已成功将 DataSecurity Plus 配置为检测并响应在一分钟内检测到 100 多个文件事件（如创建、修改和重命名）的方案。 *阈值限制将根据服务器大小、用户数量和使用级别而有所不同。 勒索软件检测工具问题解答Q：当检测到勒索软件攻击时，可以自动断开用户的会话吗？ A：DataSecurity Plus允许执行自己的脚本以执行根据组织需求定制的操作（例如，断开用户会话，锁定用户帐户或关闭系统）。 Q：可以检测到未来的勒索软件攻击吗？ A：DataSecurity Plus可以及时识别所有勒索软件攻击并生成基于阈值的告警，这些告警在定义的时间跨度内发生一定数量的受监控事件时触发。 Q：可以阻止像WannaCry和Petya这样的已知勒索软件感染整个网络吗？ A：许多勒索软件变体在加密数据时使用特定的文件扩展名，DataSecurity Plus使用这些恶意文件扩展来识别已知的勒索软件变体并立即阻止它们。 Q：如果勒索软件感染了网络，可以确定攻击的起始位置吗？ A：DataSecurity Plus能识别攻击开始的机器的客户端IP，可以使用此信息和其他信息执行根本原因分析。 Q：刚刚提醒已检测到可能的勒索软件活动，该怎么办？ A：如果是这种情况，那么DataSecurity Plus应该已经关闭了可能受感染的系统。从这里开始，您应该分析审计数据，以确定它是哪种勒索软件变体，并从那里开始规划您的策略。 DataSecurity Plus数据可见性和数据泄漏防护组件，可帮助企业抵御内部威胁、防止数据丢失并满足合规性要求。

什么是威胁情报威胁情报是网络安全的关键组成部分，可为潜在的恶意来源提供有价值的见解，这些知识可帮助组织主动识别和防止网络攻击，通过利用 STIX/TAXII 等威胁源，组织可以检测其网络中的潜在攻击，从而促进快速检测和跟踪目标攻击。威胁情报对于主动防御、有效事件响应、风险管理、态势感知、协作和合规性至关重要，它使组织能够领先于威胁，做出明智的决策，并加强其整体网络安全态势。 威胁情报类型三种类型的威胁情报数据是： 战略情报：它通过提供对威胁参与者的长期趋势、动机和目标的高级见解，帮助组织进行战略规划和决策。运营情报：它提供有关持续威胁、漏洞和主动攻击活动的实时信息，有助于快速检测和响应安全威胁。战术情报：它侧重于威胁参与者使用的特定工具、技术和过程（TTP），帮助安全管理员制定有效的对策并增强防御能力。威胁情报的阶段威胁情报生命周期包括六个阶段： 规划和方向：定义威胁情报计划的目标、资源和范围。收集：从各种来源收集相关数据，例如开源情报、供应商和威胁源。加工：组织和分析收集的数据以获得有价值的见解。分析：通过模式识别和指示器识别，了解威胁、其影响以及威胁参与者采用的策略。传播：与相关利益相关者分发情报，以指导决策并促使采取适当行动。反馈和改进：收集反馈，评估计划的有效性，并使用见解来改进未来的工作。威胁情报平台Log360威胁情报平台用于更快检测和解决安全威胁，借助内置的威胁检测模块和高级威胁分析插件，管理员可以阻止恶意来源、防止数据泄露、拦截恶意站点访问。该集成平台结合了开源和商业威胁源，可减少误报，加快威胁检测速度，并帮助对关键安全威胁进行分类。 发现和缓解访问列入黑名单和有风险的 URL 和域的用户。恶意 IP 试图访问企业的关键资源。深入了解试图入侵的恶意行为者的地理位置。攻击技巧。威胁情报解决方案可以解决的安全用例尽早阻止攻击尝试防止数据泄露安全警报减少误报尽早阻止攻击尝试利用面向公众的机器和已知漏洞仍然是黑客入侵网络的一种方法，借助 Log360 的预配置威胁警报，企业不仅可以阻止来自恶意来源的通信，还可以自动触发工作流以将列入黑名单的 IP 添加到防火墙并永久阻止它们。 防止数据泄露如果攻击者使用被盗凭据或任何其他方式侵入网络并试图勒索敏感数据并将其发送到其命令和控制服务器，Log360 的威胁情报解决方案可以立即检测并停止此类通信，检查所有出站通信;提醒相关分析师与恶意 IP、域或 URL 的通信，并立即终止连接。 安全警报检测哪个安全警报对企业构成的最大风险对于每个安全专业人员来说都是一项具有挑战性的任务，Log360 的高级威胁分析模块可识别威胁和攻击类型，包括恶意软件、网络钓鱼和其他已知攻击。还可以在事件调查模块中利用这些见解来更好地证实威胁并确定其解决的优先级。 减少误报Log360 时事件响应系统，例如尝试远程登录关键服务器的 IP 的信誉得分，或尝试远程连接到 VPN 的 IP 的地理位置。这样可以提高对网络行为的可见性，并有助于将可疑活动与合法活动区分开来。

供应链攻击是一种面向软件开发人员和供应商的新兴威胁，目标是通过感染合法应用分发恶意软件来访问源代码、构建过程或更新机制。供应链攻击是威胁行为者通过利用软件供应链中的漏洞进入组织网络的一种网络攻击，供应链攻击的目标可以是软件开发过程中的源代码、编译器、软件库、第三方组件等，也可以是硬件设备、网络设备、供应商提供的服务等。攻击者可以通过篡改软件代码或插入恶意代码来实现数据窃取、远程控制、拒绝服务等攻击行为。供应链攻击的来源供应链攻击源自各种来源，大致可分为三大类。第三方软件开源软件国外软件第三方软件商业软件供应商和外部业务合作伙伴是无法渗透到具有安全意识的公司的对手的潜在目标，通过将恶意代码安装到第三方软件中，攻击者可以轻松访问客户的网络并访问内部数据。例如，组织依靠安全解决方案提供商的渗透测试工具进行安全测试，而这些工具本身可以用作恶意软件的载体来破坏组织的安全性。由于第三方软件在供应链攻击中占主导地位，这些攻击也被称为第三方攻击。开源软件并非所有软件都是从头开始编写的，大多数企业依靠开源软件来开发其专有代码，一些开源社区为所有用户（包括潜在的对手）提供免费访问。这为威胁行为者提供了在现有开源软件中引入恶意脚本和创建漏洞的轻松访问。当合法用户在其脚本中部署此类被篡改的源代码时，感染会传播到他们的软件并破坏其网络中易受攻击的资源。 国外软件一些国家/地区批准将恶意组件部署到其他国家/地区购买的合法供应商软件中，这种类型的供应链攻击是一种手段网络恐怖主义，会造成巨大威胁。 供应链攻击的类型跳岛攻击恶意软件攻击预安装恶意软件攻击代码注入攻击Magecart 攻击被盗代码签名证书攻击水坑攻击加密劫持跳岛攻击跳岛攻击是第三方攻击的一种形式，即对手通过迂回路线攻击具有复杂网络安全的高端目标。由于攻击者无法克服目标严密的安全防御，他们就会利用其软件供应链中的薄弱环节。他们伤害目标供应链中脆弱的供应商和第三方，以获得对目标网络的初始访问权限并破坏资源。在某种程度上，对手从一个组织跳到另一个组织，所以这种攻击被称为跳岛攻击。 恶意软件攻击在这种类型的攻击中，威胁参与者通过利用其软件产品中的漏洞直接针对受害组织,通过在软件的构建周期中引入恶意软件，攻击者在下游供应链中打开后门，并且所有下载该产品的目标组织的客户都成为攻击者的牺牲品。 预安装恶意软件攻击这也是一种第三方攻击，攻击者在第三方的网络设备或其他电子设备上安装恶意软件，对目标组织造成困扰,受害的第三方和目标都不知道这种渗透，直到恶意软件慢慢地悄悄地接管了目标的网络。 代码注入攻击代码注入是一种针对开源代码存储库和库的开源攻击形式，通过将恶意代码注入代码库和存储库，攻击者将访问此类存储库的所有合法用户作为目标。在用户设备上自动执行代码的 JavaScript 库是攻击者的主要目标之一。 Magecart 攻击Magecart攻击，也称为表单劫持，是一种代码注入攻击，主要针对处理支付方式的第三方。在这种攻击中，黑客将恶意代码注入 JavaScript 代码以接管网站并从用户填写的结帐表单中略过敏感的财务详细信息。 被盗代码签名证书攻击代码签名证书用于评估软件产品的真实性和完整性，威胁行为者通过破坏合法所有者的私钥来窃取此类证书，然后，攻击者分发带有恶意软件的软件以及被盗的代码签名证书，以引诱用户下载恶意软件。 水坑攻击流量大的网站是这类供应链攻击的主要目标，网站是供应链的最后一个窗口，是安装和下载软件产品的媒介。通过识别网站架构中的漏洞并嵌入恶意链接，攻击者引诱最终用户打开后门进行恶意执行。这种攻击的命名参考了隐藏在水坑(网站漏洞)附近的捕食者(攻击者)，以便在适当的时候扑向猎物(受害者)。 加密劫持加密劫持是另一种形式的供应链攻击，攻击者利用用户的计算资源来挖掘加密货币，大多数加密劫持攻击都是使用受感染的网站进行的，攻击者通过在网站架构的HTML代码中注入恶意命令来破坏网站。每当用户打开这样的网站，挖矿程序就会自动执行，用户的资源就会在用户不知情的情况下耗尽。如何检测和预防供应链攻击精心规划的产品开发流程，也可以称为软件开发生命周期（SDLC），是保护供应链的首要步骤。让我们深入了解 SDLC 的不同阶段，并揭示在每个阶段检测和防止供应链攻击的不同技术。规划阶段防御设计阶段防御实施阶段防御测试阶段防御部署阶段防御维护阶段防御规划阶段防御这是 SDLC 的第一阶段，是建立用于开发软件的基础设施的阶段。在这个阶段，组织主要关注资源的可用性、采购和分配。在此阶段防御供应链攻击的一些最佳实践包括：1. 创建一个软件物料清单，这是 SDLC 中涉及的所有资源和流程的记录，用于跟踪流程中的所有活动。2. 实现零信任模型验证 SDLC 中涉及的所有依赖项和第三方。3. 使用全面的威胁建模识别基础结构所有组件中可能阻碍 SDLC 的威胁和漏洞。4. 对 SDLC 中的已知威胁和漏洞进行分类，以制定适当的计划事件响应来抵消它们。设计阶段防御设计是产品开始成形的阶段，它涉及开发原型的一套单独的程序。阶段产品所需的软件依赖关系也在此阶段确定。简单地说，这是挑选和集成能够满足最终产品目的的合适第三方解决方案的阶段。一些值得注意的实践可以捍卫这一阶段的SDLC：1. 建立一个验证过程来评估供应商组织的安全状态。2. 评估供应商产品的风险水平和可信度。3. 执行网络分段，以限制第三方访问内部资源的半径。4. 对所有第三方实施最小特权原则，使其只能执行允许的操作。实施阶段防御实施阶段是执行阶段，DevOps团队由软件开发人员和IT操作员组成，在此过程中发挥着至关重要的作用。在此阶段，软件使用代码进行编程，此代码可以是专有的，也可以是开源的。此外，此过程还可以依赖于第三方编码平台来运行和执行代码。因此，这个阶段涉及大量的内部和外部合作。在 SDLC 的这一阶段，防御供应链攻击的最佳实践包括：1. 部署强代码完整性策略限制未经授权执行代码依赖项。2. 评估开源代码内联沙盒过滤掉未知威胁和漏洞的工具。3. 用客户端保护工具，同时利用第三方服务提供商提供的服务。4. 审计影子 IT 基础设施，这涉及 DevOps 团队在未经 IT 部门批准的情况下使用的未经授权的资源。测试阶段防御测试阶段确保了所开发软件的质量，在这里，代码被执行并检查是否存在错误、故障和漏洞，此阶段还涉及渗透测试和沙盒的第三方协作。在此阶段防止供应链攻击的一些最佳实践包括：1. 创建内部渗透测试避免依赖第三方工具的工具。2. 识别并缓解所有漏洞以防止零日漏洞和漏洞利用。部署阶段防御部署是使用代码签名证书对测试的软件进行验证和证明的阶段，并通过网站将其作为软件包或服务提供给最终用户。此阶段对于保护至关重要，因为攻击者可能会窃取代码签名证书以创建虚假身份并引诱用户下载恶意软件，或者他们可能会利用网站 JavaScript 中的漏洞嵌入恶意代码。在此阶段防御供应链攻击的一些值得注意的步骤是： 1. 实施改善，这是软件部署管道中的持续开发和改进。2. 整合安全团队与开发团队一起保护代码签名证书和 JavaScript 存储库。3. 实现服务器端保护检查所有下载请求和网站流量的解决方案。维护阶段防御这是 SDLC 的最后阶段，其重点是产品在部署后的无缝和高效运行，这是产品不断改进以满足最终用户要求的阶段。它涉及频繁的错误修复、软件更新和漏洞补丁。虽然此阶段标志着 SDLC 的结束，但如果不定期使用更新和修复，它也可能标志着重大安全漏洞的开始。在 SDLC 的这一阶段，保护供应链的一些做法包括：1. 建立一个有效的软件资产清单跟踪软件的所有更新和升级。2. 实现安全的工作流程定期应用安全补丁和软件更新。3. 使用多因素身份验证限制对软件内部版本、代码存储库和库的未经授权的访问。Log360 是统一 SIEM 解决方案，由不同的模块组成，可帮助您保护网络。尽管网络安全很复杂，但供应链攻击仍能够对您的网络造成有害影响，它残酷地利用了各种依赖关系之间的相互信任，而这些依赖关系在 SDLC 中是必不可少的。因此，通过在 SDLC 的每个阶段实施上述最佳实践来防范供应链攻击。

深入学习企业文件数据泄露防护、网络保险重要性、固件漏洞管理、分布式系统数据复制、流氓设备检测、身份安全、远程工作模式构建、密码攻击防备以及企业网络过滤。全方位提升网络安全知识，确保业务稳健与员工体验。

系统基本信息排查Windows系统排查命令行输入 msinfo32 ，就会打开系统信息窗口，可以显示本地计算机的硬件资源、组件、软件环境、正在运行的任务、服务、系统驱动程序、加载模块、启动程序等。重点关注以下几个位置即可Linux系统排查CPU信息命令行输入 lscpu 命令，查看CPU相关信息操作系统信息命令行输入 uname -a ，查看当前操作系统信息命令行速录 cat /proc/version 命令，查看Linux版本载入模块排查命令行速录 lsmod 命令，查看Linux已载入模块信息用户排查攻击者会采用的方法主要有如下几种:直接建立一个新的账户(有时是为了混淆视听，账户名称与系统常用名称相似)激活一个系统中的默认账户，但这个账户是不经常使用的建立一个隐藏账户 (在 Windows 系统中，一般在账户名称最后加$)Windows系统用户排查关于Windows系统的用户，用户组管理可以参考这篇文章：应急响应之系统排查方法_世界尽头与你的博客排查所有账户黑客创建的某些隐藏账户通过dos指令无法发现， 但是当我们查看注册表时就可以发现通过注册表检查是否存在账户名为“xxx$”或修改注册表创建的隐藏账户，再检查是否存在可疑账户，并进行禁用注册表路径：给SAM目录添加当前用户可读写属性HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 同时，在此项下导出所有以 00000 开头的项，将所有导出的项与 000001F4 (该项对应Administrator用户)导出内容做比较，若其中的 F 值相同，则表示可能为克隆账户命令行输入 wmic useraccount get name,SID 查看系统中的用户信息Linux用户排查命令行输入 cat /etc/passwd 查看所有用户信息用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后shell最后显示的 /bin/bash 表示该用户可登录 ; sbin/nologin  不可登录root账户排查输入命令 awk -F: '{if($3==0) print $1}' /etc/passwd 可查询可登录账户 UID 为0的账户,root是 UID为0的可登录账户，如果出现其他为 0 的账户，就要重点排查查看所有可登录账户  命令行输入 cat /etc/passwd | grep '/bin/bash' 或者 cat /etc/passwd | grep '/bin/zsh'查看用户错误的登录信息命令行输入 lastb 可查看显示用户错误的登录列表，包括错误的登录方法、IP 地址、时间等查看所有用户最后登录信息命令行输入 lastlog  排查空口令账户命令行输入 awk -F: 'length($2)==0 {print $1}' /etc/shadow如果有用户是空口令就会显示出来启动项排查启动项是系统开机时在前台或者后台运行的程序，攻击者有可能通过启动项使用病毒后门等实现持久化控制。Windows系统启动项排查任务管理器命令行输入 msconfig注册表排查很多病毒木马通过注册表实现持久化驻留开机启动项排查：命令行输入 regedit 即可注册表中重点关注以下三个：HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。Linux系统启动项排查命令行输入 ls -alt /etc/init.d计划任务排查Windows系统计划任务排查计划任务程序库命令行输入  taskschd.msc  可以查看任务的名称，状态，触发器等信息Powershell命令查看Powershell命令行输入  Get-ScheduledTask  可以查看计划任务的路径，名称，状态Powershell命令行输入 schtasksLinux计划任务排查查看当前的计划任务 crontab -l查询到一个挖矿恶意程序的任务计划设置，其会每隔 12 分钟远程下载恶意网站上的 crontab.sh 脚本文件日志排查Windows系统日志排查日志位置在Windows系统中，日志文件包括：系统日志、安全性日志及应用程序日志，其位置如下。在Windows 2000专业版/Windows XP/Windows Server 2003系统中:系统日志的位置为: C:\WINDOWS\System32\config\SysEvent.evt 安全性日志的位置为: C:\WINDOWS\System32\config\SecEvent.evt 应用程序日志的位置为: C:\WINNT\System32\config\AppEvent.evt在Windows Vista/Windows7/Windows8/Windows10/Windows Server2008及以上版本系统中:系统日志的位置为: %SystemRoot%\System32\Winevt\Logs\System.evtx 安全性日志的位置为: %SystemRoot%\System32\Winevt\Logs\Security.evtx 应用程序日志的位置为: %SystemRoot%\System32\Winevt\Logs\Application.evtx系统日志系统日志主要是指 Windows 系统中的各个组件在运行中产生的各种事件。这些事件一般可以分为:系统中各种驱动程序Q在运行中出现的重大问题、操作系统的多种组件在运行中出现的重大问题及应用软件在运行中出现的重大问题等。这些重大问题主要包括重要教据的丢失、错误，以及系统产生的崩溃行为等例如：事件ID=10016安全性日志安全性日志主要记录了各种与安全相关的事件。构成该日志的内容主要包括:各种登录与退出系统的成功或不成功的信息，对系统中各种重要资源进行的各种操作，如对系统文件进行的创建、删除、更改等操作应用程序日志应用程序日志主要记录各种应用程序所产生的各类事件。例如，系统中 SQL Server 数据库程序在受到暴力破解攻击时，日志中会有相关记录 日志常用ID登录相关事件ID日志筛选器分析日志第三方日志分析工具：FullEventLogView       Event Log ExplorerLinux系统日志排查日志位置 /var/log可以使用 cat 命令查看 /var/log/wtmp：记录登录进入、退出、数据交换、关机和重启，即 last。 /var/log/cron：记录与定时任务相关的日志信息。 /var/log/messages：记录系统启动后的信息和错误日志。 /var/log/apache2/access.log：记录 Apache 的访问日志。 /var/log/auth.log：记录系统授权信息，包括用户登录和使用的权限机制等。 /var/log/userlog：记录所有等级用户信息的日志。 /var/log/xferlog(vsftpd.log)：记录 Linux FTP 日志。 /var/log/lastlog：记录登录的用户，可以使用命令 lastlog 查看。 /var/log/secure：记录大多数应用输入的账号与密码，以及登录成功与否。 /var/log/faillog：记录登录系统不成功的账号信息。其它应用程序位置IIS日志位置%SystemDrive%\inetpub\logs\LogFiles %SystemRoot%\System32\LogFiles\W3SVC1 %SystemDrive%\inetpub\logs\LogFiles\W3SVC1 %SystemDrive%\Windows\System32\LogFiles\HTTPERRApache日志位置/var/log/httpd/access.log /var/log/apache/access.log /var/log/apache2/access.log /var/log/httpd-access.logNginx日志位置默认在 /usr/local/nginx/Togs 目录下，access.log 代表访问日志error.log 代表错误日志。若没有在默认路径下，则可以到nginx.conf 配置文件中香找Tomcat 日志的位置:默认在 TOMCAT HOME/Logs/ 目录下，有 catalina.out、catalina.YYYY-MM- DD.og、localhost.YYYY-MM-DD.og.ocalhost access log.YYYY-MM-DD.txt、host-manager.YYYY-MM-DD.g、manager.YYYY-MM-DD.log 等几类日志WebLogic 日志的位置:在默认情况下，WebLogic 有三种日志，分别是 access og、server log 和 domain logaccess.log $MW_HOME\user_projects\domains\<domain_name>\servers\<server_name>\logs\access.log server.log $MW_HOME\user_projects\domains\<domain_name>\servers\<server_name>\logs\<server_name>.log domain.log $MW_HOME\user_projects\domains\<domain_name>\servers\<adminserver_name>\logs\<domain_name>.log进程排查Windows系统进程排查对于 Windows 系统中的进程排查，主要是找到恶意进程的 PID、程席路径，有时还需要找到 PPID (PID 的父进程)及程序加载的DLL。对于进程的排查，一般有如下几种方法。任务管理器tasklist命令查询命令行输入 tasklist 可以显示计算机上的所有进程命令行输入 tasklist /m 可显示进程加载DLL情况tasklist /m ntdll.dll 查看特定DLL调用的进程netstat可以显示网络连接信息命令行输入命令  netstat -ano | findstr "ESTABLISHED"  定位可疑的ESTABLISHEDPID=12306有大量的网络连接命令行输入 tasklist | find "12306" 查看具体的程序Linux进程排查命令行输入 netstat 网络连接命令，分析可疑端口，可疑IP，可疑PIDPID=2963存在恶意外链的情况根据 PID 的值，利用  ls -alt /proc/PID  命令，可查看其对应的可执行程序也可以利用 Lsof -D PID  命令，查看进程所打开的文件。使用  Lsof -p 2963  命令，可查看 PID 为2963 的进程所打开的文件，发现文件mbrn 为可疑文件命令行输入指令，杀死进程 kill -9 PID  kill -9 2535命令行输入指令，删除文件 rm -rf filename   rm -rf mbrn如果 root 用户都无法删除相关文件，那么很可能是因为该文件被加上了 i 属性。使用 Lsatter filename  命令，可查看文件属性，然后使用  chattr -i filename   命令，可移除 i 属性，进而删除文件。也有的进程因为存在守护进程而无法删除，我们可以先把进程挂起，查杀守护进程后，再返回将进程删除有时攻击者会隐藏进程，需要学会查看隐藏进程，一次输入以下指令即可查看ps -ef awkprint sort -n uniq >1 ls /proc sort -n uniq >2 diff 1 2服务排查Windows服务排查命令行输入 services.msc ，之后会打开服务窗口，查看所有服务项，名称，描述，状态Linux服务排查命令行输入 chkconfig --list  查看系统运行的服务其中，0、1、2、3、4、5、6 表示等级，具体含义如下：1 表示单用户模式，2 表示无网络连接的多用户命令行模式；3 表示有网络连接的多用户命令行模式4表示不可用;5 表示带图形界面的多用户模式:6 表示重新启动。命令行输入 service --status-all  可以查看所有服务的状态

Webshell简介Webshell通常指以JSP、ASP、 PHP等网页脚本文件形式存在的一种服务器可执行文件，一般带有文件操作、命令执行功能，是一种网页后门。攻击者在入侵网站后，通常会将Webshell后门文件与网站服务器Web目录下正常的网页文件混在一起，使用浏览器或专用客户端进行连接，从而得到一个服务器操作环境，以达到控制网站服务器的目的。Webshell检测手段基于流量的Webshell检测基于流量的Webshel检测方便部署，我们可通过流量镜像直接分析原始信息。基于payload的行为分析，我们不仅可对已知的Webshell进行检测，还可识别出未知的、伪装性强的Webshell，对Webshell的访问特征 (IP/UA/Cookie) 、payload特征、 path特征、 时间特征等进行关联分析，以时间为索引，可还原攻击事件。基于文件的Webshell检测我们通过检测文件是否加密(混淆处理) ，创建Webshell样本hash库，可对比分析可疑文件。对文件的创建时间、修改时间、文件权限等进行检测，以确认是否为Webshell。基于日志的Webshell检测对常见的多种日志进行分析，可帮助我们有效识别Webshell的上传行为等。通过综合分析，可回溯整个攻击过程。Webshell应急响应指南如何判断被植入了Webshell？网页被篡改，或在网站中发现非管理员设置的内容;出现攻击者恶意篡改网页或网页被植入暗链的现象;安全设备报警，或被上级部门通报遭遇Webshell等。一. Webshell排查利用Webshell扫描工具(如D盾)对应用部署目录进行扫描，如网站D: \WWW\目录，或者将当前网站目录文件与此前备份文件进行比对，查看是否存在新增的不一致内容，确定是否包含Webshell相关信息， 并确定Webshel位置及创建时间。然后利用文本文件打开，进一步分析发现可疑内容。在Linux系统中也可以用命令：//搜索目录下适配当前应用的网页文件，查看内容是否有Webshell特征 find ./ type f -name "*.jsp" | xargs grep "exec(" find ./ type f -name "*.php" | xargs grep "eval(" find ./ type f -name "*.asp" | xargs grep "execute(" find ./ type f -name "*.aspx" | xargs grep "eval(" ] //对于免杀Webshell，可以查看是否使用编码 find ./ type f -name "*.php" | xargs grep "base64_decode" 二. 确定入侵时间根据异常现象发生时间，结合网站目录中Webshell文件的创建时间，可大致定位事件发生的时间段。以便后续依据此时间进行溯源分析、追踪攻击者的活动路径。三. Web日志分析需要对Web日志进行分析，以查找攻击路径及失陷原因，常见Web中间件默认地址WindowsApache apache\logs\error.log apache\logs\access.log IIS C:\inetpub\logs\LogFiles C:\WINDOWS\system32\LogFiles Tomcat tomcat\access_logLinuxApache /etc/httpd/logs/access_log /var/log/httpd/access_log Nginx /usr/local/nginx/logs在Linux日志排查时，为方便日志检索及溯源分析，列举了常用日志检索命令定位具体的IP地址或文件名find . access_log | grep xargs ip find . access_log | grep xargs filename查看页面访问前10的IP地址cat access.log | cut -f1 -d " " | sort | uniq -c | sort -k 1 -r | head -10查看页面访问前10的URL地址cat access.log | cut -f4 -d " " | sort | uniq -c | sort -k 1 -r | head -10四. 漏洞分析通过日志分析发现的问题，针对攻击者的活动路径，可排查网站中存在的漏洞，并进行分许五. 漏洞复现复现攻击者的攻击路径六. 清除Webshell并修复漏洞处置时先断网，清理发现的 Webshell如果网站被挂黑链或者被篡改首页，那么应删除篡改内容，同时务必审计源码，保证源码中不存在恶意添加的内容在系统排查后，及时清理系统中隐藏的后门及攻击者操作的内容，存在 rootkit 后门，则建议重装系统对排查过程中发现的漏利用点进行修补，必要时可以做黑盒渗透测试，全面发现应用漏洞待上述操作处置完成，重新恢复网站运行七. Webshell防御方法配置必要的防火墙，并开启防火墙策略，防止暴露不必要的服务为攻击者提供利用条件对服务器进行安全加固，例如，关闭远程桌面功能、定期更换密码、禁止使用最高权限用户运行程序、使用 HTTPS 加密协议等加强权限管理，对敏感目录进行权限设置，限制上传目录的脚本执行权限，不允许配置执行权限安装 Webshell 检测工具，根据检测结果对已发现的可疑 Webshell 痕立即隔离查杀，并排查漏洞排查程序存在的漏洞，并及时修补漏洞时常备份数据库等重要文件防止糟糕的事情发生重装系统需要保持日常维护，并注意服务器中是否有来历不明的可执行脚本文件8.采用白名单机制上传文件，不在白名单内的一律禁止上传，上传目录权限遵循最小权限原则

勒索病毒简介勒索病毒，是一种伴随数字货币兴起的病毒木马，主要以邮件、程序木马、网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密，勒索病毒一般利用非对称加密算法和对称加密算法组合的形式对受害者文件进行加密。绝大多数勒索病毒，被感染者是无法解密的，必须拿到解密的私钥才有可能破解。勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密私钥与公钥，利用私钥和公钥对文件进行加密。除了病毒开发者本人，其他人是几乎不可能解密。加密完成后，还会修改壁纸，在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。且变种类型非常快，对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主，对常规依靠特征检测的安全产品是一个极大的挑战。 据火绒监测，勒索病毒主要通过三种途径传播：漏洞、邮件和广告推广。常见勒索病毒种类WannaCryWannaCry勒索病毒通过MS17-010漏洞进行传播，该病毒感染计算机后会向计算机植入敲诈者病毒，导致计算机大量文件被加密。受害者计算机被攻击者锁定后，病毒会提示需要支付相应赎金方可解密。常见后缀: wncry；传播方法:“永恒之蓝”漏洞；特征:启动时会连接一个不存在的URL (Uniform Resource L ocator,统一资源定位符) ;创建系统服务mssecsvc2.0;释放路径为Windows目录。 GlobelmposterGlobelmposter勒索病毒主要通过钓鱼邮件进行传播。攻击目标主要是开启远程桌面服务的服务器，攻击者暴力破解服务器密码，对内网服务器发起扫描并人工投放勒索病毒，导致文件被加密，暂时无法解密。常见后缀: auchentoshan、 动物名+4444等；传播方法: RDP暴力破解、钓鱼邮件、捆绑软件等；特征：释放在%appdata%或%localappdata%。 Crysis/ DharmaCrysis/Dharma勒索病毒攻击方法是利用远程RDP暴力破解的方法植入到服务器进行攻击。Crysis采用AES+RSA的加密方法，无法解密。常见后缀: [id] +勒索邮箱+特定后缀。传播方法: RDP暴力破解。特征:勒索信位置在startup目录，样本位置在%windir%\system32、 startup目录、%appdata%目录。 攻击特点攻击者在对文件加密的过程中，一 般不再使用C2服务器，也就是说现在的勒索病毒在加密时不需要回传私钥。无C2服务器加密技术的加密过程大致如下:在加密前随机生成新的加密密钥对(非对称公、私钥) ;使用新生成的公钥对文件进行加密;采用攻击者预埋的公钥把新生成的私钥进行加密，保存在一个ID文件中或嵌入加密文件。无C2服务器加密技术的解密过程大致如下:通过邮件或在线提交的方法，提交ID串或加密文件中的加密私钥(一 般攻击者会提供工具提取该私钥) ;攻击者使用保留的与预埋公钥对应的私钥解密受害者提交过来的私钥;把解密私钥或解密工具交付给受害者进行解密。通过以上过程可以实现每个受害者的解密私钥都不同，同时避免联网回传私钥。这也就意味着不需要联网，勒索病毒也可以对终端完成加密，甚至在隔离网环境下依然可以对文件和数据进行加密。应急响应方法指南如何判断中招勒索病毒？业务系统无法访问文件后缀被篡改勒索信展示一. 隔离被感染的服务器/主机对已被勒索的服务器/主机下线隔离，对未被勒索的服务器/主机做好防护。方法：物理隔离主要为断网或断电，关闭服务器/主机的无线网络、蓝牙连接等，禁用网卡，并拔掉服务器/主机上的所有外部存储设备;访问控制主要是指对访问网络资源的权限进行严格认证和控制，常用的操作方法是加策略：    1.使用防火墙或终端安全监测系统；    2.避免将远程桌面服务(RDP， 默认端口为3389)暴露在公网中并关闭445、139、 135等不必要的端口；     3.修改登录密码：立刻修改被感染服务器/主机的登录密码；修改同一局域网下的其他服务器/主机的登录密码；修改最高级系统管理员账号的登录密码。 二. 排查业务系统在完成了勒索病毒事件判断及临时处置后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。针对未被勒索服务器/主机：在网络边界防火墙上全局关闭3389端口，或3389端口只对特定IP地址开放；开启Windows防火墙，尽量关闭3389、445、139、135等不用的高危端口；每台服务器/主机设置高强度的复杂密码；安装最新杀毒软件或服务器加固版本，防止被攻击；对系统进行补丁更新；封堵病毒传播途径；若现场设备处在虚拟化环境下，则建议安装虚拟化安全管理系统，进一步提升防恶意软件、防暴力破解等安全防护能力。针对未明确是否被勒索的服务器/主机：对该服务器/主机做策略隔离或者断网隔离，在确保该服务器/主机未连接网络的情况下，开启检查。 三. 确定勒索病毒, 种类进行溯源分析在检查过程中，可以将疑似样本提取出来，通过威胁情报平台分析判断样本是否为恶意样本，也可以联系专业技术人员进行样本分析，确认样本的病毒类型、传播特性及其他恶意行为。勒索病毒在感染服务器/主机后，攻击者通常会留下勒索提示信息。可以先从被加密的磁盘目录中寻找勒索提示信息，一 些提示信息中会包含勒索病毒的标识，由此可直接判断本次感染的是哪一类勒索病毒，再通过勒索病毒处置工具查看是否能够解密。溯源分析一般需要查看服务器/主机上保留的日志和样本。通过日志判断勒索病毒可能通过哪种方法侵入服务器/主机，如果日志被删除，就需要在服务器/主机上寻找相关的病毒样本或可疑文件，再通过这些可疑文件判断病毒的入侵途径。针对操作系统，从系统和日志两个层面进行排查系统层面主要包括是否有可疑账号、可疑进程、异常的网络连接、可疑任务计划、可疑服务及可疑启动项，确认加密文件是否可以解密；日志层面主要包括安全日志是否有暴力破解记录、异常IP地址登录记录，对感染的服务器/主机展开溯源分析工作，串联异常登录IP地址情况，最后定位攻击的突破口。四. 恢复数据和业务通过备份数据进行恢复进行恢复业务五. 清理加固确认勒索病毒事件后，需要及时对勒索病毒进行清理并进行相应的数据恢复工作，同时对服务器/主机进行安全加固，避免二次感染病毒清理及加固1、在网络边界防火墙上全局关闭3389端口，或3389端口只对特定IP地址开放；2、开启Windows防火墙，尽量关闭3389、445、 139、 135等不用的高危端口；3、每台机器设置唯一登录密码，且密码应为高强度的复杂密码；4、安装最新杀毒软件，对被感染机器进行安全扫描和病毒查杀；5、对系统进行补丁更新，封堵病毒传播途径；6、结合备份的网站日志对网站应用进行全面代码审计，找出攻击者利用的漏洞入口，进行封堵；7、使用全流量设备(如天眼)对全网中存在的威胁进行分析，排查问题。感染文件恢复1、通过解密工具恢复感染文件；2、支付赎金进行文件恢复。六. 勒索病毒防御方法个人终端防御自动备份技术：奇安信将其应用于文档卫土功能模块中。只要计算机中的文档出现被篡改的情况，该功能模块就会第一时间把文档自动备份在隔离区并保护起来，用户可以随时恢复文件文档卫士的自动备份触发条件主要包括两点:第一，开机后第一次修改文档:第二，有可疑程序算改文档，当出现上述两种情况时，文档卫士会默认备份包括Word、Exce、PowerPoint、PDF 等格式在内的文件，并在备份成功后出现提示信息。用户还可以在设置中选择添加更多需要备份的文件格式，如用户计算机中的照片非常重要，就可以将 JPG 等图片格式加入保护范围此外，文档卫士还集合了"文件解密”功能，安全专家可对一些勒索病毒家族进行逆向分析，实现多种类型的文件解密综合性勒索反病毒技术：防护软件在计算机系统的各处设置陷阱文件，当有病毒试图加密文件时，就会首先命中设置的陷阱，从而暴露其攻击行为。这样，安全软件就可以快速无损地发现各类试图加密或破坏文件的恶意程序企业级终端防御云端免疫技术：通过终端安全管理系统，由云端直接下发免疫策略或补丁，帮助用户进行防护或打补丁密码保护技术：加强密码保护主要应从三方面入手:是采用弱密码检验技术，强制管理员使用复杂密码是采用反暴力破解技术，对于陌生 P 地址用户的登录位置和登录次数进行严格控制是采用 VPN 或双因子认证技术，从而使攻击者即便盗取了管理员账号、密码，也无法轻易登录企业服务器

挖矿木马简介挖矿：每隔一个时间点，比特币系统会在系统节点上生成一个随机代码，互联网中的所有计算机都可以去寻找此代码，谁找到此代码，就会产生一个区块。而比特币的发行是基于奖励的，每促成一个区块的生成，该节点便获得相应奖励，这样大家就有动力投入资金去维护整个交易网络的正常运行。这个寻找代码获得奖励的过程就是挖矿。但是要计算出符合条件的值需要进行上万亿次的哈希运算，这个过程需要大量的算力，于是部分黑客就会通过入侵服务器的方式来控制别人的计算机帮助自己挖矿。挖矿木马：攻击者通过各种手段将挖矿程序植入受害者的计算机中，在受害者不知情的情况下利用其计算机的算力进行挖矿，从而获取利益，这类非法植入用户计算机的挖矿程序就是挖矿木马。挖矿木马一般为自动化扫描、攻击、部署挖矿进程的脚本，攻击者首先将挖矿脚本放在远程主机上，通过常见或最新爆出的可命令执行的自动化漏洞利用脚本获得主机的控制权后，登陆主机，利用wget或curl直接下载远程挖矿进程部署脚本，执行脚本进行挖矿进程的部署、隐藏、持久化和痕迹清除等工作。挖矿木马为了能够长期在服务器中驻留，会采用多种安全对抗技术，如修改任务计划、修改防火墙配置、修改系统动态链接库等，使用这些技术手段严重时可能造成服务器业务中断。算计（哈希率）：是比特币网络处理能力的度量单位。即为计算机（CPU）计算哈希函数输出的速度。比特币网络必须为了安全目的而进行密集的数学和加密相关操作。 例如，当网络达到10Th/s的哈希率时，意味着它可以每秒进行10万亿次计算。在通过挖矿得到比特币的过程中，我们需要找到其相应的解m，而对于任何一个六十四位的哈希值，要找到其解m，都没有固定算法，只能靠计算机随机的hash碰撞，而一个挖矿机每秒钟能做多少次hash碰撞，就是其“算力”的代表，单位写成hash/s，这就是所谓工作量证明机制POW(Proof Of Work)。挖矿流程通过已知漏洞获得主机控制权；下载远程挖矿脚本；删除本机中可能存在的其他挖矿进程；生成特征文件避免重复感染；判断主机系统类型和位数，隐藏并运行挖矿进程；如果有GPU则进行GPU挖矿；挖矿进程的驻留与持久化；部分有蠕虫功能的脚本还会以当前主机为跳板，利用已知漏洞和弱口令进行局域网扫描，以控制更多主机；清除痕迹。挖矿木马应急响应如何判断遭遇挖矿木马攻击：被植入挖矿木马的计算机会出现CPU使用率飙升、系统卡顿、部分服务无法正常运行等现象。通过服务器性能监测设备查看服务器性能，从而判断异常。挖矿木马会与矿池地址建立连接，可通过查看安全监测类设备告警判断。一. 隔离被感染主机需要对挖矿木马事件进行初步判断，了解事态现状、系统架构、感染时间等，并确定感染面；还要及时提供临时处置建议，对已被挖矿的服务器/主机下线隔离，对未被挖矿的服务器/主机做好防护。挖矿木马会与矿池地址建立连接，可以利用安全监测类设备查看挖矿范围。二. 确定挖矿进程将被感染服务器/主机做完基本隔离后，就要确认哪些是挖矿木马正在运行的进程，以便执行后续的清除工作。挖矿程序的进程名称一般表现为两种形式：程序命名为不规则的数字或字母；伪装为常见进程名，仅从名称上很难辨别。所以在查看进程时，无论是看似正常的进程名还是不规则的进程名，只要是CUP占用率较高的进程都要逐一排查。三. 挖矿木马清除1、阻断矿池地址的连接挖矿程序有外连行为，应用安全设备阻断矿池地址，在网络层阻断挖矿木马与矿池的通信。2、清除挖矿定时任务、启动项等清除挖矿木马、清除可疑的定时任务、清楚可疑启动项等。3、禁用可疑用户由挖矿木马程序创建的用户，可能作为攻击跳板或用作其他攻击操作，当确认为异常用户后，需及时禁用或删除。4、定位挖矿木马文件的位置并删除Windows系统：使用netstat -ano系统命令可定位挖矿木马连接的PID，再通过tasklist命令可定位挖矿木马的进程名称，最后通过任务管理器查看进程，找到挖矿木马文件的位置并清除。Linux系统：使用netstat -anpt 命令查看挖矿木马进程、端口及对应的PID，使用ls -alh /proc/PID命令查看挖矿木马对应的可执行程序，最后使用kill -9 PID 命令可结束进程，使用rm -rf filename命令删除该文件。5、全盘杀毒、加固实施以上操作后，仍需继续观察是否还有反复迹象，是否还有进程或任务计划没有清理干净。使用杀毒软件全盘杀毒，并对系统、应用做安全加固。

DDos攻击简介分布式拒绝服务是种基于DoS的特殊形式的拒绝服务攻击，是一种分布、 协作的大规模攻击方式，主要瞄准比较大的站点，像商业公司、搜索引擎或政府部门门的站点。DoS攻击只要一台单机和一个Modem就可实现；而DDoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。绝大部分的DDoS攻击是通过僵尸网络产生的。僵尸网络主要由受到僵尸程序感染的计算机及其他机器组成。当确定受害者的IP 地址或域名后，僵尸网络控制者发送攻击指令，随后就可以使网络断开连接，指令在僵尸程序间自行传播和执行，每台僵尸主机都将做出响应，同时向目标主机发送请求，可能导致目标主机或网络出现溢出，从而拒绝服务。消耗网络带宽资源：ICMP Flood   UDP Flood消耗系统资源：TCP Flood    SYN Flood消耗应用资源：CC攻击（HTTP Flood）DDos攻击应急响应指南如何判断遭受到DDos攻击：查看防火墙、流量监控设备、网络设备等是否出现安全告警或大量异常数据包。查看是否存在特定的服务、页面请求，使服务器/主机无法及时处理所有正常请求。查看是否有大量等待的TCP连接。排查服务器/主机与恶意IP地址是否建立异常连接，或是否存在大量异常连接。一. 问题排查DDos事件发生的时间对可记录流量信息的设备进行排查，确定攻击时间，以便后续依据此时间进行溯源分析，并对攻击者行为、攻击方法进行记录。了解系统架构通过了解现场实际环境网络拓扑、业务架构及服务器类型、带宽大小等关键信息，可帮助安全运营人员、应急响应工程师确认事件影响的范围及存在的隐患。了解影响范围结合系统架构情况，确认在DDoS攻击中受到影响的服务和带宽信息，以便后续排查并采取相应措施缓解。二. 临时处置我们可以针对当前攻击流量限制访问速率，调整安全设备的防护策略。通过设备的记录信息，对访问异常的IP地址进行封堵。当流量在服务器硬件与应用接受范围内，利用IP表实现软件层防护。当攻击持续存在，则可在出口设备配置防护策略、接入CDN防护等。当流量远远超出出口带宽，建议联系运营商进行流量清洗。 三. 研判溯源溯源分析一般是通过查看安全设备、流量监控设备、服务器、网络设备上保留的日志信息进行的。将排查过程中整理出的IP地址进行梳理、归类，方便日后溯源。但是在DDoS攻击中，攻击者一般会使用僵尸网络，因此为溯源带来很大难度。建议在遭受DDoS攻击时及时报案，并保留相关日志、攻击记录等。四. 清楚加固服务器防护对服务器进行安全加固，包括操作系统及服务软件，以减少可被攻击的点。避免非业务端口对外网开放，避免与业务无关的请求和访问，减少服务器暴露在公网的攻击点。对服务器进行性能测试、压力测试等，评估正常业务环境下其所能承受的带宽及业务吞吐处理能力。及时更新安全补丁，避免服务器沦为攻击者攻击的“肉鸡”。网络防护与安全监测优化网络架构，利用负载分流保证系统弹性、冗余，并防止单点故障的产生。限制同时打开数据包的最大连接数。部署流量监控设备或抗DDoS攻击设备，对全网中存在的威胁进行监控分析，关注相关告警，为追踪溯源提供基础支撑。应用系统防护对应用代码做好性能优化。

本专栏主要针对面试常问的应急响应相关问题以及针对挖矿木马，Webshell，DDos攻击，勒索病毒，数据泄露等情景下的应对措施，助力企业安全

流量染色流量识别要想压测的流量和数据不影响线上真实的生产数据，就需要线上的集群能识别出压测的流量，只要能识别出压测请求的流量，那么流量触发的读写操作就很好统一去做隔离了。通过在请求协议中添加压测请求的标识，在不同服务的相互调用时，一路透传下去，这样每一个服 务都能识别出压测的请求流量，这样做的好处是与业务完全的解耦，只需要应用框架进行感知，对业务方代码无侵入。MVC接收数据客户端 传递过来的数据可以通过获取Header的方式获取到，并将其设置进当前的ThreadLocal，交给后面的方法使用。Tomcat 线程复用问题tomca默认使用线程池来管理线程，一个请求过来，如果线程池里面有空闲的线程，那么会在线程池里面取一个线程来处理该请求，一旦该线程当前在处理请求，其他请求就不会被分配到该线程上，直到该请求处理完成。请求处理完成后，会将该线程重新加入线程池。因为是通过线程池复用线程，如果线程内部的ThreadLocal没有清除就会出现问题，需要新的请求进来的时候，清除ThreadLoca。Fegin传递传递染色标识微服务项目是使用Fegin来实现远程调用的，跨微服务传递染色标识是通过MVC拦截器获取到 请求Header的染色标识，并放进ThreadLocal中，然后交给Fegin拦截器在发送请求之前从ThreadLocal 中获取到染色标识，并放进Fegin构建请求的Header中，实现微服务之间的火炬传递。Hystrix传递染色标识Hystrix隔离技术Hystrix 实现资源隔离，主要有两种技术： 信号量信号量的资源隔离只是起到一个开关的作用，比如，服务 A 的信号量大小为 10，那么就是说它同时只允许有 10 个 tomcat 线程来访问服务 A，其它的请求都会被拒绝，从而达到资源隔离和限流保护的作用。线程池线程池隔离技术，是用 Hystrix 自己的线程去执行调用；而信号量隔离技术，是直接让 tomcat 线 程去调用依赖服务。信号量隔离，只是一道关卡，信号量有多少，就允许多少个 tomcat 线程通过它， 然后去执行。Hystrix穿透如果使用线程池模式，那么存在一个ThreadLocal变量跨线程传递的问题，即在主线程的 ThreadLocal变量，无法在线程池中使用，不过Hystrix内部提供了解决方案。 数据隔离方案JDBC数据源隔离 通过实现Spring动态数据源 AbstractRoutingDataSource,通过 ThreadLocal识别出来压测数据，如果是压测数据就路由到影子库，如果是正常流量则路由到主库，通过流量识别的改造，各个服务都已经能够识别出压测的请求流量了。Redis数据源隔离同时通过ThreadLocal识别出来压测数据，自定义Redis的主键的序列化方式，如果是压测数据则在主键后面加上后缀，这样就可以通过不同主键将Redis数据进行隔离。 RabbitMQ 数据隔离自动创建影子队列因为SpringAMQP中的RabbitListenerAnnotationBeanPostProcessor中的关键方法是私有的，无法通过继承的方式进行实现对以配置好的队列进行扩展，所以需要自定义该类，来实现对自动创建影子队列，并和交换器进行绑定。接口隔离方法Mock 第三方接口对于第三方数据接口需要进行隔离，比如短信接口，正常的数据需要发送短信，对于压测数据则不能直接调用接口发送短信，并且需要能够识别出来压测数据，并进行MOCK接口调用。 零侵入方案如果开发的中间件需要各个微服务大量改造，对开发人员来说就是一个灾难，所以这里采用零侵入的springboot starter 来解决。自动装配使用微服务得@Conditional来完成配置得自动装配，这里用MVC得配置来演示自动装配，其他得都是类似，这样可以最大限度的优化代码并提高很高的可扩展性。SpringBoot starter和自动装配一样，Spring Boot Starter的目的也是简化配置，而Spring Boot Starter解决的是依赖管理配置复杂的问题，有了它，当我需要构建一个Web应用程序时，不必再遍历所有的依赖包，一个一个地添加到项目的依赖管理中，而是只需要一个配置spring-boot-starter-web。 服务监控skywalking简介Skywalking 是一个APM系统，即应用性能监控系统，为微服务架构和云原生架构系统设计。它通过探针自动收集所需的指标，并进行分布式追踪。通过这些调用链路以及指标，Skywalking APM会感知应用间关系和服务间关系，并进行相应的指标统计。目前支持链路追踪和监控应用组件如下，基本涵盖主流框架和容器，如国产PRC Dubbo和motan等，国际化的spring boot，spring cloud都支持了 SkyWalking是分布式系统的应用程序性能监视工具，专为微服务、云原生架构和基于容器（Docker、K8S、Mesos）架构而设计 SkyWalking是观察性分析平台和应用性能管理系统。提供分布式追踪、服务网格遥测分析、度量聚合和可视化一体化解决方案。

全链路压测是高并发系统上线前的基础步骤，下面我们来学习下全链路压测的思想和方案全量路压测的意义上图是 2012 年淘宝核心业务应用关系的拓扑图，还不包含了其他的非核心业务应用，所谓的核心业务就是和交易相关的，和钱相关的业务。这张图大家可能看不清楚，看不清楚才是正常的，因为当时的阿里应用数量之多、应用间关系之混乱靠人工确实已经无法理清楚了。在真实的业务场景种，每个系统的压力都比较大，而系统之间是有相互依赖关系的，单机压测没有考虑到依赖环节压力都比较大的情况，会引入一个不确定的误差。这就好比，我们要生产一个仪表，每一个零件都经过了严密的测试，最终把零件组装成一个仪表，仪表的工作状态会是什么样的并不清楚。链路压测方案刨析线下压测顾名思义就是在测试环境进行压测，且是针对一些重点项目这种测试手段，因为测试环境硬件资源以及压测数据与线上差别太大并且服务间依赖关系错综复杂，测试环境很难模拟且不够稳定，压测出来的数据指标参考价值不大，难以用测试环境得出的结果推导生产真实容量。预生产环境压测这个一般是将生成环境的硬件以及软件同步复制到与生产环境一份，然后对服务内部的外部调用接口进行拦截，然后进行压测这样可以评估出来生产环境的真实容量以及达到压测的目的，但是成本非常高，需要将生产环境的硬件完全的复制一份，部署的时候需要同步的在预生产环境进行部署，以及压测代码的更改。流量转发压测随着业务量的不断增长，考虑到线下测试结果的准确性，开始尝试生产压测，这种压测手段，我们称之为流量转发压测。事实上没有真正的模拟放大压力进行测试，而是一种通过缩小在线服务集群数的方式来放大单机处理量。比如一个业务系统的集群有100个节点，将其中90个节点模拟下线或转发流量到剩余的10个节点上实施压测。流量转发压测的弊端在于，DB承受压力不变，上下游系统的压力不变。压测结果仅能代表单个应用的性 能，但往往无法识别链路和架构级的隐患，而且在引流过程中倘若出现异常或突如其来的业务高峰，很容易造成生产故障。全链路压测随着微服务架构的流行，服务按照不同的维度进行拆分，一次请求往往需要涉及到多个服务。互联网应用构建在不同的软件模块集上，这些软件模块，有可能是由不同的团队开发、可能使用不同的编程语言来实现、有可能布在了几千台服务器，横跨多个不同的数据中心。因此，就需要一些可以帮助理解系统行为、用于分析性能问题的工具，以便发生故障的时候，能够快速定位和解决问题，但是他的缺点也很明显就是需要的技术难度很高，需要克服流量染色，数据隔离，日志隔离，风险熔断等技术难题，因位在生产环境压测，所以控制不好风险也是非常高的。所以，在复杂的微服务架构系统中，几乎每一个前端请求都会形成一个复杂的分布式服务调用链路。一个请求完整调用链可能如下图所示：四种压测方案对比全链路压测概述什么是全链路压测基于实际的生产业务场景、系统环境（生产环境），模拟海量的用户请求和数据对整个业务链（通常是核心业务链）进行压力测试，并持续调优的过程。解决什么问题解决在业务场景越发复杂化、海量数据冲击下系统整个业务链的可用性、服务能力的瓶颈，以及容量规划等问题。精确的容量规划为什么需要容量规划容量规划的目的在于让每一个业务系统能够清晰地知道：什么时候该加机器、什么时候应该减机器？双11等大促场景需要准备多少机器，既能保障系统稳定性、又能节约成本。容量规划步骤1、业务流量预估阶段：通过历史数据分析未来某一个时间点业务的访问量会有多大；2、系统容量评估阶段：初步计算每一个系统需要分配多少机器；3、容量的精调阶段：通过全链路压测来模拟大促时刻的用户行为，在验证站点能力的同时对整个站点的容量水位进行精细调整；4、流量控制阶段：对系统配置限流阈值等系统保护措施，防止实际的业务流量超过预估业务流量的情况下，系统无法提供正常服务流量控制阶段：对系统配置限流阈值等系统保护措施，防止实际的业务流量超过预估业务流量的情况下，系统无法提供正常服务。进行全链路的性能监控全链路性能监控 从整体维度到局部维度展示各项指标，将跨应用的所有调用链性能信息集中展现，可方便度量整体和局部性能，并且方便找到故障产生的源头，生产上可极大缩短故障排除时间。保证系统稳定性：可能提前预估系统存在的各种问题，提前模拟高并发场景，有备无患。请求链路追踪，故障快速定位：可以通过调用链结合业务日志快速定位错误信息。精准的容量评估：能够定位到最需要扩容的服务，帮助公司用最低的成本满足业务的性能要求真实的性能验证：能够在生成环境以最真实的环境来验证系统的真实性能。数据分析，优化链路：可以得到用户的行为路径，汇总分析应用在很多业务场景。

如何开展全链路压测业务模型梳理1、首先应该将核心业务和非核心业务进行拆分，确认流量高峰针对的是哪些业务场景和模块，针对性的进行扩容准备；2、梳理出对外的接口：使用MOCK（模拟）方式做挡板；3、千万不要污染正常数据：认真梳理数据处理的每一个环节，确保 mock 数据的处理结果不会写入到正常库里面。数据模型构建数据的真实性和可用性：可以从生产环境完全移植一份当量的数据包，作为压测的基础数据，然后基于基础数据，通过分析历史数据增长趋势，预估当前可能的数据量。数据隔离：千万不要污染正常数据，认真梳理数据处理的每一个环节，可以考虑通过压测数据隔离处理，落入影子库，mock 对象等手段，来防止数据污染。压测工具选型使用分布式压测的手段来进行用户请求模拟，目前有很多的开源工具可以提供分布式压测的方式，比如JMeter、nGrinder、Locust等。有条件的也可以采购阿里云的PTS。全链路整体架构整体架构如下主要是对压测客户端的压测数据染色，全链路中间件识别出染色数据，并将正常数据和压测数据区分开，进行数据隔离，这里主要涉及到mysql数据库，RabbitMQ，Redis，还需要处理因为hystrix线程池不能通过ThreadLocal传递染色表示的问题。需要应对的问题业务问题1. 涉及的系统太多，牵扯的开发人员太多在压测过程中，做一个全链路的压测一般会涉及到大量的系统，在整个压测过程中，光各个产品的人员协调就是一个比较大的工程，牵扯到太多的产品经理和开发人员，如果公司对全链路压测早期没有足够的重视，那么这个压测工作是非常难开展的。2. 模拟的测试数据和访问流量不真实在压测过程中经常会遇到压测后得到的数据不准确的问题，这就使得压测出的数据参考性不强，为什么会产生这样的问题？主要就是因为压测的环境可能和生成环境存在误差、参数存在不一样的地方、测试数据存在不一样的地方这些因素综合起来导致测试结果的不可信。3. 压测生产数据未隔离，影响生产环境在全链路压测过程中，压测数据可能会影响到生产环境的真实数据，举个例子，电商系统在生产环境进行全链路压测的时候可能会有很多压测模拟用户去下单，如果不做处理，直接下单的话会导致系统一下子会产生很多废订单，从而影响到库存和生产订单数据，影响到日常的正常运营。技术问题探针的性能消耗服务调用埋点本身会带来性能损耗，这就需要调用跟踪的低损耗，实际中还会通过配置采样率的方式，选择一部分请求去分析请求路径。在一些高度优化过的服务，即使一点点损耗也会很容易察觉到，而且有可能迫使在线服务的部署团队不得不将跟踪系统关停。代码的侵入性对于应用的程序员来说，是不需要知道有跟踪系统这回事的。如果一个跟踪系统想生效，就必须需要依赖应用的开发者主动配合，那么这个跟踪系统也太脆弱了，往往由于跟踪系统在应用中植入代码的bug或疏忽导致应用出问题，这样才是无法满足对跟踪系统“无所不在的部署”这个需求。可扩展性个优秀的调用跟踪系统必须支持分布式部署，具备良好的可扩展性。能够支持的组件越多当然越好。或者提供便捷的插件开发API，对于一些没有监控到的组件，应用开发者也可以自行扩展。数据的分析数据的分析要快 ，分析的维度尽可能多。跟踪系统能提供足够快的信息反馈，就可以对生产环境下的异常状况做出快速反应。分析的全面，能够避免二次开发。全链路压测核心技术全链路流量染色通过压测平台对输出的压力请求打上标识，在订单系统中提取压测标识，确保完整的程序上下文都持有该标识，并且能够穿透微服务以及各种中间件，比如 MQ，hystrix，Fegin等。全链路服务监控需要能够实时监控服务的运行状况以及分析服务的调用链，我们采用skywalking进行服务监控和压测分析：全链路日志隔离当订单系统向磁盘或外设输出日志时，若流量是被标记的压测流量，则将日志隔离输出，避免影响生产日志。全链路风险熔断当订单系统访问会员系统时，通过RPC协议延续压测标识到会员系统，两个系统之间服务通讯将会有白黑名单开关来控制流量流入许可。该方案设计可以一定程度上避免下游系统出现瓶颈或不支持压测所带来的风险，这里可以采用Sentinel来实现风险熔断。全链路数据隔离数据库隔离当会员系统访问数据库时，在持久化层同样会根据压测标识进行路由访问压测数据表。数据隔离的手段有多种，比如影子库、影子表，或者影子数据，三种方案的仿真度会有一定的差异，他们的对比如下。消息队列隔离当我们生产的消息扔到MQ之后，接着让消费者进行消费，这个没有问题，压测的数据不能够直接扔到MQ中的，因为它会被正常的消费者消费到的，要做好数据隔离，方案有队列隔离，消息隔离，他们对比如下。redis隔离通过 key 值来区分，压测流量的 key 值加统一后缀，通过改造RedisTemplate来实现key的路由。

学习全链路压测的思想、方案、架构、技术和具体实现。深入了解如何全面评估系统性能，掌握压测全链路的关键技能，提升对系统稳定性和性能的全方位把控。