·设为首页收藏本站📧邮箱修改🎁免费下载专区💎积分✅卡密📒收藏夹👽聊天室
DZ插件网 门户 网站安全 查看内容

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.0

2024-10-27 09:17| 发布者: 拾光| 查看: 24028| 评论: 0

摘要: |1.概述 在安装火绒企业版中心,部署火绒终端后,建议您根据企业网络环境、运行业务、计算机性能、工作习惯对 Windows 系统与火绒进行配置,以提高企业内安全性,该文档以“火绒中心设置”、“主机防护加固项”和 ...
 |  1. 概述

      在安装火绒企业版中心,部署火绒终端后,建议您根据企业网络环境、运行业务、计算机性能、工作习惯对 Windows 系统与火绒进行配置,以提高企业内安全性,该文档以“火绒中心设置”、“主机防护加固项”和“员工安全意识与使用习惯”三方面提出加固建议。

 |  2. 火绒中心设置

      可以根据需求,在火绒中心内进行以下设置。

|  2.1. 火绒终端分组

      对已经部署火绒终端的计算机,根据部门、业务、区域、使用时段等进行分组,应用不同的安全策略以便后期进行维护。

      例如,根据业务,对外网可访问的服务器进行单独分组,单独制定针对该服务器的策略,例如修改文件实时监控级别,禁止外网访问该组内服务器的3389端口等,以提高安全性。

|  2.2. 配置终端策略

      (1)  如果业务和机器性能允许,将策略内的文件实时监控->扫描时机修改为以下任意一项:“在文件发生变化时进行扫描,将占用少量系统资源(中级、推荐)”“在文件发生所有类型操作时进行扫描,将占用较多系统资源(高级)设置此选项后,会修改火绒的默认监控级别,提高文件实时监控敏感度,尽早发现病毒并处理。但是会增加一些系统资源占用,建议根据计算机性能酌情进行设置。

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.0393 作者: 来源: 发布时间:2024-10-27 09:17

      (2) 设置文件实时监控->发现病毒时选项为“自动处理”,防止员工在终端误操作导致病毒被运行。

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.03643 作者: 来源: 发布时间:2024-10-27 09:17

|  2.3. 火绒终端安全防护

      (1) 设置火绒终端“管理员密码”和“防止终端卸载密码”,防止员工修改火绒终端设置,退出或卸载火绒终端。

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.04985 作者: 来源: 发布时间:2024-10-27 09:17

 |  3. 主机防护加固项

|  3.1. 部署安全软件

      全网部署火绒企业版终端,通过火绒终端安全管理系统监控全网环境。定期下发查杀任务,可使用火绒中心内的“计划任务”功能创建周期性的扫描。

      (1) 在发现病毒后,将中毒终端移动至临时分组,并设置相应防护策略,例如修改“文件实时监控”级别,下发全盘扫描等。处理结束后可在中心日志内查看相应终端的查杀结果,判断病毒处理情况。

      (2)  如在分组内计算机长时间运行在无人值守的情况下,无法在病毒查杀后点击处理,就需要将该分组策略进行修改,将病毒查杀->发现病毒时的动作,修改为“自动处理病毒”。无需人工再次点击确认。

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.08872 作者: 来源: 发布时间:2024-10-27 09:17

|  3.2. 开启勒索诱捕

       开启火绒勒索诱捕功能,增强终端对勒索病毒的防护。

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.02100 作者: 来源: 发布时间:2024-10-27 09:17

      开启此功能后,终端C盘内会生成两个随机名文件夹,该文件夹内保存随机名诱捕文件,建议部署完成后,在中心启用此功能。

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.0573 作者: 来源: 发布时间:2024-10-27 09:17

|  3.3. 开启远程登录防护

     RDP(远程桌面)是勒索病毒的主要传播方式之一。黑客在获取到Windows 账户的密码后,通过“远程桌面”登录到企业内,如被登录计算机被勒索价值较小(员工使用),会继续进行内网渗透寻找高价值服务器成功后使用“远程桌面”登录服务器,运行勒索病毒对文件进行加密。

      针对此类问题,火绒提供了“远程登录防护”功能。开启此功能后,所有部署了火绒终端的计算机会拒绝“远程桌面”登录,只允许添加到“远程登录IP 白名单”内的计算机,通过“远程桌面”登录。

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.09615 作者: 来源: 发布时间:2024-10-27 09:17

|  3.4. 开启终端动态口令安全认证

     除“远程登录防护”功能外,您也可以选择火绒“终端动态口令安全认证”功能,对您的重要服务器的远程\本地登录进行保护。

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.0984 作者: 来源: 发布时间:2024-10-27 09:17

      在启用此功能后,每当终端用户登录计算机时都将弹出动态口令安全认证窗口(见下图),若用户设置了计算机密码,该弹窗将在用户输入正确的账户密码后弹出。用户需再次输入正确的动态口令才可登入计算机。

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.04180 作者: 来源: 发布时间:2024-10-27 09:17

      动态口令输入错误时,将自动清空动态口令与账户密码并提示:火绒二次认证失败。用户需再次输入密码并再次验证动态口令。

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.021 作者: 来源: 发布时间:2024-10-27 09:17

|  3.5. 高危端口控制

      在业务允许的情况下,使用火绒的“IP 协议控制”功能,对常见的高危端口进行限制(139,445,3389 等),防止因此类端口打开导致的安全问题。

      可在火绒中心内,使用“IP 协议控制”根据分组进行限制,以下为操作方法:

      (1) 在火绒中心的防护策略中,开启此功能,并添加规则。

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.06317 作者: 来源: 发布时间:2024-10-27 09:17

      (2) 如想阻止其他计算机访问您的139,445 端口,防御通过共享进行传播的病毒,可以按照下图的方式进行设置。

      (3) 禁用端口会影响某些功能的使用,例如禁用139、445 会影响访问该计算机上的共享,可使用其他服务对此功能进行替代,例如使用 FTP 代替文件共享,使用火绒“远程桌面连接”代替 Windows 的远程桌面功能,或使用火绒“远程登录防护”只允许白名单内设备登录等。

|  3.6. 账号密码管理

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.01985 作者: 来源: 发布时间:2024-10-27 09:17

      目前包含密码暴破模块的勒索病毒、窃密木马、蠕虫病毒、挖矿病毒逐渐增多。使用符合安全性要求的密码,可大幅度降低此类攻击成功的可能,提高网络内安全性,以下为加固建议。

     企业内对员工账户和服务器远程登录密码需要有强度和策略要求:

    (1) 议设置为字母数字混合并带特殊字符,长度不低于8位的强口令,重要的服务器请勿使用默认的Administrator账户,或者直接禁用,如果有多台服务器的企业用户建议设置不同的强口令进行管理。

    (2) 使用火绒“远程登录防护”功能。

    (3) 在组策略中新建账户锁定策略,账户密码输入多次,自动锁定账户,避免被黑客使用工具暴力破解(建议设置为 5-6 次)。

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.02982 作者: 来源: 发布时间:2024-10-27 09:17

      (4) 如条件允许,定期更换密码,防止密码意外泄露导致安全问题。此案例为用户外网服务器遭受 RDP 远程桌面暴破,黑客在成功获取 Administrator(默认管理员账户)密码后,登录该服务器运行勒索病毒加密文件。

 |  4. 员工安全意识、使用习惯

|  4.1. 移动存储设备的使用

       U 盘接入电脑后遵循先查杀,后使用的原则,避免感染通过U盘传播的蠕虫病毒。局域网内经常遇见隐藏文件的蠕虫病毒,中了病毒的U盘再插入装火绒的电脑,火绒会提示病毒,需要立即单独对U盘进行扫描,确认没有病毒之后才能继续使用。

      此案例即为因U盘使用不当,导致病毒在企业内部传播。案例:《U 盘使用不当导致 10 余种病毒肆虐》。

|  4.2. 邮件收发

      钓鱼邮件是银行木马、APT 攻击、勒索病毒常用的传播方式,企业常遭到此类攻击,除了邮运营老提供的安全防护外,我们还可以通过以下几点来防御此类攻击:

      (1) 尽量避免直接点击邮件中的链接。

      (2) 在火绒中心开启火绒的邮件监控功能。

      (3) 对火绒报毒的邮件附件,请勿加入信任区继续使用,应立即杀毒,并及时与火绒联系协助您进行排查。

     该案例为企业内员工收到恶意邮件后,因不当操作导致文件被加密。案例:《恶意邮件》。

|  4.3. 漏洞修复

      微软会定期推送已知系统漏洞的安全补丁,建议使用火绒的漏洞修复,安装最近的漏洞补丁,防止受到因 Windows漏洞未及时修补导致的安全问题。

      (1) 在中心可以设置开机自动扫描漏洞,及时安装最近的安全补丁。

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.0501 作者: 来源: 发布时间:2024-10-27 09:17

      (2) 火绒中心的漏洞修复页面,可以根据终端选择修复漏洞的类型(修复所有漏洞或修复高危漏洞)下发漏洞修复。

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.06643 作者: 来源: 发布时间:2024-10-27 09:17

|  4.4. 事件日志

      在日常使用中,定时查看电脑运行情况,Windows日志,安全软件日志,数据库,第三方业务服务程序(OA、IIS)账号情况等。

     (1) 定期审查关键服务器日志,如日志内出现异常,如果此类日志出现异常增多,例如安全日志内出现大量的“审核失败”日志时,需要判断出现此异常的原因:

       a. 某公用账户(例如共享目录)近期修改过密码导致。

       b. 其他电脑尝试访问共享目录时凭据失效。

       c. 远程登录密码暴力破解攻击导致。

       d. 视具体情况,工程师需要进行详细排查。

      (2) 对重要的电脑,定时查看账户情况,启动 cmd 输入 net user 查看是否有可疑的新建账户,如果有可疑账号并且非管理员创建,应该立即清除该账户。

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.07525 作者: 来源: 发布时间:2024-10-27 09:17

      (3) 定期审查火绒日志,查看是否有新的病毒事件、网络攻击等情况,此类日志可提交给火绒工程师进行分析,帮助您判断网络内是否存在安全隐患。

      (4) 启用数据库的日志功能,并定期审查和分析日志记录,以及检查异常查询、访问错误和安全事件。定期备份数据库,并将备份文件存储在安全的位置。测试和验证备份的可恢复性。

      (5) 确保第三方业务服务程序及其相关组件和插件都是最新版本,并安装最新的安全更新和补丁。对第三方业务服务程序适当进行安全配置,包括限制访问权限、日志记录和监控等。定期审查第三方业务服务程序的访问日志,关注异常活动、非法访问和攻击尝试。

 |  5. 企业信息系统安全运营的重要性

      安全产品本质是降低安全事故的概率。企业安全是一个整体,安全产品是整个企业安全防护中的一环,企业和企业员工安全意识也同样重要,需要多方面进行防护。

 |  6. 火绒企业版安全加固案例

|  6.1. 恶意邮件

        用户反馈收到了名称为《你收到了传真中华人民共和国最高人民法院》的邮件,发件人为免费传真服务网站 FaxZero,并包含附件。用户在电脑内未安装火绒的情况下,下载并运行了附件,导致文件被加密。后联系火绒并提供邮件样本。

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.07623 作者: 来源: 发布时间:2024-10-27 09:17

      火绒工程师查看该附件内样本,确认该附件内病毒为Sodinokibi勒索病毒,钓鱼邮件为此勒索病毒常用的传播方式,该样本火绒可以查杀,被加密文件暂时无解密方法。

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.05534 作者: 来源: 发布时间:2024-10-27 09:17

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.09567 作者: 来源: 发布时间:2024-10-27 09:17

      如用户及时部署火绒,在接收邮件时不轻易下载、运行附件,获取到可疑邮件时提交给安全公司进行分析,便可避免此类事件发生。

|  6.2. RDP 远程桌面账户被暴破

      某医疗行业用户发现企业内有大量服务器文件被加密,联系火绒对现场进行排查,排查时发现服务器内有未安装安全软件、或安装安全软件被退出的情况,根据 Windows 日志发现以上服务器内均出现大量访问失败(ID4625)的日志,应为内网扫描密码暴破导致。

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.06598 作者: 来源: 发布时间:2024-10-27 09:17

       在成功获取到 Windows 账户密码后,使用”远程桌面连接”登录(登录类型:10),经用户确认该登录并非员工登录,Administrator账户密码强度低。

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.08055 作者: 来源: 发布时间:2024-10-27 09:17

      根据用户现场与获取到的样本,确认文件被 Globelmposter 勒索病毒加密,该勒索病毒与黑客使用的工具,火绒均可查杀。

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.091 作者: 来源: 发布时间:2024-10-27 09:17

      RDP 远程桌面暴破为勒索病毒主要传播方式之一,如服务器打开了 3389 端口并连接外网,系统内账户密码强度较低遭到暴破,在暴破成功获取到密码后,通过 RDP远程桌面连接,手动投放病毒。如服务器没有进行过相关的安全加固,便有极大的可能被攻击成功。

|   7. 火绒企业版2.0软硬件及OS操作系统适配

      火绒目前对于 linux 系统、windows 系统、MacOS 系统、国产系统已经全面适配。

|  操作系统适配详情

       下图为系统适配详情:

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.01505 作者: 来源: 发布时间:2024-10-27 09:17
如上图:火绒企业版2.0软硬件及操作系统支持

|  订购火绒企业版时主机的操作系统及订购数量的限制情况

订购火绒企业版 2.0 的客户,对于使用 Windows OS 操作系统的,其主机数量要求以 10 台为起点,也就是 10 个节点起步;而使用 Linux OS 操作系统和 Mac OS 操作系统的客户,其主机数量不存在具体的限制。

|  点击如下链接申请免费30天试用火绒企业信息安全解决方案

申请免费30天试用火绒企业信息安全解决方案:https://www.huorong.cn/register

火绒企业版完成部署后的配置安全加固建议 火绒终端管理系统V2.08601 作者: 来源: 发布时间:2024-10-27 09:17

火绒企业信息安全解决方案功能详解 火绒企业版2.0功能详解

火绒安全应用虚拟沙盒技术,引入应用Intel vPro技术,结合应用AI技术赋能,并实现了GPU加速

火绒企业信息安全解决方案的入侵防御系统、硬核防御功能、综合防御体系和6大产品优势

火绒企业信息安全解决方案的6大服务优势、12大功能优势和6大产品优势

火绒企业信息解决方案:火绒终端安全管理系统V2.0功能概览

火绒终端安全管理系统V2.0产品介绍:终端管控与防护进入2.0阶段,情报驱动,技术革新,免费试用,定制服务!


  1. 若有意咨询和购买火绒企业版最优惠价格(仅限山东)

  2. 请添加如下联系方式:









上一篇:10.27舞台部招聘信息汇总——夜场艺人圈派对《可商务合作》
下一篇:去了一家不到 20 人的 IT 公司后,真的是大开眼界...

鲜花

握手

雷人

路过

鸡蛋

评论

您需要登录后才可以发表言论 登录立即注册
创宇盾启航版免费网站防御网站加速服务
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:3.12.163.120,GMT+8, 2024-12-23 08:34 , Processed in 0.178634 second(s), 43 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2024 Discuz! Team.

关灯
扫一扫添加微信客服
QQ客服返回顶部
返回顶部