最近的安全问题频发，尤其是各种系统中常用的组件爆出了安全漏洞，一时朋友圈热闹非凡，给IT管理员带来了很大压力。

所以我们在想，任何的系统安全工作不只是关注或修复一两个公开漏洞，其实是一个长期和系统的工作。

Endpoint Central作为一个集中的管理不同类型不同平台设备的统一终端管理工具，拥有了大量的用户。我们想让其成为管理员趁手的工具，而不是因为安全问题困扰管理员。所以我们通过这个文档文档将说明强化Endpoint Central服务器安全的一些建议和方法。让管理员们的生活更轻松。

最佳安全实践

我们强烈推荐：

1) 更新您的Endpoint Central到最新版本。

2) 只允许授权的用户访问安装Endpoint Central服务器的机器。

3) 使用合适的防火墙和杀毒软件，并保持更新。

4) 删除不需要的用户：

a) 在Endpoint Central中：删除Endpoint Central系统中不需要的用户；删除主机系统中不需要的用户。

b) 在Sql Server中：如果你选择使用Sql Server作为后台数据库，也请删除Sql Server及其主机中不需要的用户。

5) 使用专门的机器安装分发服务器，不要安装其他软件；不要允许非授权用户的访问。

安全访问Endpoint Central

加强对Endpoint Central的安全访问，设置角色和权限防止安全问题发生。

安全设置

在产品的管理 – 安全设置中加强安全访问。

1. 用户登录

• 移除默认admin账户。
• 使用安全访问（HTTPS）
• 使用第三方SSL证书。
• 启用双重身份认证。
• 设置复杂的密码。
• 强化软件库的安全（本地网络共享）
• 限制用户从控制中心卸载代理程序。
• 限制用户关闭代理的服务。

2. 代理和服务器间的通信安全

• 启用局域网和广域网的代理安装通信（HTTPS）
• 启用安全的远程控制和文件传输选项。
• 禁用老版本的TLS。
• 使用安全网关服务器。
• 启用代理和服务器间的可信通信。
• 启用代理和服务器之间基于证书的通信。

模块基本的安全加固方法

补丁管理

• 只为信任的技术员提供Radhat提名机器的root权限访问，防止发送恶意内容。
• 之外信任的技术员提供Linux代理的root权限访问，防止发送不是补丁包的恶意URL。
• 对于从“上传补丁”中上传的文件要进行安全扫描，防止有恶意文件。

操作系统部署

• 不要把以下文件共享给任何人：

1）镜像创建器组件的安装文件。

2）可启动媒体文件。

3）部署密码（在配置部署任务的时候）。

4）镜像文件。

5）用户配置文件备份（USMT）。

• 把镜像和驱动库设置成有密码保护的共享。
• 使用目标机器的MAC地址或密码来启动部署。可以避免共享管理凭证。
• 如果部署后有安装软件的任务，扫描安装文件，防止恶意软件。
• 如果部署的时候添加用户，设置复制的密码并管理本地用户到各自的目标计算机。