安全配置管理（SCM）：建立安全的基础

通过确保在端点中建立和维护理想的安全配置，让自己在安全的基础上做好准备，这样公司就不会因单个漏洞而分崩离析。安全配置管理涉及持续检测端点中各个组件之间的配置偏差和错误配置，并使它们重新对齐。

在本文中，将了解 Vulnerability Manager Plus（一个完整的威胁和漏洞管理解决方案）如何促进安全配置管理的整个周期，包括检测错误配置、对其进行分类和分析、使用内置修复解决错误配置以及报告最终配置状况 — 所有这些都来自单个界面。

Vulnerability Manager Plus 的安全配置管理仪表板，该仪表板专为跟踪和打击错误配置而构建。

为什么安全配置管理很重要

端点安全不会止步于漏洞评估。如果漏洞是进入网络的门户，那么攻击者则利用被忽视的错误配置来横向移动和利用网络中的其他计算机。基本上，端点中任何组件的任何配置更改、默认设置或技术问题都可能导致配置错误。但问题是管理员如何应对这些配置？

例如，网络中有多少用户保留其默认密码？默认情况下，员工是否具有管理权限？是否限制 TLS/SSL 通信使用弱且不安全的密码套件？新计算机是否仍保留默认配置和不安全的协议？是否知道这些和其他安全配置错误？

攻击者可以利用默认密码或开放共享等简单缺陷来阻止组织的安全工作。攻击者可以使用恶意软件和勒索软件来利用传统协议和开放共享。所有上述问题都强调了拥有全面的安全配置管理工具的必要性，以便能够监控和调节端点的配置状况以确保安全性。

使用Vulnerability Manager Plus 进行安全配置管理（SCM）

犯错是人为的，但检测错误配置并使其恢复合规性是 Vulnerability Manager Plus 的工作。借助源自行业标准和最佳实践的预定义安全配置基线库，它可以持续检测未对齐的系统，而无需用户的唆使，并在控制台上报告。管理员可以查看详细信息，例如配置错误的类别、受影响的系统数量和严重性级别。

从列表中选择项时，将打开一个浮出控件面板，其中包含详细的说明和解决方法。管理员可以将分辨率从那里推送到所有受影响的计算机，并立即关闭 SCM 循环。此面板还显示特定组件的属性是否在域 GPO 中配置错误。在这种情况下，知识库文章（包含链接的详细解决步骤）代替解析，将引导用户更改 GPO 中的安全配置。Vulnerability Manager Plus 甚至可以预测将来由于配置修改而可能出现的潜在网络复杂性，这有助于安全地更改配置，而不会妨碍关键业务运营。

最后，管理员可以生成执行报告来跟踪工作，并让上级机构了解企业的安全配置状况。同样重要的是要注意，安全配置管理不仅可以提高网络弹性，还可以提高运营效率。

虽然此功能处理系统、操作系统和应用程序的各种组件中的各种安全设置，下面简要介绍一下我们经常关注的值得注意的设置。

防火墙审核

防火墙配置错误可能无法防止不安全的流量渗透到网络中的端点。通过安全配置管理，管理员可以检查是否启用了内置 Windows 防火墙或是否存在第三方防火墙。还可以确保在防火墙中阻止与NetBIOS三重奏，臭名昭著的WannaCry教唆者端口445以及其他允许未经授权和意外操作的易受攻击的端口的连接。

密码策略

弱密码是最常见的安全配置错误，经常困扰企业。“密码越长，越强”不再适用。攻击者不断开发新策略，例如购买以前违规中使用的凭据，以发起基于密码的暴力破解和字典攻击。此外，62%的用户承认重复使用密码。除了强制实施长密码外，管理员还可以让用户遵守预定义密码策略的组合，例如密码复杂性、最短密码期限、最长密码期限、在重复使用旧密码之前必须使用的唯一密码数。

微软办公软件安全性

确保禁用可能不安全的功能和内容，并在 Microsoft Office 应用程序中启用最佳安全控制。这可能包括启用 Trustbar 通知、应用程序使用的文件和元数据的安全加密方法、文件的密码保护、自动化安全设置等等。

BitLocker 加密

不保护磁盘卷可能会导致数据泄露。管理员可以确保启用 BitLocker 加密以加密整个磁盘卷，以防止未经授权访问磁盘和外泄。

安全的远程桌面共享

通过使用强密码保护远程桌面连接并防止服务器侦听默认端口，管理员可以阻止威胁参与者尝试建立未经授权的远程连接。

管理网络共享

监视和控制管理员在网络中共享的内容非常重要。勒索软件和其他恶意软件可以轻松识别并传播到具有受感染计算机写入权限的共享文件夹的计算机。获取有关启用了哪些文件夹共享和默认管理员共享的详细信息有助于消除网络共享错误配置。

锁定和登录安全

安全配置管理允许您确保启用安全登录，并且敏感详细信息不会显示在锁屏上。这有助于从集中位置强制实施帐户锁定持续时间、帐户锁定阈值和重置锁定计数器的策略，以防止暴力攻击。

管理用户权限和特权

根据最近的一项研究，删除用户的管理员权限可以解决94%的微软所有关键漏洞。通过安全配置管理，可以撤销对非预期用户的用户权限，强制实施最低权限，并确保在提升过程中不显示管理员帐户，从而增强终结点安全性。

用户帐户管理

识别并禁用默认内置帐户，例如来宾、内置管理员和其他本地管理员帐户，这些帐户很容易成为暴力攻击的目标。

用户帐户控制

用户帐户控制（UAC）通过在安全桌面模式下显示提升提示、提示管理员同意、为内置管理员帐户启用管理员批准模式、提示标准用户在安全桌面上输入管理凭据等来防止对计算机进行未经授权的更改。

操作系统安全强化

OS 安全强化建立了一组杂项安全控制，例如禁用设备的自动播放和限制自动运行命令。管理员需要确保为操作系统正确配置内存保护设置、登录身份验证设置、结构化异常处理覆盖保护（SEHOP）、数据执行保护（DEP）、地址空间布局随机化（ASLR）和其他安全设置。

防止基于浏览器的攻击

某些浏览器配置错误（例如从远程主机遍历防火墙、地理位置跟踪、允许不安全的插件以及允许用户绕过智能屏幕警告）可能会导致基于浏览器的攻击。借助 Vulnerability Manager Plus 消除浏览器配置错误，管理员可以快速高效地启用安全浏览、限制不安全插件、部署浏览器更新以及实施其他安全浏览器安全设置。

TLS/SSL安全

为了确保服务器和客户端之间传输的数据的机密性和完整性，安全配置管理禁用了加密不安全的 TLS/SSL 加密协议，并启用最新且更安全的 TLSv1.2。此外，它还限制 TLS 加密通信使用默认、NULL 或其他不安全的密码套件和算法。

禁用旧协议

传统协议（如 Telnet、SMB（服务器消息块）、SNMP（简单网络管理协议）、TFTP（简单文件传输协议）和其他传统协议可能会泄露系统配置信息，为远程黑客提供意外访问，并为拒绝服务攻击铺平道路。管理员可以找出启用了这些协议的设备，并快速结束它们。

Vulnerability Manager Plus 是一种多操作系统漏洞管理和合规性解决方案，可提供内置修复。它是一种端到端漏洞管理工具，可从单个控制台提供全面的覆盖范围、持续的可见性、严格的评估以及对威胁和漏洞的整体修复。