Question

内网终端是我们日常工作接触最多的设备，也是企业内网安全防护需要重点关注的战场之一。终端用什么样的操作系统，允许安装什么样的软件，系统和软件补丁怎么打，用户的权限是管理员还是普通用户，必须满足什么条件才允许接入内网，满足什么条件才允许访问互联网，恶意软件查杀，各种外设管控等等，都是终端安全领域不可回避的话题，也有很多基础的工作要做。有些企业采用各种封堵的技术方案来控制，比如，终端电脑不允许上外网、不允许使用 U 盘、外发邮件需要审批等；还有的企业考虑到人力成本，往往将一些基础工作外包出去，普通用户没有管理员权限，需要安装软件时会有专门的人提供支持。我们不去评判其好坏优劣，毕竟鞋子合不合脚只有自己才知道。

终端安全涉及资产管理、补丁管理、终端准入、防病毒、外设管控、上网行为管理等诸多内容，每一个话题又是一个细分的领域。对企业敏感数据保护有要求的企业，往往在终端上还会部署一些文档加密、DLP 类的程序。终端标准化做得不好的企业，可能终端上的环境非常复杂，尤其是安全软件相互“打架”产生的兼容性问题。为了不陷入其中，我们以攻击者的视角，来看终端安全需要关注的技术点。注意这里有一个假设的前提：终端资产的重要性（包括拥有的数据价值）远不如后台服务器，所以攻击者往往都会以终端为跳板进行深入。我们以图 13-1 所示的终端安全为例进行分析。

图 13-1　终端安全威胁

终端在办公网前台区域，存在的风险主要包括以下几个场景：

场景一　终端用户私接 U 盘，U 盘所带的木马病毒在办公网中传播，进一步感染办公网后台重要服务器。

场景二　终端用户通过 3G 上网卡或随身 WiFi 设备私接互联网，无意感染病毒被黑客远程控制，黑客以此为跳板进一步侵入企业内部。

场景三　终端用户通过上网防火墙访问互联网，无意感染病毒被黑客远程控制，黑客以此为跳板进一步侵入企业内部。

针对场景一，我们的对策是：操作系统基线配置，不允许应用程序直接从 U 盘、光盘自动启动，结合防病毒软件进行查杀。针对场景二，我们的对策是：结合终端外设管理封禁无线、蓝牙等功能，防止非法外连，同时在终端上部署外连探测程序，检测网络连通性以发现非法外连的可疑行为。针对场景三，我们的对策略是：上网通过沙盒虚拟桌面上网，结合上网行为、下一代防火墙对恶意域名、地址及恶意文件进行拦截。当然，用户访问的恶意 URL 可能来自于邮件系统，可以在邮件系统中提前干预，不让这类 URL 来到终端。

如果那个假设前提不成立，即终端上有比较重要的数据，除了上面提到的对策使之进不来、带不走之外，最好还要对数据进行脱敏、加密处理，对敏感数据的外发进行拦截等，这样，即使终端被控制了，重要数据也能得到保护。关于数据安全这个话题，我们将在第 14 章进行阐述。

在企业中，有一些特殊终端电脑需要关注，往往其使用者身份较高，安全执行不到位或者执行困难的企业，往往对这类人采取比较宽松的管理方案，比如可以直接上网，不受限制等。而恰恰是这类终端电脑，其上面的资料可能比普通员工的重要很多，所以需要重点关注。为其设置特殊的网段使之与其他终端隔离，在该网段部署蜜罐，对进出该网段的流量进行重点监控，对此类人员的入站邮件内容进行更多层的分析，同时在 SOC 里将此类资产重点标记，机器上所产生的安全事件风险等级提升一个级别，这些都是应对之策。

现在，针对终端安全有些厂商整合了各种功能，信誉库、云查杀、情报、EDR 等等，往往意味着终端要使用这些功能，还得在网络上部署沙箱、内部情报库等，企业在选择的时候需要结合自己的实际情况考虑。