终端管理：远程办公时代必备安全实践

前些年，远程办公仅限于少数人且普遍不受鼓励。有些人甚至愿意接受降薪以换取居家办公的机会。而如今，情况已截然不同。远程办公激增并持续蔓延。根据Forrester预测，全职远程员工数量增长了300%以上。

从 IT 基础设施角度看，远程办公的爆发式增长难以轻松应对。匆忙分发笔记本电脑、搭建虚拟专用网络（VPN）的现象普遍存在，缺乏长远规划。当被迫采用远程办公模式时，多数企业实际上陷入了困境。Forrester调查还发现，53%的IT决策者认为其基础设施未准备好应对庞大的远程员工群体。即使勉强应对，从终端用户视角看，体验也不尽如人意。无法提供良好的虚拟环境对终端用户体验造成了负面影响。

您面临的是数字鸿沟，还是数字裂痕？

既然我们已经了解了人们的工作方式如何被颠覆，现在让我们探讨远程办公对组织终端用户的影响。终端用户在办公室工作时，企业可能已部署了强大的安全策略，如非军事区（DMZ）、防病毒解决方案、防火墙等，以抵御外部威胁。得益于这些企业级安全层，IT团队能相对自信地保护网络 —— 无论是延迟补丁更新，还是利用充足的带宽部署应用和软件，只要终端设备集中在同一屋檐下，他们就能轻松管控。

然而，如今 “随处办公” 成为新常态，终端用户及其设备已分散到虚拟世界的各个角落。用户不再处于安全边界之内，而是脱离了可控范围。多数情况下，VPN是用户访问企业数据时连接办公网络的唯一纽带。

面对基础设施不足、安全漏洞激增和预算持续缩减，企业常陷入以下困惑：

• 企业领导者：如何最大化远程团队效能？如何采用混合办公模式并让业务具备未来适应性？如何降低运营成本并精简业务？
• IT管理者：应优先保障终端用户生产力，还是终端安全？是否存在既能解决终端管理与安全问题，又不超出预算的万能方案？如何优化现有 IT 架构并减少宕机？
• 终端用户：如何提升工作效率？遇到技术问题时如何快速获得支持与故障排查？如何保护设备免受恶意软件和勒索软件攻击？

您的终端设备散落各处，正沦为攻击目标。您将如何应对？

与传统办公环境不同，终端用户不再拥有防火墙或入侵检测解决方案的保护。威胁行为者和黑客已不再对攻击企业IT堡垒感兴趣 —— 他们转而瞄准安全性更低的个人设备和家庭网络。企业与个人网络的界限从模糊走向消失，加剧了不安全网络带来的风险。简而言之，数字化转型重塑了威胁格局。

自远程办公普及以来，供应链攻击增长了420%。勒索软件和钓鱼攻击仍将是主要风险。威胁行为者正以IT团队在企业网络中无法监控的方式攻击远程网络 —— 间谍软件、恶意工具或黑客工具对终端设备的攻击，可能直接危及企业数据，引发严重后果。

以前，企业过度依赖单一安全控制模式（例如，投资昂贵的安全边界后，便不再重视浏览器安全解决方案）。如今，确保远程员工不下载可疑扩展程序，比部署办公室入侵检测系统更为重要。攻击者之所以得逞，正是因为终端用户存在脆弱性。更糟糕的是，居家办公用户缺乏足够的IT支持来修复威胁和漏洞。终端安全缺失与终端用户管理难题，正在形成恶性循环。

在可预见的未来，为远程员工构建安全环境的需求将持续存在。Gartner对企业领导者的调查显示，80%的企业计划在疫情后允许员工至少部分时间远程办公，47%将允许员工全职居家办公。
以下是您可以采取的行动：5项强化终端管理的安全措施
管理与安全是打造韧性 IT 团队的关键，二者不可偏废。以下五大安全实践将助您高效管理终端设备，同时保障终端用户的高效体验：

01 保护终端用户浏览器安全
在保护终端设备时，我们常忽视浏览器管理。我们监控笔记本电脑、存储设备和网络，却往往忽略互联网浏览器。根据Sans Institute报告，48%的威胁通过网页驱动下载或直接下载侵入企业。以下是抵御浏览器攻击的常见方法：

• 隔离终端用户部署的浏览器
• 过滤 URL 链接
• 限制可疑扩展程序和插件
• 追踪浏览器及浏览器附加组件
• 强制执行安全配置并确保合规

02 抵御未知漏洞与威胁
漏洞分为两类：已知漏洞与未知漏洞。

• 已知漏洞：在互联网社区中有详细记录，可定位、识别和理解。
• 未知漏洞：表现为可疑活动或异常流量，难以精准溯源。这些漏洞的警报通常由IDP系列分析器、防火墙或产品环境中的IDP安全事件日志触发。

已知漏洞可通过供应商发布的常规补丁修复，但未知漏洞的处理更为棘手。Skybox Security 报告指出，移动漏洞数量增长了50%。漏洞管理是从单一控制台全面洞察、评估和修复威胁与未知漏洞的有效手段，具体包括：

• 扫描终端漏洞，评估威胁等级并定期打补丁
• 修复安全配置错误，强化Web服务器抵御XSS攻击、点击劫持和暴力破解
• 优先修复公开披露且被主动利用的漏洞
• 在补丁发布前采用替代方案防范零日漏洞
• 监控在用端口及其运行进程

03 监控终端用户设备
当需要管理外部设备（如连接到终端用户计算机的USB驱动器）的连接时，设备控制至关重要。它涵盖所有与笔记本电脑或计算机相连的设备，通过以下功能实现全面管控：

• 控制、阻止并监控 USB 及外围设备
• 防止数据泄露与盗窃
• 限制数据传输速率
• 设置基于角色的文件访问权限
• 启用文件影子功能保护敏感数据
• 在不牺牲安全性的前提下授予设备临时访问权限

04 过滤终端用户设备使用的应用与软件
过去，软件部署相对简单：IT 团队通过工具推送，或让用户从企业应用商店获取指定软件，同时企业网络会阻止未经授权的应用下载。但在远程办公场景下，这种控制模式失效了 —— 用户不仅可能绕过授权安装软件，还更易遭受恶意应用攻击。
根据Netskope数据，61% 的恶意软件通过云应用传播。为抵御不良应用威胁，可实施应用控制策略，创建允许/禁止安装的应用清单，作为组织对可疑程序的过滤屏障。具体管控方式包括：

• 轻松拒绝恶意应用、允许可信应用、管理灰名单应用
• 基于规则创建应用列表，实现精细化管理
• 通过终端权限管理功能，对特定应用授予特权访问
• 阻止非业务应用及恶意可执行文件，降低网络攻击风险

05 加密终端用户设备和数据

不加密数据和设备无异于坐等灾难降临。除非采取积极措施，否则迟早会遭遇麻烦。在Windows系统上，你可以使用BitLocker对数据进行加密，从而保障数据安全。通过BitLocker加密，你能够：

• 确保数据仅在经过 BitLocker 加密的设备上完成传输。
• 从单个控制台监控终端的加密状态。
• 保护配备或未配备可信平台模块（TPM）的终端。

组织的管理和安全必须携手共进，并在某些方面实现统一。许多组织在管理终端方面投入大量精力，却未加强安全防护。反之，许多组织强化了数字安全，但在管理方面未能处理好细节，这往往导致远程员工的生产力和士气下降。你需要兼顾管理和安全的最佳实践。管理良好的网络是安全的网络，而安全的网络也是管理良好的网络。