什么是终端安全？

您的所有关键利益相关者现在都相当了解网络安全风险，同时还有一个好消息，采用详尽周全的方案来保护终端并非难事。它很大程度上只是基本的IT维护。通过尽可能多地实现自动化进行前瞻性保护是其关键所在。以下是一些基本的终端安全最佳实践。

1. 发现、清点并跟踪访问您网络的所有设备

您需要了解并能够跟踪和监控连接至网络的每台设备，无论平台、操作系统或位置如何。这包括公司拥有的计算机、打印机和IoT设备，以及在自带设备(BYOD)计划下由员工使用的笔记本电脑、平板电脑和手机。

您不仅需要确保未经授权人员不会访问这些设备，还需要发现哪些设备不应该访问您的网络，即谁拥有比其所需访问权限更多的访问权限以及哪些设备已受感染。此级别的可见性和控制对于确保终端安全至关重要，即使您没有统一终端管理系统且不得不管理多个多元化的管理系统。

2. 部署并维护最新操作系统、安全软件和修补程序

一旦您可以了解访问网络的每台设备，就可以识别哪些终端需要针对其已安装或需要安装的操作系统、应用程序和安全软件进行更新和修补。

确保所有设备都已安装最新安全软件将有助于阻止和删除终端上的恶意软件。除了安全软件提供的保护，贵组织所依赖的操作系统和应用程序的供应商还会投入大量资金来修复其软件中的漏洞，但这些更新和修补程序仅在您的终端一直保持更新时才会发挥作用。

3. 限制用户权限

作为Zero Trust安全方案的一部分，必须阻止未经授权用户访问敏感数据并防止其传播可能感染这些数据的恶意软件。管理员需要跟踪用户从其终端访问的系统以及每个用户的访问权限是否适合其角色。用户对其完成工作所需的公司系统和数据应具有最低访问权限。默认情况下，用户对其所需系统应具有最低访问权限且只有特定用户拥有管理员凭据。

4. 锁定USB端口

无人值守工作站中的USB端口，甚至打印机、摄像头和外部驱动器等设备中的USB端口，都可能被用于窃取公司数据或将恶意软件引入网络。要阻止恶意软件、避免数据窃取并维护Zero Trust安全做法，管理员应采用最低权限方法来细粒度管理谁可以访问哪些USB端口以及从哪里访问。

5. 发现并修复漏洞

您需要发现会在系统中引发潜在漏洞的软件版本、设置或设备配置。通过对所有Windows、Mac和Linux系统执行开放漏洞评估语言(OVAL)扫描，执行定期IT安全性审核。这样，您可以发现并修复环境和系统中不符合安全和配置策略的漏洞。

6. 快速修复丢失或受感染的设备