現(xiàn)代化終端安全管理：先進(jìn)理念為魂，現(xiàn)代技術(shù)為根

混合辦公不僅是保持業(yè)務(wù)持續(xù)性的關(guān)鍵，更因其高效靈活、人性化的特點(diǎn)而深受員工的喜愛。同時(shí)也對(duì) IT 部門進(jìn)行統(tǒng)一終端管理和保護(hù)提出了新的挑戰(zhàn)。

多樣化混合辦公場景中數(shù)以億計(jì)的各類智能設(shè)備正通過各種受控或不受控的網(wǎng)絡(luò)訪問企業(yè)的數(shù)據(jù)資產(chǎn)。高效生產(chǎn)力的背后傳統(tǒng)企業(yè)網(wǎng)絡(luò)邊界正在退出舞臺(tái)，靈活便捷的遠(yuǎn)程辦公正在成為越來越多人的工作方式選擇：微軟于2021年3月24日發(fā)布的《工作趨勢指數(shù)報(bào)告》顯示，73%的受訪者希望能夠繼續(xù)擁有靈活的遠(yuǎn)程辦公選擇。 網(wǎng)絡(luò)經(jīng)濟(jì)大環(huán)境下終端安全的重要性已經(jīng)無需驗(yàn)證，終端安全事故導(dǎo)致的損失往往代價(jià)昂貴：全球每年因?yàn)榻K端管理不善導(dǎo)致的經(jīng)濟(jì)損失高達(dá)392萬美元[1]，其中不乏來自于移動(dòng)設(shè)備遺失導(dǎo)致的損失。令人驚訝的是，全球范圍內(nèi)人們每年會(huì)丟失7千萬個(gè)智能手機(jī)[2]！72%的公司已將員工個(gè)人設(shè)備（BYOD）數(shù)據(jù)泄露視為首要安全顧慮[3]。

伴隨著移動(dòng)和云的便捷和高產(chǎn)力而來的是越來越精細(xì)和復(fù)雜的攻擊，任何漏洞都可能被黑色產(chǎn)業(yè)鏈利用而非法獲利。企業(yè)須防患于未然，借助現(xiàn)代化的安全平臺(tái)來進(jìn)行統(tǒng)一的終端管理，安全、持續(xù)地為員工進(jìn)行跨終端生產(chǎn)力賦能。

何為“現(xiàn)代化”管理

先進(jìn)理念為魂；現(xiàn)代技術(shù)為根

對(duì)很多 IT 業(yè)界人士來說，“零信任”已經(jīng)不再是一個(gè)陌生的安全模型。一個(gè)現(xiàn)代化的終端安全管理平臺(tái)首先應(yīng)該遵循“零信任：從不信任，永遠(yuǎn)驗(yàn)證?！钡脑瓌t。具體來說就是將所有的資源訪問請(qǐng)求都當(dāng)作是具有潛在威脅的請(qǐng)求。制定條件訪問控制策略，進(jìn)行多因素驗(yàn)證（MFA），甚至無密碼驗(yàn)證等。并根據(jù)需要，對(duì)于每次訪問僅授予最小權(quán)限或臨時(shí)權(quán)限。例如現(xiàn)在您可以借助將移動(dòng)設(shè)備管理(MDM)和移動(dòng)應(yīng)用程序管理 (MAM)完美融合的 Microsoft Intune 對(duì)用戶的個(gè)人設(shè)備進(jìn)行安全性評(píng)估，并將評(píng)估結(jié)果作為允許訪問企業(yè)數(shù)據(jù)和應(yīng)用等資源的條件，設(shè)備在使用弱密碼或無密碼、系統(tǒng)存在漏洞未修補(bǔ)等安全風(fēng)險(xiǎn)的情況下所有對(duì)企業(yè)資源的訪問將被阻止，直到設(shè)備完全滿足企業(yè)的安全策略。

在個(gè)人設(shè)備上，Intune 有助于確保組織數(shù)據(jù)始終受到保護(hù)，并能將組織數(shù)據(jù)與個(gè)人數(shù)據(jù)隔離開來保護(hù)員工的個(gè)人隱私。如果員工需要在公共場所使用共享設(shè)備或臨時(shí)訪問公司資源，可以通過多重身份驗(yàn)證（MFA）登錄企業(yè)在云端部署的 Windows 虛擬桌面（WVD）回到辦公環(huán)境。除此以外，對(duì)于資源訪問和服務(wù)連接發(fā)起設(shè)備的 IP 地址，賬號(hào)是否存在風(fēng)險(xiǎn)和系統(tǒng)版本等都可以作為信任與否的條件。

根據(jù)微軟的市場趨勢調(diào)查，90%的公司已經(jīng)將業(yè)務(wù)或者基礎(chǔ)架構(gòu)拓展到了云端。員工的很多工作是在云服務(wù)和云應(yīng)用中完成的，例如 Office 365。無論是企業(yè)配發(fā)的設(shè)備，還是用戶自己的設(shè)備，都是這些業(yè)務(wù)的“作業(yè)工廠”。實(shí)際上95% 的組織允許員工在工作場所使用個(gè)人設(shè)備（BYOD）[3]。這意味著單一針對(duì)企業(yè)設(shè)備的終端管理方案是遠(yuǎn)遠(yuǎn)不夠的。這就不得不提到云智能，它的引入可以更好的完成端到端的信號(hào)傳遞，將不同終端的信息匯總，并針對(duì)安全漏洞給出修復(fù)建議，甚至自動(dòng)化的完成修復(fù)工作。以 Azure 為例，全球有超過9億的 Windows 10電腦，1.9億商用電腦、iOS、安卓移動(dòng)設(shè)備在 Intune 和 ConfigMgr 管理下運(yùn)行[4]。它們之間所共享的海量安全情報(bào)，使無論 BYOD 還是公司設(shè)備，都能夠在第一時(shí)間辨識(shí)出可能的攻擊行為，發(fā)布安全預(yù)警或根據(jù)“風(fēng)險(xiǎn)預(yù)案”從容應(yīng)對(duì)攻擊。

簡單有效的 IT 管理與運(yùn)營

安全團(tuán)隊(duì)的苦惱之一大概就是永遠(yuǎn)處理不完的風(fēng)險(xiǎn)警報(bào)和不可捉摸的安全薄弱環(huán)節(jié)。如果能有一個(gè)可定制的、簡單易用的方案，可以按照事件的重要程度進(jìn)行優(yōu)先級(jí)排序，并作出自動(dòng)化處理，那么對(duì)安全運(yùn)營來說將是積極有效的變革。

我們常說任何 IT 方案的制定都應(yīng)該以業(yè)務(wù)需求為導(dǎo)向。既要對(duì)用戶的終端設(shè)備進(jìn)行統(tǒng)一的管理和配置，又應(yīng)該允許其根據(jù)業(yè)務(wù)需要進(jìn)行靈活多樣的定制。疫情期間，一些企業(yè)已經(jīng)通過前文所述的Windows 虛擬桌面（WVD）獲益良多。WVD 允許租戶通過多個(gè)主機(jī)池，來發(fā)布其定制好的系統(tǒng)鏡像。并創(chuàng)建多重會(huì)話進(jìn)程，使遠(yuǎn)端用戶能夠接入共享的資源。而且，用戶可以通過反向連接安全地與服務(wù)建立連接，因此，永遠(yuǎn)不需要將任何入站端口保持打開狀態(tài)。這不僅為終端用戶提供了個(gè)性化的桌面服務(wù)，同時(shí)還大大降低了使用云服務(wù)的帶來的安全風(fēng)險(xiǎn)。因?yàn)樗械幕A(chǔ)架構(gòu)都在云端，由 IaaS 提供商維護(hù)，企業(yè) IT 僅僅需要簡單的前期配置，就可以用最小的工作量完成后期的維護(hù)。當(dāng)然，也有一些企業(yè)選擇了充分利用現(xiàn)有資產(chǎn)，使用自動(dòng)部署（Auto Pilot）這一方案， 通過自動(dòng)化服務(wù)，為配備給每一個(gè)員工的辦公設(shè)備完成預(yù)配置。使其時(shí)刻處于業(yè)務(wù)可用狀態(tài)。并在員工第一次拿到電腦開機(jī)釋放系統(tǒng)的過程中自動(dòng)注冊(cè)到 Intune，以獲得全方位的安全防護(hù)。

促進(jìn) IT 與安全團(tuán)隊(duì)合作

如果在您的企業(yè)中，IT 團(tuán)隊(duì)和安全團(tuán)隊(duì)是相對(duì)獨(dú)立的，您可能遇到過溝通不暢的情況。終端設(shè)備防護(hù)的任務(wù)往往需要兩個(gè)團(tuán)隊(duì)緊密協(xié)作。但傳統(tǒng)的管理方式常常導(dǎo)致雙方各自為政，無法及時(shí)掌握彼此的需求和進(jìn)度。因此，現(xiàn)代化的平臺(tái)必須能連通兩個(gè)團(tuán)隊(duì)，使他們能夠了解任務(wù)的前因后果和進(jìn)展情況。這本身需要良好的生態(tài)鏈支持。例如：通過將微軟旗下的終端防護(hù)（Microsoft Defender for Endpoint，MDE）和終端管理（Microsoft Endpoint manager，MEM）整合，可以根據(jù) MDE 發(fā)現(xiàn)的終端漏洞和相應(yīng)建議。由安全團(tuán)隊(duì)創(chuàng)建修復(fù)任務(wù)，發(fā)送到 MEM 中，再由 IT 團(tuán)隊(duì)查看任務(wù)詳情，選擇執(zhí)行與否。同時(shí)兩個(gè)團(tuán)隊(duì)都能對(duì)事件的進(jìn)展進(jìn)行追蹤，并通過系統(tǒng)進(jìn)行線上溝通。

良好的用戶體驗(yàn)

用戶體驗(yàn)是企業(yè)管理改革的風(fēng)向標(biāo)。任何忽視用戶體驗(yàn)的方案都很難落地，或者代價(jià)巨大?；旌限k公環(huán)境下，用戶希望在所有的終端上都能有一致的體驗(yàn)。既能夠無縫銜接地工作，又能夠保護(hù)個(gè)人的隱私。對(duì)沒有 IT 背景的員工來說，用戶干預(yù)度和使用習(xí)慣改變?cè)缴俚姆桨?，就越容易被接受。?dāng)然，能顯著提升效率的良性變更，也可以在一定程度上提升用戶的好感。

例如：簡單易操作的設(shè)備注冊(cè)過程，遠(yuǎn)程推送用戶需要的工作 app，為用戶自動(dòng)配置郵箱、企業(yè)無線網(wǎng)絡(luò)接入，自動(dòng)進(jìn)行系統(tǒng)更新等。對(duì)于電腦來說，用戶要求移動(dòng)電腦有快速的啟動(dòng)和響應(yīng)時(shí)間。但實(shí)際情況是這些時(shí)間往往隨著硬件降級(jí)（使用機(jī)械硬盤而不是固態(tài)硬盤）和安全代理的加載而變長。根據(jù)統(tǒng)計(jì)，使用了 Microsoft 365 現(xiàn)代管理系列功能的移動(dòng)電腦比未使用時(shí)平均減少了30秒的啟動(dòng)時(shí)間。電池續(xù)航時(shí)間也增加為原來的兩倍。同時(shí)系統(tǒng)崩潰的數(shù)量也減少了85%[4]。而這一切都得益于 Windows 系統(tǒng)的優(yōu)化和云智能的支持。

原文標(biāo)題：叮！您有一份攻略待查收 | 現(xiàn)代化終端安全管理

文章出處：【微信公眾號(hào)：微軟科技】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。

責(zé)任編輯：haq