当前的网络环境中，端点不安全会带来整网的威胁。在中小企业中，端点一般包括PC、笔记本电脑、手持设备及其它的特定设备。服务器或网关主管着集中化的安全软件，在必要时，还要验证终端用户登录，并向终端发送更新和补丁等。可以将端点安全看成是一种战略，其安全被分配到终端用户设备，但必须实施集中管理。端点安全系统往往以客户端/服务器模式运行。

 

选择一种端点安全解决方案：无论选择什么工具，都应当寻求对活动目录的本地支持，并且要能够支持你所拥有的设备类型。只有这样，才能更容易实施安全控制。

第一步是确认用户或工作站。一种简单而基本的方法是在活动目录中定义下面这两个组，一是工作站(笔记本/桌面)，二是安全组(IT 管理员/用户/临时用户)。

当然，管理员可以根据需要定义其他的组，用以提供更精细的控制。

之后，需要阐述安全策略。本文中会谈到一些适用于中小企业的终端安全项目的制胜之道。作为用户，需要逐个检查这些方法，并将其整合为一套策略，使其可以协同工作，以便于提供最佳的保护和控制。

　　勿忘抵制病毒侵袭

1、至少每周执行一次扫描，最好在中午时间进行。至于笔记本电脑，在其每次连接到公司网络时，都应当激发并实施完全扫描。

2、在移动设备插入到系统中时，应当执行完全扫描。

3、每三小时执行一次反病毒签名的更新。

4、需要配置工作站，使其在内部服务器发生硬件或软件问题而导致反病毒服务器发生故障时，能够从反病毒厂商的公共服务器直接下载签名更新。

　　BYOD可以，控制不可少

1、公司内部必须禁用Wi-Fi。此规则还适用于所有的工作站、笔记本电脑和服务器。

2、为了阻止公司策略无法控制的通信，应当禁用modem、蓝牙及红外线等。

3、必须禁用USB key中的U3特性，因为它可用于虚假的光驱检测，使得恶意软件能够自动在工作站上运行。在浏览端点上的可移动设备时，U3 CD-ROM会被误认为是真实的光驱。

4、在将文件写入可移动设备时，要审计插入的所有设备并捕获所有的活动。这样，你就可以监视信息的提取，并监视USB设备的使用。使用这些信息，就可以根据你的发现设置另外的策略。

5、阻止从可移动设备和CD或DVD访问任何可执行的文件和脚本。这会阻止未知的漏洞被攻击者利用，从而防止恶意软件的运行。

6、对写在大容量可移动存储设备(如CD、DVD和USB备份卷)上的所有数据进行加密。

(责任编辑：安博涛)