Endpoint Central 作為企業終端管理的 “中樞系統”，掌控著全網終端的補丁推送、軟件部署、配置管理、遠程控制等關鍵權限，存儲著大量終端資產信息、用戶數據及企業策略配置。一旦服務器被攻破，攻擊者可能篡改管理指令（如推送惡意軟件）、竊取敏感數據（如終端賬號密碼），甚至通過其遠程控制功能橫向滲透至企業內網，形成 “單點突破、全網淪陷” 的風險。因此，加固其安全是保障企業終端管理體系可信性、維護內網安全邊界、規避合規風險的核心環節。下面是一些最佳實踐：

移動設備管理

登記設置

• 如果登記公司擁有的設備，建議根據不同的平臺，選擇下面的登記方式，來防止設備在工廠重置后脫離管理：
  • Apple?Business?Manager：對于iOS、macOS和tvOS設備。
  • 三星Knox移動設備登記：對于三星設備。
  • 零接觸登記：對于非三星的設備。
• 對于公司設備，限制用戶工廠重置設備和擦除設備，也能防止設備脫管。
• 對于安卓設備，還可以通過限制用戶卸載ME?MDM應用來防止設備脫管。
• 檢測和移除被越獄或ROOT的設備，防止其被管和訪問公司數據。

資產管理

• 設置周期性的資產掃描，使設備信息保持為最新。

設備設置

• 配置設備隱私設置，保證只有Endpoint Central管理需要的，和符合地區和國家安全法規的數據保存在服務器上。
• 配置使用策略條款，在收集設備信息時顯示給客戶，保證客戶的隱私數據。

遠程管理工具

• 管理頁簽，在工具設置下，點擊端口設置，選中HTTPS方式并保存。
• 系統管理器：在權限設置中，只允許管理員訪問用戶的文件管理器和命令提示行。
• 系統管理器：在用戶確認中，設置文件管理器和命令提示行的用戶確認。
• 在遠程控制中，設置空閑會話，在會話空閑一段時間后斷開連接和鎖定遠程計算機。
• 在遠程控制中，啟用用戶確認。

通用設置

• 數據庫備份：在管理頁簽下，設置好數據庫備份及備份保留的數量；設置數據庫備份通知，以掌握數據庫備份故障；為數據庫備份文件設置密碼。
• 代理設置：防止用戶卸載代理，防止用戶停止服務。
• 設置導出報表的數據庫安全，你可以選擇遮蓋個人信息或移除個人信息。
• 如果你使用Endpoint Central的手機應用：使用HTTPS模式連接Endpoint Central服務器；使用應用鎖功能；啟用雙重身份認證。
• 設置Web客戶端的最小的會話超時時間。
• 建議為所有用戶每90天更改一次密碼。
• 不要使用邊界設備作為分發服務器。
• 除了Endpoint Central技術支持，不要共享任何日志和文件給他人。

軟件部署

• 在本地計算機和安全的網絡路徑中存儲HTTP存儲庫。
• 在創建新的軟件包時，掃描上傳的文件。

配置管理

• 在上傳文件到腳本庫時，掃描上傳到文件。

漏洞管理

• 當解決配置漏洞，閱讀部署后問題，防止因為配置修改帶來新的安全問題。