Refuerce su servidor de Endpoint Central

Refuerce su servidor de Endpoint Central

Descripción » Características » <h2>Endpoint Central - Política de seguridad</h2>

On-Premises

Cloud

Endpoint Central es una herramienta de gestión de endpoints que gestiona sus dispositivos con diferentes sistemas operativos desde una ubicación central. En este documento, le proporcionaremos algunos consejos y trucos para reforzar la seguridad de su Endpoint Central.

Mejores prácticas de seguridad

Endpoint Central publica inmediatamente los parches de seguridad para los problemas de seguridad identificados. Siga el Grupo de actualizaciones de seguridad y la sección Actualizaciones de seguridad sobre vulnerabilidades de nuestra Base de conocimientos para mantenerse al día de los últimos parches de seguridad. Además, suscríbase a nuestra Notificación de violaciones de la seguridad de los datos para recibir sin demora notificaciones sobre cualquier incidente de seguridad. También puede configurar Ajustes de seguridad personalizados para recibir recomendaciones de seguridad de Endpoint Central.

Nota: Se recomienda encarecidamente que
1) Actualice su servidor de Endpoint Central a la última compilación.
2) Aconsejamos firmemente a los clientes que no concedan acceso a la carpeta ManageEngine a los usuarios de grupos no administrativos.
3) Utilice un firewall y un software antivirus adecuados y manténgalos actualizados para obtener una alarma precisa.
4) Elimine las cuentas que no utilice:
i. Desde Endpoint Centra: Elimine las cuentas de usuario no utilizadas de la consola del producto del servidor de Endpoint Central y del equipo en el que está instalado el servidor de Endpoint Central.
ii. Desde el servidor de MSSQL: Si ha configurado MSSQL, se recomienda eliminar también cualquier cuenta no utilizada de los equipos instalados en el servidor de MSSQL.
5) Instale el servidor de distribución en un equipo dedicado sin ningún otro software de terceros en él. Solo los usuarios autorizados deben tener acceso a este equipo.
6) Configure la dirección de correo electrónico para recibir notificaciones de seguridad de Endpoint Central.

Directrices para el refuerzo de seguridad

A continuación se indican los ajustes de seguridad que puede configurar en la consola de Endpoint Central para garantizar su seguridad.

Ajustes de seguridad

Básico

  • Suscríbase a los avisos de seguridad en el producto

    Configure la dirección de correo electrónico para recibir avisos de seguridad de Endpoint Central.

  • Habilite la notificación de recomendaciones de seguridad

    Reciba por correo electrónico recomendaciones personalizadas para el refuerzo del servidor central.

  • Elimine la cuenta de administrador predeterminada

    La cuenta de administrador predeterminada debe eliminarse después del primer inicio de sesión.

  • Habilite la comunicación segura (HTTPS) para el servidor central

    Este ajuste obligará a su servidor de Endpoint Central a aceptar únicamente respuestas que estén en modo HTTPS.
    Nota: Además, desactive el puerto 8020 en el firewall de su red

  • Aplique la autenticación de dos factores

    Disponga de un segundo nivel de verificación para los técnicos que garantice que se impida el acceso no autorizado.

  • Restrinja a los usuarios la desinstalación del agente desde el panel de control

    El agente monitorea y ejecuta las configuraciones y tareas implementadas en un endpoint específico. Por eso es necesario prohibir a los usuarios que desinstalen el agente.

  • Restrinja a los usuarios la posibilidad de detener el servicio del agente

    Evitar que los usuarios detengan el servicio de Agente garantiza que el endpoint se mantenga en contacto con el servidor cada 90 minutos.

  • Habilite la comunicación segura (HTTPS) para los agentes LAN y WAN

    El protocolo HTTPS, tanto para los agentes LAN como para los WAN, garantiza que la comunicación entre los agentes y el servidor esté siempre cifrada.

Avanzado

  • Utilice un certificado SSL de terceros

    Configure Endpoint Central con un certificado de terceros de confianza para garantizar conexiones seguras entre endpoints y servidores. Sin embargo, para la comunicación segura mediante HTTPS, se proporcionará un certificado predeterminado junto con el servidor.

  • Deshabilite las versiones antiguas de TLS

    Para mejorar la seguridad, es aconsejable utilizar la versión más reciente de TLS, en lugar de utilizar las más antiguas.
    Nota    : Los usuarios no pueden gestionar dispositivos que funcionen en plataformas de SO heredadas (Windows XP, Vista, Server 2003 y Server 2008) después de desactivar la versión antigua de TLS.

  • Utilice Secure Gateway Server

    Es altamente recomendable alojar el servidor de Endpoint Central en una red corporativa protegida por restricciones de firewall y otras medidas de seguridad. Si hay varios usuarios móviles y oficinas remotas, puede utilizar un componente adicional, denominado Secure Gateway Server. Secure Gateway Server es una solución de proxy inverso que actúa como puente entre los agentes WAN y el servidor de Endpoint Central. Evita la necesidad de que el servidor de Endpoint Central se aloje como un dispositivo perimetral para gestionar a los usuarios móviles.

  • Habilite la comunicación de confianza agente-servidor

    Proteja la comunicación entre el servidor central y los agentes aplicando la verificación de identidad durante la comunicación HTTPS. Solo puede activarse tras importar un certificado de terceros. Más información..

  • Habilite la autenticación basada en certificados para la comunicación agente-servidor

    Active la autenticación de certificados de cliente para validar la autenticidad de los agentes que intentan establecer una conexión con el servidor. Antes de habilitarlo, asegúrese de que las versiones de los agentes estén actualizadas, ya que los agentes más antiguos no podrán conectarse con el servidor. Más información.

  • Proteja la copia de seguridad de su base de datos

    Configure esta opción para cifrar la copia de seguridad programada de la base de datos con una contraseña.

  • Repositorio de software seguro (recurso compartido de red local)

    El recurso compartido de la red local contendrá todos los archivos de instalación del software. La credencial de acceso se utiliza para conceder acceso al recurso compartido únicamente a los usuarios autorizados.

Pasos metódicos por módulos para mejorar la seguridad:

Gestión de parches

Implementación del sistema operativo

Gestión de dispositivos móviles

Herramientas

General

Varios

Implementación de software

Configuración

Gestión de vulnerabilidades

  • Proporcione el acceso root solo a técnicos de confianza en equipos nominados Redhat para evitar el envío de contenido malicioso, en lugar de meta archivos.
  • Proporcione acceso root solo a técnicos de confianza en agentes Linux para evitar el envío de URL maliciosas, en lugar de URL de paquetes.
  • Analice los archivos cargados en la opción Cargar Parche para detectar cualquier archivo malicioso.
  • No comparta lo siguiente con nadie:
    • Binarios del componente Creador de Imágenes
    • El archivo de los medios de arranque
    • El código de acceso de implementación (al configurar la tarea de implementación)
    • El archivo de imagen
    • Copia de seguridad del perfil de usuario (USMT)
  • Coloque los repositorios de imágenes y controladores en un recurso compartido de red protegido por contraseña.
  • Utilice la dirección MAC de los equipos de destino o el código de acceso único de cuatro dígitos para iniciar la implementación. Esto evita compartir credenciales de administrador.
  • Analice los archivos de instalación en busca de contenido malicioso cuando la actividad posterior a la implementación implique la instalación de aplicaciones.
  • Cuando añada un nuevo usuario durante la creación de la plantilla de implementación, habilite la contraseña compleja y asocie los usuarios locales a sus respectivos equipos de destino.
  • En Ajustes, configure la política de códigos de acceso con un código de acceso de 6 caracteres y un patrón de código de acceso alfanumérico. Este código de acceso se utilizará en tareas de implementación, tareas instantáneas y tareas independientes.
  • Habilite la política de bloqueo de códigos de acceso que impedirá a los usuarios implementar la aplicación después de un número específico de intentos de códigos de acceso no válidos.

  • Ajustes de inscripción

    • Para inscribir dispositivos propiedad de la empresa, utilice los siguientes métodos de inscripción basados en las plataformas compatibles para garantizar que los dispositivos permanezcan siempre bajo gestión incluso después de restablecerlos a los valores de fábrica:
    • En los dispositivos corporativos, las opciones para realizar un restablecimiento de fábrica y un borrado del dispositivo también pueden restringirse para evitar que los usuarios eliminen los dispositivos de la gestión.
    • Para dispositivos Android, la opción Permitir al usuario eliminar la aplicación ME MDM debe estar desactivada para restringir que los dispositivos corporativos que no se hayan inscrito mediante los métodos de inscripción mencionados anteriormente se eliminen de la gestión.
    • Habilite la opción para detectar y eliminar dispositivos liberados por jailbreak y rooteados para garantizar que solo los dispositivos que cumplan con las normas permanezcan bajo gestión y accedan a los datos corporativos.

  • Ajustes de inventario

  • Ajustes del dispositivo

    • Configure los Ajustes de Privacidad del Dispositivo ara garantizar que en el servidor solo se almacenen los detalles requeridos por Endpoint Central para la gestión y solo los datos permitidos por las leyes de cumplimiento locales y globales.
    • Configure las políticas de Condiciones de Uso para que se muestren a los usuarios de los dispositivos y obtenga su consentimiento antes de recopilar y almacenar información de los dispositivos en el servidor de Endpoint Central para garantizar la privacidad del usuario.
  • Vaya a la pestaña Admin, en Ajustes de herramientas,
    Haga clic en Ajustes de puerto y cambie la Comunicación a HTTPS. Haga clic en Guardar .
    • Haga clic en Ajustes del administrador del sistema.
    • En Ajustes de permisos, habilite el permiso para acceder al Administrador de archivos y al Símbolo del sistema del usuario final solo para administradores.
    • En Ajustes de confirmación de usuario, frente al campo Habilitar confirmación de usuario para, marque las casillas de Administrador de archivos y Símbolo del sistema.
    • Ahora, vaya a la pestaña Herramientas, haga clic en Control remoto y cambie a la pestaña Ajustes. Aquí, habilite los Ajustes de sesión inactiva. Esto permite que la conexión remota se desconecte o se desconecte y bloquee el equipo de destino automáticamente, cuando la conexión esté inactiva durante un período determinado.
    • En la pestaña Control remoto, cambie a la pestaña Confirmación de usuario. Aquí, habilite la Confirmación de usuario, establezca un período de tiempo de espera y proporcione un mensaje de confirmación. También puede hacer permanente la confirmación del usuario. Haga clic en Guardar.
    • Nota: Después de habilitar la opción Hacer permanente la confirmación del usuario, el cuadro de diálogo de confirmación siempre se mostrará y esto no podrá revertirse ni siquiera por los administradores.
  • En Ajustes de SoM, haga clic en Ajustes de agente. Aquí, habilite las opciones Restringir a los usuarios la desinstalación del agente desde el panel de control y Restringir a los usuarios la detención del servicio del agente.
  • En Ajustes de seguridad, haga clic en Ajustes de exportación. Al exportar cualquier informe, puede:
    • Enmascarar los datos personales
    • Eliminar información personal
    • Retener información personal
    • Dejar que el técnico decida
    Aquí, frente a Configurar ajustes de exportación y Configurar ajustes de informe programado, elija Eliminar información personal.
  • Si la autenticación SAML está habilitada en el producto, habilite la autenticación multifactor en el IdP para asistir al inicio de sesión único.
  • Si utiliza la aplicación móvil de Endpoint Central, se recomienda:
    • Utilizar la función de bloqueo de la aplicación móvil en la página de ajustes de la aplicación móvil para garantizar la seguridad.
  • En la pestaña Admin vaya a Administración de usuarios y configure los roles para impedir el acceso a los módulos restringidos.
  • Monitoree las sesiones activas en la consola web de Endpoint Central y cierre las sesiones obsoletas.
  • Es altamente recomendable que
    • cambie las contraseñas de todos los técnicos cada 90 días.
    • no comparta el registro y los logs del agente de Endpoint Central con nadie excepto con el servicio de asistencia de Endpoint Central.
  • Almacene el repositorio HTTP en un equipo local o en una ruta de red segura.
  • Analice los archivos antes de cargarlos cuando cree un nuevo paquete de software.
  • Al cargar un script en el Repositorio de Scripts, asegúrese de que el archivo sea analizado en busca de contenido malicioso antes de cargarlo.
  • Al resolver configuraciones erróneas, lea los problemas posteriores a la implementación, si los hay, para estar al tanto de los posibles problemas que pueden surgir después de alterar las configuraciones existentes.

Se aconseja enfáticamente a los usuarios de Endpoint Central que sigan las directrices de este documento. En particular, salvaguardar el servidor configurando los ajustes de seguridad. Esto demuestra ser una medida rápida y efectiva contra las amenazas informáticas. Además, los pasos previstos para cada módulo contribuirán a reforzar aún más la seguridad.

Endpoint Central Cloud es una herramienta de gestión de endpoints que gestiona sus dispositivos con diferentes sistemas operativos desde una ubicación central. En este documento, le brindaremos algunos consejos y trucos para reforzar la seguridad de Endpoint Central Cloud.

Mejores prácticas de seguridad

Endpoint Central Cloud publica inmediatamente los parches de seguridad para los problemas de seguridad identificados. Siga las recomendaciones del Grupo de Actualizaciones de Seguridad y la sección Actualizaciones de Seguridad sobre Vulnerabilidades en nuestra Base de Conocimiento para mantenerse al día con los últimos parches de seguridad. Además, suscríbase a nuestra Notificación de Violaciones de Datos siguiendo estos pasos: Vaya a la pestaña Administración > Haga clic en Configuración de Privacidad > Indique su dirección de correo electrónico en el formulario de notificación de vulneración de datos para recibir notificaciones sobre cualquier incidente de seguridad sin demora.

Nota: Se recomienda encarecidamente
1) Utilizar un firewall y un antivirus adecuados y mantenerlos actualizados para obtener alertas precisas.
2) Eliminar las cuentas no utilizadas: Administrador > Administración de usuarios > Desvincular la cuenta de usuario no utilizada.
3) Instalar el servidor de distribución en una máquina dedicada sin ningún software de terceros. Solo los usuarios autorizados deben tener acceso a esta máquina.
4) Habilitar la autenticación multifactor: Vaya a la pestaña Administrador > Administración de usuarios > Autenticación segura > Habilitar TFA.
5) Configurar una política de contraseñas compleja: Vaya a la pestaña Administrador > Administración de usuarios > Autenticación segura > Configurar la política de contraseñas.

Configuración de seguridad

Para proteger el acceso de inicio de sesión, vaya a la pestaña Administrador y haga clic en Configuración de seguridad, en Seguridad y privacidad.

En Inicio de sesión seguro,

  • Impedir que los usuarios desinstalen el agente desde el Panel de control

    El agente supervisa y ejecuta las configuraciones y tareas implementadas en un endpoint específico. Por eso es necesario prohibir a los usuarios desinstalar el agente.

  • Restringir que los usuarios detengan el servicio del Agente

    Evitar que los usuarios detengan el servicio del Agente garantiza que el endpoint se mantenga en contacto con el servidor cada 90 minutos.

Pasos metódicos por módulo para mejorar la seguridad:

Configuración de la cuenta

Administración de dispositivos móviles

Herramientas

General

Varios

Implementación de software

Configuración

Implementación del sistema operativo

  • Proporcione acceso root solo a técnicos de confianza en equipos designados por Red Hat para evitar el envío de contenido malicioso, en lugar de metaarchivos.
  • Proporcione acceso root solo a técnicos de confianza en agentes Linux para evitar el envío de URL maliciosas, en lugar de URL de paquetes.
  • Analice los archivos cargados en la opción "Subir parche" para detectar archivos maliciosos.
  • Haga clic en el icono de usuario en la esquina superior derecha y luego en "Mi cuenta".
  • Para evitar el robo de cuentas, configure los ajustes de la cuenta en "Mi cuenta".
  • En Seguridad,
    • Cambia la contraseña de tu cuenta regularmente
    • Agrega una pregunta de seguridad. Puedes usar tu respuesta secreta para acceder a tu cuenta en caso de que olvides tu contraseña.
    • Restringe el acceso a tu cuenta agregando un rango de direcciones IP de confianza.
    • Permite que las aplicaciones de terceros, como los clientes de correo electrónico, accedan a tu cuenta con contraseñas únicas específicas de la aplicación en lugar de la contraseña de tu cuenta.
    • Consulta la lista de dispositivos que han iniciado sesión en tu cuenta de Zoho.
  • En la Autenticación Multifactor (MFA),
    • Elige cualquier modo de MFA para añadir una capa adicional de protección.

  • Ajustes de inscripción

    • Para inscribir dispositivos propiedad de la empresa, utilice los siguientes métodos de inscripción basados en las plataformas compatibles para garantizar que los dispositivos permanezcan siempre bajo gestión incluso después de restablecerlos a los valores de fábrica:
    • En los dispositivos corporativos, las opciones para realizar un restablecimiento de fábrica y un borrado del dispositivo también pueden restringirse para evitar que los usuarios eliminen los dispositivos de la gestión.
    • Para dispositivos Android, la opción Permitir al usuario eliminar la aplicación ME MDM debe estar desactivada para restringir que los dispositivos corporativos que no se hayan inscrito mediante los métodos de inscripción mencionados anteriormente se eliminen de la gestión.
    • Habilite la opción para detectar y eliminar dispositivos liberados por jailbreak y rooteados para garantizar que solo los dispositivos que cumplan con las normas permanezcan bajo gestión y accedan a los datos corporativos.
  •  

  • Ajustes del dispositivo

    • Configure los Ajustes de Privacidad del Dispositivo para garantizar que en el servidor solo se almacenen los detalles requeridos por Endpoint Central para la gestión y solo los datos permitidos por las leyes de cumplimiento locales y globales.
    • Configure las políticas de Condiciones de Uso para que se muestren a los usuarios de los dispositivos y obtenga su consentimiento antes de recopilar y almacenar información de los dispositivos en el servidor de Endpoint Central para garantizar la privacidad del usuario.
  • Haga clic en Ajustes del administrador del sistema.
  • En Ajustes de permisos, habilite el permiso para acceder al Símbolo del sistema del usuario final solo para administradores.
  • En Ajustes de confirmación de usuario, frente al campo Habilitar confirmación de usuario para, marque las casillas del Símbolo del sistema.
  • Ahora, en la pestaña Admin, elija Ajustes de control remoto dentro de Ajustes de herramientas. Aquí, desplácese hacia abajo y active los Ajustes de sesión inactiva. Esto permite que la conexión remota se desconecte o se desconecte y bloquee el equipo de destino automáticamente, cuando la conexión esté inactiva durante un período determinado.
  • Elija Ajustes del control remoto en Ajustes de herramientas en la pestaña Admin y cambie a la pestaña Confirmación de usuario. Aquí, habilite la Confirmación de usuario, establezca un período de tiempo de espera y proporcione un mensaje de confirmación. También puede hacer permanente la confirmación del usuario. Haga clic en Guardar.
  • Nota: Después de habilitar la opción Hacer permanente la confirmación del usuario, el cuadro de diálogo de confirmación siempre se mostrará y esto no podrá revertirse ni siquiera por los administradores.
  • En Ajustes de SoM, haga clic en Ajustes de agente. Aquí, habilite las opciones Restringir a los usuarios la desinstalación del agente desde el panel de control y Restringir a los usuarios la detención del servicio del agente.
  • En Ajustes de seguridad, haga clic en Ajustes de exportación. Al exportar cualquier informe, puede:
    • Enmascarar los datos personales
    • Eliminar información personal
    • Retener información personal
    • Dejar que el técnico decida
    Aquí, frente a Configurar ajustes de exportación y Configurar ajustes de informe programado, elija Eliminar información personal.
  • Si la autenticación SAML está habilitada en el producto, habilite la autenticación multifactor en el IdP para asistir al inicio de sesión único.
  • Si utiliza la aplicación móvil de Endpoint Central, se recomienda:
    • Utilizar la función de bloqueo de la aplicación móvil en la página de ajustes de la aplicación móvil para garantizar la seguridad.
  • En la pestaña Administración, vaya a Administración de usuarios y configure los roles para evitar el acceso a los módulos restringidos.
  • Supervise las sesiones activas en la consola web de Endpoint Central y cierre las sesiones obsoletas.
  • Se recomienda encarecidamente
    • Cambie las contraseñas de todos los técnicos cada 90 días.
    • No comparta el registro ni los registros del agente de Endpoint Central con nadie que no sea el equipo de soporte de Endpoint Central.
  • Almacene el repositorio HTTP en un equipo local o en una ruta de red segura.
  • Escanee los archivos antes de cargarlos al crear un nuevo paquete de software.
  • Al cargar un script en el Repositorio de Scripts, asegúrese de que el archivo sea analizado en busca de contenido malicioso antes de cargarlo.
  • No comparta lo siguiente con nadie:
    • Binarios del componente Creador de Imágenes
    • El archivo de los medios de arranque
    • El código de acceso de implementación (al configurar la tarea de implementación)
    • El archivo de imagen
    • Copia de seguridad del perfil de usuario (USMT)
  • Colooque los repositorios de imágenes y controladores en un recurso compartido de red protegido por contraseña.
  • Utilice la dirección MAC de los equipos de destino o el código de acceso único de cuatro dígitos para iniciar la implementación. Esto evita compartir credenciales de administrador.
  • Analice los archivos de instalación en busca de contenido malicioso cuando la actividad posterior a la implementación implique la instalación de aplicaciones.
  • Cuando añada un nuevo usuario durante la creación de la plantilla de implementación, habilite la contraseña compleja y asocie los usuarios locales a sus respectivos equipos de destino.
  • En Ajustes, configure la política de códigos de acceso con un código de acceso de 6 caracteres y un patrón de código de acceso alfanumérico. Este código de acceso se utilizará en tareas de implementación, tareas instantáneas y tareas independientes.
  • Habilite la política de bloqueo de códigos de acceso que impedirá a los usuarios implementar la aplicación después de un número específico de intentos de códigos de acceso no válidos.

Se aconseja enfáticamente a los usuarios de Endpoint Central que sigan las directrices de este documento. En particular, salvaguardar el servidor configurando los ajustes de seguridad. Esto demuestra ser una medida rápida y efectiva contra las amenazas informáticas. Además, los pasos previstos para cada módulo contribuirán a reforzar aún más la seguridad.

Para una gestión de activos fácil y efectiva en la que confían las siguientes empresas