Endpoint Central 作为企业终端管理的 “中枢系统”，掌控着全网终端的补丁推送、软件部署、配置管理、远程控制等关键权限，存储着大量终端资产信息、用户数据及企业策略配置。一旦服务器被攻破，攻击者可能篡改管理指令（如推送恶意软件）、窃取敏感数据（如终端账号密码），甚至通过其远程控制功能横向渗透至企业内网，形成 “单点突破、全网沦陷” 的风险。因此，加固其安全是保障企业终端管理体系可信性、维护内网安全边界、规避合规风险的核心环节。下面是一些最佳实践：

移动设备管理

登记设置

• 如果登记公司拥有的设备，建议根据不同的平台，选择下面的登记方式，来防止设备在工厂重置后脱离管理：
  • Apple Business Manager：对于iOS、macOS和tvOS设备。
  • 三星Knox移动设备登记：对于三星设备。
  • 零接触登记：对于非三星的设备。
• 对于公司设备，限制用户工厂重置设备和擦除设备，也能防止设备脱管。
• 对于安卓设备，还可以通过限制用户卸载ME MDM应用来防止设备脱管。
• 检测和移除被越狱或ROOT的设备，防止其被管和访问公司数据。

资产管理

• 设置周期性的资产扫描，使设备信息保持为最新。

设备设置

• 配置设备隐私设置，保证只有Endpoint Central管理需要的，和符合地区和国家安全法规的数据保存在服务器上。
• 配置使用策略条款，在收集设备信息时显示给客户，保证客户的隐私数据。

远程管理工具

• 管理页签，在工具设置下，点击端口设置，选中HTTPS方式并保存。
• 系统管理器：在权限设置中，只允许管理员访问用户的文件管理器和命令提示行。
• 系统管理器：在用户确认中，设置文件管理器和命令提示行的用户确认。
• 在远程控制中，设置空闲会话，在会话空闲一段时间后断开连接和锁定远程计算机。
• 在远程控制中，启用用户确认。

通用设置

• 数据库备份：在管理页签下，设置好数据库备份及备份保留的数量；设置数据库备份通知，以掌握数据库备份故障；为数据库备份文件设置密码。
• 代理设置：防止用户卸载代理，防止用户停止服务。
• 设置导出报表的数据库安全，你可以选择遮盖个人信息或移除个人信息。
• 如果你使用Endpoint Central的手机应用：使用HTTPS模式连接Endpoint Central服务器；使用应用锁功能；启用双重身份认证。
• 设置Web客户端的最小的会话超时时间。
• 建议为所有用户每90天更改一次密码。
• 不要使用边界设备作为分发服务器。
• 除了Endpoint Central技术支持，不要共享任何日志和文件给他人。

软件部署

• 在本地计算机和安全的网络路径中存储HTTP存储库。
• 在创建新的软件包时，扫描上传的文件。

配置管理

• 在上传文件到脚本库时，扫描上传到文件。

漏洞管理

• 当解决配置漏洞，阅读部署后问题，防止因为配置修改带来新的安全问题。