管理员控制安装在其服务器上的软件及其配置，但他们不控制端点、使用软件和访问数据的设备。随着客户端-服务器软件交付模型越来越受欢迎，特别是软件即服务，端点安全变得越来越重要。但是服务器管理员不能保证终端安全，因为有大量设备可能被用来访问软件，而且用户缺乏安全意识。

用户丢失登录的设备，选择弱密码，共享密码，安装恶意软件，并陷入网络攻击。鉴于缺乏对端点和用户的控制行为，服务器管理员不能依赖端点的安全性。但是管理员可以配置服务器来限制不安全端点的影响。假设端点本质上是不安全的，它们可以实现服务器安全策略来防范受损的最坏后果

1.多因素认证

多因素认证是第一道防线。尽管它不能保护软件和数据免受登录设备丢失的影响，但它可能会限制攻击者从丢失或被盗的笔记本电脑或移动设备访问敏感信息的能力(假设移动设备没有被用作身份验证的第二个因素)。多因素身份验证还有助于保护服务器和软件免受针对易受攻击端点的暴力和字典攻击。

仅启用多因素身份验证是不够的，管理员必须要求在用户登录之前在应用程序上启用2FA，以确保多因素身份验证得到正确利用。

2.限制横向移动

一旦攻击者通过不安全的端点获得访问权限，他们的目标通常是进一步进入网络，寻找有价值的数据并访问关键的基础设施。有效的系统管理员采用几种策略来限制攻击者扩展其滩头阵地的能力。

最小特权原则。所有用户帐户都应该具有与实现用户目标相兼容的最低访问权限。如果网站开发人员只需要对服务器上托管的网站进行SSH访问，他们不需要登录根帐户或拥有根访问所需的证书/凭证。确保丢失和被盗的端点设备仅具有它们所需的权限。
使用单独的设备进行管理访问。如果可行，只允许从有限的设备子集进行根或管理员访问。确保这些设备尽可能被锁定，并在安全的环境中使用，即不要在早上通勤时使用，也不要在无线网络不安全的地方使用。
不要以纯文本形式存储密码。确保所有密码都用慢速哈希算法进行处理，并且哈希不会存储在易于通过不安全端点访问的服务器上。
简而言之，配置服务器和软件，使得对不安全端点的访问不会让攻击者访问整个网络。

3.维护可靠的备份

重要的是要认识到，即使是最受保护的端点也容易受到恶意软件和其他类型的恶意软件的攻击。这可能很简单，只要点击可疑电子邮件中的一个链接，就会导致整个网络中连接不当的设备被攻击。

使用维护可靠的备份云备份提供商定期对它们进行测试是唯一的方法，以确保如果一个设备遭到破坏，不会丢失任何重要的商业信息，也不会支付任何赎金。

4.利用虚拟专用网络

保护端点的最佳方法之一是将对公司内部资源的访问限制在物理上位于网络内的设备上，如果需要远程访问，通过虚拟专用网络这也通过多因素认证来保护。

这确保了如果设备丢失或被盗，并试图连接到私有公司资源，它将无法连接和窃取任何数据。

5.密钥和密码轮换

密钥轮换通常非常麻烦，服务器管理员可以避免，但是对于SSH密钥，这是一种从不再需要它的端点移除访问的有效方法。对于用于加密数据的密钥，密钥轮换还会限制使用特定密钥加密的数据，从而限制密钥泄露时可能泄露的数据。

虽然安全行业存在争议，但密码过期对您的组织来说可能也是一个不错的策略。如果一个系统在没有被检测到的情况下在过去被破坏，密码过期系统至少意味着潜在暴露的密码不再有效。

6.监控用户活动

网络管理员应该持续监控网络流量，以发现异常行为。网络流量的任何急剧增加都可能是由于受损的端点将数据从网络传输出去，或者设备被用作僵尸网络攻击的一部分。

7.一致修补

没有强制性的补丁提醒，任何关于服务器安全的文章都是不完整的。修补可以修复安全漏洞，如果您不修补和更新服务器和端点上的软件，它们将很容易受到攻击。在服务器上安装补丁具有双重重要性，因为软件漏洞经常被通过受损端点获得访问权限的攻击者用来提升权限。

概括起来

端点安全性很重要，但是托管客户端的服务器无法保证连接到其服务器的受信任设备的安全性。为了降低风险，他们应该假设终端设备将受到攻击，并努力限制来自受攻击设备的攻击的影响。

对端点安全性或如何更好地保护您的服务器免受攻击有疑问，请联系我们，我们将为您提供最优质的服务器主机和服务器管理需求。