跳至内容
The official Faronics logo, representing industry-leading IT management and security solutions. Faronics Cloud delivers powerful endpoint management, system protection, and automation tools to enhance efficiency in businesses, schools, and enterprises.The official Faronics logo, representing industry-leading IT management and security solutions. Faronics Cloud delivers powerful endpoint management, system protection, and automation tools to enhance efficiency in businesses, schools, and enterprises.
Faronics Cloud 如何提升端点安全性?

Faronics Cloud 如何提升端点安全性?

How Does Faronics Cloud Improve Endpoint Security?

安全策略只有在真正执行时才具有价值。一份完美的安全策略文档,如果束之高阁,毫无用处。一个已实施但可以绕过的策略,效果也差不了多少。而今天执行但明天就失效的策略,只会带来虚假的安全感。

IT团队面临的挑战通常不是不知道该实施哪些安全措施,而是要确保这些措施在每台设备上、每天都能得到执行,无论用户做什么,或者威胁如何试图进行攻击。

Faronics Cloud 通过持续的策略执行、全设备可见性以及对配置错误设备的自动修复来解决这一问题。本指南将详细介绍这些功能如何提升您的终端安全状况。

真正持久的策略执行

传统的安全策略执行依赖于配置设备并希望这种配置能够持续。用户会修改设置。恶意软件会更改配置。软件安装会改变系统状态。随着时间的推移,设备会偏离其预期配置。

Faronics Cloud 以不同的方式执行策略——通过不易被绕过且能自动恢复预期配置的机制:

Deep Freeze:不会发生配置漂移

Deep Freeze 不仅仅是设置配置——它保证配置。每次重启都会将机器恢复到其定义的基线。这意味着:

安全设置保持不变。 Windows Defender 已启用?它将保持启用状态。防火墙已配置?它将保持配置状态。UAC 设置?与您设置的一样。用户无法永久禁用安全功能,因为更改不会持久。

恶意软件无法持久。 即使恶意软件在会话期间执行并修改系统配置,这些修改也会在重启时被清除。Rootkit、后门、持久化机制——全部清除。

影子 IT 被自动清除。 用户安装了未经授权的软件?重启后消失。不应存在的浏览器扩展?消失。加密货币矿工?消失。基线就是基线。

配置审计变得微不足道。 当每台机器在重启时都恢复到已知状态时,您就不需要扫描配置漂移。配置就是您定义的,有保证。

Anti-Executable:默认阻止的应用程序控制

Anti-Executable 执行白名单模型——只允许批准的应用程序运行:

未知可执行文件将被阻止。 不标记,不警告——直接阻止。防病毒软件无法识别的恶意软件仍然无法执行。这是最基本级别的执行:程序根本无法运行。

用户无法安装软件。 即使拥有管理员权限,白名单之外的软件也无法执行。这可以强制执行软件策略,而无需单独依赖用户配合或账户限制。

策略适用于任何交付方式。 无论恶意软件是通过电子邮件、USB 驱动器、浏览器下载还是网络漏洞进行传播——如果它不在白名单中,就无法运行。交付媒介无关紧要;执行策略才重要。

WINSelect:无法绕过的界面限制

WINSelect 在 Windows shell 级别强制执行限制:

系统访问点被移除,而不仅仅是隐藏。 用户无法访问控制面板、设置、注册表编辑器或命令提示符,因为这些访问点在他们的环境中不存在。没有任何东西可以被破解。

存储限制得到执行。 如果用户不应访问 USB 驱动器或本地存储,他们就无法访问。这不是可能被覆盖的组策略——这是他们无法规避的界面限制。

Kiosk 式锁定是绝对的。 当 WINSelect 配置为最大限制时,用户只能看到您希望他们看到的内容。没有逃生路线,没有变通方法,没有绕过限制的创造性方法。

集中式策略管理

所有这些执行机制都通过 Faronics Cloud 进行集中管理:

• 一次定义策略,应用于设备组

• 更改会自动传播到所有受影响的设备

• 在不同地点和设备类型之间保持一致的执行

• 没有可能被遗漏或不一致的每设备配置

整个设备群的可视性和合规性

您无法保护您看不见的东西。Faronics Cloud 提供对您的终端设备群的可见性,支持合规性和快速响应:

实时设备状态

Faronics Cloud 控制台显示每台受管理设备的当前状态:

保护状态。 Deep Freeze 是处于冻结还是解冻状态?Anti-Executable 是否处于活动状态?WINSelect 是否正在执行限制?您可以一目了然地看到保护状态,而不仅仅是设备是否在线。

策略合规性。 每个设备应用了什么策略?设备是否收到了最近的策略更新?是否有设备尚未签入,可能运行着过时的配置?

上次签入和活动。 每台设备上次与 Faronics Cloud 通信是什么时候?尚未签入的设备可能需要关注——连接问题、断电或已从网络移除。

整个设备群概览

仪表板视图汇总了您整个设备群的设备状态:

• 当前有多少设备处于冻结状态与解冻状态?

• 过去 24 小时内有多少设备已签入?

• 哪些设备组的合规率最高/最低?

• 是否有表明系统性问题的模式?

这种整个设备群的视图让您可以快速评估整体安全状况,而无需单独检查设备。

支持合规性要求

对于有合规性义务的组织,Faronics Cloud 提供了以下证据:

一致的配置。 Deep Freeze 保证设备恢复到批准的配置。这支持了关于终端加固和配置管理的合规性要求。

应用程序控制。 Anti-Executable 表明只有批准的软件才能运行。这支持了关于白名单、软件清单控制和防止未经授权应用程序的要求。

访问限制。 WINSelect 表明对敏感系统区域的访问受到限制。这支持了关于最小权限和访问控制的要求。

更新管理。 计划的维护窗口表明设备正在定期更新。这支持了补丁管理合规性要求。

审计就绪。 当审计员问“您如何确保终端设备保持其安全配置?”时,您有一个明确的答案:Deep Freeze 保证了这一点。当他们问“您如何防止未经授权的软件?”时,您有一个明确的答案:Anti-Executable 阻止了它。这些不是尽力而为的措施——它们是强制执行的控制措施。

降低因设备配置错误带来的风险

配置错误的设备是安全事件的主要原因。防火墙被禁用。杀毒软件被关闭。安全更新未应用。用户、恶意软件或仅仅是意外更改的设置。

Faronics Cloud 通过自动修复来解决配置错误风险:

重启时自动修复

使用 Deep Freeze,配置错误在设计上是暂时的:

用户禁用安全功能 → 下次重启时恢复

恶意软件修改系统设置 → 下次重启时恢复

软件安装损坏配置 → 下次重启时恢复

IT 人员意外更改 → 下次重启时恢复

未知漂移原因 → 下次重启时恢复

修复是自动的。无需检测。无需手动干预。无需处理工单。机器将在重启时恢复到其正确的配置,无论是什么原因导致了偏差。

防止永久性配置错误

一些配置错误是故意的和恶意的。攻击者经常:

• 禁用安全软件以避免被检测

• 修改防火墙规则以实现横向移动

• 更改 DNS 设置以重定向流量

• 安装持久化机制以实现长期访问

• 修改启动进程以确保恶意软件在重启后仍然存在

使用 Deep Freeze,这些修改都不会持久。攻击者无法永久性地破坏机器的配置。他们的更改将在下次重启时被清除,迫使他们重新开始——如果他们能通过 Anti-Executable 执行恶意软件的话。

始终处于已知良好状态

也许最大的安全优势是确定性。使用 Deep Freeze:

• 您确切地知道每台设备的配置是什么

• 您知道该配置与您预期的相符

• 您知道设备将自动恢复到该配置

• 您知道这对每个冻结的设备、每次重启、每次都是如此

这种确定性在终端安全中很少见。大多数环境都有一些设备已经漂移,一些配置不太正确,一些对实际状态不确定。Deep Freeze 消除了冻结设备的不确定性。

通过限制减少攻击面

除了修复,Faronics 工具还能从一开始就减少攻击面:

Anti-Executable: 可运行的可执行文件更少 = 攻击向量更少

WINSelect: 对系统工具的访问更少 = 利用系统的途径更少

限制存储: 有限的写入访问 = 恶意软件可持久化的位置更少

更小的攻击面意味着攻击者机会更少。结合自动修复,这大大提高了成功攻击受管理设备的门槛。

常见问题解答

Faronics Cloud 是否会取代组策略的安全设置?

它们是互补的。组策略设置初始配置;Deep Freeze 确保其持久。使用组策略定义您的安全基线,然后使用 Deep Freeze 冻结该基线。两者的结合比单独使用任何一种都更强大。

在解冻期间安全配置会发生什么?

在解冻(维护窗口)期间,机器是可修改的。这时可以应用更新并使其持久。这也是理论上配置可能发生更改的短暂窗口。保持解冻窗口简短,并在低风险时段安排。当机器重新冻结时,新状态——包括更新——将成为受保护的基线。

用户可以禁用 Faronics 保护吗?

除非拥有管理员凭据,否则不能。Deep Freeze、Anti-Executable 和 WINSelect 需要身份验证才能修改。普通用户无法禁用它们。即使是拥有本地管理员权限的用户,也无法绕过 Anti-Executable 的白名单或在没有 Faronics 密码的情况下解冻 Deep Freeze。

这如何帮助解决勒索软件问题?

多层防护:如果勒索软件不在白名单中,Anti-Executable 会阻止其执行。如果勒索软件以某种方式运行,Deep Freeze 会在重启时清除其更改——加密的文件将恢复到加密前的状态。WINSelect 可以限制对存储的访问,从而限制勒索软件可以加密的内容。总而言之,这些措施大大降低了勒索软件攻击成功的可能性。

改进的终端安全是否会减少 IT 工作量?

是的。自动修复意味着关于“我的电脑出问题了”的工单更少。保证的配置意味着更少的关于不一致行为的故障排除会话。被阻止的恶意软件意味着更少的事件响应工作。安全性的提高也提高了运营效率。

底线:通过执行和确定性实现安全

Faronics Cloud 通过三种机制改进终端安全:无法绕过的策略执行、对整个设备群保护状态的可见性以及对任何配置漂移的自动修复。

结果是安全确定性。您定义配置。该配置得到执行。偏差会自动纠正。攻击者无法永久性地修改系统。用户无法永久性地削弱安全性。每次重启都是返回已知良好状态。

对于共享访问环境——实验室、图书馆、信息亭、公共电脑——这代表了安全状况的根本性改进。不是通过更好的检测或更快的响应,而是通过使持久性攻击基本上不可能。

准备好加强您的终端安全了吗?

免费试用 Faronics Cloud 30 天。体验不会发生漂移的强制执行安全。

试用 Faronics Cloud Deep Freeze

联系支持

继续阅读
部署 Faronics Cloud 需要多长时间?
阅读更多
How Long Does It Take to Deploy Faronics Cloud?
合作伙伴中心登录

© 2026 Faronics Cloud, 版权所有。

Trending Now