巧用MMC強化Windows桌面安全
不管是寫字樓辦公室還是家庭、咖啡館,桌面系統總是黑客們攻擊的熱點目標。其實在Windows中,就有一個非常好的策略管理工具——MMC,稍稍設置,安全性便大大增加。
桌面安全并不僅僅意味著安裝了殺毒軟件和防火墻那么簡單,它還需要不斷地強化。桌面安全是多層防御體系中的重要一環,不可或缺。但要實現強化安全的任務,也絕非易事。許多單位的雇員在計算機上擁有很大的自由,可以隨意安裝所喜歡的軟件。更有甚者,在一些大型企業中,在不同的業務部門中,用戶們可安裝單位并不支持的各種應用程序。這種應用程序環境已經成為業務進程的一部分,雖然這些應用程序從來也沒有成為設計周期的一部分。在這種情況下,如何強化桌面的安全也就成為防御體系中最為困難的問題之一。當然,我們的選擇還是不少的。如我們可以購買商業產品來管理桌面,還可以使用活動目錄的組策略,或者我們可以通過本地安全策略來簡單地保護主機。
一、手動操作設置
可以看出,在定義本地安全策略時,我們需要設置以下的方面:賬戶策略、本地策略、事件日志、受限制的組、 系統服務、注冊表、文件系統。在擁有了一個可運行的強化映象后,我們就可以在整個企業的范圍內部署它。不過,一定要保障基本鏡象不能與企業所支持的應用程序相沖突。下面我們請出MMC即微軟的管理控制臺。單擊“開始”/“運行”,在運行框內鍵入“MMC”,回車。得到如圖2所示的空白MMC模板。
單擊“文件”菜單下的“添加/刪除管理單元”命令,如圖3所示。
打開下如圖4所示的窗口:
單擊此窗口中的“添加”按鈕,彈出如下如圖5所示的窗口。
從可用的獨立單元中找到“安全配置和分析”選項,單擊“添加”按鈕,單擊“關閉”按鈕,再單擊“確定”按 鈕。這時會看到下如圖6所示的窗口。
下面我們需要創建一個數據庫。在上圖所示窗口左側的“安全配置和分析”上右擊,選擇“打開數據庫”。如圖7 所示。
在下如圖8所示的“打開數據庫窗口”中輸入數據庫的名稱,單擊“打開”:
二、模板化操作
你會注意到一些模板。微軟的網站上有一些關于這些模板所提供內容的信息,大家不妨去看看。 不過,一定要選擇一個工作站模板而不是一個服務器模板。工作站模板文件名以“ws”結尾(不是擴展名哦)。如圖9所示。
用戶也可以從互聯網安全中心得到預定義模板,也可從其它單位,不過用人家的東西最好要嚴格審核,在運用每 一個模板之前要清楚其安全設置功能。單擊“操作”菜單,選擇“立即分析計算機”命令,如圖10所示。
要修改某個設置,可以在右側的窗格中的項目上雙擊,這時會彈出“屬性”窗口,如圖11所示。
在“屬性”窗口中,用戶可以對選中的項目進行修改。而要禁用設置,可以單擊取消選擇“在數據庫中定義這個 策略”復選框。在作了修改之后,就可以保存模板了。在控制臺的“安全配置與分析”容器上單擊一下,然后單擊“操作”菜單 下的“導出配置”命令,并為此模板起一個名字。如圖12和13所示。
然后用戶可以將這個模板文件復制到其它計算機上,并在整個網絡中都運用這種設置。要將模板中的安全設置運用到工作站中,應當在“安全設置和分析”容器上右擊,選擇“立即配置計算機”。如 圖14所示。
然后輸入錯誤日志文件路徑和文件名,如圖15所示。
單擊“確定”運用此設置。然后重新啟動計算機,策略也就是被運用了。這只不過是創建強化映象的一個方法?,F在用戶只需要用企業的SMS等工具來部署這個映象,也可以使用 secedit.exe所提供的腳本,或者簡單地訪問工作站然后人工手動運用這些改變。使用組策略,管理員可以在整個企業的范圍內從大量的配置設置中選擇,根據下面的成員資格等級可運用于用戶 和計算機:本地、站點、域、組織單元。組策略內的安全設置可通過MMC管理單元(它包含著組策略編輯器和安全設置擴展)來編輯或創建新的組策略對象 來處理。可用的安全設置依賴于組策略所鏈接的對象類型(例如,域對象和本地對象的設置就不相同)。組策略中的多數安全設置可通過如下方法:單擊“開始”/“運行”,輸入gpedit.msc,打開“組策略”/“計算 機配置”/“Windows設置”/“安全設置”而得到。如圖16所示。
如果安全管理人員能夠用一個強化了安全的映象成功地調整了雇員的工作環境,就可以在極短的時間內在最大程 度上強化桌面的安全。何樂而不為?注:本文實驗在Windows xp SP2環境測試通過。
一、手動操作設置
我們說,單位需求制約或影響著所采用的安全方法。不過,大多數企業需要一種集中化的管理方案來完成這項任務。那么,我們不妨從手動鎖定、保護一臺工作站開始吧。如圖1所示。
圖1 |
圖2 |
圖3 |
打開下如圖4所示的窗口:
圖4 |
圖5 |
圖6 |
圖7 |
圖8 |
二、模板化操作
你會注意到一些模板。微軟的網站上有一些關于這些模板所提供內容的信息,大家不妨去看看。 不過,一定要選擇一個工作站模板而不是一個服務器模板。工作站模板文件名以“ws”結尾(不是擴展名哦)。如圖9所示。
圖9 |
圖10 |
圖11 |
圖12 |
圖13 |
圖14 |
圖15 |
圖16 |
責任編輯:和碩涵
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
-
發電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網絡何以可能
2017-02-24網絡