巧用MMC強(qiáng)化Windows桌面安全

2013-09-23 11:54:36 51CTO.com 　點擊量：評論 (0)

不管是寫字樓辦公室還是家庭、咖啡館，桌面系統(tǒng)總是黑客們攻擊的熱點目標(biāo)。其實在Windows中，就有一個非常好的策略管理工具——MMC，稍稍設(shè)置，安全性便大大增加。

桌面安全并不僅僅意味著安裝了殺毒軟件和防火墻那么簡單，它還需要不斷地強(qiáng)化。桌面安全是多層防御體系中的重要一環(huán)，不可或缺。但要實現(xiàn)強(qiáng)化安全的任務(wù)，也絕非易事。許多單位的雇員在計算機(jī)上擁有很大的自由，可以隨意安裝所喜歡的軟件。更有甚者，在一些大型企業(yè)中，在不同的業(yè)務(wù)部門中，用戶們可安裝單位并不支持的各種應(yīng)用程序。這種應(yīng)用程序環(huán)境已經(jīng)成為業(yè)務(wù)進(jìn)程的一部分，雖然這些應(yīng)用程序從來也沒有成為設(shè)計周期的一部分。在這種情況下，如何強(qiáng)化桌面的安全也就成為防御體系中最為困難的問題之一。當(dāng)然，我們的選擇還是不少的。如我們可以購買商業(yè)產(chǎn)品來管理桌面，還可以使用活動目錄的組策略，或者我們可以通過本地安全策略來簡單地保護(hù)主機(jī)。

一、手動操作設(shè)置

我們說，單位需求制約或影響著所采用的安全方法。不過，大多數(shù)企業(yè)需要一種集中化的管理方案來完成這項任務(wù)。那么，我們不妨從手動鎖定、保護(hù)一臺工作站開始吧。如圖1所示。

圖1

可以看出，在定義本地安全策略時，我們需要設(shè)置以下的方面：賬戶策略、本地策略、事件日志、受限制的組、系統(tǒng)服務(wù)、注冊表、文件系統(tǒng)。在擁有了一個可運(yùn)行的強(qiáng)化映象后，我們就可以在整個企業(yè)的范圍內(nèi)部署它。不過，一定要保障基本鏡象不能與企業(yè)所支持的應(yīng)用程序相沖突。下面我們請出MMC即微軟的管理控制臺。單擊“開始”/“運(yùn)行”，在運(yùn)行框內(nèi)鍵入“MMC”，回車。得到如圖2所示的空白MMC模板。

圖2

單擊“文件”菜單下的“添加/刪除管理單元”命令，如圖3所示。

圖3

打開下如圖4所示的窗口：

圖4

單擊此窗口中的“添加”按鈕，彈出如下如圖5所示的窗口。

圖5

從可用的獨(dú)立單元中找到“安全配置和分析”選項，單擊“添加”按鈕，單擊“關(guān)閉”按鈕，再單擊“確定”按鈕。這時會看到下如圖6所示的窗口。

圖6

下面我們需要創(chuàng)建一個數(shù)據(jù)庫。在上圖所示窗口左側(cè)的“安全配置和分析”上右擊，選擇“打開數(shù)據(jù)庫”。如圖7 所示。

圖7

在下如圖8所示的“打開數(shù)據(jù)庫窗口”中輸入數(shù)據(jù)庫的名稱，單擊“打開”：

圖8

二、模板化操作
你會注意到一些模板。微軟的網(wǎng)站上有一些關(guān)于這些模板所提供內(nèi)容的信息，大家不妨去看看。不過，一定要選擇一個工作站模板而不是一個服務(wù)器模板。工作站模板文件名以“ws”結(jié)尾(不是擴(kuò)展名哦)。如圖9所示。

圖9

用戶也可以從互聯(lián)網(wǎng)安全中心得到預(yù)定義模板，也可從其它單位，不過用人家的東西最好要嚴(yán)格審核，在運(yùn)用每一個模板之前要清楚其安全設(shè)置功能。單擊“操作”菜單，選擇“立即分析計算機(jī)”命令，如圖10所示。

圖10

要修改某個設(shè)置，可以在右側(cè)的窗格中的項目上雙擊，這時會彈出“屬性”窗口，如圖11所示。

圖11

在“屬性”窗口中，用戶可以對選中的項目進(jìn)行修改。而要禁用設(shè)置，可以單擊取消選擇“在數(shù)據(jù)庫中定義這個策略”復(fù)選框。在作了修改之后，就可以保存模板了。在控制臺的“安全配置與分析”容器上單擊一下，然后單擊“操作”菜單下的“導(dǎo)出配置”命令，并為此模板起一個名字。如圖12和13所示。

圖12

圖13

然后用戶可以將這個模板文件復(fù)制到其它計算機(jī)上，并在整個網(wǎng)絡(luò)中都運(yùn)用這種設(shè)置。要將模板中的安全設(shè)置運(yùn)用到工作站中，應(yīng)當(dāng)在“安全設(shè)置和分析”容器上右擊，選擇“立即配置計算機(jī)”。如圖14所示。

圖14

然后輸入錯誤日志文件路徑和文件名，如圖15所示。

圖15

單擊“確定”運(yùn)用此設(shè)置。然后重新啟動計算機(jī)，策略也就是被運(yùn)用了。這只不過是創(chuàng)建強(qiáng)化映象的一個方法。現(xiàn)在用戶只需要用企業(yè)的SMS等工具來部署這個映象，也可以使用 secedit.exe所提供的腳本，或者簡單地訪問工作站然后人工手動運(yùn)用這些改變。使用組策略，管理員可以在整個企業(yè)的范圍內(nèi)從大量的配置設(shè)置中選擇，根據(jù)下面的成員資格等級可運(yùn)用于用戶和計算機(jī)：本地、站點、域、組織單元。組策略內(nèi)的安全設(shè)置可通過MMC管理單元（它包含著組策略編輯器和安全設(shè)置擴(kuò)展）來編輯或創(chuàng)建新的組策略對象來處理。可用的安全設(shè)置依賴于組策略所鏈接的對象類型（例如，域?qū)ο蠛捅镜貙ο蟮脑O(shè)置就不相同）。組策略中的多數(shù)安全設(shè)置可通過如下方法：單擊“開始”/“運(yùn)行”，輸入gpedit.msc，打開“組策略”/“計算機(jī)配置”/“Windows設(shè)置”/“安全設(shè)置”而得到。如圖16所示。

圖16

如果安全管理人員能夠用一個強(qiáng)化了安全的映象成功地調(diào)整了雇員的工作環(huán)境，就可以在極短的時間內(nèi)在最大程度上強(qiáng)化桌面的安全。何樂而不為？注：本文實驗在Windows xp SP2環(huán)境測試通過。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊