巧用MMC強(qiáng)化Windows桌面安全

2013-09-23 11:54:36 51CTO.com 　點(diǎn)擊量：評(píng)論 (0)

不管是寫字樓辦公室還是家庭、咖啡館，桌面系統(tǒng)總是黑客們攻擊的熱點(diǎn)目標(biāo)。其實(shí)在Windows中，就有一個(gè)非常好的策略管理工具——MMC，稍稍設(shè)置，安全性便大大增加。

桌面安全并不僅僅意味著安裝了殺毒軟件和防火墻那么簡單，它還需要不斷地強(qiáng)化。桌面安全是多層防御體系中的重要一環(huán)，不可或缺。但要實(shí)現(xiàn)強(qiáng)化安全的任務(wù)，也絕非易事。許多單位的雇員在計(jì)算機(jī)上擁有很大的自由，可以隨意安裝所喜歡的軟件。更有甚者，在一些大型企業(yè)中，在不同的業(yè)務(wù)部門中，用戶們可安裝單位并不支持的各種應(yīng)用程序。這種應(yīng)用程序環(huán)境已經(jīng)成為業(yè)務(wù)進(jìn)程的一部分，雖然這些應(yīng)用程序從來也沒有成為設(shè)計(jì)周期的一部分。在這種情況下，如何強(qiáng)化桌面的安全也就成為防御體系中最為困難的問題之一。當(dāng)然，我們的選擇還是不少的。如我們可以購買商業(yè)產(chǎn)品來管理桌面，還可以使用活動(dòng)目錄的組策略，或者我們可以通過本地安全策略來簡單地保護(hù)主機(jī)。

一、手動(dòng)操作設(shè)置

我們說，單位需求制約或影響著所采用的安全方法。不過，大多數(shù)企業(yè)需要一種集中化的管理方案來完成這項(xiàng)任務(wù)。那么，我們不妨從手動(dòng)鎖定、保護(hù)一臺(tái)工作站開始吧。如圖1所示。

圖1

可以看出，在定義本地安全策略時(shí)，我們需要設(shè)置以下的方面：賬戶策略、本地策略、事件日志、受限制的組、系統(tǒng)服務(wù)、注冊(cè)表、文件系統(tǒng)。在擁有了一個(gè)可運(yùn)行的強(qiáng)化映象后，我們就可以在整個(gè)企業(yè)的范圍內(nèi)部署它。不過，一定要保障基本鏡象不能與企業(yè)所支持的應(yīng)用程序相沖突。下面我們請(qǐng)出MMC即微軟的管理控制臺(tái)。單擊“開始”/“運(yùn)行”，在運(yùn)行框內(nèi)鍵入“MMC”，回車。得到如圖2所示的空白MMC模板。

圖2

單擊“文件”菜單下的“添加/刪除管理單元”命令，如圖3所示。

圖3

打開下如圖4所示的窗口：

圖4

單擊此窗口中的“添加”按鈕，彈出如下如圖5所示的窗口。

圖5

從可用的獨(dú)立單元中找到“安全配置和分析”選項(xiàng)，單擊“添加”按鈕，單擊“關(guān)閉”按鈕，再單擊“確定”按鈕。這時(shí)會(huì)看到下如圖6所示的窗口。

圖6

下面我們需要?jiǎng)?chuàng)建一個(gè)數(shù)據(jù)庫。在上圖所示窗口左側(cè)的“安全配置和分析”上右擊，選擇“打開數(shù)據(jù)庫”。如圖7 所示。

圖7

在下如圖8所示的“打開數(shù)據(jù)庫窗口”中輸入數(shù)據(jù)庫的名稱，單擊“打開”：

圖8

二、模板化操作
你會(huì)注意到一些模板。微軟的網(wǎng)站上有一些關(guān)于這些模板所提供內(nèi)容的信息，大家不妨去看看。不過，一定要選擇一個(gè)工作站模板而不是一個(gè)服務(wù)器模板。工作站模板文件名以“ws”結(jié)尾(不是擴(kuò)展名哦)。如圖9所示。

圖9

用戶也可以從互聯(lián)網(wǎng)安全中心得到預(yù)定義模板，也可從其它單位，不過用人家的東西最好要嚴(yán)格審核，在運(yùn)用每一個(gè)模板之前要清楚其安全設(shè)置功能。單擊“操作”菜單，選擇“立即分析計(jì)算機(jī)”命令，如圖10所示。

圖10

要修改某個(gè)設(shè)置，可以在右側(cè)的窗格中的項(xiàng)目上雙擊，這時(shí)會(huì)彈出“屬性”窗口，如圖11所示。

圖11

在“屬性”窗口中，用戶可以對(duì)選中的項(xiàng)目進(jìn)行修改。而要禁用設(shè)置，可以單擊取消選擇“在數(shù)據(jù)庫中定義這個(gè) 策略”復(fù)選框。在作了修改之后，就可以保存模板了。在控制臺(tái)的“安全配置與分析”容器上單擊一下，然后單擊“操作”菜單下的“導(dǎo)出配置”命令，并為此模板起一個(gè)名字。如圖12和13所示。

圖12

圖13

然后用戶可以將這個(gè)模板文件復(fù)制到其它計(jì)算機(jī)上，并在整個(gè)網(wǎng)絡(luò)中都運(yùn)用這種設(shè)置。要將模板中的安全設(shè)置運(yùn)用到工作站中，應(yīng)當(dāng)在“安全設(shè)置和分析”容器上右擊，選擇“立即配置計(jì)算機(jī)”。如圖14所示。

圖14

然后輸入錯(cuò)誤日志文件路徑和文件名，如圖15所示。

圖15

單擊“確定”運(yùn)用此設(shè)置。然后重新啟動(dòng)計(jì)算機(jī)，策略也就是被運(yùn)用了。這只不過是創(chuàng)建強(qiáng)化映象的一個(gè)方法?，F(xiàn)在用戶只需要用企業(yè)的SMS等工具來部署這個(gè)映象，也可以使用 secedit.exe所提供的腳本，或者簡單地訪問工作站然后人工手動(dòng)運(yùn)用這些改變。使用組策略，管理員可以在整個(gè)企業(yè)的范圍內(nèi)從大量的配置設(shè)置中選擇，根據(jù)下面的成員資格等級(jí)可運(yùn)用于用戶和計(jì)算機(jī)：本地、站點(diǎn)、域、組織單元。組策略內(nèi)的安全設(shè)置可通過MMC管理單元（它包含著組策略編輯器和安全設(shè)置擴(kuò)展）來編輯或創(chuàng)建新的組策略對(duì)象來處理?？捎玫陌踩O(shè)置依賴于組策略所鏈接的對(duì)象類型（例如，域?qū)ο蠛捅镜貙?duì)象的設(shè)置就不相同）。組策略中的多數(shù)安全設(shè)置可通過如下方法：單擊“開始”/“運(yùn)行”，輸入gpedit.msc，打開“組策略”/“計(jì)算機(jī)配置”/“Windows設(shè)置”/“安全設(shè)置”而得到。如圖16所示。

圖16

如果安全管理人員能夠用一個(gè)強(qiáng)化了安全的映象成功地調(diào)整了雇員的工作環(huán)境，就可以在極短的時(shí)間內(nèi)在最大程度上強(qiáng)化桌面的安全。何樂而不為？注：本文實(shí)驗(yàn)在Windows xp SP2環(huán)境測試通過。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊