巧用MMC強化Windows桌面安全

2013-09-23 11:54:36 51CTO.com 　點擊量：評論 (0)

不管是寫字樓辦公室還是家庭、咖啡館，桌面系統總是黑客們攻擊的熱點目標。其實在Windows中，就有一個非常好的策略管理工具——MMC，稍稍設置，安全性便大大增加。

桌面安全并不僅僅意味著安裝了殺毒軟件和防火墻那么簡單，它還需要不斷地強化。桌面安全是多層防御體系中的重要一環，不可或缺。但要實現強化安全的任務，也絕非易事。許多單位的雇員在計算機上擁有很大的自由，可以隨意安裝所喜歡的軟件。更有甚者，在一些大型企業中，在不同的業務部門中，用戶們可安裝單位并不支持的各種應用程序。這種應用程序環境已經成為業務進程的一部分，雖然這些應用程序從來也沒有成為設計周期的一部分。在這種情況下，如何強化桌面的安全也就成為防御體系中最為困難的問題之一。當然，我們的選擇還是不少的。如我們可以購買商業產品來管理桌面，還可以使用活動目錄的組策略，或者我們可以通過本地安全策略來簡單地保護主機。

一、手動操作設置

我們說，單位需求制約或影響著所采用的安全方法。不過，大多數企業需要一種集中化的管理方案來完成這項任務。那么，我們不妨從手動鎖定、保護一臺工作站開始吧。如圖1所示。

圖1

可以看出，在定義本地安全策略時，我們需要設置以下的方面：賬戶策略、本地策略、事件日志、受限制的組、系統服務、注冊表、文件系統。在擁有了一個可運行的強化映象后，我們就可以在整個企業的范圍內部署它。不過，一定要保障基本鏡象不能與企業所支持的應用程序相沖突。下面我們請出MMC即微軟的管理控制臺。單擊“開始”/“運行”，在運行框內鍵入“MMC”，回車。得到如圖2所示的空白MMC模板。

圖2

單擊“文件”菜單下的“添加/刪除管理單元”命令，如圖3所示。

圖3

打開下如圖4所示的窗口：

圖4

單擊此窗口中的“添加”按鈕，彈出如下如圖5所示的窗口。

圖5

從可用的獨立單元中找到“安全配置和分析”選項，單擊“添加”按鈕，單擊“關閉”按鈕，再單擊“確定”按鈕。這時會看到下如圖6所示的窗口。

圖6

下面我們需要創建一個數據庫。在上圖所示窗口左側的“安全配置和分析”上右擊，選擇“打開數據庫”。如圖7 所示。

圖7

在下如圖8所示的“打開數據庫窗口”中輸入數據庫的名稱，單擊“打開”：

圖8

二、模板化操作
你會注意到一些模板。微軟的網站上有一些關于這些模板所提供內容的信息，大家不妨去看看。不過，一定要選擇一個工作站模板而不是一個服務器模板。工作站模板文件名以“ws”結尾(不是擴展名哦)。如圖9所示。

圖9

用戶也可以從互聯網安全中心得到預定義模板，也可從其它單位，不過用人家的東西最好要嚴格審核，在運用每一個模板之前要清楚其安全設置功能。單擊“操作”菜單，選擇“立即分析計算機”命令，如圖10所示。

圖10

要修改某個設置，可以在右側的窗格中的項目上雙擊，這時會彈出“屬性”窗口，如圖11所示。

圖11

在“屬性”窗口中，用戶可以對選中的項目進行修改。而要禁用設置，可以單擊取消選擇“在數據庫中定義這個策略”復選框。在作了修改之后，就可以保存模板了。在控制臺的“安全配置與分析”容器上單擊一下，然后單擊“操作”菜單下的“導出配置”命令，并為此模板起一個名字。如圖12和13所示。

圖12

圖13

然后用戶可以將這個模板文件復制到其它計算機上，并在整個網絡中都運用這種設置。要將模板中的安全設置運用到工作站中，應當在“安全設置和分析”容器上右擊，選擇“立即配置計算機”。如圖14所示。

圖14

然后輸入錯誤日志文件路徑和文件名，如圖15所示。

圖15

單擊“確定”運用此設置。然后重新啟動計算機，策略也就是被運用了。這只不過是創建強化映象的一個方法。現在用戶只需要用企業的SMS等工具來部署這個映象，也可以使用 secedit.exe所提供的腳本，或者簡單地訪問工作站然后人工手動運用這些改變。使用組策略，管理員可以在整個企業的范圍內從大量的配置設置中選擇，根據下面的成員資格等級可運用于用戶和計算機：本地、站點、域、組織單元。組策略內的安全設置可通過MMC管理單元（它包含著組策略編輯器和安全設置擴展）來編輯或創建新的組策略對象來處理。可用的安全設置依賴于組策略所鏈接的對象類型（例如，域對象和本地對象的設置就不相同）。組策略中的多數安全設置可通過如下方法：單擊“開始”/“運行”，輸入gpedit.msc，打開“組策略”/“計算機配置”/“Windows設置”/“安全設置”而得到。如圖16所示。