巧用MMC强化Windows桌面安全
桌面安全并不仅仅意味着安装了杀毒软件和防火墙那么简单,它还需要不断地强化。桌面安全是多层防御体系中的重要一环,不可或缺。但要实现强化安全的任务,也绝非易事。许多单位的雇员在计算机上拥有很大的自由,可以随意安装所喜欢的软件。更有甚者,在一些大型企业中,在不同的业务部门中,用户们可安装单位并不支持的各种应用程序。这种应用程序环境已经成为业务进程的一部分,虽然这些应用程序从来也没有成为设计周期的一部分。在这种情况下,如何强化桌面的安全也就成为防御体系中最为困难的问题之一。当然,我们的选择还是不少的。如我们可以购买商业产品来管理桌面,还可以使用活动目录的组策略,或者我们可以通过本地安全策略来简单地保护主机。
一、手动操作设置 我们说,单位需求制约或影响着所采用的安全方法。不过,大多数企业需要一种集中化的管理方案来完成这项任务。那么,我们不妨从手动锁定、保护一台工作站开始吧。如图1所示。
图1 点击图片看大图可以看出,在定义本地安全策略时,我们需要设置以下的方面:账户策略、本地策略、事件日志、受限制的组、 系统服务、注册表、文件系统。在拥有了一个可运行的强化映象后,我们就可以在整个企业的范围内部署它。不过,一定要保障基本镜象不能与企业所支持的应用程序相冲突。下面我们请出MMC即微软的管理控制台。单击“开始”/“运行”,在运行框内键入“MMC”,回车。得到如图2所示的空白MMC模板。
图2点击图片看大图单击“文件”菜单下的“添加/删除管理单元”命令,如图3所示。
图3点击图片看大图
打开下如图4所示的窗口:
图4点击图片看大图单击此窗口中的“添加”按钮,弹出如下如图5所示的窗口。
图5点击图片看大图从可用的独立单元中找到“安全配置和分析”选项,单击“添加”按钮,单击“关闭”按钮,再单击“确定”按 钮。这时会看到下如图6所示的窗口。
图6点击图片看大图下面我们需要创建一个数据库。在上图所示窗口左侧的“安全配置和分析”上右击,选择“打开数据库”。如图7 所示。
图7点击图片看大图在下如图8所示的“打开数据库窗口”中输入数据库的名称,单击“打开”:
图8点击图片看大图
二、模板化操作 你会注意到一些模板。微软的网站上有一些关于这些模板所提供内容的信息,大家不妨去看看。 不过,一定要选择一个工作站模板而不是一个服务器模板。工作站模板文件名以“ws”结尾(不是扩展名哦)。如图9所示。
图9点击图片看大图用户也可以从互联网安全中心得到预定义模板,也可从其它单位,不过用人家的东西最好要严格审核,在运用每 一个模板之前要清楚其安全设置功能。单击“操作”菜单,选择“立即分析计算机”命令,如图10所示。
图10点击图片看大图要修改某个设置,可以在右侧的窗格中的项目上双击,这时会弹出“属性”窗口,如图11所示。
[img]http://news.newhua.com/Files/Remoteupfile/2009-1/21/20090121094040782.jpg[/img]
图11点击图片看大图在“属性”窗口中,用户可以对选中的项目进行修改。而要禁用设置,可以单击取消选择“在数据库中定义这个 策略”复选框。在作了修改之后,就可以保存模板了。在控制台的“安全配置与分析”容器上单击一下,然后单击“操作”菜单 下的“导出配置”命令,并为此模板起一个名字。如图12和13所示。
[img]http://news.newhua.com/Files/Remoteupfile/2009-1/21/20090121094040203.jpg[/img]
图12点击图片看大图
[img]http://news.newhua.com/Files/Remoteupfile/2009-1/21/20090121094041802.jpg[/img]
图13点击图片看大图然后用户可以将这个模板文件复制到其它计算机上,并在整个网络中都运用这种设置。要将模板中的安全设置运用到工作站中,应当在“安全设置和分析”容器上右击,选择“立即配置计算机”。如 图14所示。
[img]http://news.newhua.com/Files/Remoteupfile/2009-1/21/20090121094041847.jpg[/img]
图14点击图片看大图然后输入错误日志文件路径和文件名,如图15所示。
[img]http://news.newhua.com/Files/Remoteupfile/2009-1/21/20090121094042293.jpg[/img]
图15单击“确定”运用此设置。然后重新启动计算机,策略也就是被运用了。这只不过是创建强化映象的一个方法。现在用户只需要用企业的SMS等工具来部署这个映象,也可以使用 secedit.exe所提供的脚本,或者简单地访问工作站然后人工手动运用这些改变。使用组策略,管理员可以在整个企业的范围内从大量的配置设置中选择,根据下面的成员资格等级可运用于用户 和计算机:本地、站点、域、组织单元。组策略内的安全设置可通过MMC管理单元(它包含着组策略编辑器和安全设置扩展)来编辑或创建新的组策略对象 来处理。可用的安全设置依赖于组策略所链接的对象类型(例如,域对象和本地对象的设置就不相同)。组策略中的多数安全设置可通过如下方法:单击“开始”/“运行”,输入gpedit.msc,打开“组策略”/“计算 机配置”/“Windows设置”/“安全设置”而得到。如图16所示。
[img]http://news.newhua.com/Files/Remoteupfile/2009-1/21/20090121094042706.jpg[/img]
图16点击图片看大图如果安全管理人员能够用一个强化了安全的映象成功地调整了雇员的工作环境,就可以在极短的时间内在最大程 度上强化桌面的安全。何乐而不为?注:本文实验在Windows xp SP2环境测试通过。