巧用mmc强化windows桌面安全

《巧用mmc强化windows桌面安全》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、巧用MMC强化Windows桌面安全～教育资源库　　桌面安全并不仅仅意味着安装了杀毒软件和防火墙那么简单，它还需要不断地强化。桌面安全是多层防御体系中的重要一环，不可或缺。但要实现强化安全的任务，也绝非易事。许多单位的雇员在计算机上拥有很大的自由，可以随意安装所喜欢的软件。更有甚者，在一些大型企业中，在不同的业务部门中，用户们可安装单位并不支持的各种应用程序。这种应用程序环境已经成为业务进程的一部分，虽然这些应用程序从来也没有成为设计周期的一部分。在这种情况下，如何强化桌面的安全也就成为防御体系中最为困难的问题之一。当然，我们的选择还是不少的。如我

2、们可以购买商业产品来管理桌面，还可以使用活动目录的组策略，或者我们可以通过本地安全策略来简单地保护主机。　　一、手动操作设置　　我们说，单位需求制约或影响着所采用的安全方法。不过，大多数企业需要一种集中化的管理方案来完成这项任务。那么，我们不妨从手动锁定、保护一台工作站开始吧。如图1所示。　　图1　　可以看出，在定义本地安全策略时，我们需要设置以下的方面：账户策略、本地策略、事件日志、受限制的组、系统服务、注册表、文件系统。在拥有了一个可运行的强化映象后，我们就可以在整个企业的范围内部署它。不过，一定要保障基本镜象不能与企业所支持的应用程序相冲突。

3、下面我们请出MMC即微软的管理控制台。单击开始/运行，在运行框内键入MMC，回车。得到如图2所示的空白MMC模板。　　图2　　单击文件菜单下的添加/删除管理单元命令，如图3所示。　　图3　　打开下如图4所示的窗口：　　图4　　单击此窗口中的添加按钮，弹出如下如图5所示的窗口。　　图5　　从可用的独立单元中找到安全配置和分析选项，单击添加按钮，单击关闭按钮，再单击确定按钮。这时会看到下如图6所示的窗口。　　图6　　下面我们需要创建一个数据库。在上图所示窗口左侧的安全配置和分析上右击，选择打开数据库。如图7所示。　　图7　　在下如图8所示的打开数据库窗

4、口中输入数据库的名称，单击打开：　　图8　　二、模板化操作　　你会注意到一些模板。微软的网站上有一些关于这些模板所提供内容的信息，大家不妨去看看。不过，一定要选择一个工作站模板而不是一个服务器模板。工作站模板文件名以ws结尾(不是扩展名哦)。如图9所示。　　图9　　用户也可以从互联网安全中心得到预定义模板，也可从其它单位，不过用人家的东西最好要严格审核，在运用每一个模板之前要清楚其安全设置功能。单击操作菜单，选择立即分析计算机命令，如图10所示。　　图10　　要修改某个设置，可以在右侧的窗格中的项目上双击，这时会弹出属性窗口，如图11所示。　　图1

5、1　　在&ld12下一页友情提醒：，特别！quo;属性窗口中，用户可以对选中的项目进行修改。而要禁用设置，可以单击取消选择在数据库中定义这个策略复选框。在作了修改之后，就可以保存模板了。在控制台的安全配置与分析容器上单击一下，然后单击操作菜单下的导出配置命令，并为此模板起一个名字。如图12和13所示。　　图12　　图13　　然后用户可以将这个模板文件复制到其它计算机上，并在整个网络中都运用这种设置。要将模板中的安全设置运用到工作站中，应当在安全设置和分析容器上右击，选择立即配置计算机。如图14所示。　　图14　　然后输入错误日志文件路径和文件名，如

6、图15所示。　　图15　　单击确定运用此设置。然后重新启动计算机，策略也就是被运用了。这只不过是创建强化映象的一个方法。现在用户只需要用企业的SMS等工具来部署这个映象，也可以使用secedit.exe所提供的脚本，或者简单地访问工作站然后人工手动运用这些改变。使用组策略，管理员可以在整个企业的范围内从大量的配置设置中选择，根据下面的成员资格等级可运用于用户和计算机：本地、站点、域、组织单元。组策略内的安全设置可通过MMC管理单元（它包含着组策略编辑器和安全设置扩展）来编辑或创建新的组策略对象来处理。可用的安全设置依赖于组策略所链接的对象类型（例如

7、，域对象和本地对象的设置就不相同）。组策略中的多数安全设置可通过如下方法：单击开始/运行，输入gpedit.msc，打开组策略/计算机配置/Windows设置/安全设置而得到。如图16所示。　　图16　　如果安全管理人员能够用一个强化了安全的映象成功地调整了雇员的工作环境，就可以在极短的时间内在最大程度上强化桌面的安全。何乐而不为？注：本文实验在WindowsxpSP2环境测试通过。上一页12友情提醒：，特别！