Hvordan vraket din Windows-nettverk (del 1)

Hvis du må foreta direkte modifikasjoner til lokale regler på Windows-datamaskiner, spesielt i arbeidsgruppemiljøer der Group Policy ikke kan brukes, du i utgangspunktet har to alternativer:

Skriv noen C ++ kode som utnytter IGroupPolicyObject API som beskrevet her

Bruk verktøy skapt av Aaron Margosis, som er beskrevet i og tilgjengelig fra denne linken (og sørg for å bruke den nyeste versjonen av verktøyene funnet på slutten av Arons blogginnlegg)

Deaktivering tjenester for å redusere angrepsflaten

En vanlig "best practice" med tidligere versjoner av Windows var å anbefale administratorer deaktivere eventuelle Windows-tjenester som er "ikke nødvendig i deres miljø" for å "redusere angrepsflaten" på sine datamaskiner. Tanken var at flere tjenester datamaskinene hadde kjører, jo flere porter på nettverket de lyttet til, noe som betyr at flere dører for angripere å banke på. Og hvis en av disse tjenestene hadde en design feil og kan utnyttes på en eller annen måte ... du skjønner poenget.

Så admins ofte gjort det til en vane å deaktivere eventuelle tjenester de trodde deres miljø ikke trenger "bare for å være sikker", for eksempel:

Trenger ikke å skrive noe fra datamaskinen? Deaktiver utskriftskøtjenesten å være trygg.

Ikke bruk Offline Files? Deaktiver Offline Files tjenesten for å være trygg.

Ikke bruk EFS å kryptere filer og mapper på datamaskinen? Deaktiver EFS-tjenesten for å være trygg.

Ved hjelp av en tredjeparts brannmur? Trenger ikke Windows-brannmuren slik deaktivere Base Filtering Engine og Windows brannmur tjenester for å være trygg.

Du skjønner poenget, og jeg er sikker på at du har sikkert gjort noe sånt som dette i det siste å «gjøre datamaskinen sikrere" fordi jeg vet jeg har. Se figur 2 for et eksempel på en veldig sikker Windows-maskin

Figur 2:. Denne Windows-datamaskin er virkelig sikker! Men bare prøve å bruke den til å få litt arbeid ...

Så skal du gjøre dette? Nei, ikke gjør dette. Hvorfor ikke? Fordi når Microsoft utvikler en versjon av Windows, de kan teste den med et bestemt sett av Windows-tjenester aktivert kalt Out-Of-Box (OOB) konfigurasjon. De trenger ikke teste det med utskriftskøtjenesten deaktivert, eller Windows-brannmuren deaktivert, så hvis du bestemmer deg for å deaktivere eventuelle tjenester som disse som er konfigurert med automatisk oppstart typen, du trår inn i ukjent territorium. Resultatet er at noen funksjoner kanskje ikke fungerer som annonsert, eller kan oppføre seg i merkelige og uventede måter fra tid til annen. Med andre ord, vil datamaskinene bli mindre pålitelig enn hvis du hadde rett og slett standardtjenestene konfigurert som de kom ut av esken.

La meg si det på en annen måte. Så du deaktivert utskriftskøtjenesten å gjøre datamaskinen din sikrere? Gratulerer! Du har akkurat gjort datamaskinen mindre pålitelig!

Oppsummering så langt

Vil du gjøre dine Windows-datamaskiner mindre pålitelige? Skriv direkte til register steder der policyinnstillinger er lagret!

Vil du kopiere lokale policyinnstillinger fra en datamaskin til en annen i en arbeidsgruppe? Xcopy de Registry.pol filer, krysser fingrene og håper alt fortsatt fungerer! Det vil ikke skjønt, noe vil trolig bryte.

Vil du gjøre datamaskinene virkelig sikkert? Deaktiver en haug med tjenester som er konfigurert til å starte automatisk som standard. Gratulerer, datamaskinen er nå mer sikker, men mindre pålitelig (og mindre brukbare også)!

Mer i neste artikkel i denne serien ...

Hvis du ønsker å lese neste del av denne artikkelserien kan du gå til Hvordan vraket din Windows-nettverk (del 2).

Previous:Hvordan vraket din Windows-nettverk (del 2)

Next Page:Avansert Deployment (del 2) -. MDT og SCCM