Hvis du må foreta direkte modifikasjoner til lokale regler på Windows-datamaskiner, spesielt i arbeidsgruppemiljøer der Group Policy ikke kan brukes, du i utgangspunktet har to alternativer:
Skriv noen C ++ kode som utnytter IGroupPolicyObject API som beskrevet her
Bruk verktøy skapt av Aaron Margosis, som er beskrevet i og tilgjengelig fra denne linken (og sørg for å bruke den nyeste versjonen av verktøyene funnet på slutten av Arons blogginnlegg)
Deaktivering tjenester for å redusere angrepsflaten
En vanlig "best practice" med tidligere versjoner av Windows var å anbefale administratorer deaktivere eventuelle Windows-tjenester som er "ikke nødvendig i deres miljø" for å "redusere angrepsflaten" på sine datamaskiner. Tanken var at flere tjenester datamaskinene hadde kjører, jo flere porter på nettverket de lyttet til, noe som betyr at flere dører for angripere å banke på. Og hvis en av disse tjenestene hadde en design feil og kan utnyttes på en eller annen måte ... du skjønner poenget.
Så admins ofte gjort det til en vane å deaktivere eventuelle tjenester de trodde deres miljø ikke trenger "bare for å være sikker", for eksempel:
Trenger ikke å skrive noe fra datamaskinen? Deaktiver utskriftskøtjenesten å være trygg.
Du skjønner poenget, og jeg er sikker på at du har sikkert gjort noe sånt som dette i det siste å «gjøre datamaskinen sikrere" fordi jeg vet jeg har. Se figur 2 for et eksempel på en veldig sikker Windows-maskin
Figur 2:. Denne Windows-datamaskin er virkelig sikker! Men bare prøve å bruke den til å få litt arbeid ...
Så skal du gjøre dette? Nei, ikke gjør dette. Hvorfor ikke? Fordi når Microsoft utvikler en versjon av Windows, de kan teste den med et bestemt sett av Windows-tjenester aktivert kalt Out-Of-Box (OOB) konfigurasjon. De trenger ikke teste det med utskriftskøtjenesten deaktivert, eller Windows-brannmuren deaktivert, så hvis du bestemmer deg for å deaktivere eventuelle tjenester som disse som er konfigurert med automatisk oppstart typen, du trår inn i ukjent territorium. Resultatet er at noen funksjoner kanskje ikke fungerer som annonsert, eller kan oppføre seg i merkelige og uventede måter fra tid til annen. Med andre ord, vil datamaskinene bli mindre pålitelig enn hvis du hadde rett og slett standardtjenestene konfigurert som de kom ut av esken.
La meg si det på en annen måte. Så du deaktivert utskriftskøtjenesten å gjøre datamaskinen din sikrere? Gratulerer! Du har akkurat gjort datamaskinen mindre pålitelig!
Oppsummering så langt
Vil du gjøre dine Windows-datamaskiner mindre pålitelige? Skriv direkte til register steder der policyinnstillinger er lagret!
Mer i neste artikkel i denne serien ...
Hvis du ønsker å lese neste del av denne artikkelserien kan du gå til Hvordan vraket din Windows-nettverk (del 2).