苏荣菠1 廖海亮1 吴彬2 阮慧星3
(1广西电网有限责任公司百色供电局; 2田阳供电公司;3田东供电公司 广西百色 533000)
摘要:使用桌面管理系统,可以实现桌面终端的标准化管理,解决桌面终端安全管理问题,提升信息运行维护部门的工作效率,规范员工操作行为。本文探讨了如何利用桌面管理系统进行内网终端注册表安全配置、推送屏保程序宣传信息化工作、管控软件安装。
关键字:桌面管理系统;注册表修改;屏保推送;文件分发;管控软件安装
1.引言
供电企业内网终端数量庞大,地点分散,个别营业厅地处偏僻计,而在编的信息运维人员数量较少,难以处理与日俱增的桌面运维事件单数量和维护分散的桌面终端。如果对分散的终端进行单独安全配置,不仅工作量大,而且配置完成后也无法对桌面终端进行后续的跟踪和控制。传统的管理方式导致安全配置得不到统一和有效控制,对资产信息采集统计与远程监控手段不足,用户行为难以控制,存在引发信息安全事件的风险,终端维护成本较高等制约和影响信息化健康持续发展。
对于桌面管理系统的应用,除了移动介质管理配置了统一安全策略外,其他功能的实用化程度并不高。桌面管理系统推送策略的优点是批量推送、反复触发和行为审计。批量推送可以大大提高工作效率,反复触发是指终端每次重启电脑后都会重新触发安全策略,这就保证了对终端配置的持续管控,行为审计使信息运维人员对内网终端的违规行为了如指掌。本文列举了几个利用桌面管理系统对桌面终端进行统一的安全策略配置并下发的案例,实现对内网终端的高效集中管理。
2.统一规范注册表安全策略
根据某电网公司信息设备安全配置基线,其中对于桌面终端安全配置的基线要求就有18项,如果每次有新入网的桌面终端,都要手动去控制面板或者组策略中一一对照配置的话,将是一项非常繁琐低效的工作。然而利用桌面管理系统的注册表检查及修改功能,就能够轻松完成统一的终端安全策略配置。
注册表是Microsoft Windows中的一个重要的数据库,用于存储系统和应用程序的设置信息。修改控制面板或组策略中的配置实际上就是通过修改注册表中的相应键的键值来实现的。利用桌面管理系统的注册表检查的功能模块,可以直接修改内网终端的注册表各键的键值,从而统一设置终端的安全配置。下面举例在桌面管理系统配置一条安全策略,统一控制所有内网桌面终端达到“关闭自动播放功能”的安全配置。其它配置项如“删除本地默认共享”、“禁止远程访问注册表”、“限制匿名登录”、“防止ICMP重定向报文的攻击”等都可以使用相同方法配置。
在桌面管理系统上设置一条相应的注册表管控策略,使所有内网终端的NoDriveTypeAutoRun键值锁定为255,就实现了“关闭自动播放功能”的安全基线配置。
所有内网终端在同步了该条策略时,注册表相应键值就会被锁定为预设值,实现“关闭自动播放功能”的终端安全基线配置。
依此类推,只要能通过注册表来修改的终端安全配置,均可以用桌面管理系统设置一条安全策略推送到内网终端,实现终端安全统一管控。
期刊文章分类查询,尽在期刊图书馆
3.统一推送屏保程序
屏保程序可以作为一种宣传信息化工作的传媒工具,让用户在不知不觉中加深对擦亮1000号服务、4A平台推广等信息化工作成果的印象。
推送屏保程序分为屏保程序文件推送和调用指定的屏保程序文件两个步骤。
首先将屏保图片用屏保制作工具制作成SCR格式的屏幕保护程序文件,将该文件用桌面管理系统的文件分发功能分发到内网终端。然后我们通过修改注册表的方式来调用屏保程序文件。通过查阅资料可知,注册表项HKEY_CURRENT_USER\Control Panel\Desktop下的SCRNSACE.EXE键值设为指定调用的屏幕保护程序文件路径即可。
参照上文的方法,在桌面管理系统设置统一的注册表检查策略,推送到内网终端,可以统一管控内网终端的屏保。
4.统一管理内网终端的软件安装
在某电网开展了软件正版化专项治理工作,此时运用桌面管理系统的软件管理功能就可以轻松掌握内网终端的软件安装情况,并设置软件安装监控策略,禁止非授权软件的安装。下面以禁止安装AutoCAD为例子设置软件监控策略。
登录桌面管理系统→策略中心→基本安全管理→进程及软件管理→软件安装监控→新建策略,输入策略名称为“卸载AutoCAD”,点击“新增”,跳出图2配置项
在软件名输入AutoCAD(此软件名必须与“控制面板-程序和功能”中的名称一致),“控制状态”选“禁止安装软件”,“在以上软件安装违规处理”选“静默卸载”,“提示信息”中填写“该软件为非授权软件,请配合卸载”。
完成设置后,分配策略到指定范围的用户,注意要将安装了此正版软件的用户添加到例外IP中。
内网终端接收到策略后,安装了盗版软件的用户会收到卸载的提示信息“该软件为非授权软件,请配合卸载”,然后强制跳出卸载程序。
运用软件监控策略还能提示用户安装内网必装的准入软件、杀毒软件等,设置方法类似,在此不再赘述。
5.应用效果
(1)规范性。桌面管理系统配置了“不允许SAM账户和共享匿名枚举”、“禁止发送未加密的密码以连接到第三方SMB”、“开启Windows防火墙”、“删除本地默认共享”等11项注册表检查安全策略,达到了对内网终端安全基线配置统一管理的效果。设置了对企信客户端、symantec准入软件以及WPS的内网装机必备软件的安装提示,设置了对AutoCAD、WinRAR等非授权软件的卸载提示以及强制卸载弹框,统一规范管理内网终端的软件安装。除了推送过擦亮1000号宣传屏保以及4A平台宣传屏保外,信息部门也曾配合监察部推送“廉洁从政”系列宣传图片,统一的屏保均起到了积极正面的宣传效果。
(2)高效性。以一个企业1000台终端为例,若需要对入网终端参照终端安全基线配置进行单台配置,假设每台终端需要设置0.5小时,则总共需500小时的工作量。而通过桌面管理系统设置统一安全策略,仅需20小时即可配置完成,大大提高了工作效率。
(3)安全性。配置好的策略可以持续作用于内网终端,防止被用户或者恶意软件篡改已经设置好的安全配置。
6.结语
随着企业网络日益庞大,对桌面终端维护效率提出了更高的要求。桌面管理系统提供了很好的对终端集中管理的技术手段,可以有效监视和控制终端用户的行为以及良好的审计分析,提升终端的安全管理。除了本文描述的功能模块外,仍有许多模块值得挖掘,实现对内网终端的集中高效管理。
参考文献
[1]吴剑雄,桌面管理系统在供电企业内网的部署和应用[J],科技创新与应用.2015(22).
[2]朱凌廷,浅谈桌面安全管理系统与信息网络安全[J].中国新通信.2015(15).
[3]吴宴芳,简析计算机网络桌面安全管理系统在企业内网中的实践[J].科技与创新,2014(19).
[4]白袆花,计算机网络桌面安全管理系统在企业内网的运用分析[J].硅谷,2014(07).
[5]徐林.桌面计算机安全管理与应用[J],电脑编程技巧与维护.2012[16].
作者简介
苏荣菠(1987,7—),男,工程师,学士学位,目前从事信息安全运维工作。
通讯作者
廖海亮(1981,5—),男,工程师,硕士学位,目前从事信息运维管理工作。
论文作者:苏荣菠1,廖海亮1,吴彬2,阮慧星3
论文发表刊物:《电力设备》2016年第11期
论文发表时间:2016/8/23
标签:终端论文; 管理系统论文; 桌面论文; 内网论文; 软件论文; 屏保论文; 注册表论文; 《电力设备》2016年第11期论文;