桌面安全并不仅仅意味着安装了杀毒软件和防火墙那么简单，它还需要不断地强化。桌面安全是多层防御体系中的重要一环，不可或缺。但要实现强化安全的任务，也绝非易事。许多单位的雇员在计算机上拥有很大的自由，可以随意安装所喜欢的软件。更有甚者，在一些大型企业中，在不同的业务部门中，用户们可安装单位并不支持的各种应用程序。这种应用程序环境已经成为业务进程的一部分，虽然这些应用程序从来也没有成为设计周期的一部分。在这种情况下，如何强化桌面的安全也就成为防御体系中最为困难的问题之一。当然，我们的选择还是不少的。如我们可以购买商业产品来管理桌面，还可以使用活动目录的组策略，或者我们可以通过本地安全策略来简单地保护主机。

一、手动操作设置

我们说，单位需求制约或影响着所采用的安全方法。不过，大多数企业需要一种集中化的管理方案来完成这项任务。那么，我们不妨从手动锁定、保护一台工作站开始吧。如图1所示。

图1 点击图片看大图 可以看出，在定义本地安全策略时，我们需要设置以下的方面：账户策略、本地策略、事件日志、受限制的组、 系统服务、注册表、文件系统。在拥有了一个可运行的强化映象后，我们就可以在整个企业的范围内部署它。不过，一定要保障基本镜象不能与企业所支持的应用程序相冲突。下面我们请出MMC即微软的管理控制台。单击“开始”/“运行”，在运行框内键入“MMC”，回车。得到如图2所示的空白MMC模板。 图2点击图片看大图 单击“文件”菜单下的“添加/删除管理单元”命令，如图3所示。 图3点击图片看大图

打开下如图4所示的窗口： 图4点击图片看大图 单击此窗口中的“添加”按钮，弹出如下如图5所示的窗口。

图5点击图片看大图 从可用的独立单元中找到“安全配置和分析”选项，单击“添加”按钮，单击“关闭”按钮，再单击“确定”按 钮。这时会看到下如图6所示的窗口。 图6点击图片看大图 下面我们需要创建一个数据库。在上图所示窗口左侧的“安全配置和分析”上右击，选择“打开数据库”。如图7 所示。 图7点击图片看大图 在下如图8所示的“打开数据库窗口”中输入数据库的名称，单击“打开”： 图8点击图片看大图

 

　　

二、模板化操作

你会注意到一些模板。微软的网站上有一些关于这些模板所提供内容的信息，大家不妨去看看。 不过，一定要选择一个工作站模板而不是一个服务器模板。工作站模板文件名以“ws”结尾(不是扩展名哦)。如图9所示。

图9点击图片看大图 用户也可以从互联网安全中心得到预定义模板，也可从其它单位，不过用人家的东西最好要严格审核，在运用每 一个模板之前要清楚其安全设置功能。单击“操作”菜单，选择“立即分析计算机”命令，如图10所示。 图10点击图片看大图 要修改某个设置，可以在右侧的窗格中的项目上双击，这时会弹出“属性”窗口，如图11所示。 图11点击图片看大图 在“属性”窗9 7 3 1 2 4 8 :