新工具確?；顒幽夸洸呗苑习踩?guī)格

你對自己的系統(tǒng)遵守公司安全策略有幾成把握？是不是很有把握、以至于覺得沒有必要審計呢？事實上，在2008年戰(zhàn)略安全調(diào)查當(dāng)中，63%的調(diào)查對象表示，他們所在的公司受到政府或行業(yè)法規(guī)的監(jiān)管。對他們而言，遵守安全策略不是什么小事情。
    確保合規(guī)的一個重要方面是，通過活動目錄之類的系統(tǒng)來執(zhí)行策略；可是一旦你設(shè)定好了各種規(guī)則，就很難確保它們?nèi)匀挥行А杆僮兓募夹g(shù)意味著基礎(chǔ)設(shè)施的改動常常超出了IT人員應(yīng)對變化的能力，從而導(dǎo)致“正式”的公司策略與實際情況之間出現(xiàn)差距。本來就缺乏這種可見性，再加上遠(yuǎn)程員工和分支機構(gòu)，這對管理員來說無疑就是噩夢。
    回到正軌的第一步就是，根據(jù)監(jiān)管法規(guī)來制定相應(yīng)的安全準(zhǔn)則，然后部署活動目錄組策略（Active Directory Group Policy）來執(zhí)行配置——這絕非易事。一旦完成了這一步，IT人員還得證明實現(xiàn)合規(guī)。僅僅定義必要的設(shè)置是不夠的——審計人員期望你能證明規(guī)則得到了正確運用。
    廠商們聲稱，新的活動目錄合規(guī)工具能夠評估策略的有效性，并且為IT部門和業(yè)務(wù)部門增添價值。配置不當(dāng)?shù)脑O(shè)備更有可能出現(xiàn)安全問題，導(dǎo)致數(shù)據(jù)暴露在安全漏洞或者內(nèi)部濫用這些威脅面前。而相對較少的一部分工作站（通常采用非標(biāo)準(zhǔn)設(shè)置，以便用戶擁有很大的控制權(quán)）往往會帶來數(shù)量眾多的病毒和間諜軟件事件。
    要是任何一項技術(shù)承諾有望降低合規(guī)成本，同時大大提高安全性，它就要給出讓人信服的理由。但與大多數(shù)合規(guī)軟件一樣，面對種種炒作，你很難確定其真正價值。每個產(chǎn)品都不一樣，你最不需要的就是另一款名不副實的單點工具。
    別誤會我們的意思——這種工具還是有價值的。不過為了避免掉入這種陷阱：可能給你虛假的安全感，卻沒有任何實際改進(jìn)，那么在選購之前就要打好策略方面的基礎(chǔ)工作，并且調(diào)查分析最新功能。
    你還沒有工具嗎？
    正如大型廠商們承認(rèn)的那樣，微軟公司的活動目錄提供了能夠集中管理端點的內(nèi)置功能。那么，為什么組策略（解決策略和配置管理難題的自帶活動目錄）就達(dá)不到合規(guī)的作用呢？
    組策略是一種功能強大的工具，用于部署策略設(shè)置——微軟已在相對易于使用的圖形用戶界面（GUI）中采用了數(shù)千個配置選項；而且每發(fā)布一款新的操作系統(tǒng)版本，會另外增加數(shù)百個設(shè)置。組策略的底層技術(shù)相當(dāng)強大；已定義的控制措施可應(yīng)用于用戶或設(shè)備；而且間隔一定時間加以更新。
    但是許多問題會阻擋合適的組策略應(yīng)用，比如無意中損壞了本地安全策略文件，或者有些試圖避開控制措施的人故意改動。這些事件僅僅記錄在本地桌面或服務(wù)器上，但除非你收集日志，集中分析日志以查找錯誤——考慮到所需的帶寬和開銷，這項工作不可能在工作站上進(jìn)行，否則IT人員對情況一無所知。另外，事件日志只有助于檢測應(yīng)用程序問題；它們無法驗證控制設(shè)置或者報告違反情況。
    復(fù)雜性也是讓人擔(dān)心的一個問題。策略數(shù)量增加后，人們很容易在配置方面出錯，無論是策略本身方面的錯誤，還是運用多層策略時起作用的優(yōu)先級排序和繼承方面的錯誤。
    安全審計廠商Redspin的首席執(zhí)行官John Abraham說：“你還記得小時候家里控制同一盞燈的兩個電燈開關(guān)嗎？一個開關(guān)總是關(guān)著，另一個開關(guān)總是開著。為了開燈，就要把開著的那個開關(guān)按成關(guān)著，這不是老讓人覺得奇怪嗎？活動目錄中的組策略設(shè)置就是這種情況，只是現(xiàn)在有成百上千個可能的‘開關(guān)’。你怎么知道燈是不是開著？”
    如果你希望策略包括許多非微軟應(yīng)用程序的設(shè)置，情況就更為復(fù)雜了。大多數(shù)公司仍在運行Windows 2003版本的組策略；要是不開發(fā)模板，這個版本的組策略很難輕松指定自定義的注冊表設(shè)置。
    Windows 2008版本給人帶來了希望。它添加的一項重要功能就是組策略首選項（GPP）。GPP增加了可用的配置選項數(shù)量，而且堵住了舊版本存在的好多漏洞，比如不創(chuàng)建自定義的管理模板，就無法管理注冊表設(shè)置。GPP代表了PolicyMaker技術(shù)的最新版本。
    2006年年底，微軟收購了組策略擴展領(lǐng)域的領(lǐng)導(dǎo)廠商：DesktopStandard公司，順便獲得了這項技術(shù)。幸好，PolicyMaker技術(shù)的強大功能完好無損地保留了下來。優(yōu)秀特性包括：增加了數(shù)量的一組預(yù)定義配置項可以解決棘手問題，比如本地帳戶密碼、電源選項、打印機、驅(qū)動器映射和環(huán)境變量等。
    的地方是，它實際上就是免費的；你不必把活動目錄域升級到Windows 2008版本，就可以開始使用它。你只需要一臺安裝了Windows 2008的服務(wù)器或者安裝了Vista的工作站、遠(yuǎn)程服務(wù)器管理工具包，以及部署到現(xiàn)有機器上的一個小小的客戶端更新程序。
    高級組策略管理（AGPM）更是增強了性能，它具有變更管理、恢復(fù)原狀和增強型報告等功能。AGPM由DesktopStandard公司的另一款產(chǎn)品GPOVault移植而來。遺憾的是，微軟利用該工具來竭力推動人們采用Windows Vista——目前，要得到這項誘人的附加功能，惟一的辦法就是獲得“微軟軟件保證桌面優(yōu)化包（Microsoft Desktop Optimization Pack for Software Assurance）。如果你能滿足許可要求，我們強烈建議你利用充分AGPM。
    在一些關(guān)鍵領(lǐng)域，連這些新的組策略工具都無能為力，比如審計、端點驗證以及對非活動目錄計算機的支持。斷斷續(xù)續(xù)連接的工作站也帶來了難題，比如經(jīng)常出差的銷售人員或在家上班的虛擬專用網(wǎng)（VPN）用戶使用的工作站，因為并不總是能夠及時地部署設(shè)置。報告功能僅限于單獨的工作站，必須針對每個設(shè)備來手動創(chuàng)建。
    管理風(fēng)險，而不是管理工具
    隨著活動目錄策略合規(guī)工具數(shù)量激增，有效管理將成為一個挑戰(zhàn)。審計廠商Redspin公司的首席技術(shù)官Brian Hayes表示，他看到一些IT部門購買了太多的監(jiān)控和報告工具，結(jié)果卻管理不了。他說：“有時候，擁有太多工具會適得其反?！?BR>    有什么解決辦法呢？可以運用風(fēng)險管理原則來指導(dǎo)采購。要不要決定部署一款新工具，取決于有沒有有條理的風(fēng)險管理方法。
    弄清楚某款工具適合現(xiàn)有產(chǎn)品組合的情況，這有助于避免“單點產(chǎn)品過多綜合癥”：在這種混亂狀況中，面對一大堆難以管理、考試.大提示又沒有很好集成的控制臺——它們提供重疊或冗余的功能，IT管理員被搞得暈頭轉(zhuǎn)向。
    維護(hù)一定數(shù)量的管理套件是不可避免的，因為沒有哪一款產(chǎn)品解決得了所有合規(guī)問題，但合理的風(fēng)險分類有助于確保你的工具箱沒有失去平衡。
    不會讓你失望的一條指導(dǎo)原則就是：策略放在首位。不管你是決定購買一款套件還是利用公司內(nèi)部的資源，都不要忽視較高層面的治理問題。工具再好，要是沒有精心設(shè)計、得到管理班子支持的安全策略作為后盾，也沒有太大作用。遺憾的是，你在策略方面很可能有工作要做：2008年戰(zhàn)略安全調(diào)查發(fā)現(xiàn)，54%的公司仍沒有落實安全策略。
    如果你還沒有購買這種工具，還是暫時緩一緩為好——你需要證實及制訂必不可少的策略框架。一旦你定義了安全策略，就可以完善決定如何部署策略的技術(shù)設(shè)置。
    在這個過程當(dāng)中，一定要充分利用組策略的功能；而許多公司沒有這么做。如果你希望自己的實際安全狀況得到明顯改善，要做的不僅僅是定義屏幕保護(hù)程序超時值、實施基本的密碼策略，還要開展更深入的工作。
    平息風(fēng)暴
    加強服務(wù)器和工作站的安全勢必會限制用戶的自由，這是一個不可回避的事實。訣竅在于如何在所需的業(yè)務(wù)功能與的安全設(shè)置之間取得平衡。
    如果你的新配置會顯著加大對工作站的限制，就要確認(rèn)已得到管理班子的認(rèn)可，并且根據(jù)策略要求來制訂技術(shù)控制措施，從而對不可避免的強烈反對作好防備。
    這時候，風(fēng)險管理原則可以助一臂之力，因為它們可以提供一種定量的方式來確定哪些控制措施是合理的。
    至于獲得購買這些工具所需的資金，如果你遵守上司的規(guī)定，這可能不成問題。但為了充分利用合規(guī)資金，還是需要事先開展調(diào)查工作。
    不要忽視了大局：全面了解自己的系統(tǒng)在合規(guī)方面存在哪些漏洞，從而確定工具適合整體風(fēng)險管理戰(zhàn)略當(dāng)中的哪些方面。合規(guī)方面沒有巨大壓力的IT部門要獲得批準(zhǔn)可能比較難——盡管IT部門不斷預(yù)測可能出現(xiàn)可怕的安全事件，首席財務(wù)官們不把這當(dāng)回事，這是有道理的；所以要采用有條理的方法，證明你選擇的產(chǎn)品能夠如何應(yīng)對量化風(fēng)險。
    避免基于假設(shè)性的最壞情況場景來計算不明確的投資回報：如果管理班子覺得你的理由有點牽強，你就得不到對方的信任。
    單單工具解決不了你在組策略合規(guī)方面的難題。但要是打下了穩(wěn)固的基礎(chǔ)，合適的產(chǎn)品就能在滿足審計人員的要求、改善端點安全方面起到重要作用。雖然滿足合規(guī)義務(wù)是值得為之努力的目標(biāo)，但更重要的是獲得這樣的信心：策略在有效地保護(hù)資產(chǎn)。
    組策略：取代還是增強？
    活動目錄合規(guī)工具有望提高可見性、簡化管理工作，但廠商采用的方法大不相同。大型套件試圖滿足活動目錄或整個企業(yè)內(nèi)部的多項合規(guī)需求；而比較有針對性的產(chǎn)品旨在滿足網(wǎng)絡(luò)訪問控制、身份管理和日志聚合等特定需求。
    致力于組策略的產(chǎn)品一般走兩條路線當(dāng)中的某一條：一條是通過堵住最常見漏洞的擴展來增強組策略，常常輔以增強型圖形用戶界面和報告功能；另一條是完全用一大批部署和監(jiān)控工具來取代組策略。
    你要決定到底是需要針對組策略的單點產(chǎn)品（IT基礎(chǔ)架構(gòu)中很狹窄但很重要的組件），還是選擇一款更全面的合規(guī)套件，走更具戰(zhàn)略性的道路？你要認(rèn)真研究一下手頭擁有的工具。
    如果你愿意費一點勁，就會發(fā)現(xiàn)需要的核心功能可能已擺在你面前。資產(chǎn)管理套件往往擁有資產(chǎn)清查和報告功能，稍稍配置一番，就能夠收集必要的信息。比方說，微軟的系統(tǒng)管理服務(wù)器（Systems Management Server）中的“期望配置管理器”（Desired Configuration Manager）功能可以用來按照名為“清單”（manifest）的預(yù)定義設(shè)置模板，進(jìn)行審計和報告。
    不過要注意：DCM不適合膽小怕事者，如果你還沒有升級到系統(tǒng)管理服務(wù)器的最新版本：系統(tǒng)中心配置管理器2007（System Center Configuration Manager 2007），更是如此。
    附文：按部就班
    ·下面教你如何在提高端點安全的同時，滿足活動目錄策略合規(guī)需求：
    ·評估風(fēng)險。采用有條理的方法來確定威脅的嚴(yán)重程度，首先著眼于最嚴(yán)重的威脅。
    ·明確定義策略。使用可適用的合規(guī)要求，依賴相關(guān)方面的實踐。
    ·根據(jù)策略來制訂技術(shù)控制措施。充分利用組策略及其他現(xiàn)有工具來執(zhí)行設(shè)置。
    ·堵住漏洞。確定是開發(fā)還是購買能夠處理審計和報告工作的工具。