新工具確?；顒?dòng)目錄策略符合安全規(guī)格

你對(duì)自己的系統(tǒng)遵守公司安全策略有幾成把握？是不是很有把握、以至于覺得沒有必要審計(jì)呢？事實(shí)上，在2008年戰(zhàn)略安全調(diào)查當(dāng)中，63%的調(diào)查對(duì)象表示，他們所在的公司受到政府或行業(yè)法規(guī)的監(jiān)管。對(duì)他們而言，遵守安全策略不是什么小事情。
    確保合規(guī)的一個(gè)重要方面是，通過活動(dòng)目錄之類的系統(tǒng)來(lái)執(zhí)行策略；可是一旦你設(shè)定好了各種規(guī)則，就很難確保它們?nèi)匀挥行А杆僮兓募夹g(shù)意味著基礎(chǔ)設(shè)施的改動(dòng)常常超出了IT人員應(yīng)對(duì)變化的能力，從而導(dǎo)致“正式”的公司策略與實(shí)際情況之間出現(xiàn)差距。本來(lái)就缺乏這種可見性，再加上遠(yuǎn)程員工和分支機(jī)構(gòu)，這對(duì)管理員來(lái)說(shuō)無(wú)疑就是噩夢(mèng)。
    回到正軌的第一步就是，根據(jù)監(jiān)管法規(guī)來(lái)制定相應(yīng)的安全準(zhǔn)則，然后部署活動(dòng)目錄組策略（Active Directory Group Policy）來(lái)執(zhí)行配置——這絕非易事。一旦完成了這一步，IT人員還得證明實(shí)現(xiàn)合規(guī)。僅僅定義必要的設(shè)置是不夠的——審計(jì)人員期望你能證明規(guī)則得到了正確運(yùn)用。
    廠商們聲稱，新的活動(dòng)目錄合規(guī)工具能夠評(píng)估策略的有效性，并且為IT部門和業(yè)務(wù)部門增添價(jià)值。配置不當(dāng)?shù)脑O(shè)備更有可能出現(xiàn)安全問題，導(dǎo)致數(shù)據(jù)暴露在安全漏洞或者內(nèi)部濫用這些威脅面前。而相對(duì)較少的一部分工作站（通常采用非標(biāo)準(zhǔn)設(shè)置，以便用戶擁有很大的控制權(quán)）往往會(huì)帶來(lái)數(shù)量眾多的病毒和間諜軟件事件。
    要是任何一項(xiàng)技術(shù)承諾有望降低合規(guī)成本，同時(shí)大大提高安全性，它就要給出讓人信服的理由。但與大多數(shù)合規(guī)軟件一樣，面對(duì)種種炒作，你很難確定其真正價(jià)值。每個(gè)產(chǎn)品都不一樣，你最不需要的就是另一款名不副實(shí)的單點(diǎn)工具。
    別誤會(huì)我們的意思——這種工具還是有價(jià)值的。不過為了避免掉入這種陷阱：可能給你虛假的安全感，卻沒有任何實(shí)際改進(jìn)，那么在選購(gòu)之前就要打好策略方面的基礎(chǔ)工作，并且調(diào)查分析最新功能。
    你還沒有工具嗎？
    正如大型廠商們承認(rèn)的那樣，微軟公司的活動(dòng)目錄提供了能夠集中管理端點(diǎn)的內(nèi)置功能。那么，為什么組策略（解決策略和配置管理難題的自帶活動(dòng)目錄）就達(dá)不到合規(guī)的作用呢？
    組策略是一種功能強(qiáng)大的工具，用于部署策略設(shè)置——微軟已在相對(duì)易于使用的圖形用戶界面（GUI）中采用了數(shù)千個(gè)配置選項(xiàng)；而且每發(fā)布一款新的操作系統(tǒng)版本，會(huì)另外增加數(shù)百個(gè)設(shè)置。組策略的底層技術(shù)相當(dāng)強(qiáng)大；已定義的控制措施可應(yīng)用于用戶或設(shè)備；而且間隔一定時(shí)間加以更新。
    但是許多問題會(huì)阻擋合適的組策略應(yīng)用，比如無(wú)意中損壞了本地安全策略文件，或者有些試圖避開控制措施的人故意改動(dòng)。這些事件僅僅記錄在本地桌面或服務(wù)器上，但除非你收集日志，集中分析日志以查找錯(cuò)誤——考慮到所需的帶寬和開銷，這項(xiàng)工作不可能在工作站上進(jìn)行，否則IT人員對(duì)情況一無(wú)所知。另外，事件日志只有助于檢測(cè)應(yīng)用程序問題；它們無(wú)法驗(yàn)證控制設(shè)置或者報(bào)告違反情況。
    復(fù)雜性也是讓人擔(dān)心的一個(gè)問題。策略數(shù)量增加后，人們很容易在配置方面出錯(cuò)，無(wú)論是策略本身方面的錯(cuò)誤，還是運(yùn)用多層策略時(shí)起作用的優(yōu)先級(jí)排序和繼承方面的錯(cuò)誤。
    安全審計(jì)廠商Redspin的首席執(zhí)行官John Abraham說(shuō)：“你還記得小時(shí)候家里控制同一盞燈的兩個(gè)電燈開關(guān)嗎？一個(gè)開關(guān)總是關(guān)著，另一個(gè)開關(guān)總是開著。為了開燈，就要把開著的那個(gè)開關(guān)按成關(guān)著，這不是老讓人覺得奇怪嗎？活動(dòng)目錄中的組策略設(shè)置就是這種情況，只是現(xiàn)在有成百上千個(gè)可能的‘開關(guān)’。你怎么知道燈是不是開著？”
    如果你希望策略包括許多非微軟應(yīng)用程序的設(shè)置，情況就更為復(fù)雜了。大多數(shù)公司仍在運(yùn)行Windows 2003版本的組策略；要是不開發(fā)模板，這個(gè)版本的組策略很難輕松指定自定義的注冊(cè)表設(shè)置。
    Windows 2008版本給人帶來(lái)了希望。它添加的一項(xiàng)重要功能就是組策略首選項(xiàng)（GPP）。GPP增加了可用的配置選項(xiàng)數(shù)量，而且堵住了舊版本存在的好多漏洞，比如不創(chuàng)建自定義的管理模板，就無(wú)法管理注冊(cè)表設(shè)置。GPP代表了PolicyMaker技術(shù)的最新版本。
    2006年年底，微軟收購(gòu)了組策略擴(kuò)展領(lǐng)域的領(lǐng)導(dǎo)廠商：DesktopStandard公司，順便獲得了這項(xiàng)技術(shù)。幸好，PolicyMaker技術(shù)的強(qiáng)大功能完好無(wú)損地保留了下來(lái)。優(yōu)秀特性包括：增加了數(shù)量的一組預(yù)定義配置項(xiàng)可以解決棘手問題，比如本地帳戶密碼、電源選項(xiàng)、打印機(jī)、驅(qū)動(dòng)器映射和環(huán)境變量等。
    的地方是，它實(shí)際上就是免費(fèi)的；你不必把活動(dòng)目錄域升級(jí)到Windows 2008版本，就可以開始使用它。你只需要一臺(tái)安裝了Windows 2008的服務(wù)器或者安裝了Vista的工作站、遠(yuǎn)程服務(wù)器管理工具包，以及部署到現(xiàn)有機(jī)器上的一個(gè)小小的客戶端更新程序。
    高級(jí)組策略管理（AGPM）更是增強(qiáng)了性能，它具有變更管理、恢復(fù)原狀和增強(qiáng)型報(bào)告等功能。AGPM由DesktopStandard公司的另一款產(chǎn)品GPOVault移植而來(lái)。遺憾的是，微軟利用該工具來(lái)竭力推動(dòng)人們采用Windows Vista——目前，要得到這項(xiàng)誘人的附加功能，惟一的辦法就是獲得“微軟軟件保證桌面優(yōu)化包（Microsoft Desktop Optimization Pack for Software Assurance）。如果你能滿足許可要求，我們強(qiáng)烈建議你利用充分AGPM。
    在一些關(guān)鍵領(lǐng)域，連這些新的組策略工具都無(wú)能為力，比如審計(jì)、端點(diǎn)驗(yàn)證以及對(duì)非活動(dòng)目錄計(jì)算機(jī)的支持。斷斷續(xù)續(xù)連接的工作站也帶來(lái)了難題，比如經(jīng)常出差的銷售人員或在家上班的虛擬專用網(wǎng)（VPN）用戶使用的工作站，因?yàn)椴⒉豢偸悄軌蚣皶r(shí)地部署設(shè)置。報(bào)告功能僅限于單獨(dú)的工作站，必須針對(duì)每個(gè)設(shè)備來(lái)手動(dòng)創(chuàng)建。
    管理風(fēng)險(xiǎn)，而不是管理工具
    隨著活動(dòng)目錄策略合規(guī)工具數(shù)量激增，有效管理將成為一個(gè)挑戰(zhàn)。審計(jì)廠商Redspin公司的首席技術(shù)官Brian Hayes表示，他看到一些IT部門購(gòu)買了太多的監(jiān)控和報(bào)告工具，結(jié)果卻管理不了。他說(shuō)：“有時(shí)候，擁有太多工具會(huì)適得其反?！?BR>    有什么解決辦法呢？可以運(yùn)用風(fēng)險(xiǎn)管理原則來(lái)指導(dǎo)采購(gòu)。要不要決定部署一款新工具，取決于有沒有有條理的風(fēng)險(xiǎn)管理方法。
    弄清楚某款工具適合現(xiàn)有產(chǎn)品組合的情況，這有助于避免“單點(diǎn)產(chǎn)品過多綜合癥”：在這種混亂狀況中，面對(duì)一大堆難以管理、考試.大提示又沒有很好集成的控制臺(tái)——它們提供重疊或冗余的功能，IT管理員被搞得暈頭轉(zhuǎn)向。
    維護(hù)一定數(shù)量的管理套件是不可避免的，因?yàn)闆]有哪一款產(chǎn)品解決得了所有合規(guī)問題，但合理的風(fēng)險(xiǎn)分類有助于確保你的工具箱沒有失去平衡。
    不會(huì)讓你失望的一條指導(dǎo)原則就是：策略放在首位。不管你是決定購(gòu)買一款套件還是利用公司內(nèi)部的資源，都不要忽視較高層面的治理問題。工具再好，要是沒有精心設(shè)計(jì)、得到管理班子支持的安全策略作為后盾，也沒有太大作用。遺憾的是，你在策略方面很可能有工作要做：2008年戰(zhàn)略安全調(diào)查發(fā)現(xiàn)，54%的公司仍沒有落實(shí)安全策略。
    如果你還沒有購(gòu)買這種工具，還是暫時(shí)緩一緩為好——你需要證實(shí)及制訂必不可少的策略框架。一旦你定義了安全策略，就可以完善決定如何部署策略的技術(shù)設(shè)置。
    在這個(gè)過程當(dāng)中，一定要充分利用組策略的功能；而許多公司沒有這么做。如果你希望自己的實(shí)際安全狀況得到明顯改善，要做的不僅僅是定義屏幕保護(hù)程序超時(shí)值、實(shí)施基本的密碼策略，還要開展更深入的工作。
    平息風(fēng)暴
    加強(qiáng)服務(wù)器和工作站的安全勢(shì)必會(huì)限制用戶的自由，這是一個(gè)不可回避的事實(shí)。訣竅在于如何在所需的業(yè)務(wù)功能與的安全設(shè)置之間取得平衡。
    如果你的新配置會(huì)顯著加大對(duì)工作站的限制，就要確認(rèn)已得到管理班子的認(rèn)可，并且根據(jù)策略要求來(lái)制訂技術(shù)控制措施，從而對(duì)不可避免的強(qiáng)烈反對(duì)作好防備。
    這時(shí)候，風(fēng)險(xiǎn)管理原則可以助一臂之力，因?yàn)樗鼈兛梢蕴峁┮环N定量的方式來(lái)確定哪些控制措施是合理的。
    至于獲得購(gòu)買這些工具所需的資金，如果你遵守上司的規(guī)定，這可能不成問題。但為了充分利用合規(guī)資金，還是需要事先開展調(diào)查工作。
    不要忽視了大局：全面了解自己的系統(tǒng)在合規(guī)方面存在哪些漏洞，從而確定工具適合整體風(fēng)險(xiǎn)管理戰(zhàn)略當(dāng)中的哪些方面。合規(guī)方面沒有巨大壓力的IT部門要獲得批準(zhǔn)可能比較難——盡管IT部門不斷預(yù)測(cè)可能出現(xiàn)可怕的安全事件，首席財(cái)務(wù)官們不把這當(dāng)回事，這是有道理的；所以要采用有條理的方法，證明你選擇的產(chǎn)品能夠如何應(yīng)對(duì)量化風(fēng)險(xiǎn)。
    避免基于假設(shè)性的最壞情況場(chǎng)景來(lái)計(jì)算不明確的投資回報(bào)：如果管理班子覺得你的理由有點(diǎn)牽強(qiáng)，你就得不到對(duì)方的信任。
    單單工具解決不了你在組策略合規(guī)方面的難題。但要是打下了穩(wěn)固的基礎(chǔ)，合適的產(chǎn)品就能在滿足審計(jì)人員的要求、改善端點(diǎn)安全方面起到重要作用。雖然滿足合規(guī)義務(wù)是值得為之努力的目標(biāo)，但更重要的是獲得這樣的信心：策略在有效地保護(hù)資產(chǎn)。
    組策略：取代還是增強(qiáng)？
    活動(dòng)目錄合規(guī)工具有望提高可見性、簡(jiǎn)化管理工作，但廠商采用的方法大不相同。大型套件試圖滿足活動(dòng)目錄或整個(gè)企業(yè)內(nèi)部的多項(xiàng)合規(guī)需求；而比較有針對(duì)性的產(chǎn)品旨在滿足網(wǎng)絡(luò)訪問控制、身份管理和日志聚合等特定需求。
    致力于組策略的產(chǎn)品一般走兩條路線當(dāng)中的某一條：一條是通過堵住最常見漏洞的擴(kuò)展來(lái)增強(qiáng)組策略，常常輔以增強(qiáng)型圖形用戶界面和報(bào)告功能；另一條是完全用一大批部署和監(jiān)控工具來(lái)取代組策略。
    你要決定到底是需要針對(duì)組策略的單點(diǎn)產(chǎn)品（IT基礎(chǔ)架構(gòu)中很狹窄但很重要的組件），還是選擇一款更全面的合規(guī)套件，走更具戰(zhàn)略性的道路？你要認(rèn)真研究一下手頭擁有的工具。
    如果你愿意費(fèi)一點(diǎn)勁，就會(huì)發(fā)現(xiàn)需要的核心功能可能已擺在你面前。資產(chǎn)管理套件往往擁有資產(chǎn)清查和報(bào)告功能，稍稍配置一番，就能夠收集必要的信息。比方說(shuō)，微軟的系統(tǒng)管理服務(wù)器（Systems Management Server）中的“期望配置管理器”（Desired Configuration Manager）功能可以用來(lái)按照名為“清單”（manifest）的預(yù)定義設(shè)置模板，進(jìn)行審計(jì)和報(bào)告。
    不過要注意：DCM不適合膽小怕事者，如果你還沒有升級(jí)到系統(tǒng)管理服務(wù)器的最新版本：系統(tǒng)中心配置管理器2007（System Center Configuration Manager 2007），更是如此。
    附文：按部就班
    ·下面教你如何在提高端點(diǎn)安全的同時(shí)，滿足活動(dòng)目錄策略合規(guī)需求：
    ·評(píng)估風(fēng)險(xiǎn)。采用有條理的方法來(lái)確定威脅的嚴(yán)重程度，首先著眼于最嚴(yán)重的威脅。
    ·明確定義策略。使用可適用的合規(guī)要求，依賴相關(guān)方面的實(shí)踐。
    ·根據(jù)策略來(lái)制訂技術(shù)控制措施。充分利用組策略及其他現(xiàn)有工具來(lái)執(zhí)行設(shè)置。
    ·堵住漏洞。確定是開發(fā)還是購(gòu)買能夠處理審計(jì)和報(bào)告工作的工具。