新工具确保活动目录策略符合安全规格

  　　你对自己的系统遵守公司安全策略有几成把握？是不是很有把握、以至于觉得没有必要审计呢？事实上，在2008年战略安全调查当中，63%的调查对象表示，他们所在的公司受到政府或行业法规的监管。对他们而言，遵守安全策略不是什么小事情。

    确保合规的一个重要方面是，通过活动目录之类的系统来执行策略；可是一旦你设定好了各种规则，就很难确保它们仍然有效——迅速变化的技术意味着基础设施的改动常常超出了IT人员应对变化的能力，从而导致“正式”的公司策略与实际情况之间出现差距。本来就缺乏这种可见性，再加上远程员工和分支机构，这对管理员来说无疑就是噩梦。

    回到正轨的第一步就是，根据监管法规来制定相应的安全准则，然后部署活动目录组策略（Active Directory Group Policy）来执行配置——这绝非易事。一旦完成了这一步，IT人员还得证明实现合规。仅仅定义必要的设置是不够的——审计人员期望你能证明规则得到了正确运用。

    厂商们声称，新的活动目录合规工具能够评估策略的有效性，并且为IT部门和业务部门增添价值。配置不当的设备更有可能出现安全问题，导致数据暴露在安全漏洞或者内部滥用这些威胁面前。而相对较少的一部分工作站（通常采用非标准设置，以便用户拥有很大的控制权）往往会带来数量众多的病毒和间谍软件事件。

    要是任何一项技术承诺有望降低合规成本，同时大大提高安全性，它就要给出让人信服的理由。但与大多数合规软件一样，面对种种炒作，你很难确定其真正价值。每个产品都不一样，你最不需要的就是另一款名不副实的单点工具。

    别误会我们的意思——这种工具还是有价值的。不过为了避免掉入这种陷阱：可能给你虚假的安全感，却没有任何实际改进，那么在选购之前就要打好策略方面的基础工作，并且调查分析最新功能。

    你还没有工具吗？

    正如大型厂商们承认的那样，微软公司的活动目录提供了能够集中管理端点的内置功能。那么，为什么组策略（解决策略和配置管理难题的自带活动目录）就达不到合规的作用呢？

    组策略是一种功能强大的工具，用于部署策略设置——微软已在相对易于使用的图形用户界面（GUI）中采用了数千个配置选项；而且每发布一款新的操作系统版本，会另外增加数百个设置。组策略的底层技术相当强大；已定义的控制措施可应用于用户或设备；而且间隔一定时间加以更新。

    但是许多问题会阻挡合适的组策略应用，比如无意中损坏了本地安全策略文件，或者有些试图避开控制措施的人故意改动。这些事件仅仅记录在本地桌面或服务器上，但除非你收集日志，集中分析日志以查找错误——考虑到所需的带宽和开销，这项工作不可能在工作站上进行，否则IT人员对情况一无所知。另外，事件日志只有助于检测应用程序问题；它们无法验证控制设置或者报告违反情况。

    复杂性也是让人担心的一个问题。策略数量增加后，人们很容易在配置方面出错，无论是策略本身方面的错误，还是运用多层策略时起作用的优先级排序和继承方面的错误。

    安全审计厂商Redspin的首席执行官John Abraham说：“你还记得小时候家里控制同一盏灯的两个电灯开关吗？一个开关总是关着，另一个开关总是开着。为了开灯，就要把开着的那个开关按成关着，这不是老让人觉得奇怪吗？活动目录中的组策略设置就是这种情况，只是现在有成百上千个可能的‘开关’。你怎么知道灯是不是开着？”

    如果你希望策略包括许多非微软应用程序的设置，情况