新工具确保活动目录策略符合安全规格

您有多大把握自己的系统符合公司的安全政策？你就这么确定你觉得没必要审计吗？事实上，在2008年的战略安全调查中，63%的受访者表示他们的公司受到政府或行业法规的监管。对他们来说，遵守安全政策不是一件小事。
确保法规遵从性的一个重要方面是通过诸如Active Directory之类的系统来实施策略；然而，一旦你制定了各种规则，就很难确保它们仍然有效——快速变化的技术意味着基础设施的变化往往超出了IT人员应对变化的能力，这导致了“正式”的企业战略与实际情况之间的差距。这种缺乏可见性，再加上远程员工和分支机构，无疑是管理员的噩梦。
回到正轨的第一步是根据监管法规制定相应的安全准则，然后部署Active Directory组策略来执行配置——这绝非易事。这一步完成后，IT人员必须证明合规性。仅仅定义必要的设置是不够的——审计人员希望您证明规则已经被正确应用。
制造商声称，新的Active Directory合规性工具可以评估策略的有效性，并为IT部门和业务部门增加价值。设备配置不当更容易引发安全问题，导致数据暴露于安全漏洞或内部滥用。然而，数量相对较少的工作站(通常具有非标准设置，以便用户有很大的控制权)通常会带来大量的病毒和间谍软件事件。
如果期望任何技术降低合规成本，大幅提高安全性，就必须给出令人信服的理由。但和大多数合规软件一样，面对各种炒作，很难确定其真实价值。每个产品都是不同的，您最不需要的就是另一个名不副实的单点工具。
不要误解我们——这个工具仍然很有价值。但是，为了避免陷入这个陷阱:可能会给你一种虚假的安全感，但没有实际的改善。然后，在购买之前，你要把基础工作打在策略上，调查分析最新的特性。
你还没有工具吗？
正如大型制造商所认可的那样，微软的Active Directory提供了可以集中管理端点的内置功能。那么，组策略(解决策略和配置管理问题的自带active directory)为什么不能实现合规功能呢？
组策略是部署策略设置的强大工具——微软在相对易用的图形用户界面(GUI)中采用了数千个配置选项；而且每发布一个新的操作系统版本，都会增加上百个设置。组策略的底层技术相当强大；定义的控制措施可应用于用户或设备；并定期更新。
但是许多问题会阻碍组策略的正确应用，例如无意中损坏本地安全策略文件，或者被一些试图规避控制措施的人故意更改。这些事件只记录在本地桌面或服务器上，但除非你收集日志并集中分析发现错误——考虑到需要的带宽和开销，这项工作不能在工作站上完成，否则IT人员对情况一无所知。此外，事件日志仅帮助检测应用程序问题；他们不能验证控制设置或报告违规情况。
复杂性也是一个问题。当策略数量增加时，人们很容易在配置中出错，无论是策略本身，还是在应用多层策略时起作用的优先级和继承。
安全审计公司Redspin的CEO约翰·亚伯拉罕说:“你还记得小时候家里控制同一盏灯的两个电灯开关吗？一个开关总是关闭，另一个开关总是打开。为了开灯，关掉开着的开关总是怪怪的。这就是Active Directory中组策略设置的情况，只是现在有数百个可能的“开关”。你怎么知道灯是不是亮着的？”
如果您希望策略包括许多非Microsoft应用程序的设置，情况就更复杂了。大多数公司仍在运行Windows 2003版本的组策略；如果不开发模板，此版本的组策略很难轻松指定自定义注册表设置。
Windows 2008版本带来了希望。一个重要的附加功能是组策略首选项(GPP)。GPP增加了可用配置选项的数量，并阻止了旧版本的许多漏洞，如不创建自定义管理模板就无法管理注册表设置。GPP代表了决策者技术的最新版本。
2006年底，微软收购了组策略扩展的领头羊DesktopStandard Company，顺便收购了这项技术。幸运的是，决策者技术的强大功能仍然完好无损。出色的功能包括:数量增加的预定义配置项目可以解决困难的问题，如本地帐户密码、电源选项、打印机、驱动器映射和环境变量。
的问题在于它实际上是免费的；您不必将Active Directory域升级到Windows 2008版本就可以开始使用它。您只需要一台安装了Windows 2008的服务器或一台安装了Vista的工作站、一个远程服务器管理工具包和一个部署到现有机器上的小型客户端更新程序。
高级组策略管理(AGPM)增强了性能，它具有更改管理、恢复和增强报告的功能。AGPM移植自DesktopStandard公司的另一款产品GPOVault。不幸的是，微软利用这一工具来推动人们采用Windows Vista——目前，获得这一有吸引力的附加功能的唯一途径是获得微软桌面优化包以获得软件保障。如果你能满足许可要求，我们强烈建议你充分利用AGPM。
在一些关键领域，甚至这些新的组策略工具也无能为力，例如审核、端点验证和对非活动目录计算机的支持。间歇性连接的工作站也会带来困难，例如经常出差的销售人员或在家工作的虚拟专用网络(VPN)用户使用的工作站，因为并不总是能够及时部署设置。报告仅限于单个工作站，并且必须为每个设备手动创建。
管理风险，而不是管理工具
随着Active Directory策略合规性工具的激增，有效的管理将成为一项挑战。审计公司Redspin的首席技术官布莱恩·海斯(Brian Hayes)表示，他看到一些it部门购买了太多的监控和报告工具，但他们无法管理这些工具。他说，“有时候，拥有太多工具会适得其反。”
有什么解决办法？风险管理原则可以用来指导采购。您是否决定部署一个新工具取决于是否有一个有组织的风险管理方法。
弄清楚某个工具适合现有产品组合的情况，将有助于避免“过度单点产品综合症”:在这种混乱的情况下，面对大量难以管理、测试、提示且没有很好集成的控制台——它们提供重叠或冗余的功能，IT管理员很困惑。
维护一定数量的管理套件是不可避免的，因为没有一个单一的产品可以解决所有的合规性问题，但合理的风险分类可以帮助确保您的工具箱不会失去平衡。
一个不会让你失望的指导原则是:战略第一。无论你决定买套房还是利用公司内部资源，都不要忽视更高层的治理问题。没有管理团队支持的设计良好的安全策略，再好的工具也不会有太大的效果。不幸的是，你可能在战略方面还有工作要做:2008年战略安全调查发现，54%的公司仍然没有实施他们的安全战略。
如果你还没有购买这个工具，最好先搁置一段时间——你需要验证和制定必要的战略框架。一旦定义了安全策略，就可以改进决定如何部署策略的技术设置。
在这个过程中，我们必须充分利用组策略的功能；而很多公司没有。如果想让自己的实际安全状况得到显著改善，不仅要定义屏保的超时值，还要实施基本的密码策略，还要做更深入的工作。
平息风波
加强服务器和工作站的安全性势必会限制用户的自由，这是无法回避的事实。诀窍在于如何在所需的业务功能和安全设置之间取得平衡。
如果你的新配置会大幅增加对工作站的限制，就要确认已经得到管理团队的批准，并根据战略要求制定技术控制措施，做好不可避免的强烈反对的准备。
此时，风险管理原则可以有所帮助，因为它们可以提供一种定量的方法来确定哪些控制措施是合理的。
至于获得购买这些工具所需的资金，如果你按照老板的规定去做，可能不是问题。但为了充分利用合规资金，还是需要提前开展调查工作。
不要顾此失彼:充分了解自己的系统在合规方面存在哪些漏洞，从而确定该工具适用于整体风险管理策略的哪些方面。合规压力不大的IT部门可能很难获得批准——虽然IT部门不断预测可怕的安全事件的可能性，但CFO不把这当回事也是有道理的；所以用一个有条不紊的方法来证明你选择的产品如何应对量化风险。
避免根据假设的最坏情况计算模棱两可的投资回报率:如果管理团队觉得你的理由有点牵强，你就不会得到对方的信任。
单靠工具无法解决您的组策略合规性问题。但如果打下坚实的基础，合适的产品在满足审计人员的要求和提高端点安全性方面可以发挥重要作用。尽管满足法规遵从性义务是一个值得努力的目标，但更重要的是获得对该策略有效保护资产的信心。
组策略:替换还是增强？
Active Directory合规性工具有望提高可见性并简化管理，但制造商采用的方法却大相径庭。大型套件试图满足Active Directory或整个企业内的多种法规遵从性要求；更有针对性的产品旨在满足网络访问控制、身份管理和日志聚合的特定需求。
专用于组策略的产品一般采取两条路线中的一条:一条是通过阻止最常见漏洞的扩展来加强组策略，通常辅以增强的图形用户界面和报告功能；另一种是用大量的部署和监控工具完全取代组策略。
您想决定是需要一个用于组策略的单点产品(IT基础架构中一个狭窄但重要的组件)还是选择一个更全面的法规遵从性套件并采取一条更具战略性的道路？你应该仔细研究你手头的工具。
如果你愿意付出一点努力，你会发现你需要的核心功能可能已经在你面前了。资产管理套件通常具有资产盘点和报告功能。稍微配置一下，就可以收集到必要的信息了。例如，微软系统管理服务器中的“所需配置管理器”功能可用于根据名为manifest的预定义设置模板进行审计和报告。
不过，请注意:DCM并不适合胆小的人，尤其是如果你还没有升级到最新版本的系统管理服务器:System Center Configuration Manager 2007。
附件:循序渐进
下面介绍如何在满足Active Directory策略合规性要求的同时提高端点安全性:
评估风险。采用系统的方法来确定威胁的严重性，首先关注最严重的威胁。
明确战略。使用适用的合规要求并依赖相关实践。
根据战略制定技术控制措施。充分利用组策略和其他现有工具来执行设置。
…堵塞漏洞。确定是开发还是购买能够处理审计和报告的工具。