企业安全策略推倒重来还是查漏补缺

申请免费试用、咨询电话：400-8352-114

企业安全策略推倒重来还是查漏补缺1

你认为自己手中掌管的IT系统能够符合企业安全政策的要求吗？你是不是对它胸有成竹，以至于觉得审计工作根本没有必要呢？不过，大多数人可没那么大的口气。在有关媒体进行的2008年战略安全调研中，63%的受访者表示，他们所在的组织机构会受到政府或行业法规的监管，对他们而言，合规问题可不是什么无足轻重的小事。

确保合规的关键是通过活动目录（Active Directory）之类的系统来实施企业政策，可问题是，一旦你设置好各种规则，要确保这它们始终保持有效就不那么容易了。IT技术的日新月异，意味着基础设施的变更速度经常超过了IT管理人员应对变化的能力，这导致企业的“官方”政策与现实脱节。本来系统就缺乏能见度，如果再往系统里增加一些远程员工和分支办事处的话，这对系统管理员来说无疑是一场噩梦。

让系统回归正轨的第一步，是根据监管法规的要求制定相应的安全政策，然后部署活动目录组策略，以进行企业政策的配置，这可绝非易事。这个步骤完成后，IT管理人员还得证明政策合规，因为只完成那些必要的设置是不够的，审计人员期望你能够证明相关规则都得到了正确应用。

厂商们自称新出炉的活动目录合规工具能够评测安全政策的有效性，为IT系统和公司业务创造价值。那些配置不当的设备容易产生安全问题，数据漏洞会被外来入侵者利用或被内部员工滥用。在所有的工作站中，采用非标准配置的工作站虽然相对比例较小，但它们往往会引来层出不穷的病毒和间谍软件问题。

如果某种工具软件自称能在降低合规成本的同时，显著地提高系统安全性，那么它必须给出让人信服的理由。在大多数合规软件的宣传广告中，都存在不同程度的水分，因此要弄清楚它们的真正价值确实也有难度。不过，无论如何，企业都应当尽量避免为系统添置名不副实、鸡肋式的单点工具。

当然，我并非是说这些工具一无是处。但值得警惕的是，它们虽然不能给系统带来实质性的改善，但却能让你感受到某种虚假的安全感，所以你得看清这些陷阱。在决定购买某些工具之前，你最好先打好安全政策框架的基础，并且充分利用现有的功能。

畅销软件

在广阔的企业治理、风险管理和合规性（GRC）软件市场中，活动目录政策审计工具可算得上是个利基市场（niche）。从供应商的角度来看，GRC产品已经成为稳定的营收增长源之一，而且相对来说它很少受到恶劣的经济气候造成的预算削减影响。有鉴于此，供应商们进一步强化相关的产品，并将现有产品重新包装后美其名曰“合规解决方案”也就不足为奇了。不幸的是，这个细分市场仍在不断进化中，开发者们争先恐后与最新技术保持同步。由于这些产品的功能差别较大，没有哪两种产品是一模一样的，所以要对它们进行比较有点困难。

针对在整个企业内部满足合规要求的目标，冠群电脑公司（CA）、国际商业机器公司（IBM）、网威公司（Novell）、太阳微系统公司(Sun Microsystems)和赛门铁克公司（Symantec）等大型厂商都推出了功能众多的软件套件，不过，它们并不一定都能处理组策略问题。有些软件套件干脆将组策略管理丢给本地工具去处理，而那些包括某种端点政策审计功能的套件往往又缺乏足够的深度。规模较小的厂商如大修公司（Bigfix）、全甲公司（Fullarmor）、NetIQ公司和 Quest公司提供一些专门针对活动目录的工具，在组策略管理方面这些工具往往具备更全面的功能。

我们的观点是：如果你所在的企业是个环境复杂的庞大机构，那么还是购买功能全面的软件套件为宜，因为这样可以减少所需采购的产品种类。但即便如此，你还是得在薄弱环节进行适当补充。如果你只是想填补一下组策略的合规漏洞，那采用单点工具就会更加合算。

合理选择

正如那些大型厂商所承认的那样，微软公司（Microsoft，下称微软）的活动目录里已经内置了集中管理端点（endpoint）的功能。那么，为什么不能使用组策略这种活动目录自带的政策和配置管理工具来达到合规的目的呢？

组策略无疑是部署企业政策设置的强大工具，它的用户界面简便易用，还拥有数以千计的选项可供用户自定义设置，并且伴随着微软每个新操作系统的发布，组策略都会增加数以百计的附加设置选项。组策略使用的底层技术相当强大，IT管理人员自定义的控制选项可以用来监控用户和各种设备，并且能够定期刷新。

然而，有些问题可能会影响组策略的正常运作，比如说，有时候本地安全政策文件会由于非人为的原因遭到损坏，而有时候某些想要规避管制的人则会蓄意破坏这些文件。虽然这些事件都会被记录在本地终端或服务器上，但除非你收集日志进行集中分析，找出问题所在，否则即便是IT管理人员也会对情况一无所知。此外，事件日志只在检测应用程序问题时有用，在验证控制选项设置或报告系统缺陷方面它们无能为力。

复杂性也是值得关注的问题。当政策数量增加时，人们很容易在配置时出错，有时是规则本身设置错误，有时是在定义多级政策时，在规定优先级顺序和从属关系方面出错。

安全审计厂商红旋公司（Redspin）的首席执行官（CEO）约翰·亚伯拉罕（John Abraham）解释说：“你还记得家庭中常用的双联开关吗？人们用两个开关控制同一盏灯，一个开关总是处于‘关’的状态，而另一个则总是处于‘开’的状态。如果你开灯时按那个显示为‘开’的开关，那么这个开关将变为‘关’的状态，而灯却是亮着的，这会让你感到有些古怪。活动目录中组策略设置的问题类似而且更为严重，因为那里有成百上千的‘开关’。你怎么能确定某个‘灯’究竟是不是开着的呢？”

如果你还想让企业政策包括一些非微软应用程序的设置，那可谓是雪上加霜，让事情更麻烦了。大多数企业仍然在运行Windows 2003版本的组策略，对这个版本而言，如果IT管理人员不开发管理模板的话，那就很难自定义注册表的设置。

Windows 2008带来了人们期盼已久的一些功能，其中最重要的就是组策略首选项（Group Policy Preferences，GPP）。GPP增加了更多的配置选项，并且对旧版本的一些缺陷进行了弥补，比如说，不创建自定义管理模板就无法管理注册表设置的问题。微软在GPP中运用了从桌面标准公司（DesktopStandard）获得的政策制定技术（PolicyMaker）。桌面标准公司过去曾是组策略扩展工具市场的领头羊，2006年年底被微软收购。谢天谢地，政策制定技术的强大功能被完好无损地保留了下来，比如说，强化的预设值功能可以解决困扰 IT管理人员的一些问题，像本地账户密码、电源选项、打印机、驱动器映射以及环境变量等。GPP最大的优点是完全免费，而且你不需要将活动目录域升级到 Windows 2008版本就能够使用它。你只需要一台安装了Windows 2008的服务器或者安装了Vista的工作站、远程服务器管理工具包（Remote Server Administration Toolkit），并在现有机器上部署一个小小的客户端更新程序。

微软推出的另一工具高级组策略管理（Advanced Group Policy Management，AGPM）功能更为强大，它具备变更管理（change management）、回滚（rollback）以及改进过的报表功能。AGPM是由桌面标准公司的另一产品GPOVault移植而来。不幸的是，微软已经将工具作为了Vista的卖点之一，目前企业要得到AGPM的唯一办法，就是参加微软软件保障服务（Software Assurance），获得微软桌面优化软件包（Microsoft Desktop Optimization Pack）。如果你能满足授权要求，我们强烈建议你充分利用AGPM。

在某些关键领域，即使是这些新的组策略工具也无能为力，比如审计、端点验证以及对非活动目录电脑的支持。要管理那些零星散布于各处的工作站（如经常出差的销售人员或在家上班的VPN用户等）也非常困难，因为设置并不总能在每一台工作站上及时更新。那些组策略工具的报表功能仅限于单独的工作站，而且针对每个设备都必须手动生成报表。

因此，我们得出的结论是：组策略可以成为实现合规的强大武器之一，但它并不能解决所有的问题。