警惕IT工具带来的虚假安全感

申请免费试用、咨询电话：400-8352-114

你认为自己手中掌管的IT系统能够符合企业安全政策的要求吗？你是不是对它胸有成竹，以至于觉得审计工作根本没有必要呢？不过，大多数人可没那么大的口气。在进行的2008年战略安全调研中，63%的受访者表示，他们所在的组织机构会受到政府或行业法规的监管，对他们而言，合规问题可不是什么无足轻重的小事。

确保合规的关键是通过活动目录（Active Directory）之类的系统来实施企业政策，可问题是，一旦你设置好各种规则，要确保这它们始终保持有效就不那么容易了。IT技术的日新月异，意味着基础设施的变更速度经常超过了IT管理人员应对变化的能力，这导致企业的“官方”政策与现实脱节。本来系统就缺乏能见度，如果再往系统里增加一些远程员工和分支办事处的话，这对系统管理员来说无疑是一场噩梦。

让系统回归正轨的第一步，是根据监管法规的要求制定相应的安全政策，然后部署活动目录组策略，以进行企业政策的配置，这可绝非易事。这个步骤完成后，IT管理人员还得证明政策合规，因为只完成那些必要的设置是不够的，审计人员期望你能够证明相关规则都得到了正确应用。

厂商们自称新出炉的活动目录合规工具能够评测安全政策的有效性，为IT系统和公司业务创造价值。那些配置不当的设备容易产生安全问题，数据漏洞会被外来入侵者利用或被内部员工滥用。在所有的工作站中，采用非标准配置的工作站虽然相对比例较小，但它们往往会引来层出不穷的病毒和间谍软件问题。

如果某种工具软件自称能在降低合规成本的同时，显著地提高系统安全性，那么它必须给出让人信服的理由。在大多数合规软件的宣传广告中，都存在不同程度的水分，因此要弄清楚它们的真正价值确实也有难度。不过，无论如何，企业都应当尽量避免为系统添置名不副实、鸡肋式的单点工具。

当然，我并非是说这些工具一无是处。但值得警惕的是，它们虽然不能给系统带来实质性的改善，但却能让你感受到某种虚假的安全感，所以你得看清这些陷阱。在决定购买某些工具之前，你最好先打好安全政策框架的基础，并且充分利用现有的功能。

畅销软件

在广阔的企业治理、风险管理和合规性（GRC）软件市场中，活动目录政策审计工具可算得上是个利基市场（niche）。从供应商的角度来看，GRC产品已经成为稳定的营收增长源之一，而且相对来说它很少受到恶劣的经济气候造成的预算削减影响。有鉴于此，供应商们进一步强化相关的产品，并将现有产品重新包装后美其名曰“合规解决方案”也就不足为奇了。不幸的是，这个细分市场仍在不断进化中，开发者们争先恐后与最新技术保持同步。由于这些产品的功能差别较大，没有哪两种产品是一模一样的，所以要对它们进行比较有点困难。

针对在整个企业内部满足合规要求的目标，冠群电脑公司（CA）、国际商业机器公司（IBM）、网威公司（Novell）、太阳微系统公司(Sun Microsystems)和赛门铁克公司（Symantec）等大型厂商都推出了功能众多的软件套件，不过，它们并不一定都能处理组策略问题。有些软件套件干脆将组策略管理丢给本地工具去处理，而那些包括某种端点政策审计功能的套件往往又缺乏足够的深度。规模较小的厂商如大修公司（Bigfix）、全甲公司（Fullarmor）、NetIQ公司和 Quest公司提供一些专门针对活动目录的工具，在组策略管理方面这些工具往往具备更全面的功能。

我们的观点是：如果你所在的企业是个环境复杂的庞大机构，那么还是购买功能全面的软件套件为宜，因为这样可以减少所需采购的产品种类。但即便如此，你还是得在薄弱环节进行适当补充。如果你只是想填补一下组策略的合规漏洞，那采用单点工具就会更加合算。

合理选择

正如那些大型厂商所承认的那样，微软公司（Microsoft，下称微软）的活动目录里已经内置了集中管理端点（endpoint）的功能。那么，为什么不能使用组策略这种活动目录自带的政策和配置管理工具来达到合规的目的呢？

组策略无疑是部署企业政策设置的强大工具，它的用户界面简便易用，还拥有数以千计的选项可供用户自定义设置，并且伴随着微软每个新操作系统的发布，组策略都会增加数以百计的附加设置选项。组策略使用的底层技术相当强大，IT管理人员自定义的控制选项可以用来监控用户和各种设备，并且能够定期刷新。

然而，有些问题可能会影响组策略的正常运作，比如说，有时候本地安全政策文件会由于非人为的原因遭到损坏，而有时候某些想要规避管制的人则会蓄意破坏这些文件。虽然这些事件都会被记录在本地终端或服务器上，但除非你收集日志进行集中分析，找出问题所在，否则即便是IT管理人员也会对情况一无所知。此外，事件日志只在检测应用程序问题时有用，在验证控制选项设置或报告系统缺陷方面它们无能为力。

复杂性也是值得关注的问题。当政策数量增加时，人们很容易在配置时出错，有时是规则本身设置错误，有时是在定义多级政策时，在规定优先级顺序和从属关系方面出错。

安全审计厂商红旋公司（Redspin）的首席执行官（CEO）约翰·亚伯拉罕（John Abraham）解释说：“你还记得家庭中常用的双联开关吗？人们用两个开关控制同一盏灯，一个开关总是处于‘关’的状态，而另一个则总是处于‘开’的状态。如果你开灯时按那个显示为‘开’的开关，那么这个开关将变为‘关’的状态，而灯却是亮着的，这会让你感到有些古怪。活动目录中组策略设置的问题类似而且更为严重，因为那里有成百上千的‘开关’。你怎么能确定某个‘灯’究竟是不是开着的呢？”

如果你还想让企业政策包括一些非微软应用程序的设置，那可谓是雪上加霜，让事情更麻烦了。大多数企业仍然在运行Windows 2003版本的组策略，对这个版本而言，如果IT管理人员不开发管理模板的话，那就很难自定义注册表的设置。

Windows 2008带来了人们期盼已久的一些功能，其中最重要的就是组策略首选项（Group Policy Preferences，GPP）。GPP增加了更多的配置选项，并且对旧版本的一些缺陷进行了弥补，比如说，不创建自定义管理模板就无法管理注册表设置的问题。微软在GPP中运用了从桌面标准公司（DesktopStandard）获得的政策制定技术（PolicyMaker）。桌面标准公司过去曾是组策略扩展工具市场的领头羊，2006年年底被微软收购。谢天谢地，政策制定技术的强大功能被完好无损地保留了下来，比如说，强化的预设值功能可以解决困扰IT管理人员的一些问题，像本地账户密码、电源选项、打印机、驱动器映射以及环境变量等。GPP最大的优点是完全免费，而且你不需要将活动目录域升级到Windows 2008版本就能够使用它。

你只需要一台安装了Windows 2008的服务器或者安装了Vista的工作站、远程服务器管理工具包（Remote Server Administration Toolkit），并在现有机器上部署一个小小的客户端更新程序。

微软推出的另一工具高级组策略管理（Advanced Group Policy Management，AGPM）功能更为强大，它具备变更管理（change management）、回滚（rollback）以及改进过的报表功能。AGPM是由桌面标准公司的另一产品GPOVault移植而来。不幸的是，微软已经将工具作为了Vista的卖点之一，目前企业要得到AGPM的唯一办法，就是参加微软软件保障服务（Software Assurance），获得微软桌面优化软件包（Microsoft Desktop Optimization Pack）。如果你能满足授权要求，我们强烈建议你充分利用AGPM。

在某些关键领域，即使是这些新的组策略工具也无能为力，比如审计、端点验证以及对非活动目录电脑的支持。要管理那些零星散布于各处的工作站（如经常出差的销售人员或在家上班的VPN用户等）也非常困难，因为设置并不总能在每一台工作站上及时更新。那些组策略工具的报表功能仅限于单独的工作站，而且针对每个设备都必须手动生成报表。

因此，我们得出的结论是：组策略可以成为实现合规的强大武器之一，但它并不能解决所有的问题。

工具为用，风险为根

市场上活动目录策略合规工具越来越多，对IT管理人员而言，有效管理多种工具已经成为一项挑战。红旋公司的首席技术官 （CTO）布赖恩·海耶斯（Brian Hayes）说，有些IT部门购买了太多的监测和报告工具，但他们实际上根本管理不了这么多东西。他说：“有时候拥有太多的工具反而会过犹不及。”

上述问题的解决方案是用风险管理原则指导采购，用结构化的风险管理策略来决定是否部署某种新工具。IT管理人员经常碰到的一个问题是“点产品超负荷综合症”，他们身处无数控制台工具组成的迷宫中，杂乱无章工具功能重叠冗余无法有效整合。因此，管理员首先得搞清楚某种新工具是否提供了其他工具所缺少的功能，能否与现有工具组合形成有效互补，这样做可以避免上述症状。没有哪种产品能解决所有的合规问题，所以配置相当数量的管理套件是不可避免的，但适当地分散风险可以确保工具箱不至失衡。

无论怎样，牢记“政策为先”这个指导原则绝对没错的。不管你是决定购买一套新软件还是利用企业现有的资源，都别忽视高层次的企业管理问题。因为即便工具再齐备再强大，如果没有精心设计、管理良好的安全政策作为基础也是无济于事。不幸的是，这个方面的问题相当普遍：我们的2008年策略安全调研发现，54%的组织机构仍然没有合适的安全政策，所以IT管理人员在这方面需要再加把劲。

如果你还没有购买新工具套件，那么最好暂缓行事，先制定好必要的安全政策框架再说。在确定了安全政策之后，你就可以决定部署安全政策的设置细节。在这个过程中，企业应当充分利用组策略功能，但实际上许多IT部门并没有做到这一点。如果你想让系统安全状况有明显的改善，那要做的就不只是定义屏保程序逾时值以及应用基本密码政策等简单的事，你需要进行更加深入的工作。

平息风暴

强化对服务器和工作站的控制必将限制用户的自由，这是无可避免的事。对IT管理人员来说，窍门是在业务功能需求和安全设置优化两者之间取得平衡。如果你的新配置显著增加了对工作站的限制，比如说购买事项需要确认，技术控制也被明确地反映到政策规定之中，那么你对这些措施可能产生的反作用最好有充分的心理准备。风险管理原则会帮助你以定量的方式确定哪些管制措施是合理的。

企业要记住的重点，是找出系统中所有合规漏洞的位置，确定需要购买哪些工具补强，从而使IT系统的风险管理策略更为完整。由于IT管理人员成天嚷着要修补安全漏洞，CFO们早就对此习以为常了，所以如果IT采购没有以合规的名目进行的话，要获得CFO的拨款是很困难的。在这种情况下，你得采用结构化的方法来证明你想采购的产品能够处理何种风险，而且这种风险必须得到量化。如果你只是提交建立在最坏预计基础之上的模糊投资回报率（ROI）计算，那很可能会让管理层觉得你在危言耸听，结果不再信任你。

单独采用工具并不能解决全部的组策略合规难题，但如果你已经打好了稳固的政策框架基础，那合适的工具就可以在满足审计人员要求和改善端点安全方面发挥重要作用。满足合规要求固然是重要目标，但更有意义的是确保安全政策有效地保护资产。

组策略：推倒重来还是查漏补缺？

活动目录合规工具能够提高系统透明度，简化管理流程，但供应商的做法各不相同。功能齐备的软件套件力图解决活动目录或整个企业内的多个合规需求；而更具针对性的产品可以满足网络访问控制（network access control）、身份管理（identity management）和日志聚合（log aggregation）等各种功能需求。

组策略的相关产品一般有两种：一种是提供扩展功能来弥补组策略的常见功能缺陷，通常对用户界面进行强化以及提供报表功能；另一种则推倒重来，用全新的部署和检测工具包来完全取代组策略。

到底是选择针对组策略（IT基础架构中不可忽视的重要组成部分）的单点产品，还是选择功能更齐全的合规套件，走更具战略性的道路，企业必须做一番取舍。如果你愿意花工夫认真研究一下现有的工具，你想要的某些核心功能可能近在咫尺。资产管理套件往往配有清单和报表功能，稍稍配置一番之后就能用来收集必要的信息。举例来说，微软系统管理服务器中的“期望配置管理”（Desired Configuration Manager，DCM）功能可以用来进行审计和生成报表，只要使用一个名叫“清单”（manifest）的预定义设置模板就能做到。(inforweeks)