你对自己的系统遵守公司安全策略有几成把握？是不是很有把握、以至于觉得没有必要审计呢？事实上，在2008年战略安全调查当中，63%的调查对象表示，他们所在的公司受到政府或行业法规的监管。对他们而言，遵守安全策略不是什么小事情。

    确保合规的一个重要方面是，通过活动目录之类的系统来执行策略；可是一旦你设定好了各种规则，就很难确保它们仍然有效——迅速变化的技术意味着基础设施的改动常常超出了IT人员应对变化的能力，从而导致“正式”的公司策略与实际情况之间出现差距。本来就缺乏这种可见性，再加上远程员工和分支机构，这对管理员来说无疑就是噩梦。

    回到正轨的第一步就是，根据监管法规来制定相应的安全准则，然后部署活动目录组策略（Active Directory Group Policy）来执行配置——这绝非易事。一旦完成了这一步，IT人员还得证明实现合规。仅仅定义必要的设置是不够的——审计人员期望你能证明规则得到了正确运用。

    厂商们声称，新的活动目录合规工具能够评估策略的有效性，并且为IT部门和业务部门增添价值。配置不当的设备更有可能出现安全问题，导致数据暴露在安全漏洞或者内部滥用这些威胁面前。而相对较少的一部分工作站（通常采用非标准设置，以便用户拥有很大的控制权）往往会带来数量众多的病毒和间谍软件事件。

    要是任何一项技术承诺有望降低合规成本，同时大大提高安全性，它就要给出让人信服的理由。但与大多数合规软件一样，面对种种炒作，你很难确定其真正价值。每个产品都不一样，你最不需要的就是另一款名不副实的单点工具。

    别误会我们的意思——这种工具还是有价值的。不过为了避免掉入这种陷阱：可能给你虚假的安全感，却没有任何实际改进，那么在选购之前就要打好策略方面的基础工作，并且调查分析最新功能。

    你还没有工具吗？

    正如大型厂商们承认的那样，微软公司的活动目录提供了能够集中管理端点的内置功能。那么，为什么组策略（解决策略和配置管理难题的自带活动目录）就达不到合规的作用呢？

    组策略是一种功能强大的工具，用于部署策略设置——微软已在相对易于使用的图形用户界面（GUI）中采用了数千个配置选项；而且每发布一款新的操作系统版本，会另外增加数百个设置。组策略的底层技术相当强大；已定义的控制措施可应用于用户或设备；而且间隔一定时间加以更新。

    但是许多问题会阻挡合适的组策略应用，比如无意中损坏了本地安全策略文件，或者有些试图避开控制措施的人故意改动。这些事件仅仅记录在本地桌面或服务器上，但除非你收集日志，集中分析日志以查找错误——考虑到所需的带宽和开销，这项工作不可能在工作站上进行，否则IT人员对情况一无所知。另外，事件日志只有助于检测应用程序问题；它们无法验证控制设置或者报告违反情况。

    复杂性也是让人担心的一个问题。策略数量增加后，人们很容易在配置方面出错，无论是策略本身方面的错误，还是运用多层策略时起作用的优先级排序和继承方面的错误。

    安全审计厂商Redspin的首席执行官John Abraham说：“你还记得小时候家里控制同一盏灯的两个电灯开关吗？一个开关总是关着，另一个开关总是开着。为了开灯，就要把开着的那个开关按成关着，这不是老让人觉得奇怪吗？活动目录中的组策略设置就是这种情况，只是现在有成百上千个可能的‘开关’。你怎么知道灯是不是开着？”

    如果你希望策略包括许多非微软应用程序的设置，情况就更为复杂了。大多数公司仍在运行Windows 2003版本的组策略；要是不开发模板，这个版本的组策略很难轻松指定自定义的注册表设置。

    Windows 2008版本给人带来了希望。它添加的一项重要功能就是组策略首选项（GPP）。GPP增加了可用的配置选项数量，而且堵住了旧版本存在的好多漏洞，比如不创建自定义的管理模板，就无法管理注册表设置。GPP代表了PolicyMaker技术的最新版本。

    2006年年底，微软收购了组策略扩展领域的领导厂商：DesktopStandard公司，顺便获得了这项技术。幸好，PolicyMaker技术的强大功能完好无损地保留了下来。优秀特性包括：增加了数量的一组预定义配置项可以解决棘手问题，比如本地帐户密码、电源选项、打印机、驱动器映射和环境变量等。

    最好的地方是，它实际上就是免费的；你不必把活动目录域升级到Windows 2008版本，就可以开始使用它。你只需要一台安装了Windows 2008的服务器或者安装了Vista的工作站、远程服务器管理工具包，以及部署到现有机器上的一个小小的客户端更新程序。

    高级组策略管理（AGPM）更是增强了性能，它具有变更管理、恢复原状和增强型报告等功能。AGPM由DesktopStandard公司的另一款产品GPOVault移植而来。遗憾的是，微软利用该工具来竭力推动人们采用Windows Vista——目前，要得到这项诱人的附加功能，惟一的办法就是获得“微软软件保证桌面优化包（Microsoft Desktop Optimization Pack for Software Assurance）。如果你能满足许可要求，我们强烈建议你利用充分AGPM。

    在一些关键领域，连这些新的组策略工具都无能为力，比如审计、端点验证以及对非活动目录计算机的支持。断断续续连接的工作站也带来了难题，比如经常出差的销售人员或在家上班的虚拟专用网（VPN）用户使用的工作站，因为并不总是能够及时地部署设置。报告功能仅限于单独的工作站，必须针对每个设备来手动创建。

    结论就是：组策略可能是功能强大的合规武器，但满足不了所有要求。