管理风险，而不是管理工具

    随着活动目录策略合规工具数量激增，有效管理将成为一个挑战。审计厂商Redspin公司的首席技术官Brian Hayes表示，他看到一些IT部门购买了太多的监控和报告工具，结果却管理不了。他说：“有时候，拥有太多工具会适得其反。”

    有什么解决办法呢？可以运用风险管理原则来指导采购。要不要决定部署一款新工具，取决于有没有有条理的风险管理方法。

    弄清楚某款工具适合现有产品组合的情况，这有助于避免“单点产品过多综合症”：在这种混乱状况中，面对一大堆难以管理、又没有很好集成的控制台——它们提供重叠或冗余的功能，IT管理员被搞得晕头转向。

    维护一定数量的管理套件是不可避免的，因为没有哪一款产品解决得了所有合规问题，但合理的风险分类有助于确保你的工具箱没有失去平衡。

    不会让你失望的一条指导原则就是：策略放在首位。不管你是决定购买一款套件还是利用公司内部的资源，都不要忽视较高层面的治理问题。工具再好，要是没有精心设计、得到管理班子支持的安全策略作为后盾，也没有太大作用。遗憾的是，你在策略方面很可能有工作要做：2008年战略安全调查发现，54%的公司仍没有落实安全策略。

    如果你还没有购买这种工具，还是暂时缓一缓为好——你需要证实及制订必不可少的策略框架。一旦你定义了安全策略，就可以完善决定如何部署策略的技术设置。

    在这个过程当中，一定要充分利用组策略的功能；而许多公司没有这么做。如果你希望自己的实际安全状况得到明显改善，要做的不仅仅是定义屏幕保护程序超时值、实施基本的密码策略，还要开展更深入的工作。