要学习一点有关微软活动目录、组策略和身份识别与访问管理等方面的知识吗?位于波士顿的FullArmor公司的首席技术官Danny Kim在1993年第一个开发出了Windows策略管理技术,帮助沃尔玛商店在Windows 3.1环境下锁定展示的PC。后来,微软、康柏、索尼和其它一些公司都购买了这个技术的许可证。Kim还设计了首批其它的组策略产品。这些产品后来被NetIQ公司收购了。
Kim和SearchWinIT.com网站新闻总监Margie Semilof讨论了IT部门期待的Vista和Vista SP1软件的一些变化。
Semilof问:Windows管理员在Vista操作系统的组策略中会看到什么变化?
Danny Kim答:微软在基础设施方面没有做很多努力。他们没有时间了。XP SP2有1200至1500个设置。Vista大约有3000个设置。微软内部有一项不成文的规定,所有的产品部门必须要在产品中采用组策略技术。大约80%的新设置与安全有关。
问:其中增加的最重要的设置是什么?
答:你可以管理一个用户账户使一个用户成为一个标准的用户。你可以设置新的反间谍软件技术Windows Defender。我最喜欢的功能是让IT管理员 实施设备隔离控制。微软认为,Windows崩溃的大部分原因是第三方的驱动程序造成的。现在,你可以针对存储设备驱动程序或者PCI驱动程序设置政策。你可以逐步控制用户拥有什么并且限制可能暴露的东西。
问:这包括锁定USB端口吗?
答:审计人员现在询问客户应该如何阻止信息丢失以及病毒从端点入侵的可能。
Vista的组策略有远程设备访问控制。我可以制定一个策略,规定你是否可以再你的机器上接入一个USB硬盘。我可以设置这个USB硬盘为只读性质的访问。很多企业让人们使用USB存储设备,但是,并不允许人们把数据带出去。与Vista中的防火墙功能一起使用,你可以真正封锁互联网访问。这样,这些计算机只能用于你喜欢的环境和区域。
微软还允许利用组策略管理网络访问保护功能。当然,这个功能需要这个软件的服务器部分才可以工作。
问:基础设施方面有什么新的东西?
答:微软在组策略中增加了网络熟悉内容。以前,组策略只在你登录的时候才刷新。人们要求提供更及时的机制。如果我有一个要在桌面上使用的安全设置,我不想等待90分钟左右的时间才让这些设置应用。例如,如果一个用户加入了这个网络,系统就会检测到网络的变化。如果一个用户把他的状况从联网改为无线网络,组策略就会立即刷新。
但是,展望一下Vista SP1,这个软件将与Longhorn服务器同时推出。这个软件在使用的方便性方面将提供一些更新。他们将提供预制的模板,以遵守安全规定的设置锁定工作站。企业还可以自己制作模板。不用培训每一个人如何使用组策略,他们可以创建一个每一个人都能明白的模板。
