在决定锁定什么以及允许企业用户使用什么时，最佳做法是什么？

Question 1

回想一下 TRON 的教训。系统应该为用户服务。您的总体目标应该是创建可用的系统，而不会妨碍员工的生产力。请记住，在 IT 领域，我们促进业务发展而不是控制业务。您最好的指导是保持业务平稳运行，并为高效和快乐的最终用户提供完成工作所需的工具。

为了实现这一点，您需要充分了解用户将要做什么。如果用户的日常工作需要的功能比其他人更多或更少，您甚至可能需要将用户分成几组。根据这些组和工作职能制定政策。与从事这项工作的人交谈并了解他们的流程，这样您就可以确保您的系统能够帮助他们完成正常的日常工作。

接下来，请仔细考虑您的安全性。不安全的系统很快就会变成一个漏洞百出、恶意软件泛滥的怪物。完全安全的系统永远不会打开，也完全无法使用。您需要找到的不是中间立场，而是组织中用户需要的平衡点，让他们易于使用、安心无忧。

安全性应尽可能透明，并在激活时向用户提供清晰的反馈。一个很好的例子是运行透明代理的网关/防火墙设备。配置该代理以扫描病毒、阻止恶意软件和阻止垃圾邮件。当代理阻止内容时，您应该向最终用户清楚地说明发生了什么以及为什么发生。不要提供所有技术细节，而要给出一个措辞清晰的解释。有了这种安全性，用户应用程序的设置不需要特殊工作，用户不需要过多考虑安全性，而且您还为网关增加了价值和安全性。

当您最终了解正在进行的工作以及您需要做什么才能安全地促进这项工作时，您可以开始根据所学知识制定政策。确保每个人都知道政策是什么，并尽可能多地获得反馈，以便不断完善您的安全政策和 IT 实践。请注意不要将您的安全政策视为一成不变的。它们必须足够灵活，以允许您的业务根据需要改变方向并保持竞争力，同时保持您的核心安全原则不变。

最后的想法。首先，在安全被破坏之前，任何流程、服务器、设备或事物都不应处于不安全状态。如果你以这种模式工作，那么你已经输了。-祝你好运

Answer

回想一下 TRON 的教训。系统应该为用户服务。您的总体目标应该是创建可用的系统，而不会妨碍员工的生产力。请记住，在 IT 领域，我们促进业务发展而不是控制业务。您最好的指导是保持业务平稳运行，并为高效和快乐的最终用户提供完成工作所需的工具。

为了实现这一点，您需要充分了解用户将要做什么。如果用户的日常工作需要的功能比其他人更多或更少，您甚至可能需要将用户分成几组。根据这些组和工作职能制定政策。与从事这项工作的人交谈并了解他们的流程，这样您就可以确保您的系统能够帮助他们完成正常的日常工作。

接下来，请仔细考虑您的安全性。不安全的系统很快就会变成一个漏洞百出、恶意软件泛滥的怪物。完全安全的系统永远不会打开，也完全无法使用。您需要找到的不是中间立场，而是组织中用户需要的平衡点，让他们易于使用、安心无忧。

安全性应尽可能透明，并在激活时向用户提供清晰的反馈。一个很好的例子是运行透明代理的网关/防火墙设备。配置该代理以扫描病毒、阻止恶意软件和阻止垃圾邮件。当代理阻止内容时，您应该向最终用户清楚地说明发生了什么以及为什么发生。不要提供所有技术细节，而要给出一个措辞清晰的解释。有了这种安全性，用户应用程序的设置不需要特殊工作，用户不需要过多考虑安全性，而且您还为网关增加了价值和安全性。

当您最终了解正在进行的工作以及您需要做什么才能安全地促进这项工作时，您可以开始根据所学知识制定政策。确保每个人都知道政策是什么，并尽可能多地获得反馈，以便不断完善您的安全政策和 IT 实践。请注意不要将您的安全政策视为一成不变的。它们必须足够灵活，以允许您的业务根据需要改变方向并保持竞争力，同时保持您的核心安全原则不变。

最后的想法。首先，在安全被破坏之前，任何流程、服务器、设备或事物都不应处于不安全状态。如果你以这种模式工作，那么你已经输了。-祝你好运

Question 2

您如何决定允许用户控制什么？

根据我的经验，这需要一个委员会。即使组织中有一个单独的信息安全办公室，这种事情在落实实施细节之前也需要很多人的支持。无论您最终使用哪种锁定系统，都需要足够灵活，以便轻松处理总是出现的特殊情况。使用过于生硬的锁定系统（在我看来，AD GPO 属于“过于生硬”），您最终会为了满足少数真正的需求而向广大范围授予例外。

话虽如此，在参加一系列会议之前，您如何制定要限制的事项清单？首先需要设定目标。弄清楚您要通过锁定事项来实现哪些目标。要锁定的事项清单“防止恶意软件感染”不同于“防止商业机密信息泄露”，后者又不同于“防止未经授权的软件安装”。

一旦你有了目标列表，就开始检查你的锁定产品的设置，并弄清楚它能做什么。一些最严格的软件包用于大学计算机实验室，以保持其清洁，并且通常在该环境中有效。这些软件包在企业环境中很少有用，因为它们太过生硬，不适合一般用途。其他产品与 GPO 机制挂钩，以允许相同类型的限制，但以组为基础，这允许比本机 AD 更细粒度的方法。还有一些使用自己的锁定方式。所以要了解你的产品能做什么。

现在您已经列出了想要完成的任务和实际可以做的事情，是时候开始着手解决需要关闭哪些任务了。如果可能的话，请从一项策略开始，该策略实际上规定：“每个用户每天早上都会获得一个新映像的工作站，并且无法对其进行任何更改”，然后从那里开始扩展。有些用户需要持续安装软件。或者 USB 连接的多功能设备。或者多个 Web 浏览器用于与工作相关的目标。弄清楚需要允许哪些事情才能让您的企业正常运转需要一些时间，因此测试也需要考虑在此过程中。

您询问了最佳实践指南。不幸的是，这些指南往往是特定于应用程序的。我见过的最佳实践指南是更笼统、更抽象的内容，例如“防止未经授权的软件安装以最大限度地减少浪费的服务台时间”，而不是“禁用运行提示”。正因为如此，有很多针对 AD GPO 之类的最佳实践指南，而针对 Novell ZenWorks 之类的最佳实践指南则不多。

Answer

您如何决定允许用户控制什么？

根据我的经验，这需要一个委员会。即使组织中有一个单独的信息安全办公室，这种事情在落实实施细节之前也需要很多人的支持。无论您最终使用哪种锁定系统，都需要足够灵活，以便轻松处理总是出现的特殊情况。使用过于生硬的锁定系统（在我看来，AD GPO 属于“过于生硬”），您最终会为了满足少数真正的需求而向广大范围授予例外。

话虽如此，在参加一系列会议之前，您如何制定要限制的事项清单？首先需要设定目标。弄清楚您要通过锁定事项来实现哪些目标。要锁定的事项清单“防止恶意软件感染”不同于“防止商业机密信息泄露”，后者又不同于“防止未经授权的软件安装”。

一旦你有了目标列表，就开始检查你的锁定产品的设置，并弄清楚它能做什么。一些最严格的软件包用于大学计算机实验室，以保持其清洁，并且通常在该环境中有效。这些软件包在企业环境中很少有用，因为它们太过生硬，不适合一般用途。其他产品与 GPO 机制挂钩，以允许相同类型的限制，但以组为基础，这允许比本机 AD 更细粒度的方法。还有一些使用自己的锁定方式。所以要了解你的产品能做什么。

现在您已经列出了想要完成的任务和实际可以做的事情，是时候开始着手解决需要关闭哪些任务了。如果可能的话，请从一项策略开始，该策略实际上规定：“每个用户每天早上都会获得一个新映像的工作站，并且无法对其进行任何更改”，然后从那里开始扩展。有些用户需要持续安装软件。或者 USB 连接的多功能设备。或者多个 Web 浏览器用于与工作相关的目标。弄清楚需要允许哪些事情才能让您的企业正常运转需要一些时间，因此测试也需要考虑在此过程中。

您询问了最佳实践指南。不幸的是，这些指南往往是特定于应用程序的。我见过的最佳实践指南是更笼统、更抽象的内容，例如“防止未经授权的软件安装以最大限度地减少浪费的服务台时间”，而不是“禁用运行提示”。正因为如此，有很多针对 AD GPO 之类的最佳实践指南，而针对 Novell ZenWorks 之类的最佳实践指南则不多。

Question 3

就我个人而言，我认为最好的策略是先把所有事情都看清楚，然后慢慢地开始开放，直到用户可以完成他们的工作。如果有特殊情况（通常都是这样），那么可以在安全的环境中考虑并采取行动。

大多数时候，您所描述的问题（设置共享、发送文件类型、安装设备）通常暗示着可能有更好的方法来实现这一点。

例如：

设置共享 - 为什么没有一个集中的存储库来存放需要访问的文件？发送文件类型 - 我们是否真的充分利用了现有的软件？安装设备 - 所有用户都需要此功能吗？为什么？

我不会将其视为风险与回报系统。想想整个系统是如何运作的，你被要求改进哪些部分，最重要的是为什么这些改变可能是必要的。

Answer

就我个人而言，我认为最好的策略是先把所有事情都看清楚，然后慢慢地开始开放，直到用户可以完成他们的工作。如果有特殊情况（通常都是这样），那么可以在安全的环境中考虑并采取行动。

大多数时候，您所描述的问题（设置共享、发送文件类型、安装设备）通常暗示着可能有更好的方法来实现这一点。

例如：

设置共享 - 为什么没有一个集中的存储库来存放需要访问的文件？发送文件类型 - 我们是否真的充分利用了现有的软件？安装设备 - 所有用户都需要此功能吗？为什么？

我不会将其视为风险与回报系统。想想整个系统是如何运作的，你被要求改进哪些部分，最重要的是为什么这些改变可能是必要的。

Question 4

总体而言，我认为开发人员（和 DBA）根本不应该受到任何锁定。但他们当然应该有权访问锁定的用户帐户进行测试（以及标准桌面版本），否则您将面临风险，即他们会编造出仅适用于他们的机器的东西。

对于一般用户，Raymond Chen 曾说过“政策与安全不同”，在设计任何锁定时都需要牢记这一点。锁定的目的是让那些笨手笨脚的人远离系统的各个部分，因为如果这些部分被篡改，可能会导致支持开销增加，而不是分配权限或限制。因此，请记录这些部分，并从那里开始构建锁定。

你还需要在决策中融入一些常识。除非你有无穷无尽的钱，否则你可能不会备份普通用户的桌面，所以尽你所能阻止他们将文件保存到 C 盘（你可能需要花一些时间说服某些高级经理这样做实际上是较少的将它们保存到网络比将它们保存到网络更安全）。如果服务台人员正在尝试进行一些故障排除，您的锁定会干扰它吗？面向公众的机器是否应该有一套标准化的壁纸？如果允许用户在非面向公众的机器上更改壁纸，这真的很重要吗？

另一件需要深入研究的事情——假设您指的是组策略——是“用户权限分配”节点。我通常拒绝某些用户帐户（例如服务帐户）进行交互式登录。使用通用帐户进行交互式登录是一件坏事，因为您最终会得到毫无价值的审计线索，所以这是您防止它成为问题的机会。

最后，尽可能减少锁定级别。这样可以更轻松地管理，减少 GPO 冲突和其他类似问题的风险。

Answer