恼人的安全问题

保护您公司的信息安全是一项大工程，而且还有可能让你不受用户的欢迎。一般来说，您将网络封锁得越严密，网络的管理工作就越麻烦，因为最终用户和你都不得不进行一些重复的工作。但是这种痛苦是可以减轻的——通常依靠实施自动化技术就能做到。让我们看一下6个常见的令人烦恼的安全问题，以及有哪些实际和有效的办法来克服它们。

密码重置
为忘记密码的用户重置密码对于每个管理员来说都是个麻烦事。META Group的调查显示，这种费力不讨好的任务本身就会为拥有10,000名用户的公司带来每年超过50万美元的成本（http://www.microsoft.com/technet/security/guidance/identitymanagement/idmanage/p2pass.mspx）。但是我们有办法来减少甚至消除这个问题。我最喜欢的解决办法是使用电休克疗法。只要对键盘连线进行小小的改动，然后对设备驱动程序做点手脚，您就可以在用户输错密码时向他们的神经系统释放出120伏的行为改变电流。两次电击之后，您的问题就解决了！

您可以通过不这么暴力的行为修正办法来训练您的用户，让他们记住密码。我所找到的最有效的记忆密码的技巧是，使用用户能够记住的某个句子中的各单词首字母来创建密码。您需要使用一个有适当的名词和数字的句子，以便通过这个办法生成带有大写字母和非字母字符的复杂密码。您可以让用户自己想个句子，但我曾成功地让用户使用根据我选择的句子所生成的密码。通过这种方法来指定密码有一个额外的好处是能为您带来心理上的愉悦，因为您可以强迫用户在心里默念您对他们的个性或外貌的坦白看法。当然，如果您公司有一条令人讨厌的规定要求您不应该知道所有人的密码（就像您不能运行密码破解器一样，对吧？），那么您可能不得不寻求其它的替代办法。

让我们考虑一下使用自动化密码重置工具。重置用户的密码是个相当简单的公式化过程：验证请求重置密码的用户的身份，找到他或她的账号，然后重置密码。为什么不让这个过程自动进行呢？市场上已经有各种各样的自助式密码重置解决方案，可以帮助您减轻负担。在您考虑这个方案能够节省IT人员多少时间的时候，要确定方案的成本是否合理也并不困难。市场上的这些解决方案提供各种办法让用户重置他们自己的密码，从Web应用程序到基于电话的系统都有。这些产品中包括Avatier Password Station和M-Tech Information Technology的P-Synch。您只要在网上搜索一下“密码重置自助服务（password reset self-service）”即可。

保护手提电脑数据
对手提电脑数据的保护已经越来越多地受到立法者和媒体的关注。当某个机构丢失了包含客户个人信息的手提电脑时，机构不得不承受意外的高额成本，包括通知所有客户资料已泄密，以及由于负面新闻和声誉受损而带来的难以量化的损失。

多年来，我一直在关注这个问题，并关注哪些技术可以降低被盗或丢失手提电脑所带来的风险。许多解决方案在稳定性或管理方面带来的问题要比它们带来的价值多。还有一些解决方案则会使系统运行速度降低，或者太不切实际，因为他们指望用户自己加密和解密文件，或者自己管理加密密钥。我曾让我的客户使用Windows加密文件系统（EFS），但它有不少缺点，例如EFS不支持整个卷的加密，因此未加密的文件夹的数据可能会泄漏。

Windows Vista新的BitLocker Drive Encryption功能可进行整个卷的加密，它与今天大多数商用手提电脑上提供的可信平台模块（Trusted Platform Module，TPM）集成，为手提电脑数据的保护提供最好的全面解决方案。事实上，我认为BitLocker是促使您的手提电脑迁移到Vista的一个最重要的因素。

使用BitLocker时，您需要将硬盘分为两个卷。一个卷很小（只有几兆）并且最初是空的；您将Vista安装在占用驱动器剩余空间的分区上。然后您启用BitLocker并等待它加密整个大的卷。BitLocker在小的卷上安装一个引导装入程序，防止被手提电脑的TPM篡改。当手提电脑启动时，TPM通过在它的防篡改内存中储存的Hash来检查小的引导程序分区是否被修改。如果没有被修改，TPM会允许引导程序装入。引导程序从TPM取得大的卷的加密密钥，并继续在大的加密的卷上引导Vista。这个描述有点简单，但是可以说，我们第一次有手提电脑硬件、防篡改密钥存储和整卷加密全部与操作系统集成在一起，成为我至今见过的最透明、性能最好而且有效的加密解决方案。要了解有关BitLocker的更多信息，请查看“Windows BitLocker Drive Encryption Step-by-Step Guide”（http://www.microsoft.com/technet/windowsvista/library/c61f2a128ae6-4957-b031-97b4d762cf31.mspx）。

有趣的垃圾邮件，奇妙的垃圾邮件
垃圾邮件真是个让人烦恼的东西。近十年来都在困扰着人们，不是吗？我们都讨厌它，而且它是安全的隐患，因为我们很容易会打开包含病毒的附件。

但是，如果您不够小心，您的反垃圾邮件解决方案会变成更大的痛苦。没有任何一个反垃圾邮件解决方案是100%精确的，它会带来两个基本的风险：用户对低捕捉率不满，以及用户对垃圾邮件的误报不满，这两种风险都需要IT人员更多地照料和帮助用户（也就是说支持电话会增加）。

以我的经验，对垃圾邮件有80%的捕捉率是比较合理的；用户不应期望捕捉率达到更高的水平，除非他们希望经常去找回被垃圾邮件过滤器捕捉到的正常电子邮件。许多反垃圾邮件解决方案声称有很高的捕捉率，但是他们并没有提到他们发生误报的统计数字。此外，对于不同的机构甚至不同的用户，捕捉率都是不同的，因为不同行业的特殊内容和用语不一样，用户认为哪些是垃圾邮件的看法也不一样。市场专业人员对于垃圾邮件的看法，与较少同机构外部打交道的技术人员会有很大的不同。

在我看来，发件人策略框架（Sender Policy Framework，SPF）对垃圾邮件的检测最有潜力大大地减少垃圾邮件，但是很少有公司会花时间为他们的DNS域公布SPF记录。在您的域的区域文件中公布的SPF记录正式地声明域的官方SMTP服务器，这样其他机构可以确定那些声称来自您的域的邮件确实是来自于那里。请尽快行动：Internet上有很多不错的安装向导，能够帮助您建立自己的SPF记录——例如http://www.openspf.org。

基于频繁更新签名的垃圾邮件检测方案和基于Bayesian的自我学习式反垃圾邮件同样具有吸引力，但前者曾带给我更好的使用体验。与防病毒解决方案一样，基于签名的垃圾邮件检测方案要求厂商不断监控消息，迅速更新他们的签名数据库，并且同样迅速地将更新后的签名文件推送给客户。假如微软能够更频繁地进行更新的话，Microsoft Exchange的智能邮件筛选器（Intelligent Message Filter，IMF）会是个更好的解决方案。每次我安装IMF更新以后，我都会发现垃圾邮件数目急剧减少，但是无法捕捉的垃圾邮件数目则立即开始攀升。其它一些基于签名的垃圾邮件解决方案，比如St. Bernard Software的ePrism，它们的更新频率更为密集。还有一些反垃圾邮件服务则通过让您的邮件首先通过反垃圾邮件服务的服务器来路由，使您免于安装和维护任何软件。

实施反垃圾邮件解决方案最大的风险恐怕是，由于用户试着去寻找那些显然被反垃圾邮件方案吃掉的邮件消息，用户的支持电话数目会增加。对于任何解决方案，当用户需要找回误报为垃圾邮件的消息时如果需要由您来进行操作的话，那么它带来的问题就会超过所带来的好处。我的建议是只安装这样的反垃圾邮件解决方案，该方案让用户可以容易地访问所有被识别为垃圾邮件的消息——而且最好是通过邮件客户端就能访问。例如，您可以配置IMF和GFI Software的GFI MailEssentials，让它们将所有垃圾邮件放在收件人的垃圾邮件文件夹中。更出色的是，GFI MailEssentials让您为它支持的每种反垃圾邮件方法指定一个不同的文件夹，这样您可以根据邮件归入了哪个文件夹，来确定是哪个方法（例如Bayesian、SPF、实时黑名单——Realtime Blackhole List，RBL）使正常的邮件消息被错误地判定为垃圾邮件。

Wi-Fi安全
我所见过的大部分机构还在使用Wired Equivalent Privacy（WEP）标准或Wi-Fi Protected Access（WPA）预共享密钥（Pre-shared Key，PSK）来保护他们的无线局域网（WLAN）。由于协议本身的弱点和相关的算法，无论您的共享密钥有多强，WEP都不够安全。WPA和WPA2预共享密钥只有当它们的长度至少有22个字符，并且取自很大的字符集时才安全。但是，长的共享密钥对于IT人员和用户来说也很麻烦，因为会带来许多管理和安全方面的问题。由于用户记不住这些密钥，所以经常会有人问你密钥是什么，并且一些用户可能会输错密码。另外，当有新计算机投入使用或者有临时人员到来的时候，您必须让他们访问WLAN。那么如果预共享密钥被泄密的话会发生什么？

解决这个问题的办法是消除它。去掉WPA的预共享密钥（WPA-PSK）。我并不是说要把WPA去掉，只是去掉PSK部分。用802.1x取代预共享密钥验证。通过802.1x，您将访问点（Access Point，AP）配置为通过远程认证拨号用户服务（Remote Authentication Dial-In User Service，RADIUS）与Active Directory（AD）相互作用，以便根据用户和计算机的AD凭证来验证他们。您必须在其中一台Windows服务器上安装Internet验证服务（Internet Authentication Services，IAS），比如在域控制器（DC）上安装；IAS是Windows内置的RADIUS服务器。在安装IAS以后，您通过一些简单的配置让AP与IAS相互联系，很快您的Windows无线客户端就开始使用计算机或用户的凭证来进行WLAN的身份验证。

通过应用一些组策略设置，您可以使验证过程对于您域内计算机的用户保持透明。外部的用户，比如临时员工和顾问，如果需要访问您的WLAN，只需要输入您提供给他们的AD用户名和密码。IAS允许您根据组成员来限制对WLAN和内部有线网络的访问，比如说，您可以将外部顾问限制为只能访问Internet。要了解有关在WLAN中实施802.1x的详细说明，请查看本刊文章“享受WPA和PEAP带来的安全”， 2006年7月。通过用802.1x取代WPA-PSK，您可以利用AD中已经管理的用户账号，让预共享密钥带来的烦恼彻底消失。

恢复文件
备份与恢复是信息安全的一大部分，即使它不是您考虑的首要问题。没有什么比这个更令人讨厌了，你正要创下你最喜欢的计算机游戏的新记录，而这个时候一个不顾及别人的用户打电话过来，发牢骚说他有个文件需要恢复。于是，在哀悼游戏结束的同时，你还必须从舒适的座位中离开，找到合适的磁带，恢复文件，然后通知用户，而如果用户决定确实需要恢复一个星期以前的版本时你又要再次重复这个过程。
停止这种令人抓狂的情况吧！马上获取Microsoft System Center Data Protection Manager（DPM），让用户自己控制恢复过程——只需要通过Windows资源管理器。当您安装了DPM服务器，并在文件服务器上安装相关的代理程序以后，DPM会定期捕捉服务器的快照。它有效地在它的联机Microsoft SQL Server 数据库中存储每个文件的多个版本。微软知识库文章“How to use the End User Recovery functionality of Data Protection Manager in Windows XP”（http://support.microsoft.com/kb/895536）中提到了必须安装一个Hotfix，当您向Windows XP客户端推送这个Hotfix以后，用户将能够直接通过Windows资源管理器浏览服务器上任何文件的可用备份。为了使数据的异地备份更方便，DPM还允许您从DPM数据库备份文件服务器的阴影副本，为您提供磁盘到磁盘到磁带（disk-to-disk-to-tape）的备份方案。要了解更多关于DPM的信息，请访问http://www.microsoft.com。

补丁管理
打补丁的星期二是许多管理员每个月里最不喜欢的一天。而在两次打补丁的日子中间，防范零天漏洞（zero-day vulnerability）让他们更加头痛。为了让你们的补丁管理工作轻松一点，我有三个建议：
• 生命短暂，请不要浪费在手工推送补丁上面。您可以实施Windows Server Update Services（WSUS）或者其它自动化的补丁管理解决方案。WSUS是免费的，但是许多优秀的ISV提供的产品具有比WSUS更强大的功能，提供更广的平台和应用程序支持，并且更容易管理。这些产品包括St. Bernard Software、PatchLink、BigFix、Shavlik Technologies和ScriptLogic。
• 许多管理员不愿意未经测试就推出一个补丁，但是测试是件耗时费力的事情。此外，用户团体往往会在补丁发布后发现有缺陷的补丁。IT人员较少的机构可能会考虑在补丁发布后等上几天，看看微软是否发出警告或进行修订，然后无需进行测试就可以部署它们。
• 有一种特别令人烦恼的漏洞是，没有可以使用的补丁——也就是零天漏洞。许多零天漏洞与特定的文件类型（如.doc、.xls、.ppt、.bmp、.png）或Microsoft Internet Explorer（IE）ActiveX对象相关。越来越多的防病毒厂商迅速地发布针对文件格式漏洞的签名更新，尽管这些漏洞从严格意义上说并不是病毒。如果您使用多种防病毒引擎来防护携带有零天漏洞的文件，那么您往往会在补丁可用之前，得到充分的保护，免受这些文件携带的零天漏洞影响。找出ActiveX相关漏洞的最简单的办法是在ActiveX控件上设置Kill Bit。我创建了一个管理模板，您可以将组策略与它一起使用，以便在短时间内为上千台计算机的ActiveX控件设置Kill Bit。您可以在http://www.ultimatewindowssecurity.com/killbit.asp找到该模板以及一个演示如何设置它的视频文件。

行动起来吧！
对于许多令人烦恼的安全问题来说，解决的关键都在于实施自动化或者新技术，但是这种项目往往会被搁置，因为它们需要进行初始的设置或是由于购买的费用所至。但是，如果无法解决这些问题并使任务自动化，将会使IT部门的行动越来越迟缓，被旧技术和手工过程拖累，从而导致生产力越来越低。那些成功登上险峰的IT部门最初只是希望消除本文开头提到令人头痛的IT问题，但长远来说却得到很好的收获。现在在办公室里呆上几个周末，将会让您节省将来许多个夜晚和周末的时间。