要學(xué)習(xí)一點(diǎn)有關(guān)微軟活動(dòng)目錄、組策略和身份識(shí)別與訪問管理等方面的知識(shí)嗎?位于波士頓的FullArmor公司的首席技術(shù)官Danny Kim在1993年第一個(gè)開發(fā)出了Windows策略管理技術(shù)，幫助沃爾瑪商店在Windows 3.1環(huán)境下鎖定展示的PC。后來，微軟、康柏、索尼和其它一些公司都購買了這個(gè)技術(shù)的許可證。Kim還設(shè)計(jì)了首批其它的組策略產(chǎn)品。這些產(chǎn)品后來被NetIQ公司收購了。

　　Kim和SearchWinIT.com網(wǎng)站新聞總監(jiān)Margie Semilof討論了IT部門期待的Vista和Vista SP1軟件的一些變化。

　　Semilof問:Windows管理員在Vista操作系統(tǒng)的組策略中會(huì)看到什么變化?

　　Danny Kim答:微軟在基礎(chǔ)設(shè)施方面沒有做很多努力。他們沒有時(shí)間了。XP SP2有1200至1500個(gè)設(shè)置。Vista大約有3000個(gè)設(shè)置。微軟內(nèi)部有一項(xiàng)不成文的規(guī)定，所有的產(chǎn)品部門必須要在產(chǎn)品中采用組策略技術(shù)。大約80%的新設(shè)置與安全有關(guān)。

　　問:其中增加的最重要的設(shè)置是什么?

　　答:你可以管理一個(gè)用戶賬戶使一個(gè)用戶成為一個(gè)標(biāo)準(zhǔn)的用戶。你可以設(shè)置新的反間諜軟件技術(shù)Windows Defender。我最喜歡的功能是讓IT管理員　實(shí)施設(shè)備隔離控制。微軟認(rèn)為，Windows崩潰的大部分原因是第三方的驅(qū)動(dòng)程序造成的。現(xiàn)在，你可以針對(duì)存儲(chǔ)設(shè)備驅(qū)動(dòng)程序或者PCI驅(qū)動(dòng)程序設(shè)置政策。你可以逐步控制用戶擁有什么并且限制可能暴露的東西。

　　問:這包括鎖定USB端口嗎?

　　答:審計(jì)人員現(xiàn)在詢問客戶應(yīng)該如何阻止信息丟失以及病毒從端點(diǎn)入侵的可能。

　　Vista的組策略有遠(yuǎn)程設(shè)備訪問控制。我可以制定一個(gè)策略，規(guī)定你是否可以再你的機(jī)器上接入一個(gè)USB硬盤。我可以設(shè)置這個(gè)USB硬盤為只讀性質(zhì)的訪問。很多企業(yè)讓人們使用USB存儲(chǔ)設(shè)備，但是，并不允許人們把數(shù)據(jù)帶出去。與Vista中的防火墻功能一起使用，你可以真正封鎖互聯(lián)網(wǎng)訪問。這樣，這些計(jì)算機(jī)只能用于你喜歡的環(huán)境和區(qū)域。

　　微軟還允許利用組策略管理網(wǎng)絡(luò)訪問保護(hù)功能。當(dāng)然，這個(gè)功能需要這個(gè)軟件的服務(wù)器部分才可以工作。

　　問:基礎(chǔ)設(shè)施方面有什么新的東西?

　　答:微軟在組策略中增加了網(wǎng)絡(luò)熟悉內(nèi)容。以前，組策略只在你登錄的時(shí)候才刷新。人們要求提供更及時(shí)的機(jī)制。如果我有一個(gè)要在桌面上使用的安全設(shè)置，我不想等待90分鐘左右的時(shí)間才讓這些設(shè)置應(yīng)用。例如，如果一個(gè)用戶加入了這個(gè)網(wǎng)絡(luò)，系統(tǒng)就會(huì)檢測(cè)到網(wǎng)絡(luò)的變化。如果一個(gè)用戶把他的狀況從聯(lián)網(wǎng)改為無線網(wǎng)絡(luò)，組策略就會(huì)立即刷新。

　　但是，展望一下Vista SP1，這個(gè)軟件將與Longhorn服務(wù)器同時(shí)推出。這個(gè)軟件在使用的方便性方面將提供一些更新。他們將提供預(yù)制的模板，以遵守安全規(guī)定的設(shè)置鎖定工作站。企業(yè)還可以自己制作模板。不用培訓(xùn)每一個(gè)人如何使用組策略，他們可以創(chuàng)建一個(gè)每一個(gè)人都能明白的模板。