你认为自己手中掌管的IT系统能够符合企业安全政策的要求吗？你是不是对它胸有成竹，以至于觉得审计工作根本没有必要呢？不过，大多数人可没那么大的口气。在《信息周刊》进行的2008年战略安全调研中，63%的受访者表示，他们所在的组织机构会受到政府或行业法规的监管，对他们而言，合规问题可不是什么无足轻重的小事。
确保合规的关键是通过活动目录（Active Directory）之类的系统来实施企业政策，可问题是，一旦你设置好各种规则，要确保这它们始终保持有效就不那么容易了。IT技术的日新月异，意味着基础设施的变更速度经常超过了IT管理人员应对变化的能力，这导致企业的“官方”政策与现实脱节。本来系统就缺乏能见度，如果再往系统里增加一些远程员工和分支办事处的话，这对系统管理员来说无疑是一场噩梦。
让系统回归正轨的第一步，是根据监管法规的要求制定相应的安全政策，然后部署活动目录组策略，以进行企业政策的配置，这可绝非易事。这个步骤完成后，IT管理人员还得证明政策合规，因为只完成那些必要的设置是不够的，审计人员期望你能够证明相关规则都得到了正确应用。
厂商们自称新出炉的活动目录合规工具能够评测安全政策的有效性，为IT系统和公司业务创造价值。那些配置不当的设备容易产生安全问题，数据漏洞会被外来入侵者利用或被内部员工滥用。在所有的工作站中，采用非标准配置的工作站虽然相对比例较小，但它们往往会引来层出不穷的病毒和间谍软件问题。
如果某种工具软件自称能在降低合规成本的同时，显著地提高系统安全性，那么它必须给出让人信服的理由。在大多数合规软件的宣传广告中，都存在不同程度的水分，因此要弄清楚它们的真正价值确实也有难度。不过，无论如何，企业都应当尽量避免为系统添置名不副实、鸡肋式的单点工具。
当然，我并非是说这些工具一无是处。但值得警惕的是，它们虽然不能给系统带来实质性的改善，但却能让你感受到某种虚假的安全感，所以你得看清这些陷阱。在决定购买某些工具之前，你最好先打好安全政策框架的基础，并且充分利用现有的功能。

畅销软件
在广阔的企业治理、风险管理和合规性（GRC）软件市场中，活动目录政策审计工具可算得上是个利基市场（niche）。从供应商的角度来看，GRC产品已经成为稳定的营收增长源之一，而且相对来说它很少受到恶劣的经济气候造成的预算削减影响。有鉴于此，供应商们进一步强化相关的产品，并将现有产品重新包装后美其名曰“合规解决方案”也就不足为奇了。不幸的是，这个细分市场仍在不断进化中，开发者们争先恐后与最新技术保持同步。由于这些产品的功能差别较大，没有哪两种产品是一模一样的，所以要对它们进行比较有点困难。
针对在整个企业内部满足合规要求的目标，冠群电脑公司（CA）、国际商业机器公司（IBM）、网威公司（Novell）、太阳微系统公司(Sun Microsystems)和赛门铁克公司（Symantec）等大型厂商都推出了功能众多的软件套件，不过，它们并不一定都能处理组策略问题。有些软件套件干脆将组策略管理丢给本地工具去处理，而那些包括某种端点政策审计功能的套件往往又缺乏足够的深度。规模较小的厂商如大修公司（Bigfix）、全甲公司（Fullarmor）、NetIQ公司和 Quest公司提供一些专门针对活动目录的工具，在组策略管理方面这些工具往往具备更全面的功能。
我们的观点是：如果你所在的企业是个环境复杂的庞大机构，那么还是购买功能全面的软件套件为宜，因为这样可以减少所需采购的产品种类。但即便如此，你还是得在薄弱环节进行适当补充。如果你只是想填补一下组策略的合规漏洞，那采用单点工具就会更加合算。