我遇到了 Microsoft 发布的用于配置分析的有用工具。它被称为Microsoft Baseline Configuration Analyser 2.0.
我在我的本地实例上下载并运行了它,并收到了一些错误和警告。在安装过程中,它会警告您应该接受 power shell 上发生的一些更改以安装该工具。
考虑到这一点,您认为安装在生产服务器上进行定期检查是否安全?
有没有人以前使用过这个工具并推荐过它?
谢谢。
AskOverflow.Dev
在安装它们之前,我们在办公室进行了同样的辩论,因为我们也使用 Best Practice Analyzer 和 Baseline Security Analyzer。我们每年使用一次它们来为我们的系统设定基线,并检查与我们之前采用的基线相比的问题/变化。
我个人从来没有遇到过问题,但我们从来没有在活动的生产机器上运行它——我们通常在执行年度 DR 测试后在服务器上运行它,所以从技术上讲,它们当时不在使用中。
它们是有用的工具,可以很好地提示您应该寻找什么。然而,它们不应该被当作福音,它提出的任何东西都不应该让你大吃一惊。
有时您会得到需要精确配置才能使应用程序运行的系统,有时这需要不遵循最佳实践 - 但无论如何您都应该记录下来,以便在分析器提出它时您已经知道为什么会这样。
即使您决定运行这些工具——在您完全理解它会产生的影响之前不要改变事情——有时看起来很小的事情可能会产生非常大的影响。请记住,提出的任何建议实际上都只是建议,尽管它们主要是可以遵循的良好做法,但最终由您决定这样做是否可行。
您还提到定期运行这些工具——这些工具只是一个指南,不应该用作您检查的唯一方式——持续监控您的系统、权限和访问,并结合良好实施的变更管理流程将提供您可以在问题出现之前更好地指示问题。