Microsoft Baseline Configuration Analyzer em produção

Tivemos o mesmo debate em nosso escritório antes de instalá-los, pois também usamos o Best Practice Analyzer e o Baseline Security Analyzer. Nós os usamos uma vez por ano para estabelecer a linha de base de nossos sistemas e verificar se há problemas/alterações em comparação com as linhas de base anteriores que adotamos.

Eu nunca tive um problema com eles pessoalmente, mas nunca o executamos em uma máquina de produção ativa - normalmente o executamos nos servidores depois de realizarmos nosso teste anual de DR, para que eles não estejam tecnicamente em uso no momento.

Eles são ferramentas úteis e podem dar uma boa dica sobre o que você deve procurar. No entanto, eles não devem ser tomados como evangelho e qualquer coisa que surja realmente não deve ser uma grande surpresa para você.

Às vezes, você obterá sistemas que exigem uma configuração precisa para que um aplicativo funcione, às vezes isso requer não seguir uma prática recomendada - mas você deve ter documentado isso de qualquer maneira para que, quando o analisador o levantar, você já saiba por que é assim.

Mesmo se você decidir executar as ferramentas - não mude as coisas antes de entender completamente o impacto que isso terá - às vezes algo que parece tão pequeno pode ter um impacto muito grande. Lembre-se, tudo o que surge é realmente apenas uma recomendação e, embora no geral sejam boas práticas a serem seguidas, é você quem decide se é viável fazê-lo ou não.

Além disso, você mencionou executá-los regularmente - essas ferramentas são apenas uma diretriz e não devem ser usadas como sua única forma de verificação - o monitoramento contínuo de seus sistemas, permissões e acesso em conjunto com um processo de gerenciamento de mudanças bem implementado fornecerá uma indicação melhor dos problemas antes que eles surjam.