在前一篇文章中，我列出了一些影响Windows环境的技术弱点。这些缺陷基本上存在了好些年，并且我认为不会很快得到改变。

　　因此我们知道这些漏洞和修复的工具，为什么我们年年都仍然看到这些相同的旧有Windows服务器问题？简而言之，这是一个复杂的人为问题结果。

　　首先，在多数Windows商店里缺乏标准选择。人们不是在著名的标准上进行Windows服务器配置，而是设置强劲的密码，确保安装最新的补丁。毕竟，“它只是防火墙里的一台服务器，”还能出什么错呢？

　　还有团队责任委托的缺失。Windows管理员理所当然负责所有Windows系统，但这不适合所有案例，只合适小型组织。其他组织里有其他人也有责任。

　　开发者和质量保证团队经常在他们自己的环境里做自己的事。物理安全团队也是一样。其他部门很少有像销售和培训部门提名或拆卸他们自己的Windows服务器。结果呢？一些人说：“我不知道那台服务器的情况……所以没有给它打补丁。”

　　总的来说，在许多应该协调工作的部门之间出现了中断。这不仅使Windows服务器如何变得脆弱，也是安全漏洞让人头痛的原因。

　　此外，通常缺乏安全监督。如下面对话：

　　管理者：“我们的Windows服务器安全吗？”

　　Windows管理员：“当然安全。”

　　虽然服务器可能真的是安全的，但是只在你能证明使用好的漏洞扫描和防御入侵技术揭露黑客能够攻击的地方才是这样。

　　我也看见一些人写了安全策略并强制执行它们。网络管理员成为法官、陪审团和侩子手并不是个好主意。这没有效果并会造成更大的损失。一个小型的、敏捷的安全委员会（合法的、执行管理、HR、遵从、安全和运营）需要作出这些决定。

　　我也已经注意到IT之间的无组织一般含义，人们不知道在任何时间他们所处的位置。这不仅仅归结于旧有系统目录和网络图。许多管理员有许多事要做，但是没有合适的时间管理和目标设置技巧帮助他们。

　　还有就是太聚焦在基本遵从上。任何人都能宣称“我们服从法律或者规则，”但是如果你有一个非技术的执行官或者审计员，通过没有实际洞察或验证的检查清单工作，安全漏洞会被忽视或者随着时间推移而形成。
　
　　此外，还缺少跟进和安全测试的责任。人们花费很多钱在安全评估上，就把报告和建议束之高阁，直到有人意识在经过多年更改后，他们需要执行新的评估。

　　网络管理员也没有进行他们需要的持续培训。像RSA、CSI或者TechTarget研讨会这样的培训不仅很有价值，也很必要。无论你有多厉害，你绝对需要跳出每天的工作，关注最新的问题和攻击。这是站在信息安全顶点的唯一方法。那种“我们没有预算”和“我没有时间”的借口都不是理由。

　　最后，最大的潜在问题——即造成以上问题的事实是业务经理在涉及到信息安全不敢面对现实。这是由于人们没有分配优先权。就如没有保险的司机不系上安全带到处跑。他可能感觉良好，但是有一天他发现不是这样，并造成一些严重后果。你的经理要避免成为这样的人。