作者觀點(diǎn):下一版本的Windows客戶(hù)端提供了一些不錯(cuò)的功能，但沒(méi)有實(shí)踐就沒(méi)有發(fā)言權(quán)，我們還是必須等到明年它發(fā)布后，人們紛紛運(yùn)行，才可以對(duì)它做出更客觀正確的評(píng)價(jià)。 數(shù)年以來(lái)，尤其是Windows XP Service Pack 2發(fā)布后，微軟一直在緊鑼密鼓地加強(qiáng)Windows和Internet瀏覽器的安全性。有時(shí)，微軟所做出的努力是很難看到的，但我認(rèn)為他們確實(shí)取得了進(jìn)展。不過(guò)，現(xiàn)在要推出的全新的Windows版本中，微軟倒真有機(jī)會(huì)做點(diǎn)工作，從根本上對(duì)安全方面大開(kāi)刀。 像Service Pack 2一樣，這些變化會(huì)打破現(xiàn)有應(yīng)用系統(tǒng)的平靜，需要獨(dú)立軟件開(kāi)發(fā)商(ISV，Independent Software Vendor)和設(shè)備驅(qū)動(dòng)開(kāi)發(fā)者做出相應(yīng)的改變。我想說(shuō)，事物規(guī)律本來(lái)就是這樣，就像SP2出現(xiàn)時(shí)一樣，獨(dú)立軟件開(kāi)發(fā)商會(huì)花費(fèi)非常非常多的時(shí)間更新他們的軟件。如果當(dāng)Vista明年下半年面市時(shí)某個(gè)產(chǎn)品不能工作了，那么幾乎可以斷言，應(yīng)該受到責(zé)備的是獨(dú)立軟件開(kāi)發(fā)商。 別的操作系統(tǒng)或第三方產(chǎn)品都提供許多這些“新的”特性，但是把這些特性做成Windows中的標(biāo)準(zhǔn)并不那么容易。我愿意對(duì)比較重要的幾個(gè)特性做些工作。 長(zhǎng)期以來(lái)，無(wú)論在網(wǎng)絡(luò)上還是在本地主機(jī)上，協(xié)同IT都因其在有限許可的情況下管理Windows用戶(hù)而出名(如果不出名，說(shuō)明它不能勝任這份工作)。對(duì)于普通家庭用戶(hù)來(lái)講，建立這樣的賬號(hào)并不難，但通常情況下，協(xié)同IT用于需要更大特權(quán)的應(yīng)用程序，而這些特權(quán)只提供給Windows XP的很少一部分用戶(hù)。 在Windows Vista中，首先，對(duì)于這個(gè)問(wèn)題的態(tài)度有所改變。擁有特權(quán)的對(duì)象不再是“很少一部分”用戶(hù)，但現(xiàn)在“很少”的是賬號(hào)。得到一個(gè)有管理者權(quán)限的賬號(hào)很不容易，不過(guò)通常情況下，也不是非有這樣一個(gè)賬號(hào)不可。如果你要做一些需要管理者權(quán)限的操作，比如方改變防火墻設(shè)置，系統(tǒng)可以提供給你一個(gè)獲得有足夠權(quán)限的賬號(hào)的機(jī)會(huì)，比如說(shuō)，給你管理員賬號(hào)。這樣，平時(shí)，你可以用普通賬號(hào)操作系統(tǒng)，而在需要的時(shí)候又可以擁有管理員權(quán)限。這就叫“用戶(hù)賬號(hào)保護(hù)(User Account Protection)”，beta 1版本中，必須手動(dòng)實(shí)現(xiàn)此項(xiàng)功能。 當(dāng)然了，這個(gè)方法直接來(lái)自Mac OS X，Mac鼓吹說(shuō)這正是解決問(wèn)題的最佳辦法，但實(shí)際上對(duì)于這種方法能夠怎樣保護(hù)你這個(gè)問(wèn)題，還是有一定的局限性。許多安裝在Windows上的間諜軟件或廣告軟件并不是由于用戶(hù)的粗心造成的，他們是故意這樣做的。你想要那條酷酷的工具條，你也知道自己在安裝一個(gè)軟件，所以，你當(dāng)然會(huì)給它管理者權(quán)限或者滿(mǎn)足它需要的其它什么條件。安裝合法的軟件，你需要做的也是這些工作。另一方面，應(yīng)該提供針對(duì)隱蔽強(qiáng)迫下載(silent drive-by downloads)的保護(hù)，否則，傻乎乎的用戶(hù)就又一次地被利用了。 用戶(hù)帳戶(hù)保護(hù)的另外一個(gè)特征是，當(dāng)寫(xiě)了保護(hù)文件系統(tǒng)和注冊(cè)表的程序后，這些寫(xiě)好的代碼實(shí)際上放在一個(gè)獨(dú)立的區(qū)域，由單個(gè)用戶(hù)維護(hù)，稱(chēng)作虛擬存儲(chǔ)。這和在終端服務(wù)器(Terminal Server)上的情況一樣。實(shí)際上，我非常想知道為什么虛擬存儲(chǔ)存放在C盤(pán)的C:Virtual Store目錄下，而不是像在終端服務(wù)器上那樣存放在每個(gè)用戶(hù)自己的Documents and Settings文件夾里。 IE7及其它 在Windows Vista及Windows XP中，Internet Explorer 7有許多新的安全相關(guān)的特色，但最重要的特色只能在XP中發(fā)揮出來(lái)。IE默認(rèn)的工作模式是名為保護(hù)模式的一種殘缺模式。做有危險(xiǎn)性的工作需要特殊的允許，這是對(duì)于瀏覽器的一種特殊的用戶(hù)賬號(hào)保護(hù)機(jī)制。 有了用戶(hù)賬號(hào)保護(hù)機(jī)制，就可能在社會(huì)工程方面跌跤。既便這種機(jī)制可以完美地工作，你也需要做這樣的工作:說(shuō)服用戶(hù)他們確實(shí)在做Windows警告可能出現(xiàn)危險(xiǎn)的事。IE7還有大量其它酷酷的有用的安全特性，但都只是在Windows XP中才能一展身手。 舉例來(lái)說(shuō)，流行了一陣子的NAP(網(wǎng)絡(luò)訪(fǎng)問(wèn)保護(hù)，Network Access Protection)，我覺(jué)得，它是為了迎合Windows Server 2003的需要而出現(xiàn)的。和思科的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制程序(Network Access Control Program)及Zone實(shí)驗(yàn)室完整性 (Zone Labs Integrity) 產(chǎn)品線(xiàn)都很相似，NAP是一個(gè)程序和策略組成的集合，定義了對(duì)客戶(hù)連網(wǎng)前的安全和其它方面的要求。這些要求可以是給Windows打上最新更新補(bǔ)丁、更新防病毒軟件、安裝其它軟件等等。 Vista所做出的進(jìn)步可能就像把NAP的客戶(hù)端組件捆綁起來(lái)那么簡(jiǎn)單，但如果這樣做促使人們使用Vista，則相當(dāng)好。我有這么一個(gè)夢(mèng)想，某一天，出現(xiàn)了一個(gè)這樣的系統(tǒng)，它足夠簡(jiǎn)單，簡(jiǎn)單到ISP可以使用并且可以把惡意用戶(hù)驅(qū)逐出他們的網(wǎng)絡(luò)——但現(xiàn)實(shí)和理想還是有一定差距的。 當(dāng)然，差距是很大的。Windows的防火墻最終會(huì)過(guò)濾流量數(shù)據(jù)。EFS盤(pán)加密也會(huì)做些改進(jìn)。系統(tǒng)會(huì)勾勒Windows程序的輪廓，以便明晰程序所使用的資源(比如，TCP端口)，并清楚其它可能引起紅色警報(bào)的因素。這里會(huì)用到在更新時(shí)運(yùn)行的微軟的惡意軟件去除工具。這一切大都是很重要的，我相信在接下來(lái)的幾個(gè)月中，我會(huì)更深入地對(duì)他媽進(jìn)行研究。 這并不是微軟第一次對(duì)安全問(wèn)題如此關(guān)注，所以，現(xiàn)在宣布對(duì)安全威脅已取得勝利還顯得太早，微軟對(duì)于這些問(wèn)題的未來(lái)考慮得非常細(xì)致周到。但是，下一版本確實(shí)還是提供了許多不錯(cuò)的功能，從上世紀(jì)90年代末期提供的非安全服務(wù)熱潮過(guò)后，微軟就一直在努力讓安全之舟出海遠(yuǎn)航。如果所有的Windows用戶(hù)都將使用Vista，網(wǎng)絡(luò)可能會(huì)變成一個(gè)更加安全的家園。