作者觀點(diǎn):下一版本的Windows客戶端提供了一些不錯(cuò)的功能，但沒有實(shí)踐就沒有發(fā)言權(quán)，我們還是必須等到明年它發(fā)布后，人們紛紛運(yùn)行，才可以對(duì)它做出更客觀正確的評(píng)價(jià)。 數(shù)年以來，尤其是Windows XP Service Pack 2發(fā)布后，微軟一直在緊鑼密鼓地加強(qiáng)Windows和Internet瀏覽器的安全性。有時(shí)，微軟所做出的努力是很難看到的，但我認(rèn)為他們確實(shí)取得了進(jìn)展。不過，現(xiàn)在要推出的全新的Windows版本中，微軟倒真有機(jī)會(huì)做點(diǎn)工作，從根本上對(duì)安全方面大開刀。 像Service Pack 2一樣，這些變化會(huì)打破現(xiàn)有應(yīng)用系統(tǒng)的平靜，需要獨(dú)立軟件開發(fā)商(ISV，Independent Software Vendor)和設(shè)備驅(qū)動(dòng)開發(fā)者做出相應(yīng)的改變。我想說，事物規(guī)律本來就是這樣，就像SP2出現(xiàn)時(shí)一樣，獨(dú)立軟件開發(fā)商會(huì)花費(fèi)非常非常多的時(shí)間更新他們的軟件。如果當(dāng)Vista明年下半年面市時(shí)某個(gè)產(chǎn)品不能工作了，那么幾乎可以斷言，應(yīng)該受到責(zé)備的是獨(dú)立軟件開發(fā)商。 別的操作系統(tǒng)或第三方產(chǎn)品都提供許多這些“新的”特性，但是把這些特性做成Windows中的標(biāo)準(zhǔn)并不那么容易。我愿意對(duì)比較重要的幾個(gè)特性做些工作。 長(zhǎng)期以來，無論在網(wǎng)絡(luò)上還是在本地主機(jī)上，協(xié)同IT都因其在有限許可的情況下管理Windows用戶而出名(如果不出名，說明它不能勝任這份工作)。對(duì)于普通家庭用戶來講，建立這樣的賬號(hào)并不難，但通常情況下，協(xié)同IT用于需要更大特權(quán)的應(yīng)用程序，而這些特權(quán)只提供給Windows XP的很少一部分用戶。 在Windows Vista中，首先，對(duì)于這個(gè)問題的態(tài)度有所改變。擁有特權(quán)的對(duì)象不再是“很少一部分”用戶，但現(xiàn)在“很少”的是賬號(hào)。得到一個(gè)有管理者權(quán)限的賬號(hào)很不容易，不過通常情況下，也不是非有這樣一個(gè)賬號(hào)不可。如果你要做一些需要管理者權(quán)限的操作，比如方改變防火墻設(shè)置，系統(tǒng)可以提供給你一個(gè)獲得有足夠權(quán)限的賬號(hào)的機(jī)會(huì)，比如說，給你管理員賬號(hào)。這樣，平時(shí)，你可以用普通賬號(hào)操作系統(tǒng)，而在需要的時(shí)候又可以擁有管理員權(quán)限。這就叫“用戶賬號(hào)保護(hù)(User Account Protection)”，beta 1版本中，必須手動(dòng)實(shí)現(xiàn)此項(xiàng)功能。 當(dāng)然了，這個(gè)方法直接來自Mac OS X，Mac鼓吹說這正是解決問題的最佳辦法，但實(shí)際上對(duì)于這種方法能夠怎樣保護(hù)你這個(gè)問題，還是有一定的局限性。許多安裝在Windows上的間諜軟件或廣告軟件并不是由于用戶的粗心造成的，他們是故意這樣做的。你想要那條酷酷的工具條，你也知道自己在安裝一個(gè)軟件，所以，你當(dāng)然會(huì)給它管理者權(quán)限或者滿足它需要的其它什么條件。安裝合法的軟件，你需要做的也是這些工作。另一方面，應(yīng)該提供針對(duì)隱蔽強(qiáng)迫下載(silent drive-by downloads)的保護(hù)，否則，傻乎乎的用戶就又一次地被利用了。 用戶帳戶保護(hù)的另外一個(gè)特征是，當(dāng)寫了保護(hù)文件系統(tǒng)和注冊(cè)表的程序后，這些寫好的代碼實(shí)際上放在一個(gè)獨(dú)立的區(qū)域，由單個(gè)用戶維護(hù)，稱作虛擬存儲(chǔ)。這和在終端服務(wù)器(Terminal Server)上的情況一樣。實(shí)際上，我非常想知道為什么虛擬存儲(chǔ)存放在C盤的C:Virtual Store目錄下，而不是像在終端服務(wù)器上那樣存放在每個(gè)用戶自己的Documents and Settings文件夾里。 IE7及其它 在Windows Vista及Windows XP中，Internet Explorer 7有許多新的安全相關(guān)的特色，但最重要的特色只能在XP中發(fā)揮出來。IE默認(rèn)的工作模式是名為保護(hù)模式的一種殘缺模式。做有危險(xiǎn)性的工作需要特殊的允許，這是對(duì)于瀏覽器的一種特殊的用戶賬號(hào)保護(hù)機(jī)制。 有了用戶賬號(hào)保護(hù)機(jī)制，就可能在社會(huì)工程方面跌跤。既便這種機(jī)制可以完美地工作，你也需要做這樣的工作:說服用戶他們確實(shí)在做Windows警告可能出現(xiàn)危險(xiǎn)的事。IE7還有大量其它酷酷的有用的安全特性，但都只是在Windows XP中才能一展身手。 舉例來說，流行了一陣子的NAP(網(wǎng)絡(luò)訪問保護(hù)，Network Access Protection)，我覺得，它是為了迎合Windows Server 2003的需要而出現(xiàn)的。和思科的網(wǎng)絡(luò)訪問控制程序(Network Access Control Program)及Zone實(shí)驗(yàn)室完整性 (Zone Labs Integrity) 產(chǎn)品線都很相似，NAP是一個(gè)程序和策略組成的集合，定義了對(duì)客戶連網(wǎng)前的安全和其它方面的要求。這些要求可以是給Windows打上最新更新補(bǔ)丁、更新防病毒軟件、安裝其它軟件等等。 Vista所做出的進(jìn)步可能就像把NAP的客戶端組件捆綁起來那么簡(jiǎn)單，但如果這樣做促使人們使用Vista，則相當(dāng)好。我有這么一個(gè)夢(mèng)想，某一天，出現(xiàn)了一個(gè)這樣的系統(tǒng)，它足夠簡(jiǎn)單，簡(jiǎn)單到ISP可以使用并且可以把惡意用戶驅(qū)逐出他們的網(wǎng)絡(luò)——但現(xiàn)實(shí)和理想還是有一定差距的。 當(dāng)然，差距是很大的。Windows的防火墻最終會(huì)過濾流量數(shù)據(jù)。EFS盤加密也會(huì)做些改進(jìn)。系統(tǒng)會(huì)勾勒Windows程序的輪廓，以便明晰程序所使用的資源(比如，TCP端口)，并清楚其它可能引起紅色警報(bào)的因素。這里會(huì)用到在更新時(shí)運(yùn)行的微軟的惡意軟件去除工具。這一切大都是很重要的，我相信在接下來的幾個(gè)月中，我會(huì)更深入地對(duì)他媽進(jìn)行研究。 這并不是微軟第一次對(duì)安全問題如此關(guān)注，所以，現(xiàn)在宣布對(duì)安全威脅已取得勝利還顯得太早，微軟對(duì)于這些問題的未來考慮得非常細(xì)致周到。但是，下一版本確實(shí)還是提供了許多不錯(cuò)的功能，從上世紀(jì)90年代末期提供的非安全服務(wù)熱潮過后，微軟就一直在努力讓安全之舟出海遠(yuǎn)航。如果所有的Windows用戶都將使用Vista，網(wǎng)絡(luò)可能會(huì)變成一個(gè)更加安全的家園。