博客园  :: 首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理

构筑更安全的乐园--Windows安全解决方案解析

Posted on 2004-10-29 22:45  dalongzero  阅读(436)  评论(0编辑  收藏  举报
构筑更安全的乐园--Windows安全解决方案解析 输出PDF 打印 E-mail
执笔: Administrator   
2004-02-28
 

2003年,Windows用户经历了“黑色8月”。8月11日,“冲击波”(Blaster)病毒爆发,全球约有12.4万台Windows 2000/XP系统感染该病毒; 8月20日,名为“Sobig F”的新型蠕虫病毒变种开始泛滥,它通过邮件系统在Windows网络中迅速传播,踪迹遍布全球60余个国家。两次利用Windows系统漏洞横行霸道的病毒,再一次把Microsoft推上了风口浪尖。

每次病毒的大规模爆发,似乎都给Microsoft狂念了一通“紧箍咒”。去年,在天才少年和老牌黑客密集攻击下,Windows的2003磕磕绊绊。截至2003年12月31日止,Microsoft主页所发布的安全公告已达51次。此情此景,让用户开始重新审视Windows的安全问题。转眼间进入了2004年,在辞旧迎新的日子里,《微电脑世界》将再次就此展开讨论,为您剖析基于Windows的可行性安全解决方案,希望通过大家的共同努力,建立起更安全的Windows乐园!

4个看似与安全无关的话题,却是用户长久以来的疑问,在Windows安全的问题上,它们是用户思想的必经之路。而在刚刚过去的2003年,这些问题重新变得清晰,同时还有了些新的变化。虽然其中的一些未免老生常谈,但是在没有找到最完美的答案之前,我们还要不断追寻下去……

求证4个问题

1.怎样看待频繁出现的安全漏洞?

人们通常将那些可能引发安全问题的软件瑕疵称为“安全漏洞”,这一称呼是相当形象的,他们所导致的后果可能非常严重,比如系统被非法入侵、数据丢失等。其实,定义一个让多方都能够认同的安全漏洞并不是一件简单的事,因为并不是所有的安全问题都可以归结到安全漏洞的层面,很多安全问题的产生是由于用户的不规范操作或者历史因素所造成的。举个例子,在Windows 2000/XP的管理共享功能中,由于安装者将管理员密码设定为空或弱密码,而导致他人通过管理共享入侵系统,就不能被划定为安全漏洞范畴,用户操作的不规范才是问题产生的主要因素。另外,FTP使用明文传递密码也不能称之为安全漏洞,因为这是FTP协议制定时惯用的做法。总的来说,那些与用户操作无关,且非历史因素造成的软件安全问题,才能够被定义为安全漏洞。

2.安全漏洞是Windows的专利吗?

安全漏洞是在软件编写过程中遗留下来的。软件的编写是一项极其庞大的工程,像一些大型软件的开发,其代码行数以千万计,参与开发的人员也要数千人,由于精力所限或者是在开发过程中协调不够,软件在发布后往往会发现存在安全漏洞。需要说明的是,安全漏洞并不仅仅出现在Windows系统之中,在其他非Microsoft软件产品中,安全漏洞同样存在,只不过Windows的安全漏洞更容易被其庞大的用户群放大而已。另外,那些运行在Windows系统之上的应用软件,在其安全漏洞被他人利用后,也可以自上而下地破坏和攻击底层的Windows系统。需要注意的是,那些非Windows的系统(比如Linux和Unix系统)也不是没有漏洞的,它们同样也会出现各式各样的安全问题,例如感染病毒、遭受木马程序和蠕虫的攻击等。

既然安全漏洞分布的范围如此广泛,那么为什么大家一提到安全漏洞总是最先想到Windows呢?其原因主要体现在三个方面: 一是操作系统受到的安全威胁与它的普及程度密切相关。Windows在桌面领域的优势不容质疑,而在服务器端操作系统中,它同样占据了相当客观的市场份额,因此它的安全问题所影响的人群会更加广泛,同时引发的关注也就越多; 二是用户应用水平的不同所造成的。前面提到,Linux和Unix同样存在着安全漏洞,但是由于其管理者普遍的应用水平较高,在系统出现安全问题时往往能够应对自如。而Windows用户则涵盖了服务器端的IT管理人员、桌面办公用户以及家庭消费者,他们的应急处理能力参差不齐,很多用户的安全意识相对淡薄,对于突发事件的反应比较迟缓,往往不能适时地采取必要的防范手段,从而导致了严重的后果; 最后,对于那些别有用心的电脑黑客来说,Windows确实是最美味的蛋糕。攻击Windows系统,黑客们可以轻而易举地将所制造的危害最大化,实现他们一夜之间臭名远扬的梦想,其他的操作系统目前很难给他们提供这样的机会。

3.Windows与Linux/Unix哪个更安全?

混乱平息之后,人们总是习惯性地比较Windows、Linux与Unix的安全性。而Windows和Linux两大阵营的厂商恐怕又开始了激烈的辩论。在唇枪舌剑的气氛中,各式各样的理论充斥其中,往往更让用户迷惑。其实,无论是对于专业人士,还是普通用户,都很难找到最准确的答案。

信息安全涉及的领域十分宽泛,在IT领域,针对不同系统的安全暂时还没有统一的测试标准。虽然,目前也有一些常用的安全评定标准(例如美国国家安全局所颁布的可信任计算机系统评量标准),但是在全球范围内,它的推广力度还十分有限,在很多国家的本地化进程也不够深入。因此,只能作为用户在软件采购过程中的参考。

针对Windows和Linux/Unix系统的安全性问题,笔者查阅了一些第三方机构的研究报告。从CERT所公布的安全漏洞列表看来,从2001年开始,Linux/Unix平台每年都有一定数量的安全漏洞出现,并呈现逐年递增的趋势。但是由于用户数量和应用水平的不同,现阶段Linux/Unix系统安全漏洞的影响范围还十分有限。但是,随着版本多样性的逐渐减弱,它们的安全隐患会逐渐暴露出来。也就是说,以往只有在Windows系统中才能大面积爆发的安全问题,不久在Linux/Unix中也有可能出现了。

毋庸置疑,Linux因内核公开而被公认为比Windows开放。但是,操作系统的开放性和安全性能否画等号呢?答案是否定的。Aberdeen公布的研究报告显示,开放源代码的操作系统和Mac OS X这样的Unix系统并不像人们想像的那样安全,它们同样也存在着安全漏洞。今天,我们很难比较Windows、Linux、Unix究竟哪个更安全,可以肯定的是Windows的安全问题所造成的影响会更大。

4.用户有必要因为安全问题而放弃Windows吗?

曾经听到Microsoft狂热的支持者喊出他的誓言: “爱它就要包容它的全部!”,Linux迷们恐怕也有相同的看法吧。但有趣的是,笔者很少见到有人从一个Windows用户变成彻头彻尾的Linux Fans,也没有见过Windows用户彻底放弃他最初的选择。在你来我往的纷争中,用户竟然成为了最坚定的因素。会不会放弃Windows?这似乎是媒体更加关心的话题。

的确,Windows的安全性近来饱受质疑。但是看看Linux/Unix阵营中的情况如何呢?2003年9月,在“冲击波”和“SobigF”爆发后不久,CERT公布了两种非Windows系统的安全漏洞。其中一个存在于Sendmail软件中,另一个是基于Unix系统的名为OpenSSH漏洞,它所造成的恶劣影响与“冲击波”相比不相上下,已经或可能殃及Cisco、RedHat、Sun和IBM等公司的产品。他们的出现从另一个角度策动了新一轮关于软件安全的争论,微软和开源系统又一次针锋相对。

其实,绝对的“安全”并不存在。IT用户最终需要的并不是一个密不透风的“铁桶阵”,而是一个适合自身业务应用的工作平台。在个人桌面端,Windows出色的易用性牢牢锁住了用户的心; 在服务器领域,Windows的易操作、Unix的严谨和Linux的开放三分天下。到现在为止,还没有产品能够在易用性和开放性之间实现最完美的平衡。这也就注定了在一段时间之内,用户依然会沿着目前的道路走下去。Windows用户不必因此失去信心,Linux用户也要继续坚持。同时,软件供应商今天的努力决定了用户明天的选择。我们看到,Linux厂商在改善产品易用性方面进行了很多努力,而Microsoft也宣称Windows Longhorn版本将在安全性方面迈出一大步。但是,在这些努力变成现实之前,任何以偏概全的辩白都显得那么苍白无力。

在多元化的今天,选择可能成为一种负担。关于软件安全的每次争论,都是对用户信心的考验。对于用户来说,在一切尚未尘埃落定之前,利用好现有的系统和软件,使之更好地为企业服务,才是最现实的选择。在这个过程中,人的作用是决定性的。无论您选择了什么样的操作系统,管理和维护方式将最终决定它将以什么样的状态去为您服务。当外界的纷争渐渐散去,企业的IT管理能力成为扭转信息系统安全状况的关键!

加强信息系统的安全管理,是目前解决软件安全问题最精准的答案了。既然“安全”是相对的,那么我们就需要通过管理和维护将这种相对性提升到最高的水平。本次专题就将与您一同解析基于Windows的企业安全解决方案,并为个人用户提供实际的安全操作指导。而对于企业来说,这些还远远不够,完善的企业安全策略是解决方案能否成功的首要条件。

企业安全策略谈

下面我们将主要围绕企业级Windows的安全策略进行讨论。需要说明的是,将本次专题定位于Windows倒不是因为它有多强大,主要的原因是今天任何一个企业都很难把Microsoft排斥在外,其信息系统都或多或少地包含了一些Microsoft元素,况且下面所讨论的很多内容对于其他系统的用户同样具有借鉴意义。

一、技术为先

对于一个企业,它的安全策略首先应该是立体的,从网络边界的防火墙,到内部的防病毒体系和补丁修复系统,都是最基本的安全防范措施。下面就为您列出4种主要的Windows安全管理手段,它们多少有些老生长谈,但在没有找到更好的解决方法之前,它们仍然是我们组建Windows安全体系的最佳准则。

1.让防火墙真正发挥作用

无论是企业或是个人,防火墙都是非常必要的。在IT系统与Internet相连的必经之路上,它是抵御外来入侵、保卫系统安全的大门。不过,是铝合金的防盗门,还是木质栅栏门,就与防火墙主人的配置和使用能力密切相关了。现实的情况是,很多用户认为购买并安装了防火墙就高枕无忧了。事实上,这是极端危险的。在“冲击波”泛滥时,很多安装了防火墙的企业同样遭受到攻击就是这个道理。其中,防火墙配置的不到位是造成这一状况的主要原因。

在此我们不会与您详细讨论不同种类防火墙的配置问题,只希望能够让每个用户都意识到这个问题的紧迫性。无论您使用的是Microsoft ISA Server,还是其他第三方产品,都需要通过合理配置来提升它的工作效能。在具体的防火墙配置过程中,大致需要注意以下几点: (1)安全级别的定义。安全级别越高,就会禁用越多的系统服务和通信端口,也就意味着用户在使用上所获得的自由就越少。网络管理员需要根据实际应用的需要,综合考虑选择适宜的安全级别; (2)定制必要的服务选项。对于那些用户很少使用,但却存在重大的安全隐患的服务,我们应该毫不犹豫地关闭它们。比如Telnet,它采用不加密的通信方式,很容易成为黑客们攻击系统的捷径。(3)建立完善的过滤和监测机制。这样即便外来攻击发生,也能迅速找到入侵的原因和经过,及时采取弥补措施。

另外,需要提醒一下Windows XP的用户,Microsoft已经在该系统中内置了个人Internet连接防火墙——ICF(Internet Connection Firewall),如果您还没有启用它,那么请尽快让它发挥作用。比较遗憾的是,目前ICF的默认在“未启动”状态,用户必须通过手工操作来选中该功能。不过,在即将发布的Windows XP SP2中,Microsoft会将其默认状态更改为“启动”状态。

2.及时升级和更新

在没有找到更好的方法之前,及时升级和更新软件是对付安全漏洞的最有效手段,Windows用户尤其如此。在Microsoft专业开发者大会(PDC 2003)上,Bill Gates表示,从以往的经验来看,用户只要合理地配置防火墙,并及时进行软件升级,就可以远离病毒和蠕虫的侵扰。

目前,Microsoft发布的补丁程序大致分为2种,即Hotfix和Service Pack。前者是专门针对某一具体安全问题的修复程序,在Hotfix补丁积累到一定数量后,Microsoft会将这些补丁打包成为Service Pack补丁包,其中还包括了一些服务插件。它们与Windows的安全密切相关,因为安装了Hotfix和Service Pack的系统不一定安全,但没有安装这些补丁程序的系统一定不安全。

为了保证Windows的及时更新,请经常运行“开始”*“程序”*“Windows Update”,连接到Windows Update站点检查更新状况。对于桌面用户来说,Windows Update是最容易忽视的操作,虽然只需要几次鼠标点击,但用户却往往不清楚如何操作,有的即便知道也很少使用。这些未能及时升级的电脑一旦连接到局域网中,就会成为挑战企业信息安全的“大敌”。因此,怎样让Windows桌面用户及时升级,已经成为了广大网管员最为头痛的问题。好在目前这一状况有望得到改善,在Windows Server 2003中,Microsoft为用户提供了免费的软件更新服务(Software Update Service,简称SUS)。它适用于中小型Windows网络,用户可以通过它在服务器端下载最新Hotfix和Service Pack程序,并分发给网络中每个用户手中,很好地解决了局域网中的Windows更新问题。Windows 2000的用户也可以免费使用这一服务,本文的后半部分就将详细介绍SUS的部署和使用方法。

3.防毒软件

防毒软件为我们布下了天罗地网,让您的Windows具有了抵御病毒的“免疫力”。如果您到现在还没有安装防病毒软件,那么就是非常不负责任的行为了。因为在Windows病毒肆虐的日子里,这些恶性病毒会在短时间内迅速感染您亲友和同事的电脑,甚至可能殃及到您地址列表中所有的联系人。

至于安装什么防毒软件,就取决于用户的实际情况了。对于那些有资金实力的用户,不妨选择Norton AntiVirus这样功能全面的防毒软件; 而那些资金有限、且很少连接到Internet的用户也可以使用Grisoft AVG 6 Anti-Virus System这样的免费防毒软件,同样可以获得比较好的效果。

4.安全检查列表

Windows的易操作性至今无人超越,但同时它开放了过多的系统服务和通信端口,无形中带来了安全危机。以往的事实证明,这些通常是黑客们长驱直入的主要通道。例如,在Windows 2000系统中,IIS在默认状态下自动启动,大多数桌面用户并不使用它所提供的Web服务功能,但由于没有及时关闭该功能,很多用户遭受到了黑客的攻击。

因此,在Windows安装完毕后,用户应该及时关闭那些不必要的系统服务和用户账号,以便在不影响应用的前提下获得最大的安全保障。为此,Microsoft为各个版本的Windows用户提供了内容详实的安全检查列表(CheckList),进入http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/chklist/default.asp 站点即可查找到相关的列表。Windows桌面用户也可以参考本刊2003年第16期《Windows服务“轻装总动员”》一文,来定制自己需要的服务,这样不仅提升了系统的安全性,还可以加快Windows的运行速度。需要说明的是,安全检查列表中的操作对于用户来说并不复杂,关闭的某些功能也不会带来使用上的障碍,只是目前很多用户还不清楚怎样使用它,或者说还未养成良好的习惯。在本文的后半部分,我们就将围绕一个典型的安全检查列表,为您讲述其具体的配置过程。

5.数据备份

一定要养成日常备份的好习惯,这样即便是遭到了灾难性的打击,也能做到“手中有粮,心中不慌”。目前,Windows病毒大多以干扰系统运行为目的,专门破坏硬件的病毒并不多见。因此,只要合理地分配自己的硬盘空间、适时地备份数据,个人用户完全可以坦然面对病毒的侵害。企业用户则需要建立一套完善而系统的备份机制,并且定期将数据备份到磁带机、网络存储服务器等专门的存储设备中。在系统备份软件方面,PowerQuest Drive Image、Norton Ghost 2003都是不错的选择。切记: 业务数据是系统中最重要的财富,“数据是金”,无论对企业还是个人。

二、管理为王

安全的问题归根到底是管理的问题,从防火墙的配置,到系统更新,再到数据定期备份,人的作用永远是决定性的。因此,企业的安全策略也需要围绕着人来制定。通常,一个企业的安全策略包含了决策层、管理层以及用户层3个方面的内容,它们的权力和职责各不相同,通过相互的协作构成企业立体的安全防护体系。

首先,企业的领导者要充分意识到企业信息安全的重要性,懂得通过相应的规章制度来对员工进行约束,并建立相应的培训机制,帮助员工养成良好的使用习惯。一旦出现问题,应该分清责任,奖惩分明; 第二,企业的网管员应该担负起系统日常维护的任务,除了备份重要数据、跟踪最新的安全更新信息外,还要在系统的优化、客户端监控方面多下功夫,保证企业信息系统健康运行,同时要担负起指导用户应用的任务; 最后,企业的每个员工都要努力提升自己的应用水平,养成经常更新软件和病毒代码的好习惯,同时克服自己的好奇心,不轻易打开那些未知的邮件和应用程序,从底层确保信息系统的安全。

信息安全是一项系统工程,它涉及的内容可能比我们想像的还要广博。不过,从目前的形势看来,管理永远是其中最核心的部分。今天的我们身处在一个“管理为王”的时代,那些技术暂时无法解决的问题,可以通过有效的管理手段来化解。同时,与其他的传统行业相比,IT技术真正的成熟期还没有到来,这就意味着用户需要投入更多的管理精力,通过强有力的管理措施在最大限度内保证自己的利益不受侵害。

实战Windows系统安全

企业整体的安全策略,需要通过相应的技术手段去实现。在此我们并没有将那些实施相对复杂、且需要企业进行二次投入的安全解决方案纳入其中,而是选择了一些Microsoft或第三方厂商免费提供的方案。看过之后您也许就会发现: 原来还有这么多免费的途径可以提升IT系统的安全性,且它们的可实施性都是非常高的。特别是中小企业用户,下面的措施可以让您的IT系统轻松提高一个安全等级,并且无需增加新的IT投资。

一、部署SUS(基于Windows 2000 Server SP2系统)

1.软硬件环境与安装

软件操作环境: 服务器端Windows 2000 Server SP2,IIS 5.0,IE 5.5; 安装分区采用NTFS格式,系统分区也为NTFS格式。客户端为Windows 2000/XP Professional系统。

硬件推荐环境: 主频在Pentium Ⅲ 700MHz以上,512 MB内存,6GB剩余硬盘空间。在这种环境中,SUS大约可以支持15000个用户。

SUS的安装非常简单,用户按照提示操作即可。需要注意的是: 补丁程序请下载选择保存到本地硬盘; 另外,在设定补丁语言类型时,请根据网络中操作系统的语言种类进行选择。

2.配置过程

安装完毕后,系统自动打开SUS管理程序。它基于Web界面,用户也可从“管理工具”界面中直接运行。首先,是服务器同步。即SUS从Windows Update站点下载所有的Windows 2000 SP2之后的补丁程序,并保存到本地硬盘中。在SUS管理界面中选择“Synchronize Server”*“Synchronize Now”即可(如图1所示)。以后,同步操作就不必采用这种手动方式了,用户可以通过SUS的“Synchronize Schedule”计划功能实现自动同步,这样可以避免错过那些重大的安全更新。另外,用户也可以从Microsoft网站订阅安全更新通知,只需在http://go.microsoft.com/fwlink/?linkid=6931站点登记即可。需要提醒您的是,第一次同步所花费的时间比较长,这主要是因为目前SUS只通过语言类型来约束补丁下载,不能让用户任意选择补丁进行下载。

服务器同步完毕后,系统会自动切换到批准界面(“Approve Updates”界面),在此用户需要指定允许哪些安全更新可以在局域网中发布。

3.发布SUS客户端

SUS客户端的名称为“Windows Automatic Updates Client”,它支持Windows 2000 Server SP2以上的操作系统,用户可以通过Windows组策略中的软件发布功能来自动安装它。您可以根据操作系统的语言种类选择对应的SUS客户端,其中文版本下载地址为http://download.microsoft.com/download/win2000platform/Update/June2002/NT5/CN/wuau22chs.msi 。另外,Windows 2000 SP3、Windows XP SP1、Windows Server 2003中已经内置了SUS客户端。

4. SUS客户端参数配置

SUS部署完成后,客户端就可以实时地从SUS服务器中下载并安装最新的补丁程序了。但前提是需要预先修改客户端注册表。为此Microsoft特别为用户提供了一个专门的管理模板,下载地址为http://download.microsoft.com/download/2/d/c/2dc07364-2fcb-4b82-adc7-2553915997b3/wuau.adm,通过它您可以设定客户端怎样完成补丁程序的下载和安装、SUS服务器的名称以及客户端完成补丁安装后是否重启计算机等。这样,不同的Windows系统就可以直接从SUS服务器中获得所需的安全更新信息了。用户登录到系统后,如果有未安装的安全更新,在其屏幕右下方的系统托盘区中自动显示更新提示(如图2所示)。另外,客户端的Windows Update.log文件中也会保存系统的更新日志。

二、安全列表

Microsoft网站为我们提供了各式各样的安全检查列表(Checklist),您只要访问http://www.microsoft.com/technet/security/chklist/default.asp站点即可找到。Checklist为用户提供了系统安全的基本保证。目前,已有的Checklist包括Windows 9x/NT/2000/XP系统,以及IE、IIS4.0/5.0等。但是,这些安全检查手段对于Windows Server 2003同样有效。鉴于目前Windows 2000系列在企业中的应用较为广泛,在此就与大家一起详细分析一下Windows 2000 Server的Checklist(如图3所示)。在附表中,我们在Microsoft提的Windows 2000 Server Checklist基础上对安全检查操作进行了总结,具体结果如附表所示。

总结下来,Windows 2000 Server的用户大致需要进行以下的配置,以保证系统的安全性。

上面的设置大部分可以通过Windows组策略中的安全策略来实现,在Windows域中,用户可以批量应用这些设置。它们只能算是Windows系统对于安全的最基本需求,更具体的安全设定还应该与服务器在企业网络中所扮演的角色联系起来,为不同的Windows服务器“量身定做”个性化的安全检查列表。

三、安全漏洞扫描工具

为了直观地检验SUS部署后的效果,您可以通过Microsoft的免费安全检测工具——Microsoft 基准安全分析器(MBSA)来进行实际的检测。MBSA可以扫描 Windows NT 4.0/2000/XP/Server 2003、IIS 4.0/5.0、IE 5.01以上、SQL Server 7.0/2000、Office 2000/XP以及Exchange Server等众多产品的安全漏洞,并且在扫描后会给出补丁程序的下载地址。它同时支持单机和网络扫描模式,与SUS相比,MBSA支持更多的操作系统和更大的检测范围,是对Windows Update的有益补充,用户可以将它与SUS结合起来使用。MBSA的最新版本为1.1.1版,下载地址为http://download.microsoft.com/download/8/e/e/8ee73487-4d36-4f7f-92f2-2bdc5c5385b3/mbsasetup.msi。

除了MBSA之外,很多著名的网络管理软件和网络杀毒软件都提供了漏洞的检测与修补功能,但是它们的价格相对较为昂贵,对于中小企业用户来说,是一笔不小的负担。不过,目前一些第三方厂商提供了免费或共享漏洞扫描工具,它们的功能非常实用,是网管员查找安全漏洞的好帮手。

1.LANguard Network Security Scanner

一款声誉颇高的漏洞检测软件,支持Windows XP/2000/NT/9x系统,但是由于操作系统本身的局限,它在Windows 9x系统中功能有所限制。该产品包含了完整的补丁管理机制,在对用户网络进行检测后,可以详细报告操作系统和应用程序中存在的安全漏洞以及需要安装的补丁程序。下载地址为http://www.gfi.com。

2.Shadow Security Scanner

与LANguard Network Security Scanner类似的漏洞扫描工具,支持Windows XP/2000/NT/9x系统,下载地址为http://www.safety-lab.com/en。

3.Retia Network Security Scanner

由著名的安全厂商Eeye出品,支持Windows XP/2000/NT/9x系统,下载地址为http://www.eeye.com。

结语:渴望简单的安全

至此,笔者的心中仍然有疑问: “到底需要投入多少精力在安全上?”。为了获得相对的安全,用户付出的太多了,大到企业的安全策略,小到防火墙的设置,都要亲历亲为。虽然软件厂商在提升产品的安全性上进行了诸多努力,但对于用户来说,这些技术应用起来还是过于复杂了。如果说,在安全相对性的问题上,用户与厂商已经不存在什么分歧。那么,目前的焦点是——如何让安全更简单!

“让安全更简单”,是软件厂商不可推卸的责任。好在今天的IT厂商也正在朝这个目标努力着。2003年11月,Bill Gates宣布将在8个月之内让Windows的安全问题得到“翻天覆地”的改进。而用户也对Microsoft的下一代操作系统Windows Longhorn表现出了强烈的期待。很多业内人士认为: 作为Microsoft真正重视安全问题后推出的第一个操作系统,Longhorn在安全性方面的改变将是革命性的。虽然,Longhorn的发布日期一再推迟,但对用户仍然可以算是一个好消息,因为前期的测试越严谨,就意味着正式发布的产品越成熟、越安全。Longhorn能让我们的安全美梦成真吗?我们拭目以待。

背景知识:SMS Vs SUS

为了帮助用户在Windows域环境中进行补丁程序管理,Microsoft提供了SMS(Systems Management Server系统管理服务器)和SUS(Software Update Services,软件更新服务)2种安全管理手段。其作用都是实现Windows中补丁程序的统一下载与分发,将网管员从繁琐而机械的劳动中解脱出来,并有效地提升了系统升级的即时性。其中,SMS适用于大中型网络,它适用于全系列的Windows操作系统,不但可用于软件更新信息的发布,还可以进行资产管理和远程故障处理。但是比较遗憾的是,它并不是免费的,这就意味着用户需要增加管理成本。同时,SMS的使用方法也比较复杂,用户需要一个了解和熟悉的过程。日前,SMS的最新版本为2003版。

与SMS相比,SUS最大的优势就在于它是免费的。SUS适合中小型Windows网络,目前还只能应用于Windows 2000 SP2以上的系统,且要求企业已经完成了AD(活动目录)的部署。SUS与Windows Update同样采用了HTTP协议,客户端都是使用BITS服务下载补丁程序。其最新版本为SUS 1.0 With SP1,下载地址为http://download.microsoft.com/download/0/b/9/0b97f864-2408-4748-ad96-3691e2451006/SUS10SP1.exe。其SUS 2.0版本有望在近期推出。

从名称上看来,SUS将会覆盖所有Microsoft软件的更新服务的。但在现阶段,它还仅支持Windows Server 2003/XP/2000系统中Hotfix和Service Pack的日常更新,同时还包括了Windows组件(例如IE、Outlook Express、Windows Media Player等)的安全更新。SUS不支持非操作系统部分的安全更新,例如Office、SQL Server、Exchange Server等应用程序。不过,相信在不久的将来,SUS就会将这些应用程序的更新包容进来,成为软件更新的“多面手”。

桌面用户安全操作流程

▲启动个人防火墙: Windows XP用户请迅速启动ICF,其他Windows用户可以安装个人防火墙软件。ICF的启动方法是,选择“开始”*“控制面板”*“网络连接”,右键点击需要保护的Internet连接,在快捷菜单中选择“属性”选项,进入“高级”选项卡,选中“通过限制或者阻止来自Internet的对此计算机的访问来保护我的计算机和网络”复选项。

▲Windows升级: 经常运行“开始”*“程序”*“Windows Update”,保证Windows永远新鲜。

▲修改IE设置: 对浏览器中的Cooikes加以限制,在IE 6中,选择“工具”*“Internet选项”,在弹出的对话框中选择“隐私”选项卡,点击“高级”按钮,选中“覆盖自动cookie处理”复选框,并在“第三方Cookie”项目中选择“拒绝”选项,点击 “确定”按钮。

▲远离邮件病毒: 建议关闭邮件程序的预览窗格,这样可以大大降低被未查出的病毒感染的几率。最新版本的Microsoft Outlook和Outlook Express已经能够在默认状态下智能化阻止脚本文件和危险附件进入系统,用户选择“工具”*“选项”*“安全”进行查看。

▲WLAN环境的安全设定: 如果工作WLAN中,您需要通过MAC(媒体访问控制)地址的过滤来提升系统的安全性。虽然MAC地址在传输过程中并不加密,黑客伪装起来非常容易,仅MAC地址过滤确实为他们设置一些障碍,让他们转而寻找加容易攻击的对象。

▲取消共享服务: 如果您并不需要Windows中的Internet连接共享功能,不妨将其取消。只要在Windows XP服务列表中的“Internet Connection Firewall (ICF)/Internet Connection Sharing (ICS)”服务,或者Windows 2000服务列表中的“Internet Connection Sharing”服务设定为“已禁用”或“手动”状态即可。

▲取消远程注册服务: 远程注册(Remote Registry,在Windows 2000中为“Remote Registry Service”),它的作用是为其他用户远程控制注册表提供支持。很明显,这项服务绝大多数用户并不需要,还蕴藏着很多安全隐患,因此最好是把该项服务设置为“已禁用”状态,至少也要设定为“手动”状态。