技术天地:本文来自比尔?盖茨的一封公开信,全文如下:
恶意软件代码已经存在了数十年,但是只在最近几年,由于互联网、高速网络连接和数以百万台新式计算机设备的出现,组成了真正意义上的全球网络,病毒和“蠕虫”才有条件在短短几分钟内肆虐全球。
与此同时,黑客犯罪分子的手法也越来越猖獗,他们制造并散布了诸如Slammer、Blaster(冲击波),Sobig(大无极)和Mydoom等数字病毒,这些病毒像瘟疫一样可以在瞬间大规模扩散,威胁着高科技驱动生产、商务和交流的潜在能量。
病毒攻击的种类也在进化。例如Blaster(冲击波),这种病毒攻击个人电脑,将无辜的用户在不知不觉的情况下变成了“蠕虫”的传播者。这些攻击方式的特点是:“密集”的攻击互相配合,产生成倍的、排山倒海式的效果,对安全构成了更大的威胁。这就要求IT专业人员和消费者提前采取预防性措施,同时也要求技术领域不断革新和开发新的解决方案。
尽管未来充满了各种挑战,但微软乃至整个业界都正在安全方面不断取得重要的进展。本邮件将向您阐述微软在安全的四个领域中所作的重大投入:
1 安全隔离与弹性应对
2 更新
3 质量
4 验证与访问控制
此外,我们还承诺在客户教育和合作关系方面加大投入,因为这些将有助于加强计算环境的安全性和可靠性。
因为人的天性,不断演进的威胁模式、越来越多的互联计算机、以及安全恶意利用的数量永远都不会有消失的一天,但是,我们仍然可以显著地防范并减弱网络犯罪所带来的影响。目前,我们正在把研发投入中相当大的一部分用在安全方面。
安全隔离与弹性应对
我们安全工作的中心任务是通过将恶意代码隔离来防止恶意代码探索到缺陷,并且提供对计算机程序对话方或协同工作的对象的更加有效的控制,使系统面对威胁时能弹性的应对,这样系统就能够识别并阻止可疑或者恶意的探索行为。
Windows
XP
Service
Pack2:我们正在隔离和弹性应对措施方面取得很多进展,这些进展将可以帮助我们的重点客户对付操作系统所面临的四种攻击模式。Windows XP Service Pack 2 将在今年春夏之交面世。
网络保护:Windows防火墙将在默认状态下启动,全局防火墙设置以及防火墙中心管理配置也将默认状态下启动。这些措施将减少病毒对个人电脑和网络的“攻击面”。
安全网页浏览:为了减弱恶意代码以及那些会破坏计算机或欺骗用户的网络站点带来的冲击,IE将自动屏蔽非请求的网站下载以及用户不想要的自动弹出窗口,除非用户点击下载链接。IT管理员也可以对此功能进行管理,以便在机构内部保证策略的一致性。此外,无线设置也将得到改进,以加强家庭无线网络浏览的安全性。
安全的电子邮件和即时通讯:为了降低受到攻击的风险,我们正在将OutlookExpress和WindowsMessenger即时通讯的文件附加功能打造得更加出色,此外,在OutlookExpress中增强了用户对外部内容的下载的控制权,那些外部内容的下载会造成邮件发送者识别您的计算机。
内存保护:专门利用缓冲区溢出的恶意软件可以使大量的数据被复制到计算机的内存中。虽然没有单独的技术可以完全消除这种缺陷,但微软正在通过使用大量的安全技术来减弱此类攻击带来的影响。首先,核心的Windows 组件都已经使用最新版本的编译技术进行了重新编译以防溢出。微软还正在与Intel和AMD等微处理器厂家合作,帮助Windows支持硬件增强数据执行保护,也就是NX,或“no
execute”。除非某个位置明显含有可执行代码,否则NX通过CPU将应用程序中所有的存储位置都标识成“不执行”。因此,当“蠕虫”或病毒在内存储中标识为“只存数据”的部分插入程序代码时,该代码将无法运行。
Windows Server 2003:由于每台计算机所处的环境都可以被认为是“敌对世界”,因此我们在Windows Server 2003 上的工作重点就是探索如何降低、减轻或者抵制威胁。我们计划在2004年的下半年推出Windows Server 2003 Service Pack 1,其中包含基于服务器的安全增强特性,有一些安全技术始自Windows XP SP2。为了改进隔离功能,Windows防火墙将在新服务器安装时就启动,因此服务器可以在配置期间更好地抵御基于网络的攻击。此外,我们还将提供一个安全配置向导,一旦服务器角色(如文件服务器、应用服务器等)启动,就可以根据它们相对应的使用模式锁定服务器的角色。
Internet Security and Acceleration Server (ISA Server) 2004版:ISA Server 2004版中的安全功能包含了大量的深度内容检查,使用户可以更好地保护微软应用程序并加强远程VPN连接的安全。增强的用户界面和管理工具将使用户更方便地实行和管理安全策略,降低错误配置的可能性,而错误配置正是导致网络被入侵最常见的原因。
Exchange边界服务:这项新技术主要针对的是出现在互联网邮件中越来越多的安全问题。Exchange边界服务的设计目的是阻止恶意邮件和垃圾邮件的接收和发送、保护邮件服务器免受攻击、防止邮件携带病毒,以及对信息进行加密以达到最佳安全效果。此外,它还为第三方开发者提供了一个基础,使他们可以开发新一代的邮件过滤器、邮件加密产品以及邮件传递解决方案。
积极的保护技术:阻止和遏制攻击很关键的一点是,保证计算机即使是处在“蠕虫”和病毒越来越复杂的情况下,也有更强的弹性应对能力。为了做到这一点,微软正在投资开发一套完整的保护技术,它包括:
动态的系统保护:它可以根据每台计算机“状态”的变化主动调整防御措施。这些状态例如,新软件安装、配置的必要更新,或者连接到其它网络,那样的话计算机更容易受到攻击。动态的系统保护可以侦测到这些变化并且对保护等级作出相应的调整。现在,客户受益于Windows的“自动更新”功能,因为它可以探测到计算机对安全更新的需要。在未来,微软设想的计算机不仅能够侦测到变化,而且能够针对变化主动作出反应。例如,当一台笔记本电脑从公司的网络转移到家庭的电缆调制解调器或DSL连接时,它的防火墙就会关闭更多的端口,以提供更多的保护。
行为屏蔽:这种措施可以拦截可疑行为并对其进行判断,如果发现异常就加以阻止,从而限制了计算机受到“蠕虫”或病毒感染的可能性,防止病毒造成更多的破坏。例如,Blaster(冲击波)“蠕虫”就是探索到一个缺陷,导致Windows将“蠕虫”复制到其他计算机。而行为屏蔽可以遏制这种攻击。
应用感知防火墙和入侵防御:其目的是识别并屏蔽恶意的传输。隐藏在合法的网络传输中的病毒和“蠕虫”可以绕过传统的防火墙。但这项新的技术将对网络传输进行深层次的检查并阻止或限制恶意内容的扩散。
反垃圾邮件工具:由于病毒、“蠕虫”以及其它恶意代码经常通过垃圾邮件传播,微软正在进行多方面的反垃圾邮件工作。去年11月,微软推出了“SmartScreen”技术,这是一种可以用于客户端和在线邮件程序的过滤器。邮件用户可以通过训练过滤器识别垃圾邮件,让它可以变得越来越“聪明”。上个月,微软又发布了Caller-ID技术的一个典型应用,它可以对电子邮件的来源进行检验,类似于电话的来电显示。在法律方面,微软去年在全球范围内对垃圾邮件制造者提起了66起法律诉讼。
客户端检查:对于公司来说,最大的一个担忧就是感染了病毒或“蠕虫”的家庭计算机或远程笔记本电脑与公司的网络相连接。我们正在研究的技术可以对远程设备进行检查,如果它们没能通过安全检查就将无法登录到公司网络。
网络服务:2002年推出的“网络服务安全”(WS-Security)是一项标准化的规范,可以提高网络服务的完整性、安全性和机密性,它允许对信息进行加密并支持数字签名,从而有助于商家以更加安全、经济和灵活的方式连接内部和外部系统。WS-I Security 档案工作组最近发布的一项报告介绍了一些新措施,这些措施可以防止在建立共享操作的网络服务中出现的攻击和威胁。
更新
到目前为止,对软件进行更新一直是用户应对安全漏洞的主要方法。日益严重的威胁要求我们采取更加广泛和多样的措施来应对,微软正在继续大幅度地提高更新程序和其它相关程序的质量,并且开发出更加先进的工具来帮助IT管理员优化他们的安全基础设施。
去年秋季,为了加强补丁更新程序的可预测性和可管理性,我们开始了按月发布更新程序(当然,在有新威胁出现的情况下我们也会随时推出更新程序来保护客户)。同时,我们也在改进测试程序,争取将更新程序的不一致性和撤回率降到最低。到今年夏季以前,大多数的更新程序都将拥有完全的回滚功能。
去年11月发布的System
Management
Server2003是一种综合的更新程序,也是一种软件管理和分配解决方案,它可以使机构迅速方便地以系统方式部署最新的更新程序。在1月份,我们发布了Microsoft
Base
line
Security
Analyzerv1.2,这是一种免费的工具,它可以提供识别常见的安全错误配置的最新方法。
Windows
Update
Services是Software
Update
Services1.0(SUS)的新的发展,也是微软在补丁和更新管理战略中向前迈出的重要一步。作为 Windows 服务器的免费组件,Windows Update Services 赋予了IT 管理员权限,使他们能够在Windows服务器和客户端电脑上进行无缝地更新、扫描和安装。新的特色包括向用户提供更多自动操作和控制的权限以减少系统更新时的中断现象,以及扩展功能以SQL Server、Exchange Server、Office 2003 和Office XP的更新。目前这种服务正处于测试阶段,计划于2004年的下半年发布。此外,对于消费者,我们还正在为Windows Update补充一项新的服务,使消费者可以自动随时获取Windows以及Windows
