Windows XP SP2的发布风波终于告一段落。这个有270兆字节的大型修补程序有许多新的安全设置和功能。实际上,这个修补程序比微软以往任何一个都更注重安全特性。在XP SP2无数的安全特性中,包括软件和硬件数据处理保护,IE弹出窗口阻塞和改良的Outlook Express附件管理,我想着重讨论两个:新的安全中心和默认开启的Windows防火墙。
XP SP2的安全中心看起来很有价值(你可以通过开始-设置-控制面板-安全中心了解它的设置)。它通过一个最小化的窗口显示当前机器中防病毒软件、个人防火墙和Windows自动升级程序的状态。如果恶意代码中止了这些工具或用户没有升级,安全中心会弹出对话框并且工具栏中会出现一个破碎的小红心,以此来提醒用户,直到安全功能恢复运行或升级。
安全中心仅仅是安全设置的总观,主要用于报告机器的安全状态,了解这一点很重要。这意味着管理员没有中央管理能力,像是远程锁闭机器或者当用户使用非法地址或关闭安全特性时指定更好的安全设置。然而,幸运的是用户也不能关闭安全中心。用户可以选择不理会推荐的设置并且让它们暂时消失,但是它们会恢复并向用户发出警告。基本上,Windows可以代替用户自检一些基本的安全设置。我建议在公司的安全培训中增加对安全中心的说明,并向桌面帮助支持职员或客户服务团队详细说明,他们可能会需要安全中心警告信息的帮助。
XP SP2另一个大肆宣传的功能是Windows个人防火墙。我与几个计划使用这个内置的Windows防火墙的组织交谈过。他们认为Windows防火墙是内置的,与XP SP2一起自动部署并且提供所需的防火墙功能。看起来不需动脑,是这样吗?
不严格地说,这个内置的防火墙只提供最少的功能――只阻塞入站的连接,这可以阻止一些利用内存泄漏的蠕虫和网络监听后门。但是,这只是用户所需防御的一半。事实是,越来越多的恶意代码安装在与攻击者通讯的出站的连接上,检测要执行的命令并且输出结果。导致恶意代码铲除保护或者使攻击者得以控制GUI。很容易越过内置的Windows XP个人防火墙找到这样的后门。
你也许在想,“如果Windows防火墙阻塞了进入的恶意软件,那么与外部通讯的恶意代码是哪来的呢?”不论有没有入站过滤的防火墙,攻击者都有许多漏洞可以利用。可能最简单的方法是用户运行了电子邮件的附件或安装了其它不可信的软件。我们还可以发现大量的基于浏览器的漏洞。例如,如果用户访问了错误的站点,攻击者可以利用运行在浏览器中的HTTP进行控制。我们上个月在微软的许多产品中发现了这样的漏洞,称为GDI+驱动内存泄漏漏洞,它利用Windows的JPEG图像处理的内存泄漏漏洞。这意味着如果你使用未打补丁的IE浏览器、Outlook或其它图像放映软件观看了错误的图像,攻击者就侵入了你的领地――不需要入站连接。尽管GDI+漏洞有可用的修补程序,仍有其他未发现的漏洞。XP SP2的内置防火墙缺乏对出站连接的过滤,导致系统暴露在众多的病毒中。
内置的Windows XP SP2防火墙是很不成熟的软件,只能为一些上网娱乐或进行电子商务的用户提供帮助。它不能为大多数企业环境提供保护。
