许多人的电脑都会发生问题,我也不例外。前几天,我的电气工程师告诉我说,当他离开的时候,不管他离开多一会儿,都要关掉他的电脑。
他的电脑上安装有防病毒软件和防火墙,但是当他回到家的时候就把它们关闭了,于是他就遭到了一些人的攻击。
这件事情引起了我深深地思考,虽然这只是一个一般性问题,但它有可能会使事情变得很糟。
想想最近的Zotob风波吧:当人们发现了漏洞并且发布了补丁程序之后不到一个星期,这个蠕虫病毒的第一个变种就出现了。
在那个时候不难找到一台没有打过补丁的电脑,也不难找到联在互联网上的新电脑在发现漏洞之后不到一周就可能受到攻击。
事实上,最普通的安全建议就是:在你不使用电脑的时候,关掉它!这个理论成立的依据就是,减少你的电脑在互联网上的时间,就能降低受到攻击的概率。
但是这也让另一方面受到了损失,也就是说它同时减少了你能够更新你的电脑的时间。这也就激发我去写一个专栏告诉用户时刻开着他们的电脑。
一个比较好的解决方案应该是一种特殊的通讯方式,通过这种通讯方式能够在完全启用网络堆栈之前进入Windows能够进入的地方。一份需要严格保密的“白名单”(whitelist)地址,能够定义一个唯一的web地址。有了这个地址电脑就能够使用一些非常常用的用户界面元素进行通讯,除非你强行把它从“白名单”中去掉。
在这个“白名单”中最显而易见的条目可以说就是不同的微软升级站点。在一个企业安装中可能是一个SUS服务器或一些其它相关的服务器。一个OEM服务也能够把它自己的更新站点和任何捆绑的安全软件放到这些条目中,比如赛门铁客的LiveUpdate。
一旦进入这种模式,就会有一些更新列表呈现在用户面前,并且询问他或者她是否想下载和应用这些更新。或者能够定制一个策略自动安装这些更新,然后退出这种模式。
我认为个人防火墙是实施这个策略的一个不错选择。一些流行的防火墙都可能经过升级来提供这种保护。
如果我没有搞错的话,Windows XP SP 2 在启动网络堆栈之前加载Windows防火墙或者其它任何第三方的防火墙。
所以,防火墙软件经销商(包括微软在内)能够执行这个策略,但是我更希望能够开发一些标准来定制“白名单”和这种模式的其它属性。
在一段时间的非活动状态之后,重新进入这种模式,就是容易理解的了。这样,如果某个用户彻夜离开他的系统,唯一能发生的一件事情就是软件的更新。
当然,这可能会影响到在这台电脑上收回电子邮件和运行一些peer-to-peer服务,解决这个问题的方法就是把决定权交给用户,由用户来把握定制“白名单”的“度”。
就像我看到的那样,“白名单”模式并不能指出一个主要的漏洞,那仅仅是一个低概率的边缘事件。像这样的边缘事件即使是防护严谨的用户也会发生的,纯粹就是碰上坏运气了。我认为这种模式将会弥补现在的不足,并且能够全面增强系统安全性,也能够让用户知道他们的安全措施以及他们的系统是否是最新的。
原文作者Larry Seltzer系eWeek安全中心编辑,从1983年起就在从事计算机业界的编辑写作报道工作。
