不久前微軟推出了其新世紀的一款操作系統Windows XPWindows XP的安全性怎樣我們是否可以放心地使用Windows XP是否可以放心地從Windows Windows MeWindows升級到Windows XP?這是我們非常渴望得到回答的問題但作為一個用戶在產品剛剛發布一個月之際在沒有對產品做全面的評測之前要准確回答這些問題是不可能的本文試圖從Windows XP提供的安全功能一些權威機構的評測以及實際使用中的一些體會對Windows XP Professional的安全性做一簡要分析
Windows XP哪兒安全
無疑微軟在Windows XP的安全性方面做了許多工作增加了許多新的安全功能例如Internet連接防火牆支持多用戶的加密文件系統改進的訪問控制對智能卡的支持等
Internet連接防火牆
Internet連接防火牆是Windows XP的重要特性之一它可用於在使用Internet連接共享時保護NAT機器和內部網絡也可用於保護單機所以看起來它既像主機防火牆又像網絡防火牆實際上Internet連接防火牆屬於個人防火牆它的功能比常見的主機防火牆BlackICE和ZoneAlarm以及網絡防火牆PIX和Netscreen等都相差甚大它最適合保護本機的Internet連接事實上一旦啟用了Internet連接防火牆只有經過域認證的用戶才可以正常訪問主機而所有其他來自Internet的TCP/ICMP連接包都將被丟棄這可以較好地防止端口掃描和拒絕服務攻擊
支持多用戶加密文件系統
在Windows中微軟就采用了基於公共密鑰加密技術的加密文件系統(EFS)在Windows XP中對加密文件系統做了進一步改進使其能夠讓多個用戶同時訪問加密的文檔用戶可以通過設置加密屬性的方式對文件或文件夾實施加密其操作過程就像設置其它屬性一樣如果對一個文件夾進行加密那麼在此文件夾中創建或添加的所有文件和子文件夾都將自動進行加密因此在文件夾級別上實施加密操作是比較合適的EFS還允許在Web服務器上存儲加密文件這些文件通過Internet進行傳輸並且以加密的形式存儲在服務器上當用戶需要使用自己的文件時它們將以透明方式在用戶的計算機上進行解密這種特性允許以安全方式在Web服務器上存儲相對敏感的數據而不必擔心數據被竊取或在傳輸過程中被他人讀取
改進的訪問控制
Windows XP對訪問控制方面的策略做了較多的改進主要有限制網絡用戶為來賓賬號的策略空口令限制策略借助Microsoft Passport實現的單一登錄方式針對漫游用戶的憑證管理等例如憑證管理特性為包括密碼和X證書在內的用戶憑證提供了安全的存儲方式該特性為包括漫游用戶在內的所有用戶提供了一致性的單一簽名體驗如果用戶需要訪問公司網絡中的一個應用程序那麼在首次進行嘗試時用戶需要進行身份驗證並根據提示信息提供一個憑證在提供該憑證後它將與所請求的應用程序建立關聯今後當用戶再次訪問該應用程序時原先所保存的憑證將在無需重新輸入的情況下再次使用
支持智能卡
智能卡性能集成到操作系統中包括支持智能卡登錄到終端服務器會話對智能卡的內在支持使基於智能卡的安全技術應用更為方便例如私有密鑰和其他個人標識的存儲等
誰更適合Windows XP
從安全性方面考慮我們應該怎樣從原有的Windows系統升級到Windows XP呢?Windows XP面向的是個人用戶和中小企業用戶而非對安全要求很高的用戶因此對於PC機的個人用戶若原來裝有Windows X/Me但是達不到XP的硬件要求則無需升級因為若升級XP提供的良好穩定性及安全性發揮不出來還可能帶來安裝的煩惱若原來裝有Windows X/Me並且達到XP的硬件要求則可以升級到Windows XP家用版但是最好使用雙啟動這樣系統死機的幾率大減並且如果應用程序或硬件在XP中不工作可以啟動到Windows X/Me若原來裝有Windows 並且達到XP的硬件要求那麼穩定性和安全性已基本滿足如果還需要其他XP的新特性那麼再升級
對於中小企業用戶若原來裝有Windows X/Me但是達不到XP的硬件要求則建議買一套裝有Windows XP專業版的新系統這樣就可以擁有一台價格適當並且運行著Windows系列中最穩定安全和富有特色的版本若原來裝有Windows X/Me並且達到XP的硬件要求則升級到Windows XP專業版並使用全新安裝這樣系統死機的幾率大減並且可以保護文件及電子郵件不被共享該機器的其他人看到對於裝有Windows 的PC並且達到XP的硬件要求則可以暫時保持不變因為對於用戶穩定性和安全性已基本滿足如果還需要其他XP的新特性那麼再升級
對於政府及一些重要用戶若計算機處於物理隔離的內部網則在通過國家和軍隊軟件測試部門評測前不建議使用要等評測通過後再使用而對於位於外部網上的計算機建議在未來半年內不做升級但可適當試用
Windows XP到底有多安全
前面談到Windows XP增加了許多安全特性那麼它是否是一種安全的操作系統呢?操作系統的等級劃分主要依據系統安全策略的制定系統使用狀態的可審計性及對安全策略的准確解釋和實施的可靠性等方面Windows XP提供了自主訪問控制保護並具有對主體責任和它們的初始動做審計的能力從操作系統的等級來看Windows XP仍然是C級操作系統也就是說它是一種安全等級比較低的操作系統
操作系統安全性的另一方面是要看其作為軟件是否存在許多漏洞使黑客有機可乘據了解微軟的Windows XP剛推出其補丁程序也隨之而來其中有些是修正安全漏洞解決系統問題有些則是新增功能例如Windows XP發布後與之有關的漏洞有UPnP拒絕服務漏洞GDI拒絕服務漏洞終端服務IP地址欺騙漏洞 UPnP拒絕服務漏洞的描述是這樣的通用即插即用(UPnP)服務使計算機能夠發現和使用基於網絡的設備Windows ME和XP自帶UPnP服務由於UPnP服務不能正確地處理某種類型的無效請求因此產生了一個安全漏洞WindowsSE和ME系統在接收到這樣的一個請求之後會出現各種後果可能造成性能降低甚至系統崩潰Windows XP系統受到的影響沒有那麼嚴重因為該漏洞含有一個內存洩漏問題Windows XP系統每次接收到這樣的一個請求時就會有一小部分系統內存無法使用如果這種情況重復發生就會耗盡系統資源使性能降低甚至完全終止
實際上根據目前的軟件設計水平和開發工具要想絕對避免軟件漏洞是不可能的操作系統作為一種系統軟件在設計和開發過程中造成這樣或那樣的缺陷埋下一些隱患使黑客有機可乘也屬事出有因首先現在的軟件比過去要復雜得多例如Windows 約有萬行代碼而現在的Windows XP的代碼約有萬行再次系統可擴展性對安全構成了威脅將系統設計成具有可擴展性能的系統使其能夠接受它所需要的代碼這種設計非常經濟確實不錯但是也可能導致一些令人感到可怕的後果
可以說軟件質量決定了軟件的安全性然而即使在大談安全的今天大家關心軟件的功能仍然勝過其安全性能假若有一個功能很多安全性一般的操作系統另有一個功能很少安全性很強的操作系統我們會選擇哪一個呢?
From:http://tw.wingwit.com/Article/Common/201311/8301.html
