微軟已經擁有非常龐大的用戶基礎,那麼當微軟在開發Windows 7時,最重要的安全挑戰是什麼呢?
再好的技術保護措施,都需要用戶自己來作出明智的決策以保護自己免受惡意攻擊者和惡意軟件的攻擊。Windows 7中對UAC進行了改進,減少了彈出提示信息的數量,同時幫助將生態系統轉移到這樣一個環境,在此環境每個人都可以作為默認的標准用戶運行。其他改進功能還包括新的SmartScreen過濾器和Clickjacking防御技術,這兩個技術主要部署在IE8中。
在開發新版本Windows的時候,惡意攻擊者以及各種攻擊是不是新操作系統面臨的主要問題?
很顯然,惡意攻擊者的攻擊動機和復雜程度在過去幾年中已經發生了巨大的改變,我們的安全研究人員和其他人員仍然在繼續努力了解目前存在的以及將來可能出現的威脅,這能夠幫助我們更好地向新系統中建築保護機制,使用戶不會在未知的情況下獲取和運行惡意代碼。另外,我們也一直在努力使Windows內部的保護機制能夠免受篡改和規避等威脅。
安全社區對Windows7操作系統發布以來有怎樣的反映呢?你們對於反饋意見是否滿意?從中學到什麼?
到目前為止,安全社區對於Windows 7的反響還是不錯的,雖然對於UAC以及我們作出的部分修改存在些許問題,但是這也說明我們能夠認真傾聽大家的意見,並最終生產出大家滿意的產品。
在安全保護方面,Windows 7和Vista的根本區別在於什麼?
實際上,Windows 7操作系統是在Windows Vista的基礎之上構建的,並且進行了完善,Windows 7還涵蓋了Security Development Lifecycle(安全開發生命周期),這是Vista最核心的安全技術。另外,來自Vista的其他重要安全功能,包括用戶帳戶控制(UAC)、內核修補保護程序、Windows Service Hardening、地址空間布局隨機化(ASLR)以及數據執行防護(DEP)等也都保留在Windows 7中。此外,我們還增加了新的安全功能,如AppLocker能夠幫助控制在自我環境中運行的應用程序,我們還加強了核心BitLocker DriveEncryption的功能,讓IT企業更加容易在自身環境中部署和管理這項技術等。可以說,結合了IE8的Windows 7能夠提供靈活的安全保護,防止惡意軟件和攻擊。
實用性問題在這方面是如何影響微軟的決策的?
我們對於Windows7的目標就是,讓它成為有史以來最安全的操作系統,我們在開發該系統時,一直在思考如何將先進的安全性與易用性相結合。
DirectAccess和BranchCache是能夠幫助遠程員工辦公的功能,那麼這兩個功能是如何運作的呢?又是如何保護數據的呢?
DirectAccess是一項突破性技術,能夠讓員工通過互聯網連接無縫的安全的連接到他們的企業網絡。DirectAccess 通過在客戶端計算機與企業網絡間自動建立雙向的安全連接來實現功能,該功能是建立在可靠的基於標准技術基礎上的,如Internet協議安全(IPsec),這是一項通過驗證和加密幫助保護IP流量的協議,以及Internet協議第6版(IPv6), IPsec被用來對計算機和用戶進行驗證,可以允許IT人員在用戶登錄之前來管理計算機,IT人員可以要求用戶使用智能卡進行驗證。DirectAccess還利用IPsec來對互聯網的通信進行AES加密。
在進行遠程訪問企業網絡時,BranchCache可以幫助增強網絡對於中央應用程序的響應能力,使用戶感覺在自己的局域網辦公一樣。BranchCache還可以有助於減少對廣域網的使用, 當啟用BranchCache時,從內部網絡和文件服務器訪問的數據復印件會緩存在本地辦公室,當相同網絡的另一個客戶要求使用該文件時,客戶端能夠從本地下載,而不需要通過廣域網下載相同的內容。而且這是在不降低數據安全性的情況下實現的,訪問控制的緩存文件以對待原始文件相同的方式進行執行。