Windows XP SP2的發布風波終於告一段落。這個有270兆字節的大型修補程序有許多新的安全設置和功能。實際上,這個修補程序比微軟以往任何一個都更注重安全特性。在XP SP2無數的安全特性中,包括軟件和硬件數據處理保護,IE彈出窗口阻塞和改良的Outlook Express附件管理,我想著重討論兩個:新的安全中心和默認開啟的Windows防火牆。
XP SP2的安全中心看起來很有價值(你可以通過開始-設置-控制面板-安全中心了解它的設置)。它通過一個最小化的窗口顯示當前機器中防病毒軟件、個人防火牆和Windows自動升級程序的狀態。如果惡意代碼中止了這些工具或用戶沒有升級,安全中心會彈出對話框並且工具欄中會出現一個破碎的小紅心,以此來提醒用戶,直到安全功能恢復運行或升級。
安全中心僅僅是安全設置的總觀,主要用於報告機器的安全狀態,了解這一點很重要。這意味著管理員沒有中央管理能力,像是遠程鎖閉機器或者當用戶使用非法地址或關閉安全特性時指定更好的安全設置。然而,幸運的是用戶也不能關閉安全中心。用戶可以選擇不理會推薦的設置並且讓它們暫時消失,但是它們會恢復並向用戶發出警告。基本上,Windows可以代替用戶自檢一些基本的安全設置。我建議在公司的安全培訓中增加對安全中心的說明,並向桌面幫助支持職員或客戶服務團隊詳細說明,他們可能會需要安全中心警告信息的幫助。
XP SP2另一個大肆宣傳的功能是Windows個人防火牆。我與幾個計劃使用這個內置的Windows防火牆的組織交談過。他們認為Windows防火牆是內置的,與XP SP2一起自動部署並且提供所需的防火牆功能。看起來不需動腦,是這樣嗎?
不嚴格地說,這個內置的防火牆只提供最少的功能——只阻塞入站的連接,這可以阻止一些利用內存洩漏的蠕蟲和網絡監聽後門。但是,這只是用戶所需防御的一半。事實是,越來越多的惡意代碼安裝在與攻擊者通訊的出站的連接上,檢測要執行的命令並且輸出結果。導致惡意代碼鏟除保護或者使攻擊者得以控制GUI。很容易越過內置的Windows XP個人防火牆找到這樣的後門。
你也許在想,“如果Windows防火牆阻塞了進入的惡意軟件,那麼與外部通訊的惡意代碼是哪來的呢?”不論有沒有入站過濾的防火牆,攻擊者都有許多漏洞可以利用。可能最簡單的方法是用戶運行了電子郵件的附件或安裝了其它不可信的軟件。我們還可以發現大量的基於浏覽器的漏洞。例如,如果用戶訪問了錯誤的站點,攻擊者可以利用運行在浏覽器中的HTTP進行控制。我們上個月在微軟的許多產品中發現了這樣的漏洞,稱為GDI+驅動內存洩漏漏洞,它利用Windows的JPEG圖像處理的內存洩漏漏洞。這意味著如果你使用未打補丁的IE浏覽器、Outlook或其它圖像放映軟件觀看了錯誤的圖像,攻擊者就侵入了你的領地——不需要入站連接。盡管GDI+漏洞有可用的修補程序,仍有其他未發現的漏洞。XP SP2的內置防火牆缺乏對出站連接的過濾,導致系統暴露在眾多的病毒中。
內置的Windows XP SP2防火牆是很不成熟的軟件,只能為一些上網娛樂或進行電子商務的用戶提供幫助。它不能為大多數企業環境提供保護。