Windows XP 终于为桌面系统带来了真正的安全。
微软公司发布的Windows XP为桌面系统带来了只有在微软的Windows 2000 服务器操作系统中才能找到的所有关于可靠性和安全性的功能。一些专门为XP设计的功能使XP比Windows 2000 更加适合笔记本和台式机。
当然,所有这些的代价是:复杂。微软的设计师们已经尽了全力在不牺牲太多安全性的情况下设置一些合理的默认值,前提是一般的家庭用户能够接受这些默认值。甚至可以阻止某些应用程序的运行。
但是Windows XP究竟有多安全?在几个月甚至几年内都可能不得而知,除非有足够多的人开始理解这个复杂的操作系统和它的许多功能。XP的确包括索引服务,今年夏天的红色代码就是利用了这个软件的后续版本。现在,让我们关注在XP上如何提高安全性。
FLAVORS
Windows XP 分成两个版本:家庭版和专业版。 它们看上去十分类似,但也可以根据其具有的两个特点用不同的眼光来审视XP:作为域的一部分被安装和作为一个工作组或单一的系统被安装。
Windows XP基于Windows 2000,在此基础上发展和改进了作为桌面操作系统的最佳功能——也就是说它是一个主要面向最终用户的系统。II S包括在XP专业版中,但是你可以选择不安装它。你将需要带有大量内存处理合理操作的更快的系统,和仅仅不使其中断的分析检测功能,XP是设计出来的新的桌面系统,不会只有两三年的寿命。
就像Windows 2000一样,XP使用NT文件系统(NTFS)。它是一种比旧的Windows文件系统更强大的日志文件系统。与NTFS一同而来的还有进入控制列表(ACLs)。系统文件和目录中的默认ACLs比Windows NT中所使用的要强大的多。微软将NT中的ACLs设置作为让步,允许一般的用户有很大的自由度安装软件,也允许安装特洛伊木马程序。而对于XP,其默认值限制对本地系统和对管理员组的系统文件写入,在这里,在域和单独使用之间开始出现巨大的差异,在单独的或工作组中的生成的默认帐户自动成为强大的管理员组中的一员。
你作为管理者控制XP系统,你能够创建管理者或者仅仅是一般的使用者的用户,你也能够改变这种控制。这有很多种办法:在企业中,由域控制的环境下,创建和更改域帐户的人可以进行XP用户能够完成的控制。例如:管理员能够安装软件,但是在域中的XP用户不能,除非他们是适合的域组的成员。
XP比Windows 2000的控制能力更强大,任何用户都能设置方法来限制哪些应用程序可以被运行,对于独立使用的XP, 这是通过本地安全设置来完成的,当XP被安装在一个域中时,微软管理控制台(MMC)方法插件既能够在阻止一小部分应用程序运行(例如特别的游戏)的同时允许所有程序的运行,又能够只允许特殊的一组程序运行而阻止所有的应用程序。这种限制应用程序的方法比过去的尝试更智能化,它基于对考虑中的应用程序的仔细分析。所以即使把Tombraiders.exe 改名为Word.exe 也不会运行。当然它并不是一项必须的工作,聪明的人可以使用二进制编辑器转换几个字节来扰乱其分析的算法,真正的对控制狂热的人,还可以使用数字签名来代替。
确认
Windows XP的单机版本允许用户选择一个空白的密码,但是随后设立了某些默认的限制——你不能在远端登陆一个没有密码的帐户,而仅仅是一个合理的控制台。而另一个新的功能:快速用户转换(FUS)允许你作为一个完全不同的用户登陆。并且在多个用户环境之间转换而不必退出任何正在运行的应用程序,但当用户没有选择密码时,FUS不能工作。
有人在检测本地安全设置时发现了密码的默认值。在NT中,你能够在用户管理器中发现这些,但在单机版中,诸如密码长度和登陆失败尝试次数的设置可以在这里发现,除了登陆失败次数被设置为10以及密码在42天过期之外,其余所有的密码选项被设为0或失效。所以,某个人可以输入空白的密码或当旧密码过期之后再重新利用它,密码复杂性检测也是失效的,我通过创立一个管理员帐户并将密码设置为用户名对它进行了检测。
虽然空白密码对家庭用户来说听上去不错,但是对于XP和密码来说,并不仅仅是登陆或在用户环境之间转换这些功能。在意识到XP中有一个空白密码是一个非常非常糟糕的主意之前,我们需要讨论一些其它的安全功能。
加密
如同Windows 2000, XP专业版包括了密码文件系统(EFS),。与Windows 2000不同的是,默认的EFS是有效的,所以当你用XP开始生成文件时,它们就被加密了。虽然资源管理器在每个文件或文件夹的级别上能够控制这种行为,但是它对于用户来说是透明的,即你不需要输入任何密码,XP已经替你这么做了。
XP也对缓存文件进行加密,这种技术允许你使用最大为10%(默认)的硬盘空间来保存正常情况下存贮于远程共享中的文件。你可以随后中断连接,回到家(或旅行),而且一直可以进入这些文件,当你重新连接网络时,Windows中的镜像系统将会协调你用Windows 2000或XP文件共享所作的更改,当你的笔记本电脑被盗的时候(或者假如你调皮捣蛋的孩子用你的XP系统偶然打开这些文件),加密这些缓存文件是一个非常好的主意。
证书管理器为你贮存各种各样的证书,包括公共钥匙证书,它也管理Kerberos 的钥匙,这是在域中Windows 2000和XP默认的确认机制。你也能够在这儿存贮其它的用户名和密码,通过要求(当提示时)证书管理器记住密码,用这种方法证书管理器变成了一个简单符号代理,加密你的存贮的私人钥匙和其它密码。EFS基于两件事情:对于XP保持不变的秘密和你的密码。如果你选择一个空白的密码,你就已经选择了“零”作为钥匙来加密许多重要的事情,如果你计划依赖任何的这些特点,即使你选择一个弱的密码也是一个非常坏的主意,XP支持超过14个字符的密码,(在Windows 95/98/NT 的用户界面中旧的限制),所以你能使用密句代替密码。
XP包括一个使用可逆的加密来保存密码的策略选项,这是一个糟糕的主意,由于密码通常用无法辩识的杂乱符号来保存,一个基于密码的值是不可逆的。
域用户能够选择使用智能卡进行确认,这比用密码有了很大的进步。通过在你的台式机或笔记本电脑中增加智能卡读取器(他们通过PC卡或Card Bus包装入),你把你有的某物(智能卡)加入你知道的某物(解锁的PIN),智能卡能够经常存贮你的私人钥匙和任何的证书,使它们比在线贮存更加安全。但是智能卡的确也有它们的弱点,例如按键监视器能够收集你的PIN,但是即使是那样他们仍然需要卡。
即使你使用了智能卡,不幸的是由于一个本质的属性,XP破坏了它:你可以进入休眠而不用关机,这意味着当你重新开机时,你正处在你离开时的位置,这也意味着如果你休眠了,看门人开启了你的系统,他或她也会处于你离开时的位置,我在单机版中试过这个,并且假定安装在域中时也会产生同样的结果。
网络安全
Windows XP (和Windows2000)包括了对IPSec的支持——加密网络通信的因特网标准。XP的IPSec支持看上去非常完备,允许使用共享的秘密(在许多VPN 产品种最常用的方法),以及证书和微软的Kerberos. Kerberos 的差异在于微软增加了所有权扩展,所以,钥匙分配服务器必须存在于Windows2000中。
对于家庭用户,XP提供了两个有用的功能专门用来与小型/家庭办公室(SOHO)防火墙提供商进行竞争,网络链接共享功能(ICS)使你的XP系统对于你的本地网络中的其它系统扮演了一个网络地址转换器的角色。ICS 包括了一个DHCP服务器,它为你本地网络中的成员分配地址并且并且透明的路由包经过你的IP系统到达你的ISP,ICS能够根据需求建立拨号连接,并且能够临时性的挂断调制解调器以便你能够使用电话,之后再重新恢复连接。
网络链接防火墙使用由ICS收集的信息提供有限的防火墙性能。为了网络地址转换,ICS必须持续跟踪离开你的网络的信息流。ICF使用这个信息来控制哪一个IP包能够进入你的网络,如果一个试图进入你的网络的包与任何一个出去的包都不符合,它将被阻止,ICF提供了一个简单形式的防火墙——最基本的网络地址转换——并且也不允许你在它后面设置一个公共服务器。
远程控制
XP炫耀了一项名叫远程助理的新功能,它允许你向朋友发送一条信息(使用Windows Messenger 或者Out look Express)来邀请他们对你的XP系统进行远程控制。由于XP的复杂性,你可能确实需要配置方面的帮助,但是提供远程控制能力是危险的,当某人同意让我成为他或她的朋友时,XP实际上不能通过本地的基于Linux的防火墙,同时它将抱怨解析主机名失败(可以在XP 下使用nslookup 来解析)
幸运的是,许多在第一眼看上去比较危险的功能(就像远程助理)将被证明是无害的,微软已采取了强有力的措施通过XP来改进桌面系统的安全性,我们仅仅希望它确实能够有效。
低端PC服务器优劣
从已经建立现代化网络的银行、证券、电信、运输等传统企业来看,采用性能价格比较高的低档PC服务器所产生的经济效益和社会影响,使人们有理由相信:中小企业网络的生力军非PC服务器莫属。我们知道,PC服务器与PC机相比,在仅仅执行简单运算时是没有优势可言的,但若是在大数据量运算、多用户访问及不停机环境中,PC服务器则可一显英雄本色——具有更高的稳定性、更快的运算速度以及与PC机相似的易安装、易操作、易管理和易维护等特点。尤其是PC服务器的价格与PC机处于同一数量级,与RISC服务器动辄投入上百万元简直有天渊之别,这也是低端PC服务器倍受广大中小企业青睐的重要原因。
目前,我国中小企业正面临着入世所带来的压力和机遇。人们已经清醒地认识到,在现代商务经济大潮中,企业发展的源动力始终来自于高新技术和科学管理的普及和深入,组建和运行企业网络是大势所趋。所以由此可见,PC服务器在中小企业市场蕴涵着巨大的潜力。
低端PC服务器的传统应用优势主要体现在可扩展性、升级能力、兼容性、可管理性、可操作性等方面。特别是近年来,该类服务器的关键部件的性能越来越高,技术越来越成熟,而整机结构中的控制能力和安全性、可靠性、可管理性等也越来越强,机箱内外设计和散热布局也越来越科学,体形则越来越小巧,所有这些恰巧迎合了中小企业用户希望在有限空间实现持续计算和不断扩展业务的迫切需求,于是出现了市场热销的可喜局面。
应该承认,和高端PC服务器相比,面向中小企业的低端PC服务器在性能和功能上或许不是那么出类拔萃,但在可管理性、可用性、可扩展性、安全性以及模块化等方面,用户需要着重考察的地方还比较多!
作者:宗华
