事實上,在Windows XP發佈一年後,微軟開始實施了可信賴計算的計劃 。在可信賴計算白皮書 中,微軟提出了實施可信賴計算的手段(means):
設計安全:減少軟件漏洞
默認安全:減少攻擊面
部署安全:安全措施更容易實施
用戶溝通:幫助用戶學會自我防護
在Windows XP SP2中,上述方法和理念得到了很好的實踐。首先,儘管SP2並不是一個新的操作系統,但在其所有818項修復中有140項是屬於基礎操作系統方面的(Base Operating System)修復 ,以彌補設計階段的軟件漏洞。此外,默認情況下的Windows防火牆、Internet Explorer、Outlook Express、Windows Update等都處於安全設置狀態。第三,Windows安全中心不僅方便了對系統的安全設置,也會智能地提示用戶安全性問題,例如,當沒有及時更新病毒防護軟件時,會彈出安全警告。
Windows XP SP2特性概述
在Windows XP SP2中,微軟提供了多種安全技術幫助用戶抵禦惡意軟件和其它風險,從而提高了Windows XP的整體安全防範能力。這些安全技術包括:
網絡保護 此類安全技術包括了Windows防火牆增強和遠端過程調用接口限制(RPC Remote Procedure Call),該技術有助於對類似衝擊波(MSBlaster)等基於網絡的攻擊行爲提供更好的保護。這些增強措施包括:默認開啓Windows防火牆、關閉端口除非該端口被使用、改進的配置用戶界面、改進的Windows防火牆開啓時應用程序兼容性和通過組策略對Windows防火牆的企業管理工具。遠端過程調用服務的受攻擊面(attack surface)被減少,該對象以較低的權限級別運行。DCOM架構也增加了訪問控制限制以減少被網絡攻擊擊中的風險。
內存保護 某些軟件允許過多的數據複製到計算機內存中,惡意軟件的攻擊可以利用這一安全性弱點。通常這種現象被稱作緩衝溢出。雖然,任何單一技術都不能完全消除這種問題,微軟正在從不同角度採用多種安全技術減輕這類攻擊。首先,利用最新的編譯技術將核心Windows組件重新編譯,增加了對緩衝溢出的保護。此外,微軟正在與微處理器廠家合作以使Windows支持微處理器上基於硬件的數據執行保護(DEP Data Execution Prevention)特性。數據執行保護通過CPU將應用程序所有的內存位置標記爲不可執行,除非這些位置顯式地包含可執行代碼。這樣,當蠕蟲或病毒插入到程序代碼並進入到標記爲僅爲數據的存儲部分,應用程序或Windows組件將不會運行它。
若要查看和設置數據執行保護,單擊"開始"按鈕,在彈出的菜單中,右鍵單擊"我的電腦",並在快捷菜單中選擇"屬性"。在打開的"系統屬性"對話框中,選擇"高級"選項卡,在性能選項中單擊"設置"按鈕,在打開的"性能選項"對話框中選擇"數據執行保護"選項卡。
電子郵件處理 安全技術有助於中止通過電子郵件和即時消息傳播的病毒(如SoBig.F)。這些技術包括安全性增強的默認設置、利用附件執行服務(AES Attachment Execution Service)應用程序接口的改進的附件控制。從而增強了Microsoft Outlook、Outlook Express和Windows Messenger等通信應用的安全性和可靠性。其結果是,通過e-mail和即時消息傳遞的潛在不安全附件被隔離,並儘可能少地影響系統的其它部分。
瀏覽安全 Microsoft Internet Explorer中的安全技術提供了抵禦Web中惡意內容的防護。改進之一是鎖定本機區域以免運行惡意腳本和增強組織有害Web下載。此外,更好的用戶控制和用戶界面可幫助阻止惡意ActiveX控件和間諜軟件在用戶不知情的情況下運行。
計算機維護 安全方案中非常重要的一部分是保持計算機最新的軟件和安全更新,並且瞭解更新在保護計算機安全中的重要性。具有安全性攻擊和趨勢的知識同樣也很重要。例如,一些已知病毒和蠕蟲的有效攻擊開始前若干天或若干周,相應的軟件更新已經可用。所增加的新技術幫助最終用戶保持最新。這些技術包括安全中心,提供了關於計算機安全性信息的統一位置,還有Windows Installer,提供了軟件安裝的安全性選項。
安全中心
安全中心是Windows XP SP2進行安全性設置和管理的統一界面,可以從控制面板訪問安全中心,也可以在需要進行安全性設置的時候,從告警信息提示中快速地打開安全中心。安全中心如下圖所示。
安全中心自動監控防火牆、自動更新和病毒防護的狀態,如果這些設置出現異常時,根據不同的嚴重程度,以不同的顏色和方式進行警告。例如,修改了自動更新的默認設置後,安全中心中有關自動更新的基礎標記就會變爲黃色,並提示檢查設置。如下圖所示。
如果關閉了自動更新,則在通知區域會顯示Windows安全警報 和信息提示,如下圖所示。
單擊警告信息,則可以打開安全中心,如下圖所示。單擊"啓用自動更新"按鈕,就可以恢復到正常安全設置狀態。
在安全中心中,可以管理安全設置,這些設置包括了Internet選項、自動更新和Windows防火牆。此外可以訪問有關的資源。並可以設置安全中心通知用戶的方式(可以關閉通知,但不建議這樣做)。
對於加入到域的Windows系統,安全性設置由網絡管理員決定,安全中心將不再進行提示通知。
防火牆
Windows防火牆是Windows XP SP2的重要改進之一。和以前ICF(Internet Connection Firewall)不同的是,默認情況下,Windows防火牆處於啓用的狀態,而且一旦防火牆被關閉,安全中心也會發出警告信息。
另一個重要的改進是,Windows防火牆在Windows啓動時將利用靜態規則進行狀態過濾(stateful filtering),該靜態規則被稱作啓動時策略(boot-time policy)。此時允許計算機運行DNS和DHCP等基本網絡任務。一旦Windows防火牆服務運行,將加載和應用運行時策略(run-time policy)並刪除啓動時過濾器。
Windows防火牆的啓動時安全性是基於操作系統的軟件防火牆所獨有的特性。儘管目前尚未發現任何啓動時的網絡攻擊,Windows防火牆的這一安全性設計體現了主動防護、未雨綢繆的設計理念。
可以通過多種方法對Windows防火牆進行設置。在"控制面板"中,可以通過"網絡和Internet連接"以及"安全中心"訪問Windows防火牆設置。如果網絡連接被顯示在任務欄右側的通知區域,鼠標右鍵單擊該網絡連接,並選擇"更改Windows防火牆設置",如下圖所示。
"Windows防火牆"對話框共有3個選項卡
常規選項卡:可以"啓用"或"關閉"Windows防火牆,如果啓用了防火牆,可以選擇"不允許例外",這將阻止所有主動到計算機的通信,並且在阻止時不通知用戶。這將適合於較不安全的網絡環境。
例外選項卡:默認情況下,Windows防火牆允許例外,在例外選項卡中列出了4個程序和服務,並默認允許"遠程協助",如下圖所示。其它3個程序和服務將根據Windows的設置自動啓用。例如,如果設置了共享文件夾,則"文件和打印機共享"會被自動啓用。
當其它程序被阻止時,會詢問用戶,如果選擇解除阻止,則該程序被添加到例外列表中。如下圖所示。
可以將程序添加到例外列表中或刪除例外列表中的程序(默認的4個程序和服務除外)。也可以編輯例外程序的通信範圍(IP地址)使其只和只定的計算機進行通信,如下圖所示。同樣的設置也適用於端口。
高級選項卡:可以對選定的一個或多個網絡連接進行設置,也可以指定安全日誌以記錄被丟棄數據包和成功的連接。"還原爲默認值"按鈕可以方便用戶快速設置爲默認的安全狀態。如下圖所示。
自動更新
保持Windows系統和軟件處於最新的狀態,使安全性的重要保障措施之一。實踐表明,開啓Windows自動更新,可以避免幾乎所有的利用系統漏洞的惡意攻擊。因此Windows自動更新被微軟認爲是保證系統安全的重要的3個重要步驟之一 。事實上,很多用戶並沒有開啓自動更新的功能,致使系統處於被攻擊的危險之下,甚至遭到惡意的攻擊,造成了不必要的損失。
Windows XP SP2默認開啓了Windows自動更新,如果用戶更改了自動更新的設置,將會被提醒或警告,如前所示。Windows更新服務已升級到版本5,更新服務效率更高,用戶使用更方便。此外自動更新支持支持安全修補程序、關鍵更新、累積更新包、服務軟件包等更多類型。對於慢速網絡連接用戶,後臺智能傳輸服務(BITS Background Intelligent Transfer Service)極大地改進了傳輸帶寬效率。在使用Windows更新服務時,可以傳輸較少的數據並更快地傳輸數據,減少更新對企業網絡的壓力。主要特性如下:
可以指定時間下載更新,例如指定網絡空閒的時段
可以設置只使用部分可用網絡帶寬
僅下載文件變化的部分。例如如果一個1MB的文件僅變化了一個字節,BITS將只傳送若干字節,而不是整個1MB文件。
從網絡傳輸失敗中恢復。在下載過程中,如果網絡失敗或連接丟失,BITS可以從斷點繼續傳輸,而不是重新從頭開始下載。
病毒防護集成
Windows XP SP2並不包含病毒防護軟件,但可以和防病毒軟件進行集成,以更好地保證系統的安全。Windows XP SP2可以檢測是否安裝了反病毒軟件,如果檢測不到 ,將發出警告;對於檢測到的反病毒軟件,如果沒有更新到最新狀態,也會受到警告信息;此外,如果關閉了病毒實時監控,或該服務啓動失敗,也會彈出警告信息。如下圖所示。
目前國內主流的反病毒軟件廠商,都已經推出了和Windows XP SP2兼容的軟件產品或補丁程序。
Internet Explorer
Microsoft Internet Explorer是Windows中主要的Internet瀏覽器程序,用戶的瀏覽體驗和安全性是Windows XP SP2的重要考慮因素。IE的安全同時也成爲系統安全的基礎。
阻止彈出式窗口
鑑於彈出式窗口被濫用的現實,Windows XP SP2的彈出式窗口阻止程序,爲用戶阻止不必要的彈出式窗口提供了控制選擇。默認情況下,大部分的彈出式窗口被阻止。一旦彈出式窗口被阻止,將會顯示一個信息提示窗口,並在信息欄中給出提示,同時可以聽到聲音提示。如下圖所示。
信息提示窗口解釋了信息欄的功能,可以選中不再新式此信息,則下次阻止了彈出式窗口時不再彈出該窗口。單擊"瞭解信息欄"可打開IE相關內容的幫助窗口。
單擊信息欄,可以選擇多項操作,如下圖所示。如果是第一次訪問該站點,可選擇"臨時允許彈出窗口"以查看彈出窗口的內容是否是有用信息;如果需要該站點的彈出式窗口信息,則可以選擇"總是允許來自該站點的彈出窗口";單擊"設置"命令,可以對信息欄進行進一步的設置,"關閉彈出窗口阻止程序",將允許任何站點顯示彈出窗口;不選中"顯示彈出窗口的信息欄"後,在彈出窗口被阻止時,將不顯示信息欄。此時可以從IE狀態欄中單擊按鈕 進行設置。
選擇"更多設置",可以打開"彈出窗口阻止程序設置"對話框。在該對話框中,可以手工輸入允許站點的地址;可以選擇是否播放聲音和顯示信息欄,以及不同的篩選級別(默認級別爲中),如下圖所示。此外,在打開網頁時按下Ctrl鍵,將不會阻止彈出窗口。
下列情況下的彈出窗口仍將被顯示
通過用戶單擊鏈接打開
通過運行在本機的程序打開
由來自Web站點的實證(instantiated)ActiveX控件打開
從受信任的站點或本地Intranet區域打開
文件下載和安裝提示
從IE下載文件時,會出現提示窗口,如下圖所示。提示窗口會顯示文件的圖標和文件的大小。根據下載文件的不同類型和安全性,提示窗口的標題的下方的圖示也有所不同。
在安裝加載項或下載的程序時,同樣會收到安全警告。對於簽署過的程序,可以有更多的選項來決定今後如何處理來自同一發行者的程序。
加載項管理和崩潰檢測
加載項向IE中添加了多種功能(如額外的工具欄、按鈕等),這會使瀏覽更加有趣或高效。許多加載項都來自Internet,大多數加載項在下載到本地計算機之前,都會提示病症的用戶的授權下載和安裝。但是,有些加載項可能會未經確認即進行下載。還有一些加載項是隨 Windows安裝的。
可以在Internet Explorer中管理加載項,從"工具"菜單選擇"管理加載項"命令,可以打開對話框。如下圖所示。
選擇"已啓用"的加載項,從對話框底部選擇"禁用"或者選擇"已禁用"的加載項,然後從對話框底部選擇"啓用"。重新啓動Internet Explorer後設置起效。
如果加載項導致網頁不能正常顯示或被迫關閉,並彈出崩潰報告檢測到加載項問題,則可以在加載項管理器中,僅用該加載項。或者如果是一個ActiveX加載項,可以嘗試更新它以解決問題。
Outlook Express
由於在較早版本的Windows XP中,Outlook Express會利用MSHTML控件處理HTML內容,並自動運行HTML頭中所含的腳本,因而帶來潛在的安全隱患。現在,可以選擇以純文本的方式閱讀消息,以降低風險。
一些垃圾郵件製造者會在電子郵件消息中包含引用到其站點的圖片。以前,當用戶收到這些郵件時會自動下載這個圖片,其電子郵件地址就被驗證有效,並可能被加入到垃圾郵件收件人地址列表中。在Windows XP SP2中,Outlook Express限制下載外部HTML內容,避免用戶被垃圾郵件製造者驗證郵件地址而收到垃圾郵件。該特性也方便了撥號上網的用戶,免除了下載完郵件並斷開網絡連接後,在試圖閱讀郵件時可能自動撥號聯網的麻煩。
此外,更新後的Outlook Express集成了附件執行服務(AES Attachment Execution Service)阻止保存或打開潛在的不安全郵件附件。
Windows Messenger
在Windows Messenger中,傳輸不安全文件會被自動拒絕。要了解通常認爲是不安全的文件的列表,請參閱http://support.microsoft.com/default.aspx?scid=kb;zh-cn;291369
此外,Windows Messenger還有求用戶必須選用不同於其郵件地址的顯示名稱。這是因爲一些病毒程序可以從保存的聊天記錄中發現e-mail地址和相關的聯繫人,從而侵犯用戶的隱私。
Tablet PC
Windows XP Tablet PC Edition在安裝了Windows XP SP2後自動升級到 Tablet PC 2005。並且在輸入面板、手寫識別、與Office System程序的集成方面有了極大的改進。
Windows Installer 3.0
其它技術和改進
更好的無線網絡支持
藍牙設備支持
USB設備寫保護
添加和刪除程序列表中的顯示更新選項
更多改進的管理工具
結論
Windows XP SP2是對Windows XP的一項革命性的改進,它以安全性爲出發點,從系統、管理、用戶等多方面進行了全面的改進和增強。同時兼顧到易用性和用戶體驗。Windows XP SP2不僅解決了以往出現的問題,更對今後可能引起攻擊的弱點進行了預防性修補。以期即使在沒有安裝補丁的情況下,緩解惡意軟件工具及造成的危害。