不久前微软推出了其新世纪的一款操作系统Windows XPWindows XP的安全性怎样我们是否可以放心地使用Windows XP是否可以放心地从Windows Windows MeWindows升级到Windows XP?这是我们非常渴望得到回答的问题但作为一个用户在产品刚刚发布一个月之际在没有对产品做全面的评测之前要准确回答这些问题是不可能的本文试图从Windows XP提供的安全功能一些权威机构的评测以及实际使用中的一些体会对Windows XP Professional的安全性做一简要分析
Windows XP哪儿安全
无疑微软在Windows XP的安全性方面做了许多工作增加了许多新的安全功能例如Internet连接防火墙支持多用户的加密文件系统改进的访问控制对智能卡的支持等
Internet连接防火墙
Internet连接防火墙是Windows XP的重要特性之一它可用于在使用Internet连接共享时保护NAT机器和内部网络也可用于保护单机所以看起来它既像主机防火墙又像网络防火墙实际上Internet连接防火墙属于个人防火墙它的功能比常见的主机防火墙BlackICE和ZoneAlarm以及网络防火墙PIX和Netscreen等都相差甚大它最适合保护本机的Internet连接事实上一旦启用了Internet连接防火墙只有经过域认证的用户才可以正常访问主机而所有其他来自Internet的TCP/ICMP连接包都将被丢弃这可以较好地防止端口扫描和拒绝服务攻击
支持多用户加密文件系统
在Windows中微软就采用了基于公共密钥加密技术的加密文件系统(EFS)在Windows XP中对加密文件系统做了进一步改进使其能够让多个用户同时访问加密的文档用户可以通过设置加密属性的方式对文件或文件夹实施加密其操作过程就像设置其它属性一样如果对一个文件夹进行加密那么在此文件夹中创建或添加的所有文件和子文件夹都将自动进行加密因此在文件夹级别上实施加密操作是比较合适的EFS还允许在Web服务器上存储加密文件这些文件通过Internet进行传输并且以加密的形式存储在服务器上当用户需要使用自己的文件时它们将以透明方式在用户的计算机上进行解密这种特性允许以安全方式在Web服务器上存储相对敏感的数据而不必担心数据被窃取或在传输过程中被他人读取
改进的访问控制
Windows XP对访问控制方面的策略做了较多的改进主要有限制网络用户为来宾账号的策略空口令限制策略借助Microsoft Passport实现的单一登录方式针对漫游用户的凭证管理等例如凭证管理特性为包括密码和X证书在内的用户凭证提供了安全的存储方式该特性为包括漫游用户在内的所有用户提供了一致性的单一签名体验如果用户需要访问公司网络中的一个应用程序那么在首次进行尝试时用户需要进行身份验证并根据提示信息提供一个凭证在提供该凭证后它将与所请求的应用程序建立关联今后当用户再次访问该应用程序时原先所保存的凭证将在无需重新输入的情况下再次使用
支持智能卡
智能卡性能集成到操作系统中包括支持智能卡登录到终端服务器会话对智能卡的内在支持使基于智能卡的安全技术应用更为方便例如私有密钥和其他个人标识的存储等
谁更适合Windows XP
从安全性方面考虑我们应该怎样从原有的Windows系统升级到Windows XP呢?Windows XP面向的是个人用户和中小企业用户而非对安全要求很高的用户因此对于PC机的个人用户若原来装有Windows X/Me但是达不到XP的硬件要求则无需升级因为若升级XP提供的良好稳定性及安全性发挥不出来还可能带来安装的烦恼若原来装有Windows X/Me并且达到XP的硬件要求则可以升级到Windows XP家用版但是最好使用双启动这样系统死机的几率大减并且如果应用程序或硬件在XP中不工作可以启动到Windows X/Me若原来装有Windows 并且达到XP的硬件要求那么稳定性和安全性已基本满足如果还需要其他XP的新特性那么再升级
对于中小企业用户若原来装有Windows X/Me但是达不到XP的硬件要求则建议买一套装有Windows XP专业版的新系统这样就可以拥有一台价格适当并且运行着Windows系列中最稳定安全和富有特色的版本若原来装有Windows X/Me并且达到XP的硬件要求则升级到Windows XP专业版并使用全新安装这样系统死机的几率大减并且可以保护文件及电子邮件不被共享该机器的其他人看到对于装有Windows 的PC并且达到XP的硬件要求则可以暂时保持不变因为对于用户稳定性和安全性已基本满足如果还需要其他XP的新特性那么再升级
对于政府及一些重要用户若计算机处于物理隔离的内部网则在通过国家和军队软件测试部门评测前不建议使用要等评测通过后再使用而对于位于外部网上的计算机建议在未来半年内不做升级但可适当试用
Windows XP到底有多安全
前面谈到Windows XP增加了许多安全特性那么它是否是一种安全的操作系统呢?操作系统的等级划分主要依据系统安全策略的制定系统使用状态的可审计性及对安全策略的准确解释和实施的可靠性等方面Windows XP提供了自主访问控制保护并具有对主体责任和它们的初始动做审计的能力从操作系统的等级来看Windows XP仍然是C级操作系统也就是说它是一种安全等级比较低的操作系统
操作系统安全性的另一方面是要看其作为软件是否存在许多漏洞使黑客有机可乘据了解微软的Windows XP刚推出其补丁程序也随之而来其中有些是修正安全漏洞解决系统问题有些则是新增功能例如Windows XP发布后与之有关的漏洞有UPnP拒绝服务漏洞GDI拒绝服务漏洞终端服务IP地址欺骗漏洞 UPnP拒绝服务漏洞的描述是这样的通用即插即用(UPnP)服务使计算机能够发现和使用基于网络的设备Windows ME和XP自带UPnP服务由于UPnP服务不能正确地处理某种类型的无效请求因此产生了一个安全漏洞WindowsSE和ME系统在接收到这样的一个请求之后会出现各种后果可能造成性能降低甚至系统崩溃Windows XP系统受到的影响没有那么严重因为该漏洞含有一个内存洩漏问题Windows XP系统每次接收到这样的一个请求时就会有一小部分系统内存无法使用如果这种情况重复发生就会耗尽系统资源使性能降低甚至完全终止
实际上根据目前的软件设计水平和开发工具要想绝对避免软件漏洞是不可能的操作系统作为一种系统软件在设计和开发过程中造成这样或那样的缺陷埋下一些隐患使黑客有机可乘也属事出有因首先现在的软件比过去要复杂得多例如Windows 约有万行代码而现在的Windows XP的代码约有万行再次系统可扩展性对安全构成了威胁将系统设计成具有可扩展性能的系统使其能够接受它所需要的代码这种设计非常经济确实不错但是也可能导致一些令人感到可怕的后果
可以说软件质量决定了软件的安全性然而即使在大谈安全的今天大家关心软件的功能仍然胜过其安全性能假若有一个功能很多安全性一般的操作系统另有一个功能很少安全性很强的操作系统我们会选择哪一个呢?
