蓋茨:2004年微軟在安全領域的努力和成績(轉)

　　技術天地：本文來自比爾?蓋茨的一封公開信，全文如下：[@more@]

　　

　　惡意軟體程式碼已經存在了數十年，但是隻在最近幾年，由於網際網路、高速網路連線和數以百萬臺新式計算機裝置的出現，組成了真正意義上的全球網路，病毒和“蠕蟲”才有條件在短短几分鐘內肆虐全球。

　　

　　與此同時，駭客犯罪分子的手法也越來越猖獗，他們製造並散佈了諸如Slammer、Blaster（衝擊波）,Sobig（大無極）和Mydoom等數字病毒，這些病毒像瘟疫一樣可以在瞬間大規模擴散，威脅著高科技驅動生產、商務和交流的潛在能量。

　　

　　病毒攻擊的種類也在進化。例如Blaster（衝擊波），這種病毒攻擊個人電腦，將無辜的使用者在不知不覺的情況下變成了“蠕蟲”的傳播者。這些攻擊方式的特點是：“密集”的攻擊互相配合，產生成倍的、排山倒海式的效果，對安全構成了更大的威脅。這就要求IT專業人員和消費者提前採取預防性措施，同時也要求技術領域不斷革新和開發新的解決方案。

　　

　　儘管未來充滿了各種挑戰，但微軟乃至整個業界都正在安全方面不斷取得重要的進展。本郵件將向您闡述微軟在安全的四個領域中所作的重大投入：

　　

　　1 安全隔離與彈性應對

　　

　　2 更新

　　

　　3 質量

　　

　　4 驗證與訪問控制

　　

　　此外，我們還承諾在客戶教育和合作關係方面加大投入，因為這些將有助於加強計算環境的安全性和可靠性。

　　

　　因為人的天性，不斷演進的威脅模式、越來越多的互聯計算機、以及安全惡意利用的數量永遠都不會有消失的一天，但是，我們仍然可以顯著地防範並減弱網路犯罪所帶來的影響。目前，我們正在把研發投入中相當大的一部分用在安全方面。

　　

　　安全隔離與彈性應對

　　我們安全工作的中心任務是透過將惡意程式碼隔離來防止惡意程式碼探索到缺陷，並且提供對計算機程式對話方或協同工作的物件的更加有效的控制，使系統面對威脅時能彈性的應對，這樣系統就能夠識別並阻止可疑或者惡意的探索行為。

　　

　　Windows　XP　Service　Pack2：我們正在隔離和彈性應對措施方面取得很多進展，這些進展將可以幫助我們的重點客戶對付作業系統所面臨的四種攻擊模式。Windows XP Service Pack 2 將在今年春夏之交面世。

　　

　　網路保護：Windows防火牆將在預設狀態下啟動，全域性防火牆設定以及防火牆中心管理配置也將預設狀態下啟動。這些措施將減少病毒對個人電腦和網路的“攻擊面”。

　　

　　安全網頁瀏覽：為了減弱惡意程式碼以及那些會破壞計算機或欺騙使用者的網路站點帶來的衝擊，IE將自動遮蔽非請求的網站下載以及使用者不想要的自動彈出視窗，除非使用者點選下載連結。IT管理員也可以對此功能進行管理，以便在機構內部保證策略的一致性。此外，無線設定也將得到改進，以加強家庭無線網路瀏覽的安全性。

　　

　　安全的電子郵件和即時通訊：為了降低受到攻擊的風險，我們正在將OutlookExpress和WindowsMessenger即時通訊的檔案附加功能打造得更加出色，此外，在OutlookExpress中增強了使用者對外部內容的下載的控制權，那些外部內容的下載會造成郵件傳送者識別您的計算機。

　　

　　記憶體保護：專門利用緩衝區溢位的惡意軟體可以使大量的資料被複制到計算機的記憶體中。雖然沒有單獨的技術可以完全消除這種缺陷，但微軟正在透過使用大量的安全技術來減弱此類攻擊帶來的影響。首先，核心的Windows 元件都已經使用最新版本的編譯技術進行了重新編譯以防溢位。微軟還正在與Intel和AMD等微處理器廠家合作，幫助Windows支援硬體增強資料執行保護，也就是NX，或“no　execute”。除非某個位置明顯含有可執行程式碼，否則NX透過CPU將應用程式中所有的儲存位置都標識成“不執行”。因此，當“蠕蟲”或病毒在記憶體儲中標識為“只存資料”的部分插入程式程式碼時，該程式碼將無法執行。

　　

　　Windows Server 2003：由於每臺計算機所處的環境都可以被認為是“敵對世界”，因此我們在Windows Server 2003 上的工作重點就是探索如何降低、減輕或者抵制威脅。我們計劃在2004年的下半年推出Windows Server 2003 Service Pack 1，其中包含基於伺服器的安全增強特性，有一些安全技術始自Windows XP SP2。為了改進隔離功能，Windows防火牆將在新伺服器安裝時就啟動，因此伺服器可以在配置期間更好地抵禦基於網路的攻擊。此外，我們還將提供一個安全配置嚮導，一旦伺服器角色（如檔案伺服器、應用伺服器等）啟動，就可以根據它們相對應的使用模式鎖定伺服器的角色。

　　

　　Internet Security and Acceleration Server (ISA Server) 2004版：ISA Server 2004版中的安全功能包含了大量的深度內容檢查，使使用者可以更好地保護微軟應用程式並加強遠端VPN連線的安全。增強的使用者介面和管理工具將使使用者更方便地實行和管理安全策略，降低錯誤配置的可能性，而錯誤配置正是導致網路被入侵最常見的原因。

　　

　　Exchange邊界服務:這項新技術主要針對的是出現在網際網路郵件中越來越多的安全問題。Exchange邊界服務的設計目的是阻止惡意郵件和垃圾郵件的接收和傳送、保護郵件伺服器免受攻擊、防止郵件攜帶病毒，以及對資訊進行加密以達到最佳安全效果。此外，它還為第三方開發者提供了一個基礎，使他們可以開發新一代的郵件過濾器、郵件加密產品以及郵件傳遞解決方案。

　　

　　積極的保護技術：阻止和遏制攻擊很關鍵的一點是，保證計算機即使是處在“蠕蟲”和病毒越來越複雜的情況下，也有更強的彈性應對能力。為了做到這一點，微軟正在投資開發一套完整的保護技術，它包括：

　　

　　動態的系統保護：它可以根據每臺計算機“狀態”的變化主動調整防禦措施。這些狀態例如，新軟體安裝、配置的必要更新，或者連線到其它網路，那樣的話計算機更容易受到攻擊。動態的系統保護可以偵測到這些變化並且對保護等級作出相應的調整。現在，客戶受益於Windows的“自動更新”功能，因為它可以探測到計算機對安全更新的需要。在未來，微軟設想的計算機不僅能夠偵測到變化，而且能夠針對變化主動作出反應。例如，當一臺膝上型電腦從公司的網路轉移到家庭的電纜調變解調器或DSL連線時，它的防火牆就會關閉更多的埠，以提供更多的保護。

　　

　　行為遮蔽：這種措施可以攔截可疑行為並對其進行判斷，如果發現異常就加以阻止，從而限制了計算機受到“蠕蟲”或病毒感染的可能性，防止病毒造成更多的破壞。例如，Blaster（衝擊波）“蠕蟲”就是探索到一個缺陷，導致Windows將“蠕蟲”複製到其他計算機。而行為遮蔽可以遏制這種攻擊。

　　

　　應用感知防火牆和入侵防禦：其目的是識別並遮蔽惡意的傳輸。隱藏在合法的網路傳輸中的病毒和“蠕蟲”可以繞過傳統的防火牆。但這項新的技術將對網路傳輸進行深層次的檢查並阻止或限制惡意內容的擴散。

　　

　　反垃圾郵件工具：由於病毒、“蠕蟲”以及其它惡意程式碼經常透過垃圾郵件傳播，微軟正在進行多方面的反垃圾郵件工作。去年11月，微軟推出了“SmartScreen”技術，這是一種可以用於客戶端和線上郵件程式的過濾器。郵件使用者可以透過訓練過濾器識別垃圾郵件，讓它可以變得越來越“聰明”。上個月，微軟又釋出了Caller-ID技術的一個典型應用，它可以對電子郵件的來源進行檢驗，類似於電話的來電顯示。在法律方面，微軟去年在全球範圍內對垃圾郵件製造者提起了66起法律訴訟。

　　

　　客戶端檢查：對於公司來說，最大的一個擔憂就是感染了病毒或“蠕蟲”的家庭計算機或遠端膝上型電腦與公司的網路相連線。我們正在研究的技術可以對遠端裝置進行檢查，如果它們沒能透過安全檢查就將無法登入到公司網路。

　　

　　網路服務：2002年推出的“網路服務安全”（WS-Security）是一項標準化的規範，可以提高網路服務的完整性、安全性和機密性，它允許對資訊進行加密並支援數字簽名，從而有助於商家以更加安全、經濟和靈活的方式連線內部和外部系統。WS-I Security 檔案工作組最近釋出的一項報告介紹了一些新措施，這些措施可以防止在建立共享操作的網路服務中出現的攻擊和威脅。

　　

　　更新

　　到目前為止，對軟體進行更新一直是使用者應對安全漏洞的主要方法。日益嚴重的威脅要求我們採取更加廣泛和多樣的措施來應對，微軟正在繼續大幅度地提高更新程式和其它相關程式的質量，並且開發出更加先進的工具來幫助IT管理員最佳化他們的安全基礎設施。

　　

　　去年秋季，為了加強補丁更新程式的可預測性和可管理性，我們開始了按月釋出更新程式（當然，在有新威脅出現的情況下我們也會隨時推出更新程式來保護客戶）。同時，我們也在改進測試程式，爭取將更新程式的不一致性和撤回率降到最低。到今年夏季以前，大多數的更新程式都將擁有完全的回滾功能。

　　

　　去年11月釋出的System　Management　Server2003是一種綜合的更新程式，也是一種軟體管理和分配解決方案，它可以使機構迅速方便地以系統方式部署最新的更新程式。在1月份，我們釋出了Microsoft　Base　line　Security　Analyzerv1.2，這是一種免費的工具，它可以提供識別常見的安全錯誤配置的最新方法。

　　

　　Windows　Update　Services是Software　Update　Services1.0（SUS）的新的發展，也是微軟在補丁和更新管理戰略中向前邁出的重要一步。作為 Windows 伺服器的免費元件，Windows Update Services 賦予了IT 管理員許可權，使他們能夠在Windows伺服器和客戶端電腦上進行無縫地更新、掃描和安裝。新的特色包括向使用者提供更多自動操作和控制的許可權以減少系統更新時的中斷現象，以及擴充套件功能以SQL Server、Exchange Server、Office 2003 和Office XP的更新。目前這種服務正處於測試階段，計劃於2004年的下半年釋出。此外，對於消費者，我們還正在為Windows Update補充一項新的服務，使消費者可以自動隨時獲取Windows以及Windows