扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:zdnet.com.au 2007年2月6日
关键字: Windows Vista 安全管理
在微软Vista中的大量安全功能可以让很多客户感觉“足够安全”,但是对于企业而言,这并不是足以促进销售的改进——而且对一些专家来说,这也不是它们所应达到的状态。
在Vista一打(12项)的安全功能中,主要是一些改进;比如恶意软件移除工具,智能卡和登陆认证方面的改动,用户权限控制,USB设备控制,Windows防护工具以及Windows防火墙。
但是这些功能中没有任何一个可以被视为万用灵药,哪怕是将这些功能组合起来也不行。对于分层安全的需求依旧像过去那样紧急。
Stuart Okin,微软former UK的安全领导,Accenture的安全合作者,告诉silicon.com说:“我看到了Vista中有15项的安全功能,但是其中没有任何一项是伟大的万用灵丹,让你可以装上之后就万事大吉。”
“安全是关于层面的,你需要对安全使用分层的方法”——当然,没有什么新鲜的东西,不过这句话说上多少遍也不算过分,特别是对Vista的安全功能寄予了太多希望来保护自己的消费者而言。
客户的网络效果将毋庸置疑是一个改进。Okin说:“从一个消费者的观点来看,我认为最大的改进是围绕着用户权限控制以及Internet Explorer进行。”
“目前的趋势是,他们会收到更多的提示信息。但是如果民众和业界都能就此形成一个共识,认为这样的环境更加安全,那我想,从积极的观察角度来看,这会产生重大的影响。”
不过,也正是这些安全提示令一些安全专家质疑:微软为了强化安全功能,是否牺牲了操作系统的简单易用性?这也再次凸显安全性与易用性两者之间的取舍问题。
服务于First Base Technologies公司的渗透测试者——或者可以称呼为“道德黑客”——Peter Wood暗示,微软在回答这个问题时,已朝正确方向勇敢的跨出了一大步。
他说:“如果微软希望让操作系统变得更加安全,那么他们就必须在权衡可用性与安全性的时候,朝安全性方面进行倾斜。我认为他们已经这么做了,因为默认环境下,他们开启了更多的安全功能,而不是关闭了更多的安全功能”
并且,Vista给人的初步印象是,消费者们如果愿意关闭一些有安全疑虑的功能,并接受更加频繁的提示和弹出式的警告,就会更加安全。
Gartner研究部的副总裁Jay Heiser说:“对终端用户来说,Vista绝对有进步。Vista的稳定性显然超出预期,这对每个人来说都是个惊喜;但我个人觉得,相对来说,Vista对终端用户和小企业而言所做的改进,要比其对大企业所做的明显多得多。”
“对经验不足、缺乏支持的因特网用户而言,Vista应当是一个大幅增强的安全使用环境。”
Vista从发售日起就会有消费者购买,这是毫无疑问的。但更强调安全性能否刺激提升对企业用户的销售,微软只能寄希望于它可以如愿以偿。
Gartner的Heiser的看法则是对此表示怀疑。他说:“今天,即使没有Vista,许多企业遭遇的安全风险程度也已在可容忍的范围之内”。他提到,事实上,企业界已被灌输了历代微软操作系统的安全性都需要增强的观念,并看到了针对风险而对症下药的安全性(risk-based security,基于风险的安全性)将是大势所趋。
不过,Accenture的Okin表示,若是能把那些价格极为昂贵的安全架构化繁为简,同时保留坚不可破的安全防护层,仍会吸引许多企业用户。并且他补充说,有许多功能可以让企业看到,将其引入自己企业范围之内的意义所在。
Okin说:“从企业的角度来看,我认为必将掀起重大变革的一项功能,应该是管理登录以及智能卡认证的新架构。这是历史上第一次,应用程序可以如此轻易地调用智能卡或生物辨识(biometric)认证。”
目前Accenture的一半安全生意都围绕着识别和权限管理——特别是在后端——并且,因为这样,Okin确信他的以前老板们已经从这个功能中特别闻出了一丝甜蜜的味道。
他说:“未来几年内,不论是进行在线银行业务、电子商务或其它任何事务,你会看到这样的一个应用程序,它会告诉我们这样开始——OK,现在你必须进行生物辨识认证,或拿出你的智能卡。”
“在此之前,这种作法不仅所费不菲,而且难度很高。又贵又不方便的话,大众们有理由不去采用。”
Okin认为,说服CIO们打开支票簿的诱因,不只是Vista的身分管理与权限管理而已。新增的USB装置控制功能,正好迎合了企业日益升高的另一种需求:即拦阻数据经由数码相机、iPod、随身闪盘等装置外泄,并防范未授权软件、盗版软件以及中毒文件随这些装置渗入。
他说:“一些客户听说有BitLocker功能,都非常兴奋。”
BitLocker全磁盘加密(full disk encryption)功能是Windows操作系统令人期待已久的改进功能,也是“道德黑客”Peter Wood所说的,朝正确方向迈进的一步。
他说:“BitLocker技术是相当有趣的作法。长久以来,我们一直敦促企业认真推动全磁盘加密,这对笔记型计算机和其它外部装置尤其有必要。但据我们了解,大多数企业至今尚未实施这种策略。”
然而,安全性再怎么强,也依旧是Windows中最薄弱的环节。Wood认为,和其它Windows功能一样,BitLocker的作用也可能被打上折扣。
Wood说:“我们的全磁盘加密都使用PGP,因为PGP独立在操作系统之外。经验告诉我,微软对这类系统的控制通常会另有小路可避开,因为这是深植于Windows环境的一部分。”
Wood认为,对下定决心的黑客而言,要找Vista操作系统的安全漏洞应该不是难事。但他承认自己尚未取得Vista,上述评论只是根据以前轻易破解微软程序的经验而发表的言论。并且他也怀疑微软是否真的已记取了昔日的种种教训。
这是一种可能性,Wood说:“Vista是庞大的程序,必定充满漏洞,因为任何人写的程序都免不了有漏洞。”
不过,不管怎样,BitLocker绝对是一大改进。加密即使有可能遭到破解,但有加密总比没有好。随着资料盗窃案及相关损失的日益升高,BitLocker多少能让人安心一点,也降低了你的笔记本落入一个业余人员之手后泄密的可能性。
但正如所有的新技术一样,Wood认为Vista安全性最大的弱点还是它的终端用户。由于加密跟个别Windows用户账户绑在一起,Wood担心这种作法也会导致BitLocker存有潜在的不安全性。
不过,他并没有动摇Okin的信心。Okin相信,双重认证--以及Vista所支持的更强认证方式--会大大地提升安全性,让情况大为改观。
相比较而言,Wood更担心,Vista虽然做了各种改进,但密码(或其他那些所谓“挥之不去的原始愚蠢问题”)对许多部署Vista的企业用户而言仍会是防不胜防的致命伤,虽然这个问题显然与Vista本身的程序无关。再者,Wood指出,生物辨识技术与智能卡认证虽比密码认证方式有所进步,但仍只是表面上的进步。他更支持改用一个通行短语(pass phrases),认为有助于大幅提升所有Vista环境的安全性,并能让其它功能更有效的运作。
但最重要的是,看起来微软的安全程序也许需要推出一代以上,才能够逐渐的取信于用户。而目前微软针对安全性所作的承诺,跟小孩答应不偷看圣诞礼物是什么,大致上差不多。
他说:“跟我往来的客户也许因为仍在用Windows 2000,且不准备换成XP,而有意升级到Vista。”
“我认为,Vista的节电功能、BitLocker降低笔记型计算机失窃率及其它成本,加上其它的新功能,可能协助用户省钱。但就算全部加起来,Vista的吸引力也尚未达到令人无法抗拒的地步。”
看起来,恐怕要靠其它因素,才能驱使企业升级到Vista。例如自然的淘汰周期,或企业不希望公务计算机比员工自己家里用的Vista计算机还落伍。CIO们正在告诉Okin:“我不想我的伙计们回到家,有一个更好的体验”
他说:“若你用的是Windows 2000系统,那升级当然很吸引你。用XP的势必慢慢来,选择自己想要的时机升级。但企业升级到Vista是看上安全功能吗? 不见得。其中一部分是,实际上,这个因素总体上是很弱的。”
(责任编辑:陈毅东)如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者