Windows Vista与安全防护的未来

微软在为提高Windows的安全性而不懈努力，微软公司在Windows Vista上花费了大量的心血，以期为个人用户和企业用户提供切实有效的保护，这些努力值得尊重。然而，微软保护操作系统核心的 PatchGuard 机制真的起到了应有的作用吗？阻止第三方安全产品利用 Vista 内核运行或“修改”Vista 内核这种“闭关”的做法的确可以提高安全性吗？很显然，除微软之外很多安全专家有着不同的意见。

指向Windows的攻击

微软在为提高Windows的安全性而不懈努力，该公司在Windows Vista上花费了大量的心血，以期为个人用户和企业用户提供切实有效的保护，这些努力值得尊重。然而，微软保护操作系统核心的 PatchGuard 机制真的起到了应有的作用吗？阻止第三方安全产品利用 Vista 内核运行或“修改”Vista 内核这种“闭关”的做法的确可以提高安全性吗？很显然，除微软之外很多安全专家有着不同的意见。

“微软 希望独自处理安全问题的想法，很大程度上增加了用户的风险”。一些安全专家抱有这样的观点并不难理解，因为谁都知道，在安全领域实际上从来没有绝对的安全，恶意软件编写者攻击系统只是时间问题，而不是是否会发生的问题。如果是这样，那么一旦 PatchGuard 被攻破，它背后将没有第三方防护措施做后盾。

微软所提出的PatchGuard实际上是一个软件，通过定时检查（每 5 至 10 分钟）特定的内核入口表和部分内核代码以查看它们是否被修改。如果它们被修改了，PatchGuard 会停止该系统运行。停止系统运行的目的是阻止进一步执行被修改的内核入口表和内核代码。以这种方式进行安全防护是一个颇具争议的保护理念，有些人认为，这相当于数字世界中的杀鸡取卵。想象一下，假如恶意代码编写者编写了一个让“停止系统运行”行为不断发生的代码，会出现什么情况？我们的操作系统最终也会像面临拒绝服务攻击的网络一样瘫痪！

另外，安全研究人员一直在关注那些专为攻击安全软件而编写的恶意代码。我们已经见识过能关闭防病毒软件和防火墙软件，以及能修改访问保护规则的恶意软件。对于恶意软件而言，最新的安全目标之一是 Windows 文件保护（Windows File Protection），Windows 文件保护能保护核心系统文件不被第三方应用程序的安装程序覆盖。如果系统文件被覆盖，Windows 文件保护会自动重新恢复到正确的版本。恶意软件总是试图给负责检查系统完整性的 SFC.DLL 和 SFC_OS.DLL 文件安装“补丁程序”。一旦这两个文件被安装了“补丁程序”，恶意软件就能悄悄地替换核心系统文件——从而为蠕虫和其他恶意程序创造一个良好的环境。现在你还觉得这个机制很安全吗？

操作系统并不是安全软件

很多用户会问安全专家：“为什么让安全厂商访问Vista内核和API架构如此重要？”原因很简单：尽可能地保持前瞻性。一些最强大的安全技术是通过评估API和内核调用来起作用的。对通用缓冲区溢出行为进行API评估能告诉我们一个未知攻击或零时间攻击何时会发生，还允许我们在无需更新的情况下拦截这个攻击。阻止安全厂商访问这些工具会降低软件正确执行通用或启发式恶意软件检测的能力。不能访问这些工具还会降低某些签名类型的有效性。最终，Microsoft的限制会阻止安全界为计算机用户提供用户所需的安全保护。

Windows Vista是一个操作系统，而非一项安全技术。Microsoft加强Vista基础安全性的做法是正确的，但考虑到内容和数据的动态性质（尤其是当连接到Internet上时），加之动态浏览功能的不断增强，这些措施远远不能确保数据或内容的安全。恶意软件不需要依靠设计上的缺陷、缓冲区溢出或权限提升攻击就能取得成功。僵尸网络、间谍软件、蠕虫和密码窃取木马能通过功能误用而进入系统。而且，大多数的间谍软件和广告软件就是通过误用和滥用浏览器才得以安装的。要有效地保护数据和内容，必须解决误用和设计缺陷这两种问题。

我们可以这样设想一下：Microsoft正在使用最新的技术建造一座全新的城市。但这座新城市里的罪犯像设计师和建筑师一样聪明，而且这些罪犯都非常积极主动。那么建筑师应该如何保护市民？实际上不管设计师选择何种设计，都应该通过警察和法律措施来解决最终的安全问题，而不是仅仅使用哨卡和探照灯。