專家解答Windows 7安全問(wèn)題

天 邊

(1)微軟已經(jīng)擁有非常龐大的用戶基礎(chǔ)，那么微軟在開發(fā)Win-dows 7時(shí)，最重要的安全挑戰(zhàn)是什么呢?

再好的技術(shù)保護(hù)措施，都需要用戶自己來(lái)作出明智的決策以保護(hù)自己免受惡意攻擊者和惡意軟件的攻擊。Windows 7中對(duì)UAC進(jìn)行了改進(jìn)，減少了彈出提示信息的數(shù)量，同時(shí)幫助將生態(tài)系統(tǒng)轉(zhuǎn)移到這樣一個(gè)環(huán)境，在此環(huán)境每個(gè)人都可以作為默認(rèn)的標(biāo)準(zhǔn)用戶運(yùn)行。其他改進(jìn)功能還包括新的SmartScreen過(guò)濾器和Clickjacking防御技術(shù)，這兩個(gè)技術(shù)主要部署在IE8中。

(2)在開發(fā)新版本W(wǎng)indows的時(shí)候，惡意攻擊者以及各種攻擊是不是新操作系統(tǒng)面臨的主要問(wèn)題?

很顯然，惡意攻擊者的攻擊動(dòng)機(jī)和復(fù)雜程度在過(guò)去幾年中已經(jīng)發(fā)生了巨大的改變，我們的安全研究人員和其他人員仍然在繼續(xù)努力了解目前存在的以及將來(lái)可能出現(xiàn)的威脅，這能夠幫助我們更好地在新系統(tǒng)中構(gòu)筑保護(hù)機(jī)制，使用戶不會(huì)在未知的情況下獲取和運(yùn)行惡意代碼。另外，我們也一直在努力使Windows內(nèi)部的保護(hù)機(jī)制能夠免受篡改和規(guī)避等威脅。

(3)安全社區(qū)對(duì)wIndows7操作系統(tǒng)發(fā)布以來(lái)有怎樣的反映呢?你們對(duì)于反饋意見是否滿意?從中學(xué)到什么?

到目前為止，安全社區(qū)對(duì)于Windows 7的反響還是不錯(cuò)的，雖然對(duì)于UAC以及我們作出的部分修改存在些許問(wèn)題，但是這也說(shuō)明我們能夠認(rèn)真傾聽大家的意見，并最終生產(chǎn)出大家滿意的產(chǎn)品。

(4)在安全保護(hù)方面，Windows 7和Vista的根本區(qū)別在于什么?

實(shí)際上，Windows 7操作系統(tǒng)是在Windows Vista的基礎(chǔ)之上構(gòu)建的，并且進(jìn)行了完善，Windows 7還涵蓋了Security DevelopmentLifecycle(安全開發(fā)生命周期)，這是Vista最核心的安全技術(shù)。另外，來(lái)自Vista的其他重要安全功能，包括用戶賬戶控制(UAC)、內(nèi)核修補(bǔ)保護(hù)程序、windows Service Hardenlng、地址空間布局隨機(jī)化(ASLR)以及數(shù)據(jù)執(zhí)行防護(hù)(DEP)等也都保留在Windows 7中。此外，我們還增加了新的安全功能，如AppLocker能夠幫助控制在自我環(huán)境中運(yùn)行的應(yīng)用程序，我們還加強(qiáng)了核心BitLocker DriveEncryption的功能，讓IT企業(yè)更加容易在自身環(huán)境中部署和管理這項(xiàng)技術(shù)等?？梢哉f(shuō)，結(jié)合了lE8的Windows 7能夠提供靈活的安全保護(hù)。防止惡意軟件和攻擊。

(5)實(shí)用性問(wèn)題方面是如何影響微軟的決策的?

我們對(duì)于Windows 7的目標(biāo)就是，讓它成為有史以來(lái)最安全的操作系統(tǒng)，我們?cè)陂_發(fā)該系統(tǒng)時(shí)，一直在思考如何將先進(jìn)的安全性與易用性相結(jié)合。

(6)DirectAccess和BranchCache是能夠幫助遠(yuǎn)程員工辦公的功能，那么這兩個(gè)功能是如何運(yùn)作的呢?又是如何保護(hù)數(shù)據(jù)的呢7

DirectAccess是一項(xiàng)突破性技術(shù)，能夠讓員工通過(guò)互聯(lián)網(wǎng)無(wú)縫地安全地連接到他們的企業(yè)網(wǎng)絡(luò)。DirectAccess通過(guò)在客戶端計(jì)算機(jī)與企業(yè)網(wǎng)絡(luò)間自動(dòng)建立雙向的安全連接來(lái)實(shí)現(xiàn)功能，該功能是建立在可靠的基于標(biāo)準(zhǔn)技術(shù)基礎(chǔ)上的，如Internet協(xié)議安全(IPsec)，這是一項(xiàng)通過(guò)驗(yàn)證和加密幫助保護(hù)fP流量的協(xié)議，以及Internet協(xié)議第6版(IPv6)，IPsec被用來(lái)對(duì)計(jì)算機(jī)和用戶進(jìn)行驗(yàn)證，可以允許IT人員在用戶登錄之前來(lái)管理計(jì)算機(jī)，lT人員可以要求用戶使用智能卡進(jìn)行驗(yàn)證。DirectAocess還利用IPsec來(lái)對(duì)互聯(lián)網(wǎng)的通信進(jìn)行AES加密。

在進(jìn)行遠(yuǎn)程訪問(wèn)企業(yè)網(wǎng)絡(luò)時(shí)，BranchCache可以幫助增強(qiáng)網(wǎng)絡(luò)對(duì)于中央應(yīng)用程序的響應(yīng)能力，使用戶感覺(jué)在自己的局域網(wǎng)辦公一樣。BranchCache還可以有助于減少對(duì)廣域網(wǎng)的使用，當(dāng)啟用BranchCache時(shí)，從內(nèi)部網(wǎng)絡(luò)和文件服務(wù)器訪問(wèn)的數(shù)據(jù)復(fù)印件會(huì)緩存在本地辦公室，當(dāng)相同網(wǎng)絡(luò)的另一個(gè)客戶要求使用該文件時(shí)，客戶端能夠從本地下載，而不需要通過(guò)廣域網(wǎng)下載相同的內(nèi)容。而且這是在不降低數(shù)據(jù)安全性的情況下實(shí)現(xiàn)的，訪問(wèn)控制的緩存文件以對(duì)待原始文件相同的方式進(jìn)行執(zhí)行。