天 邊
(1)微軟已經(jīng)擁有非常龐大的用戶基礎(chǔ),那么微軟在開發(fā)Win-dows 7時(shí),最重要的安全挑戰(zhàn)是什么呢?
再好的技術(shù)保護(hù)措施,都需要用戶自己來(lái)作出明智的決策以保護(hù)自己免受惡意攻擊者和惡意軟件的攻擊。Windows 7中對(duì)UAC進(jìn)行了改進(jìn),減少了彈出提示信息的數(shù)量,同時(shí)幫助將生態(tài)系統(tǒng)轉(zhuǎn)移到這樣一個(gè)環(huán)境,在此環(huán)境每個(gè)人都可以作為默認(rèn)的標(biāo)準(zhǔn)用戶運(yùn)行。其他改進(jìn)功能還包括新的SmartScreen過(guò)濾器和Clickjacking防御技術(shù),這兩個(gè)技術(shù)主要部署在IE8中。
(2)在開發(fā)新版本W(wǎng)indows的時(shí)候,惡意攻擊者以及各種攻擊是不是新操作系統(tǒng)面臨的主要問(wèn)題?
很顯然,惡意攻擊者的攻擊動(dòng)機(jī)和復(fù)雜程度在過(guò)去幾年中已經(jīng)發(fā)生了巨大的改變,我們的安全研究人員和其他人員仍然在繼續(xù)努力了解目前存在的以及將來(lái)可能出現(xiàn)的威脅,這能夠幫助我們更好地在新系統(tǒng)中構(gòu)筑保護(hù)機(jī)制,使用戶不會(huì)在未知的情況下獲取和運(yùn)行惡意代碼。另外,我們也一直在努力使Windows內(nèi)部的保護(hù)機(jī)制能夠免受篡改和規(guī)避等威脅。
(3)安全社區(qū)對(duì)wIndows7操作系統(tǒng)發(fā)布以來(lái)有怎樣的反映呢?你們對(duì)于反饋意見是否滿意?從中學(xué)到什么?
到目前為止,安全社區(qū)對(duì)于Windows 7的反響還是不錯(cuò)的,雖然對(duì)于UAC以及我們作出的部分修改存在些許問(wèn)題,但是這也說(shuō)明我們能夠認(rèn)真傾聽大家的意見,并最終生產(chǎn)出大家滿意的產(chǎn)品。
(4)在安全保護(hù)方面,Windows 7和Vista的根本區(qū)別在于什么?
實(shí)際上,Windows 7操作系統(tǒng)是在Windows Vista的基礎(chǔ)之上構(gòu)建的,并且進(jìn)行了完善,Windows 7還涵蓋了Security DevelopmentLifecycle(安全開發(fā)生命周期),這是Vista最核心的安全技術(shù)。另外,來(lái)自Vista的其他重要安全功能,包括用戶賬戶控制(UAC)、內(nèi)核修補(bǔ)保護(hù)程序、windows Service Hardenlng、地址空間布局隨機(jī)化(ASLR)以及數(shù)據(jù)執(zhí)行防護(hù)(DEP)等也都保留在Windows 7中。此外,我們還增加了新的安全功能,如AppLocker能夠幫助控制在自我環(huán)境中運(yùn)行的應(yīng)用程序,我們還加強(qiáng)了核心BitLocker DriveEncryption的功能,讓IT企業(yè)更加容易在自身環(huán)境中部署和管理這項(xiàng)技術(shù)等??梢哉f(shuō),結(jié)合了lE8的Windows 7能夠提供靈活的安全保護(hù)。防止惡意軟件和攻擊。
(5)實(shí)用性問(wèn)題方面是如何影響微軟的決策的?
我們對(duì)于Windows 7的目標(biāo)就是,讓它成為有史以來(lái)最安全的操作系統(tǒng),我們?cè)陂_發(fā)該系統(tǒng)時(shí),一直在思考如何將先進(jìn)的安全性與易用性相結(jié)合。
(6)DirectAccess和BranchCache是能夠幫助遠(yuǎn)程員工辦公的功能,那么這兩個(gè)功能是如何運(yùn)作的呢?又是如何保護(hù)數(shù)據(jù)的呢7
DirectAccess是一項(xiàng)突破性技術(shù),能夠讓員工通過(guò)互聯(lián)網(wǎng)無(wú)縫地安全地連接到他們的企業(yè)網(wǎng)絡(luò)。DirectAccess通過(guò)在客戶端計(jì)算機(jī)與企業(yè)網(wǎng)絡(luò)間自動(dòng)建立雙向的安全連接來(lái)實(shí)現(xiàn)功能,該功能是建立在可靠的基于標(biāo)準(zhǔn)技術(shù)基礎(chǔ)上的,如Internet協(xié)議安全(IPsec),這是一項(xiàng)通過(guò)驗(yàn)證和加密幫助保護(hù)fP流量的協(xié)議,以及Internet協(xié)議第6版(IPv6),IPsec被用來(lái)對(duì)計(jì)算機(jī)和用戶進(jìn)行驗(yàn)證,可以允許IT人員在用戶登錄之前來(lái)管理計(jì)算機(jī),lT人員可以要求用戶使用智能卡進(jìn)行驗(yàn)證。DirectAocess還利用IPsec來(lái)對(duì)互聯(lián)網(wǎng)的通信進(jìn)行AES加密。
在進(jìn)行遠(yuǎn)程訪問(wèn)企業(yè)網(wǎng)絡(luò)時(shí),BranchCache可以幫助增強(qiáng)網(wǎng)絡(luò)對(duì)于中央應(yīng)用程序的響應(yīng)能力,使用戶感覺(jué)在自己的局域網(wǎng)辦公一樣。BranchCache還可以有助于減少對(duì)廣域網(wǎng)的使用,當(dāng)啟用BranchCache時(shí),從內(nèi)部網(wǎng)絡(luò)和文件服務(wù)器訪問(wèn)的數(shù)據(jù)復(fù)印件會(huì)緩存在本地辦公室,當(dāng)相同網(wǎng)絡(luò)的另一個(gè)客戶要求使用該文件時(shí),客戶端能夠從本地下載,而不需要通過(guò)廣域網(wǎng)下載相同的內(nèi)容。而且這是在不降低數(shù)據(jù)安全性的情況下實(shí)現(xiàn)的,訪問(wèn)控制的緩存文件以對(duì)待原始文件相同的方式進(jìn)行執(zhí)行。